IPV6技术概述

Ipv6中的安全协议
　
　　安全问题始终是与Internet相关的一个重要话题。由于在I P协议设计之初没有考虑安全性，因而在早期的Internet上时常发生诸如企业或机构网络遭到攻击、机密数据被窃取等不幸的事情。为了加强Internet的安全性，从1995年开始，IETF着手研究制定了一套用于保护IP通信的IP安全（IPSecurity，IPSec）协议。IPSec是IPv6的一个组成部分，也是IPv4的一个可选扩展协议。

　　IPSec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被他人截获而失密。IPSec的认证包头
（Authentication Header，AH）协议定义了认证的应用方法，封装安全负载（Encapsulating Security Payload，E SP）协议定义了加密和可选认证的应用方法。在实际进行IP通信时，可以根据安全需求同时使用这两种协议或选择使用其中的一种.AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于ESP。

　　在一个特定的IP通信中使用AH或ESP时，协议将与一组安全信息和服务发生关联，称为安全关联（Security Association， SA）。SA可以包含认证算法、加密算法、用于认证和加密的密钥。 IPSec使用一种密钥分配和交换协议如Internet安全关联和密钥管理协议（Internet Security Association andKey Manageme nt Protocol，ISAKMP）来创建和维护SA。SA是一个单向的逻辑连接，也就是说，两个主机之间的认证通信将使用两个SA，分别用于通信的发送方和接收方。

　　IPSec定义了两种类型的SA：传输模式SA和隧道模式SA。传输模式SA是在IP包头（以及任何可选的扩展包头）之后和任何高层协议（如TCP或UDP）包头之前插入AH或ESP包头，隧道模式SA 是将整个原始的IP数据报放入一个新的IP数据报中。在采用隧道模式SA时，每一个IP数据报都有两个IP包头：外部IP包头和内部 IP包头。外部IP包头指定将对IP数据报进行IPSec处理的目的地址，内部IP包头指定原始IP数据报最终的目的地址。传输模式S A只能用于两个主机之间的IP通信，而隧道模式SA既可以用于两个主机之间的IP通信，还可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。安全网关可以是路由器、防火墙或VPN设备。

　　做为IPv6的一个组成部分，IPSec是一个网络层协议。它只负责其下层的网络安全,并不负责其上层应用的安全，如Web、电子邮件和文件传输等。也就是说，验证一个Web会话，依然需要使用SSL协议。不过，TCP/IPv6协议簇中的协议可以从IPSec中受益，例如，用于IPv6的OSPF路由协议就去掉了用于IPv4的OSP F中的认证机制。

Ipv4向Ipv6的过渡

　　尽管IPv6比IPv4具有明显的先进性，但是IETF认识到，要想在短时间内将Internet和各个企业网络中的所有系统全部从IPv 4升级到IPv6是不可能的，换言之，IPv6与IPv4系统在Internet 中长期共存是不可避免的现实。为此，做为IPv6研究工作的一个部分，IETF制定了推动IPv4向IPv6过渡的方案，其中包括三个机制：兼容IPv4的IPv6地址、双IP协议栈和基于IPv4隧道的IPv6。

　　兼容IPv4的IPv6地址是一种特殊的IPv6单点广播地址，一个 IPv6节点与一个IPv4节点可以使用这种地址在IPv4网络中通信。这种地址是由96个0位加上32位IPv4地址组成的，例如，假设某节点的IPv4地址是192.56.1.1，那么兼容IPv4的IPv6地址就是0:0:0:0:0:0:C038:101。

　　双IP协议栈是在一个系统（如一个主机或一个路由器）中同时使用IPv4和IPv6两个协议栈。这类系统既拥有IPv4地址，也拥有IPv6地址，因而可以收发IPv4和IPv6两种IP数据报。

　　与双IP协议栈相比，基于IPv4隧道的IPv6是一种更为复杂的技术，它是将整个IPv6 数据报封装在IPv4数据报中，由此实现在当前的IPv4网络（如Internet）中IPv6节点与IPv4节点之间的I P通信。基于IPv4隧道的IPv6实现过程分为三个步骤：封装、解封和隧道管理。封装，是指由隧道起始点创建一个IPv4包头，将 IPv6数据报装入一个新的IPv4数据报中。解封，是指由隧道终结点移去IPv4包头，还原原始的IPv6数据报。隧道管理,是指由隧道起始点维护隧道的配置信息，如隧道支持的最大传输单元（M TU）的尺寸等。

　　IPv4隧道有四种方案：路由器对路由器、主机对路由器、主机对主机、路由器对主机。如图所示的使用IPv4路由基础设施传递IPv6数据报的网络中，可以根据两个主机之间特定的通信选用相应的隧道方案。例如：当主机2向主机4发送一个IPv6数据报时，路由器A将把该IPv6数据报封装在一个目的地址为路由器B的IPv 4数据报中。当路由器B收到该IPv4数据报后，就将它解封，取出其中的IPv6数据报并将其发往主机4。在这个隧道中，隧道 终结点（路由器B）不是数据报的最终目的地址（主机4）。当隧道起始点（路由器A）建立隧道时，必须确定隧道终结点并从配置信息中找到隧道终结点的地址，因此这种类型的隧道被称为配置隧道（configured tunneling）。当主机7向主机1发送一个IPv6数据报时，主机7在它与路由器A之间建立一个主机对路由器隧道。因为路由器A不是该数据报的最终目的地址，所以这种主机对路由器隧道也是配置隧道。

　　当进行通信的两个主机都有兼容IPv4的IPv6地址时，数据发送方主机将建立一个主机对主机隧道。隧道起始点（数据发送方主机）确定数据接收方主机就是隧道终结点，并自动从其兼容I Pv4的IPv6地址中抽取后32个地址位以确定隧道终结点的IPv4地址，这种类型的隧道被称为自动隧道（automated tunneling）。例如，当图中的主机5向主机7发送 数据时，将使用从主机5到主机7的自动隧道。自动隧道也可以应用于路由器对主机的隧道方案，例如，当主机4向主机5发送数据时，主机4 将使用从路由器 B到主机5的自动隧道。

　　双IP协议栈和基于IPv4的IPv6网络使IPv4网络能够以可控的速度向IPv6迁移。在开始向IPv6过渡之前，首先必须设置一个同时支持IPv4和IPv6的新的DNS服务器。在该DNS服务器中，IPv6主机名称与地址的映射可以使用新的AAAA资源记录类型来建立，I Pv4主机名称与地址的映射仍然使用A资源记录类型来建立。