数据在IPv6通信中是否始终加密？

对于这个问题，我似乎无法获得直接的答案。维基百科说：“ IPsec是IPv6中基本协议套件的组成部分，”但这意味着所有通信都始终被加密，或者这意味着加密是可选的，但是设备必须能够理解它（应该使用它） ）？

如果加密是可选的，是操作系统决定使用加密还是应用程序？流行的操作系统和软件通常是否启用加密？

我自己进行调查，但是我没有IPv6连接。

更新：好的，所以是可选的。我的后续问题：通常是定义是否使用加密的应用程序，还是操作系统？

一个特定的示例：想象一下，我有支持本地ipv6的最新版本的Windows，并且我使用Mozilla Firefox在ipv6.google.com上搜索了某些内容。会加密吗？

没有。

IPv6内置IPsec作为协议的一部分，并且与IPv4相比不是固定的。但是，这并不意味着默认情况下已启用它，只是意味着（理论上）网络堆栈的开销较低。

通常，IPsec的使用由网络堆栈的IP级别确定，因此由系统策略本身确定。例如，系统A可能具有要求AH和ESP与4.0.0.0/8子网进行任何通信的策略。

更新：显然，该应用程序不在乎-它只知道它必须在某个地方打开网络连接并向下发送/接收数据。然后，系统必须确定是否为给定的请求连接协商IPsec。IPsec很大程度上被设计为一种低级身份验证/加密机制，并且经过有意构建，因此高级协议和应用程序不必为此担心。

就是说，这只是另一个网络级的安全控制，不一定要孤立地使用或依靠它来保证“安全性”-如果您要解决和验证问题，则完全有可能想要应用程序强制执行某种用户级别的身份验证，同时将机器级别的身份验证降低到IPsec。

简短答案：不可以。

长答案：在设计IPv6时考虑了IPsec，因为与IPv4不同，IPsec（使用时）是IPv6标头的一部分。

更多说明：在IPv4中，IPsec 在 IP本身之上运行。实际上，这是第4层协议，其“伪装”为第3层协议（这样，常规的L4协议TCP和UDP仍然可以工作）。ESP（封装安全有效载荷）不能跨越IP数据包。结果，如果防止分段，则IPsec数据包通常将严重减少有效负载容量。另外，因为它位于IP之上，所以IP的标头不受保护。

在IPv6中，IPsec 是 IP本身的一部分。它可以跨越数据包，因为ESP标头现在是IP标头的一部分。由于它与IP集成在一起，因此可以保护IP标头的更多部分。

我希望我的“简而言之”的解释足够清楚。

给您的后续问题：

操作系统定义何时使用加密。这些“策略”选项位于控制面板/配置策略中。您说类似“如果要连接到子网ab12 ::中的任何地址，您必须具有秘密的Blah1234”之类的内容。有使用PKI的选项。

目前，应用程序无法添加到该策略或要求设置此策略。在Linux套接字ipv6部分中提到“缺少对EH和AH标头的IPSec支持。”因此人们已经想到了这一点，但是目前尚无已知的可行实现。

关于您的后续问题，是和否。

应用程序可以指定加密，但是加密是在应用程序级别完成的。使用不同端口（例如HTTP / HTTPS，LDAP / LDAPS，IMAP / IMAPS和SMTP / SSMTP）的各种各样的未加密/加密协议对。这些都使用SSL或TLS加密。某些服务将提供startTLS选项，该选项允许在通常未加密的端口上启动加密的连接。SSH是始终使用加密连接的应用程序。在这些情况下，加密是端对端的。（可以使用NULL加密算法，并且加密的内容将以未加密的方式传输。）

IPSEC由管理员配置，应用程序将不知道连接是否已加密。我主要看到IPSEC用于通过不安全的连接（VPN连接）在LAN之间桥接流量。我相信IPSEC可能仅适用于部分路由，因此在某些网络段上，数据以明文（未加密）传输。

如果可以选择，我将使用应用程序加密，因为网络加密的使用率不高。