IPv6下基于IPSec的VPN的研究与性能分析

　　1.4　安全性方面

　　在IP协议设计之初并没有考虑安全性，原来的Internet安全机制只建立于应用程序级，如E-mail加密、SNMPv2网络管理安全、接入安全等，无法从IP层来保证Internet的安全。而IPv6在网络安全方面最为显著的就是将IPSec安全协议集成到内部，实现了IP级的安全，IPSec主要有3个方面的安全机制，即数据包确认、数据包的保密和数据包的完整，安全功能具体在其扩展数据包中实现。

　　1.5　服务质量的满足

　　基于IPv4的Internet在设计之初，只有一种简单的服务质量，即采用“尽最大努力”（Best effort）传输，从原理上讲服务质量QoS是无保证的。文本传输，静态图像等传输对QoS并无要求。随着IP网上多媒体业务增加，如IP电话、VoD、电视会议等实时应用，对传输延时和延时抖动均有严格的要求。为了更好地支持实时通信（例如视频会议），IPv6对QoS增加了一种新功能，即流标签机制。通过该机制，其目的是允许发送业务流的源节点和转发业务流的路由器在数据包上加上标记，并进行除默认处理之外的不同处理。一般来说，在所选择的链路上，可以根据开销、带宽、延时或其他特性对数据包进行特殊的处理。一个流是以某种方式相关的一系列信息包，IP层必须以相关的方式对待它们。决定信息包属于同一流的参数包括：源地址，目的地址，QoS，身份认证及安全性。IPv6中流的概念的引入仍然是在无连接协议的基础上的，一个流可以包含几个TCP连接，一个流的目的地址可以是单个节点也可以是一组节点。IPv6的中间节点接收到一个信息包时，通过验证他的流标签，就可以判断它属于哪个流，然后就可以知道信息包的QoS需求，进行快速的转发。

　　2、IPSec协议安全和安全机制

　　如图1所示，IPSec是一组由IETF设计的RFC文档组成，将作为网络安全标准在IPv6下强制实施。IPSec为IP及上层协议提供了数据完整性、数据源身份认证、抗重放攻击、数掘内容的机密性等安全服务，是目前网络层实现VPN（Virtul Private Network,虚拟专用网）的事实上的标准，它定义了一个系统来提供安全协议选择、安全算法、确定服务所使用的密钥等服务，从而在IP层提供安全保障。IPSec是由认证头AH（Authentication Header）协议、封装安全载荷ESP（Encapsulating Security Payload）协议、密钥管理协议IKE（Internet Key Exchange）三部分组成。AH能提供数据源的认证、完整性、及抗重放服务。ESP除能提供AH的功能外还提供数据保密性。