安全鄰居發現
此條目翻譯自其他語言維基百科,需要相關領域的編者協助校對翻譯。 |
安全鄰居發現(英語:Secure Neighbor Discovery,縮寫SEND)協議是IPv6中鄰居發現協議(NDP)的一個安全擴展,在 RFC 3971 中定義,在 RFC 6494 中被更新。
鄰居發現協議在IPv6中負責在本地鏈路上發現其他網絡節點,從而確定其他節點的鏈路層地址,以及查找可用的路由器和維護至其他活動鄰居節點路徑的可達性信息( RFC 4861 )。NDP設計並非安全[1],易受惡意干擾。SEND的目的是提供一種備用機制,使用獨立的IPsec(保護IPv6通信的原生和固有方法)以加密方法保護NDP。
SEND為NDP中使用的ICMPv6封包類型使用密碼學生成地址(CGA)和其他新NDP選項。
SEND被 RFC 6494 更新為使用資源公鑰基礎設施(RPKI), RFC 6495 定義SEND證書配置使用一個修改後的 RFC 6487 RPKI證書配置,其中必須包含一個 RFC 3779 IP地址委託擴展。
由於CGA目前使用SHA-1散列算法和PKIX證書,並且不提供對替代散列算法的支持,因此 RFC 6273 中表示SEND使用的散列函數存在被攻擊風險。
實現
- Cisco IOS 12.4(24)T and newer (頁面存檔備份,存於網際網路檔案館)
- Docomo USL SEND fork[永久失效連結]
- Easy-SEND (頁面存檔備份,存於網際網路檔案館)
- ipv6-send-cga(頁面存檔備份,存於網際網路檔案館)、華為和北京郵電大學
- NDprotector、南巴黎電信學校
- Native SeND kernel API(頁面存檔備份,存於網際網路檔案館)
- TrustRouter
- USL SEND(已終止),NTT DoCoMo
- WinSEND (頁面存檔備份,存於網際網路檔案館)
參見
參考資料
- RFC 3971, "SEcure Neighbor Discovery (SEND)", J.Arkko (Ed.), et al., March 2005
- RFC 4861, "Neighbor Discovery for IP version 6 (IPv6)", T.Narten, et al., September 2007
- RFC 6494, "Certificate Profile and Certificate Management for SEcure Neighbor Discovery (SEND)", R. Gagliano, et al., February 2012
- ^ Holding IPv6 Neighbor Discovery to a Higher Standard of Security (頁面存檔備份,存於網際網路檔案館), community.infoblox.com, 2.10.2015