IPv6的安全机制对现有网络安全体系的影响

数据是否真的是从其源地址发出的，并对传送数据提供密码验证或完整性测试。AH 的作用如下:(1 )为IP 数据包提供强大的完整*;(2 )为IP 数据包提供强大的身份验证;(3 )如果IPv6 在完整*中使用了公钥数字签名算法，AH 可以为IP 数据包提供无可推卸的服务;(4)通过使用顺序号字段来防止重复攻击。AH 可以在传输模式和隧道模式下使用，这意味着它不仅可用于为两个节点间的直接的数据包传送提供身份验证和保护服务，而且还可用于对发给安全性网关或由安全性网关发出的全部数据包流进行封装。

(2)封装化安全净荷

除了认证报头之外，IPv6 还提供了一个标准的扩展头，即封装化安全净荷(ESP)，用于网络层实现端到端的数据加密，以对付网络窃听。一般而言，ESP 报头提供了几种不同的服务[4]:(1)通过加密提供数据包的机密性;(2)通过使用公共密钥加密对数据来源进行身份验证;(3 )通过由AH 提供的序列号机制提供对抗重放服务;(4)通过使用安全性网关来提供有限的业务流机密性。ESP 使用的缺省密码算法是密码分组链接方式的数据加密标准(DES-CBC)。任何其它的适当算法如各种RSA算法等也可以使用。

3 .3 IPv6 的安全机制对现行网络安全体系的新挑战

尽管IPv6 具有诸多优点，但并不能确保系统的安全运行。原因有很多，最重要是由于网络安全是一个包含着各个层次，各个方面的问题，而不是一个仅仅由安全的网络层就可以解决的问题。即便仅仅从网络层来看，IPv6也不是完美的。毕竟它还保留着很多原来IPv4 中的选项和服务功能，如分片、TTL 等。而黑客曾经用这些选项去攻击IPv4 协议或者逃避检测，所以不能保证IPv6 能够逃避得了类似的攻击。同时，由于IPv6 引进了加密和认证机制，还可能引起新的攻击方式。

4 结 论

综上所述，IPv6 既很好地解决了IP 地址匮乏的问题，也简化了协议报头，并且成功引入了两个新的扩展报头AH 和ESP。它们帮助IPv6 解决了身份认证问题，数据完整性和机密性的问题，使IPv6 真正实现了网络层安全，这相对于IPv4 而言是一大进步。但是，由于IPv6 安全机制尚未成熟，这些安全机制对于当前的网络安全体系造成了巨大的冲击。因此，为了适应新的网络协议和新的发展方向，寻找新的解决网络安全问题的途径变得异常急迫。