IPv6安全網絡的架構07電信李永昌(20071736)一、 ipv6的安全機制ipv6的安全機制主要表現在以下幾個方面：(1)將原先獨立于ipv4協(xié)議族之外的報頭認證和安全信息封裝作為ipv6的擴展頭置于ipv6基本協(xié)議之中，為ipv6網絡實現全網安全認證和加密封裝提供了協(xié)議上的保證。(2)地址解析放在icmp(internetcontrolmessageprotocol)層中，這使得其與arp(addressresolutionprotocol)相比，與介質的偶合性更小，而且可以使用標準的ip認證等安全機制。(3)對于協(xié)議中的一些可能會給網絡帶來安全隱患的操作，ipv6協(xié)議本身都做了較好的防護。例如：因為一條鏈路上多個接口同時啟動發(fā)送鄰居請求消息而帶來的鏈路擁塞隱患，ipv6采用在一定范圍內的隨機延時發(fā)送方法來減輕鏈路產生擁塞的可能，這同時也減少了多個節(jié)點在同一時間競爭同一個地址的可能。(4)除了ipsec和ipv6本身對安全所做的措施之外，其他的安全防護機制在ipv6上仍然有效。諸如：nat-pt(netaddresstranslate-protocoltranslate)可以提供和ipv4中的nat相同的防護功能；通過擴展的acl(accesscontrollist)在ipv6上可以實現ipv4acl所提供的所有安全防護。另外，基于vpls(virtualprivatelansegment)、vpws(virtualprivatewireservice)的安全隧道和vpn(virtualprivatenetwork)等技術，在ipv6上也可以完全實現。當然ipsec的大規(guī)模使用不可避免地會對網絡設備的轉發(fā)性能產生影響，因此，需要更高性能的硬件加以保障?？偟膩碚f，ipv6極大地改善了網絡安全現狀。二、 ipv6安全網絡的架構ipv6網絡的安全性主要通過3個層面實現：協(xié)議安全、網絡安全和安全加密的硬件。下面以中興通訊公司的ipv6路由器zxr10系列為例，介紹如何在這3個層面實現ipv6網絡的安全性。三、協(xié)議安全

ipv6的ah(authenticationheader)和esp(encapsulatingsecuritypayload)中的擴展頭結合多樣的加密算法可以在協(xié)議層面提供安全保證。如圖1所示的實際組網方案，對路由協(xié)議報文采用了esp加密封裝，對于ipv6的鄰居發(fā)現、無狀態(tài)地址配置等協(xié)議報文采用ah認證來保證協(xié)議交互的安全性。在ah認證方面，可以采用hmac_md5_96、hmac_sha_1_96等認證加密算法；在esp封裝方面，經常采用的算法有3種：des_cbc、3des_cbc及nullo鑒于目前的網絡環(huán)境，在實現上，默認手工提供密鑰配置管理的方式。但為適應將來大規(guī)模安全網絡組建要求，還要同時預留ike(internet密鑰交換)協(xié)議接口。圖1的路由器系統(tǒng)缺省對ipv6的pmtu(路徑最大傳輸單元)、無狀態(tài)地址自動配置以及鄰居發(fā)現協(xié)議中的消息進行ah頭認證?？膳渲檬褂胑sp封裝或者ah認證來保證路由協(xié)議報文的安全。狀卻1!山1.LH頭認M河挹內部代IJOSPF.IS-LSASHII狀卻1!山1.LH頭認M河挹內部代IJOSPF.IS-LSASHII巴甜加憎姓坡啊給H喉UGP4-ASBRE3PJ"警;封裝圖1IPv&IPSejC機制協(xié)我安全的奕理在傳輸模式下，路由器對于報文的加密和認證可以有基于協(xié)議、源端口和源地址、目的端口和目的地址等多種模式。用戶可以通過管理模塊靈活地進行配置。四、網絡安全ipsec隧道和傳輸模式的各種組合應用，可以提供網絡各層面的安全保證。諸如：端到端的安全保證、內部網絡的保密、通過安全隧道構建安全的vpn、通過嵌套隧道實現不同級別的網絡安全等等。五、端到端的安全保證如圖2所示，在兩端主機上對報文進行ipsec封裝，中間路由器實現對有ipsec擴展頭的ipv6報文的透傳，從而實現端到端的安全保證。圖2蝶到端的安全保證六、內部網絡保密圖3所示的內部主機和互聯網上其他主機進行通信時，通過配置ipsec網關來保證內部網絡的安全。由于ipsec作為ipv6擴展報頭不能被中間路由器而只能被目的節(jié)點解析處理，因此，ipsec網關可以通過ipsec隧道的方式實現，或者通過ipv6擴展頭中提供的路由頭和逐跳選項頭并結合應用層網關技術來實現。其中后者實現方式更加靈活，有利于提供完善的內部網絡安全，但是比較復雜。

