●身份验证
能够可靠滴确定接收到的数据与发送的数据一致，并且确保发送该 数据的实体与其所宣称的身份一致，
●完整性
能够可靠滴确定数据从源到目的地址传送过程中没有被修改。
●机密性
确保数据只能为预期的接收者使用或读出，而不能为其他任何实体 使用或读出。
另外，还要解决如下安全威胁：
▽ 拒绝服务攻击； ▽ IP欺骗；
认证机制
带AH的IPv6数据包格式
AH头的格式
下一包头：指明AH头后面是ESP还是TCP等。 有效数据长：AH头的长度 安全参数索引：本连接的SA参数 序列号：IP包的序号 身份认证数据：类似于数字签名
加密机制
ESP格式
安全参数索引：安全连接（SA）参数 填充位：用于满足某些加密算法要求
被分配给多个接口，仅用于路由器 发往任播地址的数据包被路由转发给分配了任播地址的接口中
距离最近的一个
同单播地址相同，不能做为源地址使用
节点所需要的地址
主机节点需要如下地址来标识自己
Link-Local地址
手工或自动配置的单播地址 loopback地址 “All-Nodes”和“Solicited-Node”及其它所属于的 组播地址
路由器节点除了以上地址，还要有
“Subnet-Router”及路由器上配置的任播地址 “All-Routers”组播地址
内容简介：
第1章 IPv6产生的背景
第2章 IPv6地址格式及分类
第3章 IPv6报文格式 第4章 IPv6邻居发现及地址配置
IPv6报头格式
IPv6扩展报头
IPv6 Header
IPv6协议的特点
IPv6最本质的改进——几乎无限的地址空间 地址长度由32位增加到128位 简单是美——简化固定的基本报头，提高处理效 率 扩展为先——引入灵活的扩展报头，协议易扩展 层次区划——地址格式更具层次性，便于路由聚 合 即插即用——地址配置简化，自动配置 贴身安全——网络层的IPSec认证与加密，端到 端安全 Qos 考虑——新增流标记域 移动便捷——Mobile IPv6
¤
移动性的改进
IPv6巨大的地址空间，使移动性实现起来更加简单； IPv6地址自动配置简化了移动节点的转交地址的分配； MIPv6避免了MIPv4的三角路径问题，实现了路由优化； IPv6不再需要外地代理。
¤
寻径效率的提高
IPv6改变了地址的分配方式，从用户拥有变成了ISP拥有
IPv6的安全性目标
组播地址
Flags
前3位设为0 最后一位定义地址类型 −0 = 固定或众所周知 0 1 2 5 8 E 预留 节点本地范围 链路本地范围 站点本地范围 企业本地范围 全局范围
−1 = 本地分配或短期
Scope
表示组播组的范围
Group ID
Байду номын сангаас
组播组ID
F
预留
预定义的组播地址
IPv4预定义组播地址 IPv6预定义组播地址 节点本地范围 FF01::1 FF01::2 224.0.0.1 224.0.0.2 链路本地范围 FF02::1 FF02::2 FF02::5 224.0.0.1 224.0.0.2 224.0.0.5 所有节点地址 所有路由器地址 所有OSPF路由器 所有节点地址 所有路由器地址 组播组
移动设备
仅有一台联网设备时，可以分配128bits地址前缀
拨号
3 001 29bits LIR/32
45 16bits
16 16bits
64 64bits 接口ID
客户站点/48
子网/64 设备/128
接口ID
对链路来说是唯一的 可动态获得
IEEE采用MAC-to-EUI-64转换
其它地址采用其它的自动方法
相比IPv4的区别
网络地址
{
网络地址空间的极大扩展
网络地址表示不同
网络地址的分类方式不同
改进的IP多播
{
强调了多播的必要性 多播地址的改进 分为域内多播和域间多播，改变了其可管理性
良好的可扩展性
与IPv4相比，IPv6具有以下几个优势：
一：IPv6具有更大的地址空间。 二：IPv6使用更小的路由表。 三：IPv6增加了增强的组播支持以及对流的支持 四：IPv6加入了对自动配置的支持。 五：IPv6具有更高的安全性。
IPv4潜伏的三大危机
★地址枯竭:
ipv4的地址域为32比特，可提供约40亿个IP地址。
★网络号码匮乏：
在IPv4中，A类网络只有126个，每个能容纳1亿多个主 机；B类网络也仅有16382个，每个能容纳6万多个主机；C 类网络虽多达209万余个，但每个只能容纳254个主机。
★路由表急剧膨胀：
IPv4的地址体系结构式非层次化的，每增加一个子网路 由器就增加一个表项，使路由器不堪重负。
FECD:BA98:7654:3210:FEDC:BA98:7654:3210
