所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 安全加固 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
IPv6安全邻居发现

IPv6安全邻居发现

IPv6安全邻居发现功能SEND(SEcure Neighbor Discovery)特性用来解决在邻居发现协议NDP(Neighbor Discovery Protocol)中涉及的安全问题。

在IPv6的协议族中,ND(Neighbor Discovery)用来保证本链路内邻居的可达性,具有举足轻重的地位。随着网络安全问题的日益突出,为应对这些威胁,RFC3971 SEND(Secure Neighbor Discovery)对ND协议进行了扩展。SEND定义了CGA地址和CGA选项、RSA选项,用来验证ND消息的发送者对消息源地址的合法拥有权。SEND还定义了Timestamp和Nonce选项用来防止重放攻击。

  • CGA地址(Cryptographically Generated Address):IPv6地址的接口ID部分由公钥和附加参数,使用单向hash函数计算生成。

  • CGA选项:包含接收方在验证发送方的CGA地址时需要的一些信息,包括发送方的公钥等。用来验证ND报文的发送者是其IPv6源地址的合法拥有者。

  • RSA签名选项(Rivest Shamir Adleman):包含发送方公钥的hash值,以及根据发送方私钥和ND报文,使用算法生成的数字签名。用来验证ND报文的完整性和发送者的真实性。

    说明:

    当攻击者声称其为某地址的拥有者时(实际上此地址属于某合法节点),它必须使用合法节点的公钥进行加密,否则接收者可以通过CGA选项的校验发现其攻击行为,即使攻击者获取到了合法节点的公钥,但接收者通过对数字签名的校验,可以发现其攻击行为,因为攻击者也许并不知道消息发送者用来制作数字签名的私钥。

  • 时间戳选项(Timestamp):包含一个时间戳的64位无符号整数,表示从1970年1月1号零时(UTC)以来的秒数。用来保护非请求的通告报文和重定向报文不会被重放。接收者应确保每个收到的报文其时间戳都比上一个收到的报文要新。

  • 随机数选项(Nonce):包含了由请求消息的发送者所生成的一个随机数。用来在请求和回应交互中防止重放攻击,比如在NS和NA报文的交互中,NS报文中携带Nonce选项,回应的NA报文中也携带此选项,发送者根据收到的选项判断是否为合法的回应报文。

目前支持在以下接口配置IPv6安全邻居发现功能:
  • Ethernet接口及子接口
  • GigabitEthernet接口及子接口
  • Eth-Trunk接口及子接口
  • VE接口及子接口
  • VLANIF接口
  • VBDIF接口
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028554

浏览量:4022

下载量:121

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页