IPv6安全机制基础理论解析
IPv6作为下一代网络的基础以其鲜明的技术优势得到广泛的认可。IPv6不仅解决了IPv4地址日渐枯竭的问题,同时IPv6安全机制也较IPv4进行了很多改进。但是与此同时IPv6对硬件性能也有了更高的要求。
1. IPv6协议安全
在协议安全层面上,IPv6安全机制全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展头。AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法,ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。
2. IPv6网络安全
(1)端到端的安全保证。在两端主机上对报文进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6报文进行透传,从而实现端到端的安全。
(2)对内部网络的保密。当内部主机与因特网上其他主机进行通信时,为了保证内部网络的安全,可以通过配置的IPSec网关实现。因为IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的节点解析处理,因此IPSec网关可以通过IPSec隧道的方式实现,也可以通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术来实现。后者的实现方式更加灵活,有利于提供完善的内部网络安全,但是比较复杂。
(3)通过安全隧道构建安全的VPN。此处的VPN是通过IPv6的IPSec隧道实现的。在路由器之间建立IPSec的安全隧道,构成安全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上就是IPSec隧道的终点和起点,为了满足转发性能的要求,该路由器需要专用的加密板卡。
(4)通过隧道嵌套实现网络安全。通过隧道嵌套的方式可以获得多重的安全保护。当配置了IPSec的主机通过安全隧道接入到配置了IPSee网关的路由器,并且该路由器作为外部隧道的终结点将外部隧道封装剥除时,嵌套的内部安全隧道就构成了对内部网络的安全隔离。
3. IPv6安全机制其他保障