IP安全,即IPsec,是在不受保护的网络上传输敏感信息的安全标准的集合。在网络层,IPsec对IPsec设备之间发送的数据报文进行保护和认证。IPsec有几个可选的安全特性,它们的使用可以由本地安全策略指定:
- 数据机密性-发送方可以对报文进行加密后再发送
- 数据完整性——接收方可以验证数据包,以确保数据没有被篡改
- 数据源认证——接收方可以确认收到的任何数据包的来源
- 防重放接收器可以检测和拒绝任何重放的数据包
IPsec为IPv6是通过身份验证头和封装安全负载实现的。认证头(AH)验证源以保护IP头的完整性。封装安全负载(ESP)“提供了机密性、源认证、内部包的无连接完整性、防重放和有限流量机密性。”
IPsec有两种不同的运行模式:传输模式和隧道模式。
- 传输模式(主机对主机)使用原始数据包的IPv6头,然后是AH或ESP头,最后是负载
- 隧道模式(网关到网关或网关到主机)使用一个新的IPv6头,其中包括AH或ESP头、原始IP头和负载
IPv6加密
虽然端到端加密是追溯性地添加到IPv4的,但它是内置到IPv6的。加密和完整性检查,目前被vpn使用,是IPv6中所有设备和系统的标准。
IPv6在名称解析方面也更安全。安全邻居发现(SEND)协议支持在连接时对主机的身份进行加密确认,使基于命名的攻击更加困难。这并不能取代应用程序或服务级别的验证,但提供了额外的安全性。
IPv6比IPv4更安全吗?
简短的回答是否定的。然而,这个问题可能意味着两种不同的东西,因此需要一个更微妙的答案。这个问题的意思是:
- 特定的IPv6协议是否比IPv4协议更安全
- IPv6的部署是否比IPv4更安全
当从协议级别比较IPv4和IPv6时,IPv6的复杂性可能会带来更多的攻击点。然而,比较IPv4和IPv6部署在安全性方面更实际。为此,必须考虑协议规范和实现的存在时间。
最常见的情况是,网络协议中的安全漏洞源于实现中的缺陷。这些缺陷稍后会被修补,随着时间的推移,漏洞的发现和修补会加强网络协议的安全性。由于IPv4协议从这一过程中受益的时间比IPv6协议长得多,因此它们的安全性更强。
有时,这些漏洞源于协议规范中的缺陷。在这种情况下,IPv4协议规范再次受益于更长的存在时间,因为IPv6协议规范是更新的,还没有接受同等程度的审查。
