NGHIÊN CỨU CÁC VẤN ĐỀ BẢO MẬT CỦA GIAO THỨC KHÁM PHÁ HÀNG XÓM NDP TRONG IPV6

Abstract

Giao thức khám phá hàng xóm NDP – Neighbor Discovery Protocol, được định nghĩa trong RFC – 2461, là một giao thức chủ chốt của công nghệ IPv6. NDP sử dụng một số thông điệp ICMPv6 đặc thù để thực hiện một số công việc: Phân giải địa chỉ, tự động cấu hình địa chỉ, tìm kiếm bộ định tuyến, tìm kiếm tiền tố, kiểm tra địa chỉ trùng lặp, chuyển hướng đường đi...vv. Tuy nhiên NDP luôn coi tất cả các nút trong mạng đều đáng tin cậy, đây cũng là nguyên nhân dẫn tới một số các cuộc tấn công bao gồm tấn công từ chối dịch vụ trong quá trình phát hiện địa chỉ trùng lặp (hay còn gọi là DoS-on-DAD), tấn công khi NDP phân giải địa chỉ, tấn công vaog thông điệp ICMPv6 và tấn công chuyển hướng [4-5-6]. SEND được thiết kế để tăng cường bảo mật cho giao thức không an toàn NDP bằng cách sử dụng địa chỉ được tạo bằng mật mã để mã hóa thông điệp CGA. Tuy nhiên CGA tính toán và mã hóa địa chỉ IPv6 sử dụng hàm băm SHA1 và thuật toán mã hóa khóa công khai RSA dẫn tới thời gian tạo địa chỉ IPv6 tăng đáng kể. Bài báo đưa ra một số các giải pháp kỹ thuật cải thiện hiệu năng của SEND. Thay thế RSA bằng thuật toán chữ ký số trên đường cong Elliptic với phiên bản Ed25519 để xác thực máy chủ IPv6, nhằm ngăn chặn các thiết bị trái phép tham gia mạng. Hàm băm SHA1 trong SEND được thay bằng hàm băm SHA512 có hiệu suất và bảo mật tốt hơn. Để giảm thời gian tạo CGA yếu tố thời gian được xem xét như một yếu tố đầu vào của giải thuật CGA. SEND sửa đổi được đánh giá và so sánh với NDP, SEND chuẩn với các tham số đánh giá hiệu năng như: thời gian xử lý tạo địa chỉ IPv6, khả năng chống lại các cuộc tấn công DOS. Kết quả phân tích cho thấy SEND sửa đổi vẫn ngăn chặn thành công các cuộc tấn công mạng, với thời gian tạo địa chỉ IPv6 nhỏ hơn rất nhiều so với SEND chuẩn. Băng thông khi sử dụng ECC nhỏ hơn đáng kể so với SEND chuẩn khi sử dụng RSA.