Địa chỉ được tạo mã hóa (Cryptographically Generated Address)
Trong IPv6, có thể tạo một khóa dùng làm chữ ký điện tử (public signature key) cho mỗi một địa chỉ IP. Địa chỉ này được gọi là địa chỉ được tạo mã hóa CGA (Cryptographically Generated Address). Tính năng này gia tăng mức độ bảo vệ được dùng trong cơ chế phát hiện bộ định tuyến lân cận (neighbourhood router discovery mechanism) cho phép người dùng cuối cung cấp bằng chứng sở hữu (proof of ownership) địa chỉ IP của mình. Tính năng này hoàn toàn mới ở phiên bản IPv6 và nó đem lại các lợi điểm sau:
– CGA khiến cho việc giả mạo (spoof) và đánh cắp địa chỉ trong IPv6 khó khăn hơn.
– Cho phép các thông điệp được đảm bảo tính nguyên vẹn bằng chữ ký điện tử.
– Không yêu cầu phải nâng cấp hay thay đổi hệ thống mạng
IP Security
IP Security (IPSec) cung cấp các dịch vụ mã hóa chất lượng cao, tương thích với nhiều hệ thống và hoạt động ở lớp IP (IP layer). IPSec là tùy chọn trong IPv4 nhưng là bắt buộc trong IPv6. IPsec tăng cường tính năng bảo mật cho lớp IP nguyên thủy bằng cách cung cấp tính năng xác thực (authenticity), tính nguyên vẹn (integrity), tính bí mật (confidentiality) và điều khiển truy nhập (access control) thông qua việc sử dụng hai giao thức AH (Authentication header) và ESP (Encapsulating Security Payload).
Thay thế ARP (Address Resolution Protocol) bằng ND (Neighbourhood Discovery)
Trong IPv4, địa chỉ layer 2 không được rằng buộc trực tiếp với địa chỉ layer 3. Kết nối giữa hai địa chỉ layer 2, layer 3 này phải thông qua một giao thức tên là ARP (Address Resolution Protocol). Giao thức này có nhiệm vụ ánh xạ địa chỉ layer 3 thành các địa chỉ layer 2 cục bộ tương ứng. ARP có nhiều vấn đề bảo mật trong quá khứ, như giả ARP (ARP spoofing) chẳng hạn. Trong IPv6, ARP không cần thiết nữa bởi vì phần xác định giao diện ID (Interface Identifier) của địa chỉ layer 3 của IPv6 được suy ra trực tiếp từ layer 2 của thiết bị (MAC address). Địa chỉ layer 3 cùng với phần ID đặc trưng của thiết bị được dùng ở phạm vi toàn cục (global level) trong mạng IPv6. Kết quả là các vấn đề bảo mật liên quan đến ARP đã được giải quyết trong IPv6. Giao thức ND được mô tả trong RFC 4861 (Neighbourhood Discovery) thay thế ARP trong IPv6.
Trong IPv6, có thể tạo một khóa dùng làm chữ ký điện tử (public signature key) cho mỗi một địa chỉ IP. Địa chỉ này được gọi là địa chỉ được tạo mã hóa CGA (Cryptographically Generated Address). Tính năng này gia tăng mức độ bảo vệ được dùng trong cơ chế phát hiện bộ định tuyến lân cận (neighbourhood router discovery mechanism) cho phép người dùng cuối cung cấp bằng chứng sở hữu (proof of ownership) địa chỉ IP của mình. Tính năng này hoàn toàn mới ở phiên bản IPv6 và nó đem lại các lợi điểm sau:
– CGA khiến cho việc giả mạo (spoof) và đánh cắp địa chỉ trong IPv6 khó khăn hơn.
– Cho phép các thông điệp được đảm bảo tính nguyên vẹn bằng chữ ký điện tử.
– Không yêu cầu phải nâng cấp hay thay đổi hệ thống mạng
IP Security
IP Security (IPSec) cung cấp các dịch vụ mã hóa chất lượng cao, tương thích với nhiều hệ thống và hoạt động ở lớp IP (IP layer). IPSec là tùy chọn trong IPv4 nhưng là bắt buộc trong IPv6. IPsec tăng cường tính năng bảo mật cho lớp IP nguyên thủy bằng cách cung cấp tính năng xác thực (authenticity), tính nguyên vẹn (integrity), tính bí mật (confidentiality) và điều khiển truy nhập (access control) thông qua việc sử dụng hai giao thức AH (Authentication header) và ESP (Encapsulating Security Payload).
Thay thế ARP (Address Resolution Protocol) bằng ND (Neighbourhood Discovery)
Trong IPv4, địa chỉ layer 2 không được rằng buộc trực tiếp với địa chỉ layer 3. Kết nối giữa hai địa chỉ layer 2, layer 3 này phải thông qua một giao thức tên là ARP (Address Resolution Protocol). Giao thức này có nhiệm vụ ánh xạ địa chỉ layer 3 thành các địa chỉ layer 2 cục bộ tương ứng. ARP có nhiều vấn đề bảo mật trong quá khứ, như giả ARP (ARP spoofing) chẳng hạn. Trong IPv6, ARP không cần thiết nữa bởi vì phần xác định giao diện ID (Interface Identifier) của địa chỉ layer 3 của IPv6 được suy ra trực tiếp từ layer 2 của thiết bị (MAC address). Địa chỉ layer 3 cùng với phần ID đặc trưng của thiết bị được dùng ở phạm vi toàn cục (global level) trong mạng IPv6. Kết quả là các vấn đề bảo mật liên quan đến ARP đã được giải quyết trong IPv6. Giao thức ND được mô tả trong RFC 4861 (Neighbourhood Discovery) thay thế ARP trong IPv6.