七、ipsec安全隧道實現vpn如圖4所示，在路由器之間建立ipsec安全隧道，構成安全的vpn，是最常用的安全網絡組建方式。作為ipsec網關的路由器實際上就是ipsec隧道的終點和起點。為了滿足轉發(fā)性能的要求，需要專用的加密板卡。如圖5所示，通過隧道嵌套的方式可以獲得多重的安全保護。配置了ipsec的主機hostc通過安全隧道接入到配置了ipsec網關的路由器zxr10t128a。該路由器作為外部隧道的終結點將外部隧道封裝剝除，這時嵌套的內部安全隧道構成了對內部網絡的安全隔離。zxr10garb作為內部隧道的終結點，使得hostc最終接入到部門服務器hostd中。ZXR10II2KAZXHKJLiARBZXR10II2KAZXHKJLiARBIPl：SPIPl：SPSI5陵道跋套提供多地安全保加八、確保高性能轉發(fā)的安全加密硬件大量使用ipsec在提高網絡安全的同時，不可避免地導致路由器轉發(fā)性能和處理性能的劣化。為了消除這些影響，通常使用asic（專用集成電路）實現加密處理，或者通過網絡處理器來實現加密處理和轉發(fā)。以中興通訊的高端路由器為例，對報文的加密和轉發(fā)使用專門的網絡數據加密接口板，該板由安全處理器和cpld（可編程邏輯器件）構成主要處理單元。其中，安全處理器完成所要求的ipsec功能，包括對數據進行加/解密、認證、數字簽名等；支持des（數據加密標準）、3des、aes（先進加密標準）等通用加密算法；支持md5（messagedigestalgorithm5）、sha（securehashalgorithm）等散列算法；支持rsa（rivestshamiradleman）簽名。性能達到ipsec加密速度（以3des+md5/sha1計）不低于200mbit/s，簽名速度不低于60次/s。九、其他安全措施ipsec提供了網絡數據和信息內容的有效性、一致性以及完整性的保證，但是，網絡受到的安全威脅是來自多層面的，包括物理層、數據鏈路層、網絡層、傳輸層和應用層等各個部分。通常，物理層的威脅來自于設備的不可靠性，諸如板卡的損壞、物理接口的電器特性和電磁兼容環(huán)境的劣化等。對這樣的安全隱患，可以通過配置冗余設備、冗余線路、安全供電、保障電磁兼容環(huán)境以及加強安全管理來防護。在物理層以上層面，存在的安全隱患主要有來自于針對各種協(xié)議的安全威脅，以及意在非法占用網絡資源或者耗盡網絡資源的安全隱患，諸如雙802.1q封裝攻擊、廣播包攻擊、mac洪泛、生成樹攻擊等二層攻擊，以及虛假的icmp報文、icmp洪泛、源地址欺騙、路由振蕩等針對三層協(xié)議的攻擊。在應用層，主要有針對http、ftp/tftp、telnet以及通過電子郵件傳播病毒的攻擊。對于這些攻擊，可以采用的防護手段包括：通過aaa、tacacs+、radius等安全訪問控制協(xié)議，控制用戶對網絡的訪問權限，防患針對應用層的攻擊；通過mac地址和ip地址綁定、限制每端口的mac地址使用數量、設立每端口廣播包流量門限、使用基于端口和vlan的acl、建立安全用戶隧道等來防范針對二層的攻擊；通過路由過濾、對路由信息的加密和認證、定向組播控制、提高路由收斂速度以減輕路由振蕩影響等措施，來加強三層網絡的安全性。綜上所述，安全的網絡是眾多安全技術的綜合，而ipv6ipsec機制是其中重要的組成部分，提供了協(xié)議層面上的一致性解決方案，這也是ipv6相比ipv4的重大優(yōu)越性。同時，為了構建安全網絡，還應該采取其他安全措施。（1）結合aaa認證、nat-pt、二/三層mplsvpn、基于acl標準的訪問列表和靜態(tài)擴展訪問列表、防分片包攻擊等來實現安全預防。（2）通過路由過濾、靜態(tài)路由、策略路由和路由負荷分擔來實現安全路由