2.3. Bảo mật trong IPv6
2.3.3.2. Liên kết bảo mật SA
Các đối tác truyền thông cần thống nhất thông tin trước khi áp dụng các yếu tố bảo mật của IPv6 như : chìa khóa, những thuật tốn về mã hóa và xác thực và một số tham số đặc biệt sử dụng cho các thuật tốn.Những thỏa thuận đó cấu thành Liên kết bảo mật (SA) giữa các đối tác truyền thơng.
Có hai phương thức liên kết bảo mật đó là phương thức truyền tải (transport mod) và phương thức đường hầm (tunnel mod):
Trong chế độ truyền tải, SA được định nghĩa giữa hai hệ thống đầu cuối và chỉ rõ sự mã hóa hoặc chứng thực cho phần tải trong tất cả các gói IP trên kết nối đó.
Trong chế độ đường hầm, SA được định nghĩa giữa hai cổng vào của hệ thống, nó bọc gói IP cùng với cả phần tải với một gói IP bên ngồi, do đó có thể áp dụng sự mã hóa và chứng thực với cả gói IP bên trong, bao gồm cả phần IP header.
Dựa vào hoạt động của 2 phương thức này mà mỗi SA có thể sử dụng cả hai dịch vụ mã hóa và chứng thực trong cùng một gói IP (transport mod), hay sử dụng lồng dịch vụ này trong cái kia (tunnel mod). Điều đó cho phép đưa ra nhiều mơi trường có tính bảo mật cao hơn trong một chính sách bảo mật.
Mặc dù sự thi hành nội bộ nằm ngoài phạm vi của chuẩn IPv6 nhưng SA được hỗ trợ để quản lý hai cơ sở dữ liệu đó là: cơ sở dữ liệu liên kết bảo mật (SAD), cơ sở dữ liệu chính sách bảo mật (SPD), mà được yêu cầu hiệu hữu cho mỗi giao diện bảo mật trong hệ thống. Trên thực tế thì SAD, SPD có thể được thực thi như một cơ sở dữ liệu với tổ chức bên trong tương ứng. SPD
chỉ những gói mang thơng tin mã hóa hay xác thực. SPD dựa vào quy tắc có cơ sở tuần tự bao gồm trường IP và Header giao thức lớp trên (như địa chỉ IP, dạng giao thức truyền, số cổng) và một cơ chế khớp với SA. Dựa vào thiết lập của SPD, với mỗi gói IP được chuyển qua hệ thống thì nó sẽ: loại bỏ gói, áp dụng quy tắc bảo mật về mã hóa và xác thực, hoặc là cho gói tin đi qua bỏ qua các quy tắc bảo mật.
Thơng thường, một hệ thống thì người quản trị có đặc quyền đinh nghĩa các quy tắc trong SPD. Kiến trúc bảo mật Internet có những quy tắc rõ ràng ngoài dự kiến cho những ứng dụng yêu cầu chính sách bảo mật đặc biệt trong SPD.
Tất cả các định nghĩa về SA được giữ ở SAD và được xác định duy nhất bởi một bộ ba giá trị gồm: chỉ số tham số bảo mật (SPI), địa chỉ Ip đích, giao thức bảo mật (AH hoặc ESP). Địa chỉ IP đích có thể là địa chỉ unicast, multicast hoặc broadcast, nhưng cơ chế quản lý SA chỉ định nghĩa cho địa chỉ unicast. Trong trường hợp sử dụng địa chỉ unicast, SPI được chọn bởi mỗi phần nhận được của gói tin và đàm phán trong suốt quá trinh kết nối. Mỗi hệ thống cần phải nhớ SPI của các thành viên khác (tức là SPI trở thành một phần của SA cho kiểu giao tiếp đó). Trong mơi trường multicast, SPI giống hệt nhau cho tất cả các thành viên sử dụng multicast.
Ngược lại gói tin liên quan tới một SA bởi SPI trong mỗi header mở rộng cho sự mã hóa và xác thực. Như vậy một SA tron SAD xác định kết quả thỏa thuận cụ thể trong suốt quá trình kết nối. Khi hệ thống kiểm tra những gói IP riêng lẻ với định nghĩa trong SA, nó có thế sử dụng tất cả các trường cho trước trong header bảo mật mở rộng tương ứng (như chuỗi số, kiểm tra…), cũng như những tham số mặc định: thời gian sống SA, kiểu hoạt động, đường dẫn MTU). SA có thể được cấu hình bằng tay hoặc tự động thơng qua giao thức quản lý khóa.