IPv6首先解決了IP地址數量短缺的問題，其次，對于中諸多不完善之處進行了較大更改。其中最為顯著的就是將IPSec（IPSecurity）集成到協議內部，從此IPSec將不單獨存在，而是作為固有的一部分貫穿于IPv6的各個部分。

IPv6的安全機制

IPv6的安全機制主要表現在以下幾個方面：（1）將原先獨立于IPv4協議族之外的報頭認證和安全信息封裝作為IPv6的擴展頭置于IPv6基本協議之中，為IPv6網絡實現全網安全認證和加密封裝提供了協議上的保證。（2）地址解析放在ICMP （InternetControlMessageProtocol）層中，這使得其與ARP（Address Resolution Protocol）相比，與介質的偶合性更小，而且可以使用標準的IP認證等安全機制。（3）對于協議中的一些可能會給網絡帶來安全隱患的操作，IPv6 協議本身都做了較好的防護。例如：因為一條鏈路上多個接口同時啟動發送鄰居請求消息而帶來的鏈路擁塞隱患，IPv6采用在一定范圍內的隨機延時發送方法來減輕鏈路產生擁塞的可能，這同時也減少了多個節點在同一時間競爭同一個地址的可能。（4）除了IPSec和IPv6本身對安全所做的措施之外，其他的安全防護機制在IPv6上仍然有效。諸如：NAT-PT（Net Address Translate- Protocol Translate）可以提供和IPv4中的NAT相同的防護功能；通過擴展的ACL（Access Control List）在IPv6上可以實現IPv4 ACL所提供的所有安全防護。另外，基于VPLS（Virtual Private LAN Segment）、VPWS（Virtual Private Wire Service）的安全隧道和VPN（Virtual Private Network）等技術，在IPv6上也可以完全實現。

當然IPSec的大規模使用不可避免地會對網絡設備的轉發性能產生影響，因此，需要更高性能的硬件加以保障�？偟膩碚f，IPv6極大地改善了網絡安全現狀。

IPv6安全網絡的架構

IPv6網絡的安全性主要通過3個層面實現：協議安全、網絡安全和安全加密的硬件。下面以中興通訊公司的IPv6路由器ZXR10系列為例，介紹如何在這3個層面實現IPv6網絡的安全性。

協議安全

IPv6的AH（AuthenticationHeader）和ESP（EncapsulatingSecurity Payload）中的擴展頭結合多樣的加密算法可以在協議層面提供安全保證。如圖1所示的實際組網方案，對路由協議報文采用了ESP加密封裝，對于 IPv6的鄰居發現、無狀態地址配置等協議報文采用AH認證來保證協議交互的安全性。在AH認證方面，可以采用hmac_md5_96、 hmac_sha_1_96等認證加密算法；在ESP封裝方面，經常采用的算法有3種：DES_CBC、3DES_CBC及Null 。

鑒于目前的網絡環境，在實現上，默認手工提供密鑰配置管理的方式。但為適應將來大規模安全網絡組建要求，還要同時預留IKE（Internet密鑰交換）協議接口。圖1的路由器系統缺省對IPv6的PMTU（路徑最大傳輸單元）、無狀態地址自動配置以及鄰居發現協議中的消息進行AH頭認證。可配置使用 ESP封裝或者AH認證來保證路由協議報文的安全。

在傳輸模式下，路由器對于報文的加密和認證可以有基于協議、源端口和源地址、目的端口和目的地址等多種模式。用戶可以通過管理模塊靈活地進行配置。

網絡安全

IPSec隧道和傳輸模式的各種組合應用，可以提供網絡各層面的安全保證。諸如：端到端的安全保證、內部網絡的保密、通過安全隧道構建安全的VPN、通過嵌套隧道實現不同級別的網絡安全等等。

端到端的安全保證

如圖2所示，在兩端主機上對報文進行IPSec封裝，中間路由器實現對有IPSec擴展頭的IPv6報文的透傳，從而實現端到端的安全保證。

內部網絡保密

圖3所示的內部主機和互聯網上其他主機進行通信時，通過配置IPSec網關來保證內部網絡的安全。由于IPSec作為IPv6擴展報頭不能被中間路由器而只能被目的節點解析處理，因此，IPSec網關可以通過IPSec隧道的方式實現，或者通過IPv6擴展頭中提供的路由頭和逐跳選項頭并結合應用層網關技術來實現。其中后者實現方式更加靈活，有利于提供完善的內部網絡安全，但是比較復雜。