IPv6安全网络的架构.docx

IPv6安全网络的架构IPv6首先解决了IP地址数量短缺的问题，其次，对于IPv4协议中诸多不完善之处进行了较大更改。其中最为显著的就是将IPSec（IP Security）集成到协议内部，从此IPSec将不单独存在，而是作为IPv6协议固有的一部分贯穿于IPv6的各个部分。 IPv6的安全机制IPv6的安全机制主要表现在以下几个方面：（1）将原先独立于IPv4协议族之外的报头认证和安全信息封装作为IPv6的扩展头置于IPv6基本协议之中，为IPv6网络实现全网安全认证和加密封装提供了协议上的保证。（2）地址解析放在ICMP（Internet Control Message Protocol）层中，这使得其与ARP（Address Resolution Protocol）相比，与介质的偶合性更小，而且可以使用标准的IP认证等安全机制。（3）对于协议中的一些可能会给网络带来安全隐患的操作，IPv6协议本身都做了较好的防护。例如：因为一条链路上多个接口同时启动发送邻居请求消息而带来的链路拥塞隐患，IPv6采用在一定范围内的随机延时发送方法来减轻链路产生拥塞的可能，这同时也减少了多个节点在同一时间竞争同一个地址的可能。（4）除了IPSec和IPv6本身对安全所做的措施之外，其他的安全防护机制在IPv6上仍然有效。诸如：NAT-PT（Net Address Translate- Protocol Translate）可以提供和IPv4中的NAT相同的防护功能；通过扩展的ACL（Access Control List）在IPv6上可以实现IPv4 ACL所提供的所有安全防护。另外，基于VPLS（Virtual Private LAN Segment）、VPWS（Virtual Private Wire Service）的安全隧道和VPN（Virtual Private Network）等技术，在IPv6上也可以完全实现。当然IPSec的大规模使用不可避免地会对网络设备的转发性能产生影响，因此，需要更高性能的硬件加以保障。总的来说，IPv6极大地改善了网络安全现状。IPv6安全网络的架构IPv6网络的安全性主要通过3个层面实现：协议安全、网络安全和安全加密的硬件。下面以中兴通讯公司的IPv6路由器ZXR10系列为例，介绍如何在这3个层面实现IPv6网络的安全性。协议安全IPv6的AH（Authentication Header） 和ESP（Encapsulating Security Payload）中的扩展头结合多样的加密算法可以在协议层面提供安全保证。如图1所示的实际组网方案，对路由协议报文采用了ESP加密封装，对于IPv6的邻居发现、无状态地址配置等协议报文采用AH认证来保证协议交互的安全性。在AH认证方面，可以采用hmac_md5_96、hmac_sha_1_96等认证加密算法；在ESP封装方面，经常采用的算法有3种：DES_CBC、3DES_CBC及Null 。鉴于目前的网络环境，在实现上，默认手工提供密钥配置管理的方式。但为适应将来大规模安全网络组建要求，还要同时预留IKE（Internet密钥交换）协议接口。图1的路由器系统缺省对IPv6的PMTU（路径最大传输单元）、无状态地址自动配置以及邻居发现协议中的消息进行AH头认证。可配置使用ESP封装或者AH认证来保证路由协议报文的安全。在传输模式下，路由器对于报文的加密和认证可以有基于协议、源端口和源地址、目的端口和目的地址等多种模式。用户可以通过管理模块灵活地进行配置。网络安全IPSec隧道和传输模式的各种组合应用，可以提供网络各层面的安全保证。诸如：端到端的安全保证、内部网络的保密、通过安全隧道构建安全的VPN、通过嵌套隧道实现不同级别的网络安全等等。端到端的安全保证如图2所示，在两端主机上对报文进行IPSec封装，中间路由器实现对有IPSec扩展头的IPv6报文的透传，从而实现端到端的安全保证。内部网络保密图3所示的内部主机和互联网上其他主机进行通信时，通过配置IPSec网关来保证内部网络的安全。由于IPSec作为IPv6扩展报头不能被中间路由器而只能被目的节点解析处理，因此，IPSec网关可以通过IPSec隧道的方式实现，或者通过IPv6扩展头中提供的路由头和逐跳选项头并结合应用层网关技术来实现。其中后者实现方式更加灵活，有利于提供完善的内部网络安全，但是比较复杂。IPSec安全隧道实现VPN如图4所示，在路由器之间建立IPSec安全隧道，构成安全的VPN，是最常用的安全网络组建方式。