IPv6安全网络的架构(图)_1

　　ipv6首先解决了ip地址数量短缺的问题，其次，对于ipv4协议中诸多不完善之处进行了较大更改。其中最为显著的就是将ipsec（ipsecurity）集成到协议内部，从此ipsec将不单独存在，而是作为ipv6协议固有的一部分贯穿于ipv6的各个部分。

    ipv6的安全机制

    ipv6的安全机制主要表现在以下几个方面：（1）将原先独立于ipv4协议族之外的报头认证和安全信息封装作为ipv6的扩展头置于ipv6基本协议之中，为ipv6网络实现全网安全认证和加密封装提供了协议上的保证。（2）地址解析放在icmp （internetcontrolmessageprotocol）层中，这使得其与arp（address resolution protocol）相比，与介质的偶合性更小，而且可以使用标准的ip认证等安全机制。（3）对于协议中的一些可能会给网络带来安全隐患的操作，ipv6 协议本身都做了较好的防护。例如：因为一条链路上多个接口同时启动发送邻居请求消息而带来的链路拥塞隐患，ipv6采用在一定范围内的随机延时发送方法来减轻链路产生拥塞的可能，这同时也减少了多个节点在同一时间竞争同一个地址的可能。（4）除了ipsec和ipv6本身对安全所做的措施之外，其他的安全防护机制在ipv6上仍然有效。诸如：nat-pt（net address translate- protocol translate）可以提供和ipv4中的nat相同的防护功能；通过扩展的acl（access control list）在ipv6上可以实现ipv4 acl所提供的所有安全防护。另外，基于vpls（virtual private lan segment）、vpws（virtual private wire service）的安全隧道和vpn（virtual private network）等技术，在ipv6上也可以完全实现。

    当然ipsec的大规模使用不可避免地会对网络设备的转发性能产生影响，因此，需要更高性能的硬件加以保障。总的来说，ipv6极大地改善了网络安全现状。

    ipv6安全网络的架构

    ipv6网络的安全性主要通过3个层面实现：协议安全、网络安全和安全加密的硬件。下面以中兴通讯公司的ipv6路由器zxr10系列为例，介绍如何在这3个层面实现ipv6网络的安全性。

    协议安全

    ipv6的ah（authenticationheader）和esp（encapsulatingsecurity payload）中的扩展头结合多样的加密算法可以在协议层面提供安全保证。如图1所示的实际组网方案，对路由协议报文采用了esp加密封装，对于 ipv6的邻居发现、无状态地址配置等协议报文采用ah认证来保证协议交互的安全性。在ah认证方面，可以采用hmac_md5_96、 hmac_sha_1_96等认证加密算法；在esp封装方面，经常采用的算法有3种：des_cbc、3des_cbc及null 。