IPv6首先解決了IP地址數(shù)量短缺的問題，其次，對(duì)于中諸多不完善之處進(jìn)行了較大更改。其中最為顯著的就是將IPSec（IPSecurity）集成到協(xié)議內(nèi)部，從此IPSec將不單獨(dú)存在，而是作為固有的一部分貫穿于IPv6的各個(gè)部分。

IPv6的安全機(jī)制

IPv6的安全機(jī)制主要表現(xiàn)在以下幾個(gè)方面：（1）將原先獨(dú)立于IPv4協(xié)議族之外的報(bào)頭認(rèn)證和安全信息封裝作為IPv6的擴(kuò)展頭置于IPv6基本協(xié)議之中，為IPv6網(wǎng)絡(luò)實(shí)現(xiàn)全網(wǎng)安全認(rèn)證和加密封裝提供了協(xié)議上的保證。（2）地址解析放在ICMP （InternetControlMessageProtocol）層中，這使得其與ARP（Address Resolution Protocol）相比，與介質(zhì)的偶合性更小，而且可以使用標(biāo)準(zhǔn)的IP認(rèn)證等安全機(jī)制。（3）對(duì)于協(xié)議中的一些可能會(huì)給網(wǎng)絡(luò)帶來安全隱患的操作，IPv6 協(xié)議本身都做了較好的防護(hù)。例如：因?yàn)橐粭l鏈路上多個(gè)接口同時(shí)啟動(dòng)發(fā)送鄰居請(qǐng)求消息而帶來的鏈路擁塞隱患，IPv6采用在一定范圍內(nèi)的隨機(jī)延時(shí)發(fā)送方法來減輕鏈路產(chǎn)生擁塞的可能，這同時(shí)也減少了多個(gè)節(jié)點(diǎn)在同一時(shí)間競(jìng)爭(zhēng)同一個(gè)地址的可能。（4）除了IPSec和IPv6本身對(duì)安全所做的措施之外，其他的安全防護(hù)機(jī)制在IPv6上仍然有效。諸如：NAT-PT（Net Address Translate- Protocol Translate）可以提供和IPv4中的NAT相同的防護(hù)功能；通過擴(kuò)展的ACL（Access Control List）在IPv6上可以實(shí)現(xiàn)IPv4 ACL所提供的所有安全防護(hù)。另外，基于VPLS（Virtual Private LAN Segment）、VPWS（Virtual Private Wire Service）的安全隧道和VPN（Virtual Private Network）等技術(shù)，在IPv6上也可以完全實(shí)現(xiàn)。

當(dāng)然IPSec的大規(guī)模使用不可避免地會(huì)對(duì)網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能產(chǎn)生影響，因此，需要更高性能的硬件加以保障�？偟膩碚f，IPv6極大地改善了網(wǎng)絡(luò)安全現(xiàn)狀。

IPv6安全網(wǎng)絡(luò)的架構(gòu)

IPv6網(wǎng)絡(luò)的安全性主要通過3個(gè)層面實(shí)現(xiàn)：協(xié)議安全、網(wǎng)絡(luò)安全和安全加密的硬件。下面以中興通訊公司的IPv6路由器ZXR10系列為例，介紹如何在這3個(gè)層面實(shí)現(xiàn)IPv6網(wǎng)絡(luò)的安全性。

協(xié)議安全

IPv6的AH（AuthenticationHeader）和ESP（EncapsulatingSecurity Payload）中的擴(kuò)展頭結(jié)合多樣的加密算法可以在協(xié)議層面提供安全保證。如圖1所示的實(shí)際組網(wǎng)方案，對(duì)路由協(xié)議報(bào)文采用了ESP加密封裝，對(duì)于 IPv6的鄰居發(fā)現(xiàn)、無狀態(tài)地址配置等協(xié)議報(bào)文采用AH認(rèn)證來保證協(xié)議交互的安全性。在AH認(rèn)證方面，可以采用hmac_md5_96、 hmac_sha_1_96等認(rèn)證加密算法；在ESP封裝方面，經(jīng)常采用的算法有3種：DES_CBC、3DES_CBC及Null 。

鑒于目前的網(wǎng)絡(luò)環(huán)境，在實(shí)現(xiàn)上，默認(rèn)手工提供密鑰配置管理的方式。但為適應(yīng)將來大規(guī)模安全網(wǎng)絡(luò)組建要求，還要同時(shí)預(yù)留IKE（Internet密鑰交換）協(xié)議接口。圖1的路由器系統(tǒng)缺省對(duì)IPv6的PMTU（路徑最大傳輸單元）、無狀態(tài)地址自動(dòng)配置以及鄰居發(fā)現(xiàn)協(xié)議中的消息進(jìn)行AH頭認(rèn)證�？膳渲檬褂� ESP封裝或者AH認(rèn)證來保證路由協(xié)議報(bào)文的安全。

在傳輸模式下，路由器對(duì)于報(bào)文的加密和認(rèn)證可以有基于協(xié)議、源端口和源地址、目的端口和目的地址等多種模式。用戶可以通過管理模塊靈活地進(jìn)行配置。

網(wǎng)絡(luò)安全

IPSec隧道和傳輸模式的各種組合應(yīng)用，可以提供網(wǎng)絡(luò)各層面的安全保證。諸如：端到端的安全保證、內(nèi)部網(wǎng)絡(luò)的保密、通過安全隧道構(gòu)建安全的VPN、通過嵌套隧道實(shí)現(xiàn)不同級(jí)別的網(wǎng)絡(luò)安全等等。

端到端的安全保證

如圖2所示，在兩端主機(jī)上對(duì)報(bào)文進(jìn)行IPSec封裝，中間路由器實(shí)現(xiàn)對(duì)有IPSec擴(kuò)展頭的IPv6報(bào)文的透?jìng)鳎瑥亩鴮?shí)現(xiàn)端到端的安全保證。

內(nèi)部網(wǎng)絡(luò)保密

圖3所示的內(nèi)部主機(jī)和互聯(lián)網(wǎng)上其他主機(jī)進(jìn)行通信時(shí)，通過配置IPSec網(wǎng)關(guān)來保證內(nèi)部網(wǎng)絡(luò)的安全。由于IPSec作為IPv6擴(kuò)展報(bào)頭不能被中間路由器而只能被目的節(jié)點(diǎn)解析處理，因此，IPSec網(wǎng)關(guān)可以通過IPSec隧道的方式實(shí)現(xiàn)，或者通過IPv6擴(kuò)展頭中提供的路由頭和逐跳選項(xiàng)頭并結(jié)合應(yīng)用層網(wǎng)關(guān)技術(shù)來實(shí)現(xiàn)。其中后者實(shí)現(xiàn)方式更加靈活，有利于提供完善的內(nèi)部網(wǎng)絡(luò)安全，但是比較復(fù)雜。