谈IPv6网络的协议安全和安全机制

　　与IPv4相比，IPv6具有许多优势。首先，IPv6解决了IP地址数量缺乏的问题；其次，IPv6对IPv4协议中诸多不完善之处进行了较大的改良。其中最为明显的就是将IPSec集成到协议内部，从此IPSec将不再单独存在，而是作为IPv6协议固有的一部分贯穿于IPv6的各个领域。当然，IPSec的大规模利用将不可避免地对网络设备的转发性能产生影响，这就需要更高的硬件性能保障。本文重要介绍IPv6网络的安全性、安全机制。

　　1. 协议安全

　　在协议安全层面上，IPv6全面支撑认证头（AH）认证和封装安全有效负荷（ESP）信息安全封装扩大头。AH认证支撑hmac_md5_96、hmac_sha_1_96认证加密算法，ESP封装支撑DES_CBC、3DES_CBC以及Null等三种算法。

　　2. 网络安全

　　①　端到端的安全保证。在两端主机上对报文进行IPSec封装，中间路由器实现对有IPSec扩大头的IPv6报文进行透传，从而实现端到端的安全。

　　②　对内部网络的保密。当内部主机与因特网上其他主机进行通信时，为了保证内部网络的安全，可以通过配置的IPSec网关实现。因为IPSec作为IPv6的扩大报头不能被中间路由器而只能被目标节点解析处理，因此IPSec网关可以通过IPSec隧道的方法实现，也可以通过IPv6扩大头中供给的路由头和逐跳选项头联合利用层网关技术来实现。后者的实现方法更加机动，有利于供给完善的内部网络安全，但是比较复杂。

　　③　通过安全隧道构建安全的VPN。此处的VPN是通过IPv6的IPSec隧道实现的。在路由器之间建立IPSec的安全隧道，构成安全的VPN是最常用的安全网络组建方法。IPSec网关的路由器实际上就是IPSec隧道的终点和起点，为了满足转发性能的恳求，该路由器需要专用的加密板卡。

　　④　通过隧道嵌套实现网络安全。通过隧道嵌套的方法可以获得多重的安全掩护。当配置了IPSec的主机通过安全隧道接入到配置了IPSee网关的路由器，并且该路由器作为外部隧道的终结点将外部隧道封装剥除时，嵌套的内部安全隧道就构成了对内部网络的安全隔离。

　 3. 其他安全保障

　　IPSec为网络数据和信息内容的有效性、一致性以及完整性供给了保证，但是数据网络的安全要挟是多层面的，它们散布在物理层、数据链路层、网络层、传输层和利用层等各个部分。

　　对于物理层的安全隐患，可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。对于物理层以上层面的安全隐患，可以采用以下防护手段：通过诸如AAA、TACACS＋、RADIUS等安全访问把持协议把持用户对网络的访问权限来防止针对利用层的攻击；通过MAC地址和IP地址绑定、限制每端口的MAC地址利用数量、设立每端口广播包流量门限、利用基于端口和VLAN的ACL、建立安全用户隧道等来戒备针对二层网络的攻击；通过进行路由过滤、对路由信息的加密和认证、定向组播把持、进步路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性。路由器和交换机对IPSec的完善支撑保证了网络数据和信息内容的有效性、一致性以及完整性，并且为网络安全供给了诸多解决措施。