IPv6首先解決了IP地址數(shù)量短缺的問題，其次，對于中諸多不完善之處進行了較大更改。其中最為顯著的就是將IPSec（IPSecurity）集成到協(xié)議內(nèi)部，從此IPSec將不單獨存在，而是作為固有的一部分貫穿于IPv6的各個部分。

IPv6的安全機制

IPv6的安全機制主要表現(xiàn)在以下幾個方面：（1）將原先獨立于IPv4協(xié)議族之外的報頭認證和安全信息封裝作為IPv6的擴展頭置于IPv6基本協(xié)議之中，為IPv6網(wǎng)絡實現(xiàn)全網(wǎng)安全認證和加密封裝提供了協(xié)議上的保證。（2）地址解析放在ICMP （InternetControlMessageProtocol）層中，這使得其與ARP（Address Resolution Protocol）相比，與介質(zhì)的偶合性更小，而且可以使用標準的IP認證等安全機制。（3）對于協(xié)議中的一些可能會給網(wǎng)絡帶來安全隱患的操作，IPv6 協(xié)議本身都做了較好的防護。例如：因為一條鏈路上多個接口同時啟動發(fā)送鄰居請求消息而帶來的鏈路擁塞隱患，IPv6采用在一定范圍內(nèi)的隨機延時發(fā)送方法來減輕鏈路產(chǎn)生擁塞的可能，這同時也減少了多個節(jié)點在同一時間競爭同一個地址的可能。（4）除了IPSec和IPv6本身對安全所做的措施之外，其他的安全防護機制在IPv6上仍然有效。諸如：NAT-PT（Net Address Translate- Protocol Translate）可以提供和IPv4中的NAT相同的防護功能；通過擴展的ACL（Access Control List）在IPv6上可以實現(xiàn)IPv4 ACL所提供的所有安全防護。另外，基于VPLS（Virtual Private LAN Segment）、VPWS（Virtual Private Wire Service）的安全隧道和VPN（Virtual Private Network）等技術(shù)，在IPv6上也可以完全實現(xiàn)。

當然IPSec的大規(guī)模使用不可避免地會對網(wǎng)絡設備的轉(zhuǎn)發(fā)性能產(chǎn)生影響，因此，需要更高性能的硬件加以保障�？偟膩碚f，IPv6極大地改善了網(wǎng)絡安全現(xiàn)狀。

IPv6安全網(wǎng)絡的架構(gòu)

IPv6網(wǎng)絡的安全性主要通過3個層面實現(xiàn)：協(xié)議安全、網(wǎng)絡安全和安全加密的硬件。下面以中興通訊公司的IPv6路由器ZXR10系列為例，介紹如何在這3個層面實現(xiàn)IPv6網(wǎng)絡的安全性。

協(xié)議安全

IPv6的AH（AuthenticationHeader）和ESP（EncapsulatingSecurity Payload）中的擴展頭結(jié)合多樣的加密算法可以在協(xié)議層面提供安全保證。如圖1所示的實際組網(wǎng)方案，對路由協(xié)議報文采用了ESP加密封裝，對于 IPv6的鄰居發(fā)現(xiàn)、無狀態(tài)地址配置等協(xié)議報文采用AH認證來保證協(xié)議交互的安全性。在AH認證方面，可以采用hmac_md5_96、 hmac_sha_1_96等認證加密算法；在ESP封裝方面，經(jīng)常采用的算法有3種：DES_CBC、3DES_CBC及Null 。

鑒于目前的網(wǎng)絡環(huán)境，在實現(xiàn)上，默認手工提供密鑰配置管理的方式。但為適應將來大規(guī)模安全網(wǎng)絡組建要求，還要同時預留IKE（Internet密鑰交換）協(xié)議接口。圖1的路由器系統(tǒng)缺省對IPv6的PMTU（路徑最大傳輸單元）、無狀態(tài)地址自動配置以及鄰居發(fā)現(xiàn)協(xié)議中的消息進行AH頭認證�？膳渲檬褂� ESP封裝或者AH認證來保證路由協(xié)議報文的安全。

在傳輸模式下，路由器對于報文的加密和認證可以有基于協(xié)議、源端口和源地址、目的端口和目的地址等多種模式。用戶可以通過管理模塊靈活地進行配置。

網(wǎng)絡安全

IPSec隧道和傳輸模式的各種組合應用，可以提供網(wǎng)絡各層面的安全保證。諸如：端到端的安全保證、內(nèi)部網(wǎng)絡的保密、通過安全隧道構(gòu)建安全的VPN、通過嵌套隧道實現(xiàn)不同級別的網(wǎng)絡安全等等。

端到端的安全保證

如圖2所示，在兩端主機上對報文進行IPSec封裝，中間路由器實現(xiàn)對有IPSec擴展頭的IPv6報文的透傳，從而實現(xiàn)端到端的安全保證。

內(nèi)部網(wǎng)絡保密

圖3所示的內(nèi)部主機和互聯(lián)網(wǎng)上其他主機進行通信時，通過配置IPSec網(wǎng)關(guān)來保證內(nèi)部網(wǎng)絡的安全。由于IPSec作為IPv6擴展報頭不能被中間路由器而只能被目的節(jié)點解析處理，因此，IPSec網(wǎng)關(guān)可以通過IPSec隧道的方式實現(xiàn)，或者通過IPv6擴展頭中提供的路由頭和逐跳選項頭并結(jié)合應用層網(wǎng)關(guān)技術(shù)來實現(xiàn)。其中后者實現(xiàn)方式更加靈活，有利于提供完善的內(nèi)部網(wǎng)絡安全，但是比較復雜。