作为IPSec网关的路由器实际上就是IPSec隧道的终点和起点。为了满足转发性能的要求，需要专用的加密板卡。隧道嵌套提供多重安全保护如图5所示，通过隧道嵌套的方式可以获得多重的安全保护。配置了IPSec的主机Host C通过安全隧道接入到配置了IPSec网关的路由器ZXR10 T128 A。该路由器作为外部隧道的终结点将外部隧道封装剥除，这时嵌套的内部安全隧道构成了对内部网络的安全隔离。ZXR10 GAR B作为内部隧道的终结点，使得Host C最终接入到部门服务器Host D中。确保高性能转发的安全加密硬件大量使用IPSec在提高网络安全的同时，不可避免地导致路由器转发性能和处理性能的劣化。为了消除这些影响，通常使用ASIC（专用集成电路）实现加密处理，或者通过网络处理器来实现加密处理和转发。以中兴通讯的高端路由器为例，对报文的加密和转发使用专门的网络数据加密接口板，该板由安全处理器和CPLD（可编程逻辑器件）构成主要处理单元。其中，安全处理器完成所要求的IPSec功能，包括对数据进行加/解密、认证、数字签名等；支持DES（数据加密标准）、3DES、AES（先进加密标准）等通用加密算法；支持MD5（Message Digest Algorithm 5）、SHA（Secure Hash Algorithm）等散列算法；支持RSA（Rivest Shamir Adleman）签名。性能达到IPSec加密速度（以3DES+MD5/SHA1计）不低于200Mbit/s，签名速度不低于60次/s。其他安全措施IPSec提供了网络数据和信息内容的有效性、一致性以及完整性的保证，但是，网络受到的安全威胁是来自多层面的，包括物理层、数据链路层、网络层、传输层和应用层等各个部分。通常，物理层的威胁来自于设备的不可靠性，诸如板卡的损坏、物理接口的电器特性和电磁兼容环境的劣化等。对这样的安全隐患，可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。在物理层以上层面，存在的安全隐患主要有来自于针对各种协议的安全威胁，以及意在非法占用网络资源或者耗尽网络资源的安全隐患，诸如双802.1Q封装攻击、广播包攻击、MAC洪泛、生成树攻击等二层攻击，以及虚假的ICMP报文、ICMP洪泛、源地址欺骗、路由振荡等针对三层协议的攻击。在应用层，主要有针对HTTP、FTP/TFTP、TELNET以及通过电子邮件传播病毒的攻击。对于这些攻击，可以采用的防护手段包括：通过AAA、TACACS+、RADIUS等安全访问控制协议，控制用户对网络的访问权限，防患针对应用层的攻击；通过MAC地址和IP地址绑定、限制每端口的MAC地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层的攻击；通过路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度以减轻路由振荡影响等措施，来加强三层网络的安全性。综上所述，安全的网络是众多安全技术的综合，而IPv6 IPSec机制是其中重要的组成部分，提供了协议层面上的一致性解决方案，这也是IPv6相比IPv4的重大优越性。同时，为了构建安全网络，还应该采取其他安全措施。（1）结合AAA认证、NAT-PT、二/三层MPLS VPN、基于ACL标准的访问列表和静态扩展访问列表、防分片包攻击等来实现安全预防。（2）通过路由过滤、静态路由、策略路由和路由负荷分担来实现安全路由。（3）通过SSHv2（Secure Shell第2版）、SNMPV3（简单网络管理协议第3版）、EXC，提供进程访问安全、线路访问安全。（4）通过分级管理、定制特权级管理等手段来实现网络的安全管理。（5）通过完善的告警、日志和审计功能实现网络时钟的安全。（6）提供访问列表和关键事件的日志、路由协议事件和错误记录等，供网络管理人员进行故障分析、定位和统计。IPv6的安全体系结构摘要：文章对IPv4协议安全方面的一些缺点进行了分析，讨论了OSI的网络安全体系结构，给出IPv6新的网络安全机制，详细描述了IPSec所提供的网络安全服务与实现原理，并对IPSec的两个安全协议?AH和ESP作了较深入的阐述。