IPv4与IPv6的区别是什么？

IPv6与IPv4的区别主要有以下几点：
1IPv6的地址空间更大。IPv4中规定IP地址长度为32,即有2^32-1个地址；而IPv6中IP地址的长度为128,即有2^128-1个地址。夸张点说就是，如果IPV6被广泛应用以后，全世界的每一粒沙子都会有相对应的一个IP地址。
2IPv6的路由表更小。IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。
3IPv6的组播支持以及对流的支持增强。这使得网络上的多媒体应用有了长足发展的机会，为服务质量控制提供了良好的网络平台。
4IPv6加入了对自动配置的支持。这是对DHCP协议的改进和扩展，使得网络(尤其是局域网)的管理更加方便和快捷。
5IPv6具有更高的安全性。在使用IPv6网络中，用户可以对网络层的数据进行加密并对IP报文进行校验，这极大地增强了网络安全。

将IPv6技术应用于物联网感知层需要解决一些关键问题，包括以下几个方面。
——IPv6报文过大，头部负载过重。必须采用分片技术将IPv6分组包适配到底层MAC帧中，并且为了提高传送的效率，需要引入头部压缩策略解决头部负载过重问题。
——地址转换。需要相应的地址转换机制来实现IPv6地址和IEEE802154长、短MAC地址之间的转换。
——报文泛滥。必须调整IPv6的管理机制，以抑制IPv6网络大量的网络配置和管理报文，适应802154低速率网络的需求。
——轻量化IPv6协议。应针对IEEE802154的特性确定保留或者改进哪些IPv6协议栈功能，满足嵌入式IPv6对功能、体积、功耗和成本等的严格要求。
——路由机制。IPv6网络使用的路由协议主要是基于距离矢量和基于链路状态的路由协议。这两类协议都需要周期性地交换信息来维护网络正确的路由表或网络拓扑结构图。而在资源受限的物联网感知层网络中采用传统的IPv6路由协议，由于节点从休眠到激活状态的切换会造成拓扑变化比较频繁，导致控制信息将占用大量的无线信道资源，增加了节点的能耗，从而缩短了网络的生存周期。因此需要对IPv6路由机制进行优化改进，使其能够在能量、存储和带宽等资源受限的条件下，尽可能地延长网络的生存周期，重点研究网络拓扑控制技术、数据融合技术、多路径技术、能量节省机制等。
——组播支持。IEEE802154的MAC子层只支持单播和广播，不支持组播。而IPv6组播是IPv6的一个重要特性，在邻居发现和地址自动配置等机制中，都需要链路层支持组播。所以，需要制定从IPv6层组播地址到MAC地址的映射机制，即在MAC层用单播或者广播替代组播。
——网络配置和管理。由于网络规模大，而一些设备的分布地点又是人员所不能到达的，因此物联网感知层的设备应具有一定的自动配置功能，网络应该具有自愈能力，要求网络管理技术能够在很低的开销下管理高度密集分布的设备。
IPv6技术是目前现实可行的下一代网络演进技术，上述关键问题的解决将推动IPv6技术在物联网感知层的应用，加快物联网业务应用的部署。

尽管IPv4中常见的攻击方式将在IPv6网络中失效，使来自网络层的一些安全攻击得以抑制，但采用IPv6并不意味着关紧了安全的大门，来自应用层的威胁将以新的方式出现。 总有人误认为“网络改成IPv6，安全问题就全面解决了”。诚然，IPv4中常见的一些攻击方式将在IPv6网络中失效，例如网络侦察、报头攻击、碎片攻击、假冒地址及蠕虫病毒等，但IPv6不仅不可能彻底解决所有安全问题，反而还会产生新的安全问题。
虽然与IPv4相比，IPv6在网络保密性、完整性方面做了更好的改进，在可控性和抗否认性方面有了新的保证，但目前多数网络攻击和威胁来自应用层而非网络层。因此，保护网络安全与信息安全，只靠一两项技术并不能实现，还需配合多种手段，诸如认证体系、加密体系、密钥分发体系、可信计算体系等。

