IPv6安全网络的架构.docxVIP

IPv6安全网络的架构

IPv6首先解决了IP地址数量短缺的问题，其次，对于IPv4协议中诸多不完善之处进行了较大更改。其中最为显著的就是将IPSec（IPSecurity）集成到协议内部，从此IPSec将不单独存在，而是作为IPv6协议固有的一部分贯穿于IPv6的各个部分。

IPv6的安全机制

IPv6的安全机制主要表现在以下几个方面：（1）将原先独立于IPv4协议族之外的报头认证和安全信息封装作为IPv6的扩展头置于IPv6基本协议之中，为IPv6网络实现全网安全认证和加密封装提供了协议上的保证。（2）地址解析放在ICMP（InternetControlMessageProtocol）层中，这使得其与ARP（AddressResolutionProtocol）相比，与介质的偶合性更小，而且可以使用标准的IP认证等安全机制。（3）对于协议中的一些可能会给网络带来安全隐患的操作，IPv6协议本身都做了较好的防护。例如：因为一条链路上多个接口同时启动发送邻居请求消息而带来的链路拥塞隐患，IPv6采用在一定范围内的随机延时发送方法来减轻链路产生拥塞的可能，这同时也减少了多个节点在同一时间竞争同一个地址的可能。（4）除了IPSec和IPv6本身对安全所做的措施之外，其他的安全防护机制在IPv6上仍然有效。诸如：NAT-PT（NetAddressTranslate-ProtocolTranslate）可以提供和IPv4中的NAT相同的防护功能；通过扩展的ACL（AccessControlList）在IPv6上可以实现IPv4ACL所提供的所有安全防护。另外，基于VPLS（VirtualPrivateLANSegment）、VPWS（VirtualPrivateWireService）的安全隧道和VPN（VirtualPrivateNetwork）等技术，在IPv6上也可以完全实现。

当然IPSec的大规模使用不可避免地会对网络设备的转发性能产生影响，因此，需要更高性能的硬件加以保障。总的来说，IPv6极大地改善了网络安全现状。

IPv6安全网络的架构

IPv6网络的安全性主要通过3个层面实现：协议安全、网络安全和安全加密的硬件。下面以中兴通讯公司的IPv6路由器ZXR10系列为例，介绍如何在这3个层面实现IPv6网络的安全性。

协议安全

IPv6的AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）中的扩展头结合多样的加密算法可以在协议层面提供安全保证。如图1所示的实际组网方案，对路由协议报文采用了ESP加密封装，对于IPv6的邻居发现、无状态地址配置等协议报文采用AH认证来保证协议交互的安全性。在AH认证方面，可以采用hmac_md5_96、hmac_sha_1_96等认证加密算法；在ESP封装方面，经常采用的算法有3种：DES_CBC、3DES_CBC及Null。

鉴于目前的网络环境，在实现上，默认手工提供密钥配置管理的方式。但为适应将来大规模安全网络组建要求，还要同时预留IKE（Internet密钥交换）协议接口。图1的路由器系统缺省对IPv6的PMTU（路径最大传输单元）、无状态地址自动配置以及邻居发现协议中的消息进行AH头认证。可配置使用ESP封装或者AH认证来保证路由协议报文的安全。

在传输模式下，路由器对于报文的加密和认证可以有基于协议、源端口和源地址、目的端口和目的地址等多种模式。用户可以通过管理模块灵活地进行配置。

网络安全

IPSec隧道和传输模式的各种组合应用，可以提供网络各层面的安全保证。诸如：端到端的安全保证、内部网络的保密、通过安全隧道构建安全的VPN、通过嵌套隧道实现不同级别的网络安全等等。

端到端的安全保证

如图2所示，在两端主机上对报文进行IPSec封装，中间路由器实现对有IPSec扩展头的IPv6报文的透传，从而实现端到端的安全保证。

内部网络保密

图3所示的内部主机和互联网上其他主机进行通信时，通过配置IPSec网关来保证内部网络的安全。由于IPSec作为IPv6扩展报头不能被中间路由器而只能被目的节点解析处理，因此，IPSec网关可以通过IPSec隧道的方式实现，或者通过IPv6扩展头中提供的路由头和逐跳选项头并结合应用层网关技术来实现。其中后者实现方式更加灵活，有利于提供完善的内部网络安全，但是比较复杂。

IPSec安全隧道实现VPN

如图4所示，在路由器之间建立IPSec安全隧道，构成安全的VPN，是最常用的安全网络组建方式。作为IPSec网关的路由器实际上就是IPSe