IPv6作為新一代的互聯網協議,最大的優點也是大眾最熟悉的優點就是地址的擴容。但其實除此之外,IPv6在安全性上也有很大的提升。
一、可溯源和防攻擊
IPv6的地址空間巨大,所以IPv6終端之間可以直接建立點到點的連接,無需地址轉換,因此IPv6地址非常容易溯源。
IPv6地址分為64位的網絡前綴和64位的接口地址。一個64位的前綴地址支持64位的主機數量,攻擊者無法掃描一個IPv6網段內所有可能的主機。假設攻擊者以每秒掃描100萬個主機的速度掃描,大約50萬年左右才能遍歷一個64位前綴內所有的主機地址。64位的主機地址使得網絡掃描的難度和代價都大大增加,從而進一步防范了攻擊。
二、支持IPSec安全加密機制
IPv6協議中默認集成了IPSec安全功能,通過擴展認證報頭(AH)和封裝安全載荷報頭(ESP)實現加密和驗證功能。AH協議實現數據完整性和數據源身份認證功能,ESP在上述功能基礎上增加安全加密功能。集成了IPSec的IPv6協議真正實現了端到端的安全,中間轉發設備只需要對帶有IPSec擴展包頭的報文進行普通轉發,而不對IPSec擴展包頭進行處理,大大減輕轉發壓力。
三、ND
P和SEND的安全增強
在IPv6協議中,采用鄰居發現協議(NDP)取代現有IPv4中的ARP及部分ICMP控制功能。NDP協議通過在節點之間交換ICMPv6信息報文和差錯報文實現鏈路層地址及路由發現、地址自動配置等功能,并且通過維護鄰居可達狀態來加強通信的健壯性。NDP協議獨立于傳輸介質,可以更方便地進行功能擴展。現有的IPv6協議層加密認證機制可以實現對NDP協議的保護。IPv6的安全鄰居發現協議(SEND)協議是NDP的一個安全擴展,SEND的目的是提供一種備用機制,通過獨立于IPSec的另一種加密方式保護NDP,保證了傳輸的安全性。
四、真實源地址驗證體系
真實源IPv6地址驗證體系結構(SAVA)分為接入網、區域內和區域間源地址驗證三個層次,從主機IP 地址、IP 地址前綴和自治域三個粒度構成多重監控防御體系。該體系不但可以有效阻止仿冒源地址類攻擊,還能夠通過監控流量來實現基于真實源地址的計費和網管。因此,IPv6不止IP地址接近無限,還在網絡安全性方面更勝一籌。
因此,IPv6對此與IPv4,無論是從地址容量還是安全性能來說,都是略高一籌的。