安全新问题如影随形

IPv6是新的协议，在其发展过程中必定会产生一些新的安全问题，主要包括:
● 针对IPv6的网管设备和网管软件都不太成熟。
IPv6的管理可借鉴IPv4。但对于一些网管技术，如SNMP（简单网络管理）等，不管是移植还是重建，其安全性都必须从本质上有所提高。由于目前针对IPv6的网管都不太成熟，因此缺乏对IPv6网络进行监测和管理的手段，对大范围的网络故障定位和性能分析的能力还有待提高。
● IPv6中同样需要防火墙、、IDS（入侵检测系统）、漏洞扫描、网络过滤、防病毒网关等网络安全设备。
事实上，IPv6环境下的病毒已经出现。例如，有研究人员在IPv6中发现了一处安全漏洞,可能导致用户遭受拒绝服务攻击。据悉,该漏洞存在于IPv6的type 0路由头(RH0)特征中。某些系统在处理IPv6 type 0路由头时存在拒绝服务漏洞。
● IPv6协议仍需在实践中完善。
IPv6组播功能仅仅规定了简单的认证功能，所以还难以实现严格的用户限制功能。移动IPv6(Mobile IPv6)也存在很多新的安全挑战，目前移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。另外，DHCP（ Dynamic Host Configuration Protocol,动态主机配置协议）必须经过升级才可以支持IPv6地址，DHCPv6仍然处于研究、制订之中。
●向IPv6迁移过程中可能出现漏洞。
目前安全人员已经发现从IPv4向 IPv6转移时出现的一些安全漏洞，例如黑客可以非法访问采用了IPv4和IPv6两种协议的LAN网络资源，攻击者可以通过安装了双栈的IPv6主机建立由IPv6到IPv4的隧道，从而绕过防火墙对IPv4进行攻击。
IPv6协议在网络安全上的改进
● IP安全协议(IPSec)技术
IP安全协议(IPSec)是IPv4的一个可选扩展协议，而在IPv6中则是一个必备的组成部分。IPSec协议可以“无缝”地为IP提供安全特性，如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证，以及抗重播(Replay)攻击等。
IPSec通过三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是否一致，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容，而无关的接收者无法获知数据的真正内容。
需要指出的是，虽然IPSec能够防止多种攻击，但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议，只能负责其下层的网络安全，不能对其上层如Web、E-mail及FTP等应用的安全负责。
●灵活的扩展报头
一个完整的IPv6数据包包括多种扩展报头，例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础，同时也为安全性提供了保障。
比较IPv4和Ipv6的报头可以发现，IPv6报头采用基本报头+扩展报头链组成的形式，这种设计可以更方便地增添选项，以达到改善网络性能、增强安全性或添加新功能的目的。
IPv6基本报头被固定为40bit，使路由器可以加快对数据包的处理速度，网络转发效率得以提高，从而改善网络的整体吞吐量，使信息传输更加快速。
IPv6基本报头中去掉了IPv4报头中的部分字段，其中段偏移选项和填充字段被放到IPv6扩展报头中进行处理。
去掉报头校验(Header Checksum，中间路由器不再进行数据包校验)的原因有三: 一是因为大部分链路层已经对数据包进行了校验和纠错控制，链路层的可靠保证使得网络层不必再进行报头校验; 二是端到端的传输层协议也有校验功能以发现错包; 三是报头校验需随着TTL值的变化在每一跳重新进行计算，增加包传送的时延。
●地址分配与源地址检查
地址分配与源地址检查在IPv6的地址概念中，有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说，这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系，网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务，那么就可以只给这台服务器分配一个本地网络地址，而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构，因此，IPv6接入路由器对用户进入时进行源地址检查，使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑，允许核心路由器根据需要，开启反向路由检测功能，防止源路由篡改和攻击。
IPv6固有的对身份验证的支持，以及对数据完整性和数据机密性的支持和改进，使得IPv6增强了防止未授权访问的能力，更加适合于那些对敏感信息和资源有特别处理要求的应用。
通过端到端的安全保证，网络可以满足用户对安全性和移动性的要求。IPv6限制使用NAT（Network Address Translation，网络地址转换），允许所有的网络节点使用全球惟一的地址进行通信。每当建立一个IPv6的连接，系统都会在两端主机上对数据包进行 IPSec封装，中间路由器对有IPSec扩展头的IPv6数据包进行透明传输。通过对通信端的验证和对数据的加密保护，使得敏感数据可以在IPv6 网络上安全地传递，因此，无需针对特别的网络应用部署ALG(应用层网关)，就可保证端到端的网络透明性，有利于提高网络服务速度。
●域名系统DNS
基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础，有助于抵御网上的身份伪装与偷窃。当采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议时，能进一步增强对DNS新的攻击方式的防护，例如网络钓鱼(Phishing)攻击、DNS中毒(DNS poisoning)攻击等，这些攻击会控制DNS服务器，将合法网站的IP地址篡改为假冒、恶意网站的IP地址。

