ipv6的安全机制
ipv6的安全机制主要表现在以下几个方面:(1)将原先独立于ipv4协议族之外的报头认证和安全信息封装作为ipv6的扩展头置于ipv6基本协议之中,为ipv6网络实现全网安全认证和加密封装提供了协议上的保证。(2)地址解析放在icmp (internetcontrolmessageprotocol)层中,这使得其与arp(address resolution protocol)相比,与介质的偶合性更小,而且可以使用标准的ip认证等安全机制。(3)对于协议中的一些可能会给网络带来安全隐患的操作,ipv6 协议本身都做了较好的防护。例如:因为一条链路上多个接口同时启动发送邻居请求消息而带来的链路拥塞隐患,ipv6采用在一定范围内的随机延时发送方法来减轻链路产生拥塞的可能,这同时也减少了多个节点在同一时间竞争同一个地址的可能。(4)除了ipsec和ipv6本身对安全所做的措施之外,其他的安全防护机制在ipv6上仍然有效。诸如:nat-pt(net address translate- protocol translate)可以提供和ipv4中的nat相同的防护功能;通过扩展的acl(access control list)在ipv6上可以实现ipv4 acl所提供的所有安全防护。另外,基于vpls(virtual private lan segment)、vpws(virtual private wire service)的安全隧道和vpn(virtual private network)等技术,在ipv6上也可以完全实现。
当然ipsec的大规模使用不可避免地会对网络设备的转发性能产生影响,因此,需要更高性能的硬件加以保障。总的来说,ipv6极大地改善了网络安全现状。
ipv6安全网络的架构
ipv6网络的安全性主要通过3个层面实现:协议安全、网络安全和安全加密的硬件。下面以中兴通讯公司的ipv6路由器zxr10系列为例,介绍如何在这3个层面实现ipv6网络的安全性。
协议安全
ipv6的ah(authenticationheader)和esp(encapsulatingsecurity payload)中的扩展头结合多样的加密算法可以在协议层面提供安全保证。如图1所示的实际组网方案,对路由协议报文采用了esp加密封装,对于 ipv6的邻居发现、无状态地址配置等协议报文采用ah认证来保证协议交互的安全性。在ah认证方面,可以采用hmac_md5_96、 hmac_sha_1_96等认证加密算法;在esp封装方面,经常采用的算法有3种:des_cbc、3des_cbc及null 。
鉴于目前的网络环境,在实现上,默认手工提供密钥配置管理的方式。但为适应将来大规模安全网络组建要求,还要同时预留ike(internet密钥交换)协议接口。图1的路由器系统缺省对ipv6的pmtu(路径最大传输单元)、无状态地址自动配置以及邻居发现协议中的消息进行ah头认证。可配置使用 esp封装或者ah认证来保证路由协议报文的安全。
在传输模式下,路由器对于报文的加密和认证可以有基于协议、源端口和源地址、目的端口和目的地址等多种模式。用户可以通过管理模块灵活地进行配置。