关键词：安全体系结构；IP版本6；IP安全标准；AH协议；ESP协议Abstract:Based on the analysis of security deficiency in IPv4 protocol, and the discussion on the traditional network security architecture, the paper introduces a new kind of security architecture adopted by the IPv6 network, and then details the network security services provided by IPSec,and their implementation mechanism. Emphasis is put on two security protocols: AH (Authentication Header) and ESP (Encapsulating Security Payload).Key words:Security architecture; IPv6; IPSec standard; Authentication header protocol; Encapsulating security payload protocol1 引言 目前风靡全球的Internet是建立在TCP/IP协议基础之上的。TCP/IP协议是DARPA(美国国防部高级研究规划局)为了实现异种网之间的互联，于1977年-1979年间推出的一组体系结构和协议规范。其最大的特点是开放性，而这一特点也是基于TCP/IP协议的Internet能够飞速发展的主要原因之一。遵循开放性原则的因特网，其最终理念是要在全世界范围内建立起一个技术共享、信息共享、人人平等、人人互助的虚拟网上社会。但现实社会的实际情况是：不同国家之间、不同企业之间以及不同个人之间存在利益的差别甚至对立，意识形态的多元化，以及在政治、军事、经济上存在激烈的竞争，这些因素都不可避免地要在互联网上体现出来，从而成为互联网上安全问题的根源。随着因特网在全球的迅速发展，电子商务在因特网上也随之展开，对因特网的安全问题也就提出了更高的要求。由于TCP/IP协议发展的初衷是遵循开放性的原则，在网络安全方面并没有作过多的考虑，使得现行TCP/IP协议体系结构本身就存在许多安全隐患1,2：(1)IP地址假冒(IP Spoofing)3,4 一个IP数据包是否来自其真正的源地址，IP协议本身并不提供任何保障。从理论上讲，任意一台主机可以发出含有任意源地址的IP数据包。这样一来，基于IP地址标识的数据包事实上是不可信的，这就使得一些基于IP地址实现的访问控制技术失效；同时这个缺点也使得对网络攻击者的追查与取证变得较为困难，使得攻击者更加肆无忌惮。目前网络上的很多攻击如Syn Flooding，DOS/DDOS，SMURF等攻击都利用了这个缺陷，发起攻击。 (2)源路由攻击 源路由是IP数据包的一个选项，它可使IP数据包沿指定的路径从源地址到达目的地址。这一选项原本是用来测试某一特定网络的吞吐率，也可使数据包绕开出错网络。但与此同时，它一方面方便了假冒源IP地址的数据包到达目的地址，另一方面也使得入侵者能够绕开某些网络的安全措施，从对方没有预料到的路径到达目的地址。 (3)网络窃听 目前网络上传输的信息大部分为明文信息，特别是一些系统的登录密码，如大多数Unix系统目前仍缺省采用明文密码方式。这些敏感信息利用窃听工具很容易获得，而网络上的窃听工具又非常丰富，如Sniffer，Tcpdump，Snoop等。 为了解决这些问题，必须为网络系统增加安全服务，这些安全服务可概括为：数据完整性(Integrity)、数据私有性(Confidentiality)、认证(Authentication)、访问控制(Access Control)和不可否认性(Non-repudiation)。 国际标准化组织(ISO)制订的ISO 7498-25提出了一个典型的传统网络安全体系结构(NSA)。该安全体系结构描述了一系列的安全服务及实现这些安全服务的机制，如表1所示。表1传统的网络安全体系结构安全服务协议层1234567对等实体认证访问控制连接机密性选择域机密性报文流安全性数据完整性数据源认证不可否认性 由表1中可以看出，该体系结构将网络安全服务分布在从第1层到第7层的各个协议层中，实现起来既增大了系统资源开销，又会降低系统工作效率。实际上，大多数安全服务可以放在OSI(开放系统互连)模型的任何一层。