現有的互聯網協議是ipv4，IPv6是下一代的互聯網協議，它的提出最初是因為隨著互聯網的迅速發展，IPv4定義的有限地址空間將被用盡，地址空間的不足必將嚴重影響互聯網的進一步發展。為了擴大地址空間，解決這個問題，計劃通過IPv6重新定義互聯網的地址空間。IPv4采用32位長度，只有大約43億個地址，估計在2010年左右將被分配殆盡，而IPv6采用128位長度，幾乎可以不受限制地提供地址。據估算IPv6實際可分配的地址，相當于可以為地球每平方米分配1000多個地址。在IPv6的設計過程中除了一勞永逸地解決地址短缺等問題以外，還考慮了在IPv4中解決不好的其它問題。IPv6的主要優勢體現在以下幾方面：擴大地址空間、提高網絡的整體吞吐量、改善服務質量（QoS）、安全性有更好的保證、支持即插即用和移動性、更好實現多播功能。

    為什么要考慮IPv6的安全性？

    當初設計IPv4的目的只是作為簡單的網絡互通協議，因而設計時并沒有考慮太多的安全特性。假如是在一個治理非常嚴格的、封閉的網絡內，IPv4缺乏安全性的弱點顯現得還不是很突出。但是，隨著網絡在電子商務和消費網絡中的普及與日益重要，各種非法的攻擊將具有巨大的破壞性，因此在下一代協議的安全性考慮成為基本的要求。

    IPv6需要解決哪些安全問題？

    首先，必須能夠可靠地確定接收到的數據與發送的數據一致，并且確保發送該數據的實體與其所聲明的身份一致，也就是通常所說的身份驗證；其次，還要能夠可靠地確定數據在整個傳送的過程中沒有被修改，就是要確保數據的完整性；最后，要確保數據只能為預定義的接收者讀取或使用，而不能為其他任何非法的用戶讀取或使用，也就是要確保數據傳輸的機密性。以上三點是以往的IPv4沒有考慮和實現的問題，然而當前車之鑒擺在設計者面前的時候，這些安全性的因素就成為IPv6必須克服的難題。

    IPv6如何實現安全性的要求？

    概括得說，在IPv6中是通過身份驗證頭（ AH ）和封裝安全性凈荷（ ESP ）頭來實現身份驗證和安全性，以及使用了安全密碼傳輸、加密和數據包的數字簽名等方式，來加強其安全性。  說到這里我們需要引入一個新的詞：IPsec，即IP的安全性體系結構，它不是Internet的安全性體系結構。兩者存在很大的區別： IPsec定義了在IP層使用的安全性服務，對IPv4和IPv6都可用。假如在適當的IPv4選項格式中實現AH和ESP頭，IPv4也可以使用這種安全性功能，只是在IPv6中更加輕易實現而已。

    1、訪問控制：

    假如沒有正確的密碼就不能訪問一個服務或系統。可以調用安全性協議來控制密鑰的安全交換，用戶身份驗證可以用于訪問控制；

    2、加密：

    數據機密性是指只答應身份驗證正確者訪問數據，對其他任何人一律拒絕。它是通過使用加密來提供的。

    對稱加密：

    這是一種大家熟知的加密算法。在這種方法中，每一方都使用相同的密鑰來加密或解密。只要把握了密鑰，就可以破解使用此法加密的所有數據。這種方法有時也稱作秘密密鑰加密。通常對稱加密效率很高，它是網絡傳送大量數據中最常用的一類加密方法。 還有一些其他常用的對稱加密算法包括：由I B M公司在7 0年代提出的數據加密標準（ D E S ）、R C 2、R C 4、R C 5、加拿大開發的用于N o r t e l公司E n t r u s t產品的C A S T、國際數據加密算法（ I D E A ）、傳聞由前蘇聯安全局開發的G O S T算法、由BrUCe Schneier開發并在公共域發表的B l o w f i s h算法以及由美國國家安全局開發并用于C l i p p e r芯片的契約密鑰系統的S k i p j a c k算法等。

    公共密鑰加密：

    公共密鑰加密算法使用一對密鑰。公共密鑰與秘密密鑰相關聯，公共密鑰是公開的。以公共密鑰加密的數據只能以秘密密鑰來解密，同樣可以用公共密鑰來解密以秘密密鑰加密的數據。這樣只要實體的秘密密鑰不泄露，其他實體就可以確信以公共密鑰加密的數據只能由相應秘密密鑰的持有者來解密。盡管公共密鑰加密算法的效率不高，但它和數字簽名（參見后續討論）均是最常用的對網絡傳送的會話密鑰進行加密的算法。最常用的一類公共密鑰加密算法是R SA算法，該算法由Ron Rivest、Adi Shamir 和L e nA d l e m a n開發，由R SA數據安全公司授權使用。R SA定義了用于選擇和生成公共/秘密密鑰對的機制，以及目前用于加密的數學函數；

    3、據源身份驗證：

    IPsec的又一項安全性服務，是對IP包內包含的數據的來源進行標識。此功能通過使用數字簽名算法來完成。前面提到的公共密鑰加密依靠于密鑰對，而數字簽名則依靠公共密鑰加密的特性，即答應數據以實體密鑰對中的秘密密鑰來加密，以公共密鑰來解密。發送者首先對于要簽名的數據進行安全散列計算，然后對結果使用秘密密鑰加密。而接收者首先進行相同的散列計算，然后對發送者所附加的加密值進行解密。假如兩次計算的值能夠匹配，接收者就可以確信公共密鑰的主人就是對報文簽名的實體，且報文在傳送中并沒有被修改；

    4、加強連接的完整性：

    使用IPsec，有可能在不參照其他包的情況下，對任一單獨的IP包進行完整性校驗。此時每個包都是獨立的，可以通過自身來確認。此功能可以通過使用安全散列技術來完成，它與使用檢查數字類似，但可靠性更高，并且更不輕易被未授權實體所篡改。散列是一定量數據的數據摘要的一種排序。檢查數字是簡單的散列類型，而安全散列則產生較長的結果，經常是1 2 8位。對于良好的安全散列，攻擊者很難顛倒設計或以其他方式毀滅。安全散列可以與密鑰一起使用，也可以單獨使用。其目的是提供報文的數字摘要，用來驗證已經收到的數據是否與發送者所發送的相同。發送者計算散列并將其值包含在數據中，接收者對收到的數據進行散列計算，假如結果值與數據中所攜帶的散列值匹配，接收者就可以確認數據的完整性。常用的散列方法由R SA數據安全公司提出，包括M D 2、M D 4和M D 5報文摘要函數。安全散列算法（ SHA ）是由美國國家標準和技術協會（ N I S T ）所開發的標準摘要函數。散列可以單獨使用，也可以和數字簽名一起使用。

    IPsec雖然解決了很多IPv4無法解決的安全性問題，但是由于設備、人員以及培訓等方面的投入都非常巨大，因此IPv4向IPv6的過渡必將是個漫長的過程。雖然這個過程任重而道遠，但卻也是一個必然的結果。