2.3.4     安全机制

 

1.  IPSec

IP层最初没有考虑安全性方面，认证和保密都是由上层协议来完成的，很多黑客攻击就是利用了 IP层这方面的不足。IPSec协议族就是为在 IP层实现安全性而设计的，IPv4和 IPv6都可以使用，不同的是，IPSec必须加以修改或改进才能应用在IPv4中，而 IPSec是 IPv6的重要组成部分，IPv6所有应用从一开始就具有这些安全特性。

2.   AH和ESP

安全性一般有 3个要求：身份认证、保密性和完整性，IPSec的目标是实现前两个要求。RFC1826定义了认证头部（AuthenticationHeader，AH），RFC1827定义了加密安全载荷（EncryptedSecurityPayload，ESP）。前者提供认证机制，通过认证过程保证接收者得到的数据报来源是可靠的，而且在传输过程中没有被偷换。后者使用密钥技术，保证只有合法的接收者才能读取数据报的内容。IPv6使用扩展报头实现 AH和 ESP。

3.   安全关联

认证和加密要求发送者和接收者就密钥、认证和加密算法以及一些附属特性达成一致。这套约定机制组成了发送者和接收者之间的一种安全关联。接收者在接收

到数据报后，只有在能将其与一种安全关联的内容相关联时，才能对其进行验证和解密。所有的 IPv6验证和加密数据报都带有安全参数索引。

 

4.  增强服务质量

IPv4对不同的用户和应用都不加区分，采取尽力而为的传输方式，服务质量（QualityofService，QoS）难以保证。而 IPv6通过设置优先级、数据流标签等方式，对 QoS特别是 VoIP等实时数据流的传输提供了很好的支持。

（1）  优先级

IPv6报头的通信流类型（TrafficClass）可理解为优先级标识，数值越大，优先级越高。

IPv6将业务分为两大类：阻塞控制业务和非阻塞控制业务，前者在网络阻塞时流量会降低，而后者不会变化，用于声音和视频传输。IPv6为阻塞控制业务分配编号 0~7的优先级，推荐电子邮件为 2，大量数据传输（如 FTP）为 4，交互式（如 Telnet）为 6。对于非阻塞控制业务，IPv6根据媒体质量的不同分配编号 8~15的优先级。

（2）  流和资源预留

IPv6增加了数据流标签，发送端将需要路由器特殊处理的数据报在数据流标签字段加以标识。数据流标签是 20位的随机数，同一节点同一数据流所产生的数据报具有相同的数据流标签。

数据流标签还可以和路由选择扩展报头同时使用。为了更好地实现流传输，还开发了资源预留协议（RSVP）。RSVP是一个接收者驱动（Receiver-Driven）协议。接收者通过发送 RSVP报文选择接收源以及准备预留的带宽和费用等，达到最理想的效费比。