由于计算机网络可划分为通信子网(1?3层)和资源子网(4?7层)，目前的技术发展趋势是IP over Everything和Everything over IP，IP层是连接通信子网与资源子网的核心环节，因此将安全服务集中在IP层实现最合适。同时在IP层实现安全服务要比在应用层上更加透明和彻底，可为IP层以上的所有应用提供安全服务，同时管理也比较统一和简单。 为了改善现有IPv4协议在安全等方面的不足，IETF的下一代网络协议(IPng)工作组于1994年9月提出了一个正式的草案“The Recommendation for the IP Next Generation Protocol”，1995年底确定了IPng协议规范，称为IP版本6(IPv6)。IPv6在IP层上实现了上述各种安全服务。 2 IPv6的安全机制 IETF在IPv6中提出了全新的网络安全体系结构，即IPSec标准。尽管IPSec是为IPv6设计的，但也可应用于IPv4中。 IPSec描述了新体系结构提供的安全服务及这些服务的实现机制。IPSec提供的安全服务包括：数据私有性、基于无连接的数据完整性、数据包来源认证、访问控制、抗数据重发攻击(Protection of Replay)以及一定程度上的数据流量私有性(Traffic Flow Confidentiality)等。这些安全服务是通过ESP(Encapsulating Security Payload)和AH(Authentication Header)这两个安全协议来实现的。同时，除安全协议外，还有一系列与IPSec相关的技术标准，如加密算法及实现数据完整性的Hash算法的规范、密钥的交换标准IKE(Internet Key Exchange)、安全关联(SA)等。 2.1 安全关联与安全关联数据库 安全关联是IPSec的基础，ESP和AH协议都要通过它来实现安全服务。安全关联是用来描述和实现连接安全的，可用三元组来标识：，其中安全协议只能是ESP或AH中的一种。SA的工作方式分为两种：传输模式和隧道模式。传输模式用于两个主机间的连接，而隧道模式用于两个网关之间的连接。SA的安全功能体现在它所采用的安全协议：ESP或AH。由于每个SA只能提供ESP或AH中的一种服务，因此有时为了同时实现数据的私有性和完整性，对一个连接可能采用多个SA的组合来实现相应的安全。 安全关联数据库(SAD)用来存放安全关联，每一安全关联都在安全关联数据库中有唯一的记录，而每个安全关联可通过SPI、目的IP地址和安全协议来定位。除了这3个域外，安全关联数据库中的记录主要还包括以下与安全处理相关的内容：包序列号、AH采用的算法及密钥、ESP采用的算法及密钥、安全关联的生命周期等，其中，包序列号用来防止数据包的重发攻击。2.2 安全策略数据库 安全策略数据库(SPD)用来存放和管理用户的安全策略，对所有进出IP包的处理都需要查询安全策略数据库，以确定下一步的具体处理方法。安全策略库由安全策略的有序列表组成，类似于包过滤防火墙的过滤规则。每条策略由IP包的一些属性如源IP地址、目的IP地址、源端口号、目的端口号，以及一些命名字符串(如用户名、域名)和安全关联等组成，通常这些属性也用来在安全策略数据库中定位对相应IP包进行处理的安全策略。2.3 IPSec的工作原理IPSec既可以在网关上实现，也可以在主机上实现。无论是哪种情况，当IP数据包进入或离开支持IPSec的接口时，IPSec模块将根据安全策略库决定对该IP包进行何种处理(见图1)。对IP包的处理方式分为3种：抛弃、旁路、根据安全关联进行IPSec处理。因此利用安全策略数据库和这种处理方式，可以很容易地实现类似于IPv4中防火墙的访问控制安全。图1IPSec工作原理 当某接口收到一IP包后，根据该IP包的属性及制订的一些安全设置，在安全关联数据库中寻找相应的安全关联，对该IP包进行解密等处理，然后在安全策略库中寻找相应的安全策略。如果不存在与该IP包相对应的安全策略，则将该IP包抛弃并作日志。在找到相应的安全策略后，如果策略规定要抛弃该包，则将该IP包抛弃并作好日志；如果策略规定要旁路该IP包，则不对该IP包作更多处理，让它通过；如果策略说明要对该IP包进行IPSec处理，则该策略里应包含对该IP包进行处理的一个或多个安全关联指针，通过安全关联指针可以在安全关联数据库中找到相应的安全关联，如果该安全关联与刚才找到的安全关联不一致的话，也要将该IP包抛弃。 在IPv6中，对进入的IP包与出去的IP包的处理是有所区别的，比如对安全关联的定位、寻找的方法是不相同的。