安全邻居发现
此条目翻译自其他语言维基百科,需要相关领域的编者协助校对翻译。 |
安全邻居发现(英语:Secure Neighbor Discovery,缩写SEND)协议是IPv6中邻居发现协议(NDP)的一个安全扩展,在 RFC 3971 中定义,在 RFC 6494 中被更新。
邻居发现协议在IPv6中负责在本地链路上发现其他网络节点,从而确定其他节点的链路层地址,以及查找可用的路由器和维护至其他活动邻居节点路径的可达性资讯( RFC 4861 )。NDP设计并非安全[1],易受恶意干扰。SEND的目的是提供一种备用机制,使用独立的IPsec(保护IPv6通信的原生和固有方法)以加密方法保护NDP。
SEND为NDP中使用的ICMPv6数据包类型使用密码学生成地址(CGA)和其他新NDP选项。
SEND被 RFC 6494 更新为使用资源公钥基础设施(RPKI), RFC 6495 定义SEND证书配置使用一个修改后的 RFC 6487 RPKI证书配置,其中必须包含一个 RFC 3779 IP地址委托扩展。
由于CGA目前使用SHA-1散列算法和PKIX证书,并且不提供对替代散列算法的支持,因此 RFC 6273 中表示SEND使用的散列函数存在被攻击风险。
实现
- Cisco IOS 12.4(24)T and newer (页面存档备份,存于互联网档案馆)
- Docomo USL SEND fork[永久失效链接]
- Easy-SEND (页面存档备份,存于互联网档案馆)
- ipv6-send-cga(页面存档备份,存于互联网档案馆)、华为和北京邮电大学
- NDprotector、南巴黎电信学校
- Native SeND kernel API(页面存档备份,存于互联网档案馆)
- TrustRouter
- USL SEND(已终止),NTT DoCoMo
- WinSEND (页面存档备份,存于互联网档案馆)
参见
参考资料
- RFC 3971, "SEcure Neighbor Discovery (SEND)", J.Arkko (Ed.), et al., March 2005
- RFC 4861, "Neighbor Discovery for IP version 6 (IPv6)", T.Narten, et al., September 2007
- RFC 6494, "Certificate Profile and Certificate Management for SEcure Neighbor Discovery (SEND)", R. Gagliano, et al., February 2012
- ^ Holding IPv6 Neighbor Discovery to a Higher Standard of Security (页面存档备份,存于互联网档案馆), community.infoblox.com, 2.10.2015