与IPv4相比,IPv6具有许多优势。首先,IPv6解决了IP地址数量短缺的问题;其次,IPv6对IPv4协议中诸多不完善之处进行了较大的改进。其中最为显著的就是将IPSec集成到协议内部,从此IPSec将不再单独存在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个领域。当然,IPSec的大规模使用将不可避免地对网络设备的转发性能产生影响,这就需要更高的硬件性能保障。本文主要介绍IPv6网络的安全性、安全机制。
1. 协议安全
在协议安全层面上,IPv6全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展头。AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法,ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。
2. 网络安全
① 端到端的安全保证。在两端主机上对报文进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6报文进行透传,从而实现端到端的安全。
② 对内部网络的保密。当内部主机与因特网上其他主机进行通信时,为了保证内部网络的安全,可以通过配置的IPSec网关实现。因为IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的节点解析处理,因此IPSec网关可以通过IPSec隧道的方式实现,也可以通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术来实现。后者的实现方式更加灵活,有利于提供完善的内部网络安全,但是比较复杂。
③ 通过安全隧道构建安全的VPN。此处的VPN是通过IPv6的IPSec隧道实现的。在路由器之间建立IPSec的安全隧道,构成安全的VPPN是最常用的安全网络组建方式。IPSec网关的路由器实际上就是IPSec隧道的终点和起点,为了满足转发性能的要求,该路由器需要专用的加密板卡。
您当前的位置:
减小字体
增大字体