IPv6地址简化规则
★每一个段中开头的0可以省略不写，但末尾的0不能省略；
原始IPv6地址： 3ffe:1944:0100:000a:0000:00bc:2500:0d0b 简化后IPv6地址： 3ffe:1944:100:a:0:bc:2500:d0b ★如果某段或连续几段全是0，则可以使用一个“::”来代替。
目前全球因特网所采用的协议族 是TCP/IP协议族。IP是TCP/IP协议族 中网络层的协议，是TCP/IP协议族的 核心协议。 IPv6正处在不断发展和完 善的过程中，它在不久的将来将取代 目前被广泛使用的IPv4，每个人将拥 有更多IP地址。
为什么要使用和研究IPv6？
IPv4还有救吗？
▼NAT 解决IPv4地址缺乏问题的临时方案 增加网络的隐性成本 ▼CIDR 减少路由表大小 地址空间没有增长 ▼DHCP 客户端自动配置 DHCP服务器仍需手工设置
单播地址
识别单一接口
发送到单点发送地址的数据包被传输到这个地址识 别出的接口
IPv6单播地址分类（根据地址范围）：
全局单播地址 例 2001:A304:6101:1::E0:F726:4E58
链路本地地址
站点本地地址
例 FE80::E0:F726:4E58
例 FEC0::E0:F726:4E58
←兼容IPv4的
IPv6地址
映射IPv4的→ IPv6地址
■当前的安全问题
病毒，尤其是网络病毒 破坏计算机系统及数据，阻塞网络
■黑客攻击
恶作剧；
信息截取；（截取有价值的信息以获利） 病毒袭击；
窥秘；
商业间谍；（盗取机密数据） 报复；
外国间谍等。
■内部有意无意泄密或损坏数据
IPv6内嵌安全性
IPSec是IPv6的一个有机组成部分，是协议族的一个子集
内容简介：
第1章 IPv6产生的背景
第2章 IPv6地址格式及分类
第3章 IPv6报文格式 第4章 IPv6内嵌安全性
IPv6地址为128位，配地址岂不是要花 费很多时间？
IPv6协议支持地址自动配置 IPv6节点通过地址自动配置得到IPV6地址和网 关地址。 IPv6支持无状态地址自动配置和状态地址自动配 置两种地址自动配置方式。
头
Destination options header目的地选项报文
IPv6扩展报头 vs IPv4选项
IPv4选项
要求路由器进行特殊处理
对转发性能产生负面影响 很少使用
IPv6扩展报头
扩展报头在IPv6报头的外部 路由器不考虑这些选项，但逐跳选项除外 对路由器转发性能无负面影响 易于通过新报头和选项进行扩展
以下两种缩写方式都是正确的： 2001:d02::14:0:0:95 2001:d02:0:0:14::95
十六进制与二进制之间的转换
规则：每个十六进制数=4位二进制数
IPv6地址分类：
单播地址（Unicast Address） 组播地址（Multicast Address） 任播地址（Anycast Address） 特殊地址
全局单播地址：
全球唯一地址
带有全球地址的数据包可被转发到全球网络的任何部分
全局单播地址层次结构
45位 001 全局路由前缀
16位
子网ID
64 位 接口ID
2000::/3
任何人（企业或个人）都可以获得一个48位前缀 任何人都可以拥有16位的子网空间
链路本地地址
用于单个链路，可进行自动地址配置、邻居发现或在没有
地址类型 未指定 环回地址 组播 链路本地地址 站点本地地址 全局单播
二进制前缀 00...0 (128 bits) 00...1 (128 bits) 11111111 1111111010 1111111011 （其他）
IPv6标识 ::/128 ::1/128 FF00::/8 FE80::/10 FEC0::/10
加入实现
隧道模式：将整个IP包都封装
内嵌IPv4地址的IPv6地址
—兼容IPv4的IPv6地址：将96比特0的前缀加 在32比特的IPv4地址钱就构成了IPv4兼容地 址。通常将两个冒号和IPv4的点分十进制记 法结合，将地址表示成::1.2.3.4的形式。
—映射IPv4的IPv6地址：将80比特的0和紧接 其后的16比特的1组成前缀置于IPv4地址之前 就构成了映射IPv4的IPv6地址。例如记 作::FFFF:4.3.2.1。
原始IPv6地址：
Ff02:0000:0000:0000:0000:0000:0000:0005 简化后IPv6地址：ff02::5
★如果128位全部为0的地址，则可以使用一个“:”来表示。
地址简化注意事项
注：在IPv6地址中，只能使用一次双冒号。