IPv6的新特性及其过渡策略

　　 地址管理方案中还包括地址解析协议（ABP）和可达性检测。IPv4中ABP是独立的协议，负责IP地址到链路层地址的转换，对不同的链路层协议要定义不同的ARP协议。可达性检测的目的是确认相应IP地址代表的主机或路由器是否还能收发报文，IPv4没有统一的解决方案。IPv6定义了邻机发现协议（NDP），把ARP纳入NDP并运行于因特网控制报文协议（ICMP）上，使ARP更具有一般性，包括更多的内容，而且不用为每种链路层协议定义一种ARP。NDP中还定义了可达性检测过程，保证IP报文不会发送给“黑洞”。

　　 1.2 报文的安全传送

　　 因特网应用的普及使安全问题日益紧迫，在报文传输过程中修改、窃取报文，对报文中数据的有效性构成了威胁。IPv4对报文安全问题进行了专门的讨论，并给出了解决办法，以IP选项的方式使用。IPv6继承了IPv4的技术，定义了验证报文头（Authentication Head，AH）和安全报文头（Encrypted Security Payload，ESP），不但有效解决了安全问题，而且使安全方案成为IPv6的有机组成部分。

　　 验证报文头的作用在于使接受方确认：接收到的报文来自正确的源。IPv6建议的验证加密算法是MD5，计算后的验证数据连同报文的序列号被放到AH中，序列号的用处是防止重发攻击。安全报文头的作用在于对报文内容加密，防止报文在传输过程中被剽窃。目前的标准加密算法是DES-CBC，ESP中带有初始化向量，算法参数以及报文序列号，接收方根据ESP的内容恢复报文内容。两种报文头可以根据应用的需要单独使用，也可以结合使用，结合使用时，ESP应该在AH的保护下。

　　 完成加密算法必须有密钥分配协议作为支持。IPv6定义了ISAKMP-OAKLEY协议，其基础是Diff-Hellman算法。规定首先进行证书交换，用以确认对方的地址真伪，然后进行带验证过程的密钥交换，防止密钥交换被中介拦截。协议中也定义了相应的手段允许协商加密参数，以及AH和ESP的用法。