与IPv4相较，IPv6除拥有海量IP地址（号称可以为全世界的每一粒沙子编上一个地址）以外，还具有以下几点优势：
1) IPv6地址分配遵循“聚类”原则，减小了路由器中路由表的长度，路由器转发数据包速度也得到提升，从而提高了网络的整体吞吐量。
2) IPv6协议独立于传输介质，默许集成IPSec安全功能，且终端之间无需进行地址转换，在网络安全性方面更胜一筹。
3) IPv6引入自动配置及重配置技术，可自动增删更新配置IP地址等信息，实现了即插即用。
4) IPv6增加了增强的组播支持及对流控制，赋予网络上多媒体应用长足发展的机会，为服务质量（QoS, Quality of Service）控制提供了良好的网络平台。

下图为一个较为通用的IoT系统的开发技术域图谱。

我们用华为的HiLink进行举例说明。

• 华为HiLink智能家居开发者平台是以HUAWEI HiLink为核心的技术开放平台。 • 为开发者提供基于云到端的整套智能家居解决方案服务。 • 开发者能基于云到端的整套HiLink智能家居解方案，快速构建智能硬件，缩短产品上市周期，还可以与 HiLink生态圈内的硬件互联互通，形成开放、互通、共建的智能家居生态。

• 华为HiLink智能家居开放者平台提供整套解决方案，并建设开发者社区，为开发者提供全方位的指导，帮 助开发者从开发环境搭建到集成、测试、提供一站式的开发服务。 

• HiLink生态中的开发者可以在HiLink智能家居解决方案平台中进行开发。我们将开放 HiLink SDK、 LiteOS、物联网芯片、安全、和人工智能等核心技术能力： 

• 1 HiLink智能设备 

        • 平台提供HiLink SDK。支持Wi-Fi、BLE、Zigbee等方式联网，帮助智能硬件厂商快速集成HUAWEI HiLink协议。 

• 2 智能家居APP 

        • 平台提供标准的HTML5的设备控制页面，开发者也可以基于JSAPI接口，进行智能设备控制界面开发。 

• 3 HiLink 智能家居云 

        • 云端通过开放API，实现和第三方云的协议对接和数据共享。 

• 4 智能路由开放平台 

        • 开放智能路由平台，可以支持主流智能家居协议的转换，实现第三方设备的控制。

最早其的HiLink并没有如此宏大的蓝图，仅仅是为了增强智能路由器的配套工程，即主要是支撑智能路由 产品族，为其配套尽可能多的智能家居产品。 • 最强大的功能就是其自组网能力，是从企业级路由器自组网协议中衍生出来的，从诞生之初，一直是国内 家用路由器中，最好的自组网协议，没有之一。特色就是其自组网键“HiLink”键，它长这样：

• 1 组播/广播配网 

通过华为智能家居APP或HiLink路由器下发路由器SSID 和密码参数，智能设备连接无线路由器网络。设备配网需 要借助智能家居APP来实现，根据家庭组网路由器的不同。 

• 2 SoftAP配网 

周围有待配网的智能设备，设备处于SoftAP模式，通过 *** 作智能家居APP接入设备热点并向设备下发路由器 SSID和密码参数，设备切换为STA模式并回连路由器网 络，智能家居APP切换重连路由器网络。

由于组播/广播配网往往有路由器兼容性问题（主要是广播拥塞），所以WiFi接入的IoT设备必须要支持SoftAP配网 。

• Device 

HiLink智能家居平台中的设备节点，例如家庭娱乐，家庭照明，家庭安防，家庭健康以及穿戴式等IoT领域的智能硬件。 

• 网关 

物联网解决方案中的网关，包括路由器、家庭网关等。 

• APP 

物联网解决方案中的手机/iPad控制端。 

• 云 

物联网运营管理平台，实现海量连接、设备管理和运营管理。 

a)  统一华为账号 

b) 设备管理 

c) 场景联动控制 

d) 安全连接 

e) 外部数据共享功能 

• Profile 

定义了Device设备侧的应用场景，这些行为包括如何与网关、云平台进行信息的查询和控制等。Profile是服务的集合。 

• 服务 

 服务是指定义智能设备执行查询和控制的命令的集合。比如一盏智能灯，可以对外提供开关服务，外界可以通过这个服务来控 制灯的开关状态以及获取灯的开关状态。

---