当接口收到某IP包后，从该IP包中可以提取出安全关联索引、目的IP地址和安全协议，根据该3项内容即可在本地的安全关联数据库中唯一地确定出一个安全关联，从而作进一步的处理；在发送时，如根据安全策略需对该IP包进行IPSec处理，IPSec模块将根据该IP包的属性，在安全策略库中找到相应的对该IP包进行处理的一个安全关联(也可能是多个)，并将该安全关联的索引号填入待发送的IP包中，以提供给接收方用来确定相应的安全关联。2.4 IP认证协议?AHAH主要提供IP包的数据完整性服务，防止数据在传输过程中被第3方篡改，同时AH也提供对IP包来源的认证，以防止数据重发攻击。AH不仅对IP包的包头进行认证，而且还要对IP包的内容进行认证，但由于IP包中的部分域如包存活周期(IPv6中称为“跳数”，即IPv4中的TTL)、校验等是要变化的，因此AH只对在传输过程中不变的内容或可以预测变化的内容进行认证。 IPv6对IPv4的包格式进行了简化，并取消了原IP包头中的选择项域，代之以单独的扩展头，在IPv6中目前已定义了6种扩展头，而AH和ESP是其中的两种。这些扩展头紧随在IPv6的头部后面，并在上层协议数据(TCP数据)之前，当有多个扩展头同时存在时，以一定的顺序排列，构成一个扩展头列表，每一个扩展头的类型由头标记(Next Header)来标识，如图2所示。图2IPv6包中的扩展头AH作为IPv6中的一个扩展头，其格式如图3所示：头标记用来标记下一个扩展头的类型；长度域表示认证数据的长度；保留域在计算认证数据时，必须设为0；安全参数索引用来标识安全关联；序列号域用来防止IP包的重发攻击，收发双方同时保留一个序列号计数器，每收发一个IP包，序列号将递增1，在递增到232后复位，接收方可以根据接收到的IP包序列号来判断该IP包是否为重发包，若是则将其抛弃；认证数据域的长度可变，并由长度域来指明，认证数据是通过将传输过程中变化的域和认证数据域置0后，对其余所有数据进行完整性计算后得到的，目前计算认证数据的算法有MD5算法和SHA-1算法等。图3AH头格式2.5 IP加密安全协议ESP作为IPv6中的一种扩展头，提供IP包的数据加密功能，此外也提供数据来源认证、基于无连接的数据包完整性、防止重发攻击以及数据流量的私有性等功能。其中，ESP提供的数据包完整性与AH提供的数据包完整性有所区别，AH提供对整个IP包，包括包头和包内容的完整性认证，而ESP提供的完整性则只关心IP包的内容部分。为了防止网络上的黑客利用侦听器来记录和分析发生在特定IP地址之间的流量情况，从中找出一些与安全有关的蛛丝马迹并进行攻击，ESP可以提供数据流量私有性功能，但只是在隧道模式下才能实现。因为在隧道模式下，黑客只能侦听到发生在隧道两端的IPv6网关之间的流量，而内部的整个IP包都已被加密，黑客无法知道该IP包是属于那个连接的。图4为采用ESP加密前后的IPv6包结构。在IPv6中，有的扩展头位于ESP前面，而有的扩展头则位于ESP后面，图4只考虑了位于ESP前面时的情况。图4ESP加密前后的IPv6包结构 图5是ESP包的格式。其中，安全参数索引用来标识安全关联，说明ESP采用的安全参数，如密钥、加密算法等，接收方在收到ESP包后，将根据安全参数索引、目的地址及安全协议来定位处理该IP包的安全关联，取得安全参数，然后将ESP包解密；序列号用来防止包的重发攻击。在ESP中，目前要求至少支持DES-CBC加密算法。图5ESP包格式2.6 密钥交换协议(IKE) 在IPSec中进行密钥交换有两种方法：一种是使用IKE协议进行自动地密钥交换，一种是手工模式。手工模式只适用于小规模的或者用硬件实现的IPSec，大多数情况下都需要使用IKE协议通过公用网络进行密钥交换。IKE的功能包括加密算法和密钥协商、密钥生成、交换及管理。IKE是ISAKMP6，Okaley7和SKEME 3个协议揉和而成的一个协议。ISAKMP协议只规定了一个认证和密钥交换的框架，与具体的密钥交换方法相独立。Okaley和SKEME协议则描述了具体的密钥交换方法，其中Okaley协议给出了一系列的密钥交换过程，而SKEME协议则提供了一种通用的密钥交换技术。3 结束语IPv6利用新的网络安全体系结构IPSec，通过AH和ESP两个安全协议分别为IP协议提供了基于无连接的数据完整性和数据私有性，加强了IP协议的安全性，克服了原有IPv4协议在安全方面的不足。