摘要： 20世纪90年代互联网和个人计算机得到广泛普及，IPv4地址资源严重不足，安全问题日益突出。1994年后IETF提出一种新IP地址解决方案，被称为IPv6(亦被为下一代IP)。IPv6内置了IP Sec协议，为网络安全问题提供了一种标准的解决方案，本文主要介绍IPv6中基于IP Sec协议的SA, AH, ESP和钥匙管理的四种安全机制。

　　关键词：IPv6  IP Sec、安全关联、验证报头、封装安全有效载荷 钥匙管理

　　中图分类号：TP393

　　一、下一代IP介绍（IPv6）

IPv6保留许多IPv4的成功点，IPv4到IPv6的改变如下：

1、地址扩展：IP地址由原来的32位扩展到了128位，并且IPv6取消了IPv4地址的分类概念，可提供3.4Ⅹ1038个主机地址。IPv6地址的文本格式为 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx，其中每个x是一个十六进制数字，代表4位，可省略前导零。

2、报文头的简化：IPv6 的数据头与IPv4完全不同。简化了数据报文头部，减少了路由表长度，同时减少了路由器处理报头的时间，降低了报文通过网络的延迟。IPv4报文头检查，如sum，IHL，认证标识和碎片不在出现在IPv6中。

3、可扩展性：支持扩展和选项的改进，IP首部选项编码方式的修改导致更加高效的传输，在选项长度方面更少的限制以及将来引入新的选项时更强的适应性。

4、流量标识：对服务质量作了定义，可以标记数据所属的流类型以便路由器成交换机进行相应的处理。IPv6中增了“flow label”标识，提供特定的QOS。

5、路由选择: IPv6 路由与物理接口（链路，如TNLCFG64或ETH03）而不是接口关联（绑定）。IPv6 与 IPv4 的源地址选择功能不同。允许重复路由以提高稳健性，但在路由查找时将忽略重复路由。

6、对流的支持：在IPv6中IP头的格式里，有专门的20bit流标签域。主机发送报文时，如果需要把报文放到流中传输，只需在流标签里填入相应的流编号。否则在流标签里填零就作为一般的报文处理。路由器收到流的第一个报文时，以流编号为索引建立处理上下文，流中的后续报文都按上下文处理。

7、不需SUM区域检查：在路由器中检查SUM区域的协议数据包被移除，数据包在网络传输前已通过检查，另外高层协议如TCP和UDP也允许招待自我确认，大多数情况下移除SUM区域检查不会产生严重的问题。

8、最大传输单元（MTU）：IPv6 的MTU结构化下限为1280个字节。也就是，IPv6将不会在低于此极限时对信息包分段。要通过小于1280MTU的链路发送 IPv6，链路层必须明确地对IPv6信息包进行分段和合并。

9、可扩展协议：不像IPv4，IPv6不再定义未来所有可能协议，允许发送人添加数据包信息，这样使IPv6 比IPv4有更广泛的灵活性，以后可设计新需求。

10、安全性：认证和保密的功能，在IPV6中为支持认证，进行数据完整性及数据保密的扩展。