IPv6网络的安全性主要体现在3个层面，即协议安全、网络安全和安全加密的硬件实现。在协议安全层面上，IPv6的认证头(AH)和封装安全载荷(ESP)信息安全封装扩展头结合多样的加密算法可以满足协议层面的安全需求。在AH认证方面，加密算法可采用hmac_md5_96、hmac_sha_1_96等认证加密算法，在ESP封装方面经常采用的算法有DES_CBC、3DES_CBC以及Null等3种。

　　在网络安全实现方面，通过IPSec的隧道和传输模式的各种应用组合，可以满足各个网络层面的安全需要，诸如端到端的安全保证、对内部网络的保密、通过安全隧道构建安全的VPN、以及通过嵌套隧道实现不同级别的网络安全等。

　　大量使用IPSec在提高网络安全的同时不可避免地导致路由器转发和处理性能的劣化，为了消除这些影响，通常是使用专用集成电路(ASIC)实现加密处理，或者通过网络处理器来实现加密处理和转发。

　　IPSec提供了网络数据和信息内容的有效性、一致性以及完整性的保证，但是对数据网络的安全威胁是多层面的，它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分。

　　通常物理层的威胁来自于设备的不可靠性，诸如板卡的损坏、物理接口的电器特性和电磁兼容环境的劣化等等，对这样的安全隐患可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。

　　对于物理层以上层面的安全隐患除了来自于针对各种协议的安全隐患以外，还有非法占用网络资源或者耗尽网络资源等隐患，诸如双802.1Q封装攻击、广播包攻击、媒体访问控制(MAC)洪泛、生成树攻击等二层攻击以及虚假的Internet控制消息协议(ICMP)报文、ICMP洪泛、源地址欺骗、路由振荡等来自针对三层协议的攻击。在应用层还有针对HTTP、FTP/TFTP、TELNET以及通过电子邮件传播病毒的攻击手段。对于这些攻击，可以采用的防护手段如下：

　　(1)通过诸如TACACS+、RADIUS、AAA等安全访问控制协议控制用户对网络的访问权限来防患针对应用层的攻击。

　　(2)通过MAC地址和IP地址绑定、限制每端口的MAC地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层的攻击。

　　(3)通过进行路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性。

　　完善的IPv6的IPSec机制提供了网络数据和信息内容的有效性、一致性以及完整性的保证，并且为网络安全提供了诸多的解决办法。为了构建安全网络还可以结合AAA认证，NAT-PT，二、三层多协议标记交换(MPLS)VPN、ACL的标准访问列表和扩展访问列表、防分片包攻击来实现安全预防；通过路由过滤、静态路由、策略路由和路由负荷分担来实现安全路由；通过SSHv2、SNMPV3、EXC提供进程访问安全、线路访问安全；通过分级管理、定制特权级管理等手段来实现网络的安全管理；最后通过完善的告警、日志和审计功能实现网络时钟的安全，同时提供访问列表和关键事件的日志、路由协议事件和错误记录等供网络管理人员进行故障分析、定位和统计。

　　3 地址管理

　　IPv6采用128比特地址结构解决IPv4地址空间不足的问题，一个较大的地址空间可以在地址空间内使用多层等级结构，严格的层次性编址有助于实现路由聚合，不仅可以使路由条目大大减少，利于提高网络性能，而且提高了路由选择的效率和可扩展性。具有严格路由聚合的特性使IPv6多点接入站点能够从数千个上游提供商那里配置地址，使多点接入成为可能，IPv6支持地址的自动配置。由于具有比较大的地址空间，IPv6能够在保持全球唯一性的同时自动配置设备上的地址。自动地址配置机制通过将自身的链路层地址(如以太网MAC地址)以EUI-64的格式附加在子网上公告的全球唯一单播IPv6前缀后面，保证自动配置的128比特地址是全球唯一的。IPv6允许网络中的节点自动配置它们自己的IPv6地址的特性，为将来移动设备的接入和热插拔的应用提供良好的保障。

　　IPv6的重新编址机制使在IPv6提供商之间的转换对最终用户是透明的。IPv6可以为公告的子网前缀赋予一个生存期的值，在当前的前缀到期后允许节点使用最新的前缀，这样主机和服务器可以自动选用新的全球单播IPv6前缀，使用新的地址。

　　IPv6使用多播取代了IPv4中的广播，当在本地链路上使用多播组的多播地址发送数据包的时候，数据包只被这个组的成员处理。通过对不同的功能使用不同的多播组，有效地利用了网络，防止了IPv4中的广播风暴。

　　4 移动性支持

　　下一代网络基于IPv6构建IP核心骨干网，数十亿的3G蜂窝设备具有IPv6协议栈，IPv6的移动性是必须的。相比移动IPv4是IPv4协议的附加物来说，在IPv6中移动性是协议内置的，任何支持IPv6的节点在需要时都能够使用移动性支持。移动IPv6的主要目标就是使得移动节点总是通过家乡地址寻址，不管是连接在家乡链路还是移动到外地网络。移动IPv6对于IP层以上的协议层是完全透明的，这使得移动节点在不同子网间移动时，运行在该节点上的应用程序不需要修改或配置就仍然可用。

　　相比移动IPv4来说，移动IPv6没有外地代理，因为每个移动IPv6节点都能处理移动性，但是在IPv6中家乡代理仍是必须的。移动IPv6主要使用两个IPv6扩展包头：目的地址扩展包头(注册时使用)和路由选择扩展包头(用于在移动节点和通信节点之间传输数据报)。

　　移动IPv6技术充分利用了IPv6协议对移动性的内在支持。移动节点根据路由器的广播报文宣称代理指示，向任意一个本地代理注册。本地代理中保存有移动节点的家乡地址和转交地址的对照表，家乡代理可以根据对照表把报文转发给移动节点。每当移动节点收到其他主机发来的报文后，在响应报文中以转交地址作为源地址，并要附带上移动节点的家乡地址，当主机的后续报文以移动节点的转交地址为目的地址时，需要附带源路由选择扩展包头，报头内容为移动节点的家乡地址。使用这种机制的目的是保证移动节点在移动过程中也不会丢失报文。当移动节点在小区间切换时，移动节点重新登记成功后，基站应该向原来的基站发重定向包文，使切换过程中路由有偏差的报文重新找到移动节点。移动IPv6协议目前还有一些问题需要解决，包括IPv6无缝越区切换技术和AAA问题等。