返回
IPv6安全网络的架构.doc

IPv6安全网络的架构.doc

ID:61459198

大小:125.50 KB

页数:6页

时间:2021-02-01

IPv6安全网络的架构.doc_第1页
IPv6安全网络的架构.doc_第2页
IPv6安全网络的架构.doc_第3页
IPv6安全网络的架构.doc_第4页
IPv6安全网络的架构.doc_第5页
资源描述:

《IPv6安全网络的架构.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、IPv6安全网络的架构07电信李永昌()一、ipv6的安全机制  ipv6的安全机制主要表现在以下几个方面:(1)将原先独立于ipv4协议族之外的报头认证和安全信息封装作为ipv6的扩展头置于ipv6基本协议之中,为ipv6网络实现全网安全认证和加密封装提供了协议上的保证。(2)地址解析放在icmp(internetcontrolmessageprotocol)层中,这使得其与arp(addressresolutionprotocol)相比,与介质的偶合性更小,而且可以使用标准的ip认证等安全机制。(3)对于协议中的一些可能会给网络带来安全隐患

2、的操作,ipv6协议本身都做了较好的防护。例如:因为一条链路上多个接口同时启动发送邻居请求消息而带来的链路拥塞隐患,ipv6采用在一定范围内的随机延时发送方法来减轻链路产生拥塞的可能,这同时也减少了多个节点在同一时间竞争同一个地址的可能。(4)除了ipsec和ipv6本身对安全所做的措施之外,其他的安全防护机制在ipv6上仍然有效。诸如:nat-pt(netaddresstranslate-protocoltranslate)可以提供和ipv4中的nat相同的防护功能;通过扩展的acl(accesscontrollist)在ipv6上可以实现i

3、pv4acl所提供的所有安全防护。另外,基于vpls(virtualprivatelansegment)、vpws(virtualprivatewireservice)的安全隧道和vpn(virtualprivatenetwork)等技术,在ipv6上也可以完全实现。  当然ipsec的大规模使用不可避免地会对网络设备的转发性能产生影响,因此,需要更高性能的硬件加以保障。总的来说,ipv6极大地改善了网络安全现状。二、ipv6安全网络的架构ipv6网络的安全性主要通过3个层面实现:协议安全、网络安全和安全加密的硬件。下面以中兴通讯公司的ipv6

4、路由器zxr10系列为例,介绍如何在这3个层面实现ipv6网络的安全性。三、协议安全  ipv6的ah(authenticationheader)和esp(encapsulatingsecuritypayload)中的扩展头结合多样的加密算法可以在协议层面提供安全保证。如图1所示的实际组网方案,对路由协议报文采用了esp加密封装,对于ipv6的邻居发现、无状态地址配置等协议报文采用ah认证来保证协议交互的安全性。在ah认证方面,可以采用hmac_md5_96、hmac_sha_1_96等认证加密算法;在esp封装方面,经常采用的算法有3种:de

5、s_cbc、3des_cbc及null。  鉴于目前的网络环境,在实现上,默认手工提供密钥配置管理的方式。但为适应将来大规模安全网络组建要求,还要同时预留ike(internet密钥交换)协议接口。图1的路由器系统缺省对ipv6的pmtu(路径最大传输单元)、无状态地址自动配置以及邻居发现协议中的消息进行ah头认证。可配置使用esp封装或者ah认证来保证路由协议报文的安全。在传输模式下,路由器对于报文的加密和认证可以有基于协议、源端口和源地址、目的端口和目的地址等多种模式。用户可以通过管理模块灵活地进行配置。四、网络安全ipsec隧道和传输模式

6、的各种组合应用,可以提供网络各层面的安全保证。诸如:端到端的安全保证、内部网络的保密、通过安全隧道构建安全的vpn、通过嵌套隧道实现不同级别的网络安全等等。五、端到端的安全保证  如图2所示,在两端主机上对报文进行ipsec封装,中间路由器实现对有ipsec扩展头的ipv6报文的透传,从而实现端到端的安全保证。六、内部网络保密  图3所示的内部主机和互联网上其他主机进行通信时,通过配置ipsec网关来保证内部网络的安全。由于ipsec作为ipv6扩展报头不能被中间路由器而只能被目的节点解析处理,因此,ipsec网关可以通过ipsec隧道的方式实

7、现,或者通过ipv6扩展头中提供的路由头和逐跳选项头并结合应用层网关技术来实现。其中后者实现方式更加灵活,有利于提供完善的内部网络安全,但是比较复杂。七、ipsec安全隧道实现vpn  如图4所示,在路由器之间建立ipsec安全隧道,构成安全的vpn,是最常用的安全网络组建方式。作为ipsec网关的路由器实际上就是ipsec隧道的终点和起点。为了满足转发性能的要求,需要专用的加密板卡。  如图5所示,通过隧道嵌套的方式可以获得多重的安全保护。  配置了ipsec的主机hostc通过安全隧道接入到配置了ipsec网关的路由器zxr10t128a。

8、该路由器作为外部隧道的终结点将外部隧道封装剥除,这时嵌套的内部安全隧道构成了对内部网络的安全隔离。zxr10garb作为内部隧道的终结点,使得host

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。