本文研究课题是国家“863”课题“IPv6示范系统”的一部分，由清华大学、东北大学等几所大学共同承担，已于2000年底完成。通过该项目的建设，已在CERNET的几个地区中心建立了纯IPv6的试验网络，并通过IPv4隧道实现了互连互通。东北大学在该项目中负责IPv6的安全部分，我们根据IPSec标准，设计与实现了文中描述的AH,ESP协议与简化的密钥交换协议，并在CERNET IPv6示范网上进行了测试。目前，国际上一些主要网络和通信公司、研究机构也展开了对IPv6的研究，如法国INRIA、日本KAME、美国NRL等研究机构，IBM,Sun,微软,Trumpet等公司分别研制开发出了基于不同平台上的IPv6系统软件与应用软件，思科、北电、诺基亚等硬件厂商目前也已经开发出了IPv6路由器产品。从Internet发展角度看，IPv6技术的关键在于实用化，在于研究与开发体现IPv6优越性的特色应用。基于IPv6的安全特色实现的网络安全应用包括防火墙和VPN（虚拟专用网络）等。由于IPSec是基于安全策略库来实现安全需求的，因此可以容易地基于安全策略将这些不同的安全应用集成在一起，实现具有整体安全性的网络安全系统。IPv6的网络安全改进IPv4地址资源的紧缺引发了一系列安全问题，尽管IPv6协议在网络安全上做了多项改进，但是其引入也带来了新的安全问题。 由于我国IPv4地址资源严重不足，除了采用CIDR、VLSM和DHCP技术缓解地址紧张问题，更多的是采用私有IP地址结合网络地址转换(NAT/PAT)技术来解决这个问题。比如PSTN、ADSL、GPRS拨号上网、宽带用户以及很多校园网、企业网大都是采用私有IPv4地址，通过NAT技术接入互联网，这不仅大大降低了网络传输的速度，且安全性等方面也难以得到保障。从根本上看，互联网可信度问题、端到端连接特性遭受破坏、网络没有强制采用IPSec而带来的安全性问题，使IPv4网络面临各种威胁。 IPv6协议在网络安全上有改进 IP安全协议(IPSec) IPSec是IPv4的一个可选扩展协议，而在IPv6则是一个必备组成部分。IPSec协议可以“无缝”地为IP提供安全特性，如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证，以及抗重播(Replay)攻击等。新版路由协议OSPFv3 和 RIPng采用IPSec来对路由信息进行加密和认证，提高抗路由攻击的性能。 需要指出的是，虽然IPSec能够防止多种攻击，但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议，只能负责其下层的网络安全，不能对其上层如Web、E-mail及FTP等应用的安全负责。 端到端的安全保证 IPv6最大的优势在于保证端到端的安全，可以满足用户对端到端安全和移动性的要求。IPv6限制使用NAT，允许所有的网络节点使用其全球惟一的地址进行通信。每当建立一个IPv6的连接，都会在两端主机上对数据包进行 IPSec封装，中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输，通过对通信端的验证和对数据的加密保护，使得敏感数据可以在IPv6 网络上安全地传递，因此，无需针对特别的网络应用部署ALG(应用层网关)，就可保证端到端的网络透明性，有利于提高网络服务速度。 地址分配与源地址检查在IPv6的地址概念中，有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说，这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系，网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务，那么就可以只给这台服务器分配一个本地网络地址，而企业网外部的任何人都无法访问这些主机。 由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构，因此，在IPv6接入路由器对用户进入时进行源地址检查，使得ISP可以验证其客户地址的合法性。 源路由检查出于安全性和多业务的考虑，许多核心路由器可根据需要，开启反向路由检测功能，防止源路由篡改和攻击。 防止未授权访问 IPv6固有的对身份验证的支持，以及对数据完整性和数据机密性的支持和改进，使得IPv6增强了防止未授权访问的能力，更加适合于那些对敏感信息和资源有特别处理要求的应用。 