文档介绍:IPv6 安全网络的架构 07 电信李永昌( 20071736 ) 一、 ipv6 的安全机制 ipv6 的安全机制主要表现在以下几个方面:(1) 将原先独立于 ipv4 协议族之外的报头认证和安全信息封装作为 ipv6 的扩展头置于 ipv6 基本协议之中,为 ipv6 网络实现全网安全认证和加密封装提供了协议上的保证。(2) 地址解析放在 icmp ( controlmessage protocol ) 层中, 这使得其与 arp ( address resolution protocol ) 相比, 与介质的偶合性更小, 而且可以使用标准的 ip 认证等安全机制。(3) 对于协议中的一些可能会给网络带来安全隐患的操作, ipv6 协议本身都做了较好的防护。例如:因为一条链路上多个接口同时启动发送邻居请求消息而带来的链路拥塞隐患, ipv6 采用在一定范围内的随机延时发送方法来减轻链路产生拥塞的可能,这同时也减少了多个节点在同一时间竞争同一个地址的可能。(4 )除了 ipsec 和 ipv6 本身对安全所做的措施之外,其他的安全防护机制在 ipv6 上仍然有效。诸如: nat-pt ( net address translate- protocol translate ) 可以提供和 ipv4 中的 na t 相同的防护功能; 通过扩展的 acl ( access control list )在 ipv6 上可以实现 ipv4 acl 所提供的所有安全防护。另外,基于 vpls ( virtual private lan segment )、 vpws ( virtual priv ate wire service ) 的安全隧道和 vpn ( virtual work ) 等技术,在 ipv6 上也可以完全实现。当然 ipsec 的大规模使用不可避免地会对网络设备的转发性能产生影响,因此,需要更高性能的硬件加以保障。总的来说, ipv6 极大地改善了网络安全现状。二、 ipv6 安全网络的架构 ipv6 网络的安全性主要通过 3 个层面实现:协议安全、网络安全和安全加密的硬件。下面以***公司的 ipv6 路由器 zxr10 系列为例, 介绍如何在这 3 个层面实现 ipv6 网络的安全性。三、协议安全 ipv6 的 ah ( authenticationheader )和 esp ( encapsulatingsecurity payload )中的扩展头结合多样的加密算法可以在协议层面提供安全保证。如图 1 所示的实际组网方案,对路由协议报文采用了 esp 加密封装, 对于 ipv6 的邻居发现、无状态地址配置等协议报文采用 ah 认证来保证协议交互的安全性。在 ah 认证方面, 可以采用 hmac_md5_96 、 hmac_ sha_1_96 等认证加密算法;在 esp 封装方面, 经常采用的算法有 3种: des_cbc 、 3des_c bc及 null 。鉴于目前的网络环境, 在实现上, 默认手工提供密钥配置管理的方式。但为适应将来大规模安全网络组建要求,还要同时预留 ike ( 密钥交换)协议接口。图 1 的路由器系统缺省对 ipv6 的 pmtu ( 路径最大传输单元)、无状态地址自动配置以及邻居发现协议中的消息进行 ah