带你读《互联网协议第六版 (IPv 6)》第二章IPv6 技术介绍 2.3 IPv6 特点(三)

2.3.4     安全机制

 

1.  IPSec

IP层最初没有考虑安全性方面,认证和保密都是由上层协议来完成的,很多黑客攻击就是利用了 IP层这方面的不足。IPSec协议族就是为在 IP层实现安全性而设计的,IPv4和 IPv6都可以使用,不同的是,IPSec必须加以修改或改进才能应用在IPv4中,而 IPSec是 IPv6的重要组成部分,IPv6所有应用从一开始就具有这些安全特性。

2.   AH和ESP

安全性一般有 3个要求:身份认证、保密性和完整性,IPSec的目标是实现前两个要求。RFC1826定义了认证头部AuthenticationHeaderAHRFC1827定义了加密安全载荷(EncryptedSecurityPayloadESP。前者提供认证机制,通过认证过程保证接收者得到的数据报来源是可靠的,而且在传输过程中没有被偷换。后者使用密钥技术,保证只有合法的接收者才能读取数据报的内容。IPv6使用扩展报头实现 AH和 ESP

3.   安全关联

认证和加密要求发送者和接收者就密钥、认证和加密算法以及一些附属特性达成一致。这套约定机制组成了发送者和接收者之间的一种安全关联。接收者在接收

到数据报后,只有在能将其与一种安全关联的内容相关联时,才能对其进行验证和解密。所有的 IPv6验证和加密数据报都带有安全参数索引。

 

4.  增强服务质量

IPv4对不同的用户和应用都不加区分,采取尽力而为的传输方式,服务质量(QualityofServiceQoS)难以保证。而 IPv6通过设置优先级、数据流标签等方式,对 QoS特别是 VoIP等实时数据流的传输提供了很好的支持。

(1)  优先级

IPv6报头的通信流类型(TrafficClass)可理解为优先级标识,数值越大,优先级越高。

IPv6将业务分为两大类:阻塞控制业务和非阻塞控制业务,前者在网络阻塞时流量会降低,而后者不会变化,用于声音和视频传输。IPv6为阻塞控制业务分配编号 0~7的优先级,推荐电子邮件为 2,大量数据传输如 FTP为 4,交互式如 Telnet)为 6。对于非阻塞控制业务,IPv6根据媒体质量的不同分配编号 8~15的优先级。

(2)  流和资源预留

IPv6增加了数据流标签,发送端将需要路由器特殊处理的数据报在数据流标签字段加以标识。数据流标签是 20位的随机数,同一节点同一数据流所产生的数据报具有相同的数据流标签。

数据流标签还可以和路由选择扩展报头同时使用。为了更好地实现流传输,还开发了资源预留协议(RSVPRSVP是一个接收者驱动Receiver-Driven协议。接收者通过发送 RSVP报文选择接收源以及准备预留的带宽和费用等,达到最理想的效费比。

上一篇:车联网服务non-RESTful架构改造实践


下一篇:TCP详解(三次握手/四次挥手详解)