域名系统DNS 基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础，有助于抵御网上的身份伪装与偷窃，而采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议，能进一步增强目前针对DNS新的攻击方式的防护，例如“网络钓鱼(Phishing)”攻击、“DNS中毒(DNS poisoning)”攻击等，这些攻击会控制DNS服务器，将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。此外，专家认为，如果能争取在我国建立IPv6域名系统根服务器，则对于我国的信息安全很有必要和十分重要。 灵活的扩展报头 一个完整的IPv6的数据包可包括多种扩展报头，例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础，同时也为安全性提供了保障。 防止网络扫描与病毒蠕虫传播当病毒和蠕虫在感染了一台主机之后，就开始对其他主机进行随机扫描，在扫描到其他有漏洞的主机后，会把病毒传染给该主机。这种传播方式的传播速度在 IPv4环境下非常迅速(如Nimdar病毒在45分钟内可以感染上百万台计算机)。但这种传播方式因为IPv6的地址空间的巨大变得不适用了，病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。 防止网络放大攻击(Broadcast Amplication Attacks) ICMPv6在设计上不会响应组播地址和广播地址的消息，不存在广播，所以，只需要在网络边缘过滤组播数据包，即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。 防止碎片(Fragment)攻击 IPv6认为MTU小于1280字节的数据包是非法的，处理时会丢弃MTU小于1280字节的数据包(除非它是最后一个包)，这有助于防止碎片攻击。 由此看来，IPv6协议确实比IPv4的安全性有所改进，IPv4中常见的一些攻击方式，将在IPv6网络中失效，例如网络侦察、报头攻击、 ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一系列在IPv4网络中的问题， IPv6仍应对乏力，只是在IPv6的网络中事后追溯攻击的源头方面要比在IPv4中容易一些。 引入IPv6出现的安全新问题 IPv6是新的协议，在其发展过程中必定会产生一些新的安全问题，主要包括应对拒绝服务攻击(DoS)乏力、包过滤式防火墙无法根据访问控制列表ACL正常工作、入侵检测系统(IDS)遭遇拒绝服务攻击后失去作用、被黑客篡改报头等问题。 此外，在IPv6中还有一些问题有待解决，主要包括: 1. IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网管技术，如SNMP等，不管是移植还是重新另搞，其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现，因此缺乏对IPv6网络进行监测和管理的手段，缺乏对大范围的网络故障定位和性能分析的手段。没有网管，何谈保障网络高效、安全运行? 2. PKI管理在IPv6中是悬而未决的新问题。 3. IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发还尚需时日。 4. IPv6协议仍需在实践中完善，例如IPv6组播功能仅仅规定了简单的认证功能，所以还难以实现严格的用户限制功能，而移动IPv6(Mobiel IPv6)也存在很多新的安全挑战。DHCP必须经过升级才可以支持IPv6地址，DHCPv6仍然处于研究、制订之中。 向IPv6迁移的可能漏洞 由于IPv6与IPv4网络将会长期共存，网络必然会同时存在两者的安全问题，或由此产生新的安全漏洞。 已经发现从IPv4向 IPv6转移时出现的一些安全漏洞，例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源，攻击者可以通过安装了双栈的使用IPv6的主机，建立由IPv6到IPv4的隧道，绕过防火墙对IPv4进行攻击。 向IPv6协议的转移与采用其他任何一种新的网络协议一样，需要重新配置防火墙，其安全措施必须经过慎重的考虑和测试，例如IPv4环境下的IDS并不能直接支持