《基于ipv6的数字校园信息安全设计及研究》由会员分享,可在线阅读,更多相关《基于ipv6的数字校园信息安全设计及研究(8页珍藏版)》请在金锄头文库上搜索。
1、 基于IPv6的数字校园信息安全设计及研究摘要:本文介绍了数字校园网络安全的特点和易发生的威胁,并进一步分析了新一代网际协议ipv6的安全机制,说明了ipsec网络安全体系结构的实现原理与服务,阐述了ipv6对解决校园网安全问题的思路及方法。最后设计使用ipv6路由协议建设校园网络,使校园网内用户能够高速通信,达到资源共享。关键词:信息安全;网络安全;数字校园;ipv6design and research of digital campus information security based on ipv6zhu liang,zhou jianfei(college of computer
2、 science of chongqing university,chongqing,china)abstract:this paper describes the digital campus network security features and ease the threat,and further analysis of the next-generation internet protocol,ipv6,security mechanisms,ipsec network security architecture principles and services on the ca
3、mpus network ipv6 to solve the ideas and methods of security issues.the final design of the ipv6 routing protocol to build a campus network,campus network users to high-speed communications,and sharing resources.keywords:information security;network security;digital campus;ipv6一、前言随着近年来数字校园的高速发展和基数越
4、来越大网民对于校园网需求的提高,互联网产生了巨大的经济效益和社会效益。然而,在基于ipv4协议的校园网络快速发展的同时也暴露出其本身一些不可避免的问题,如ipv4地址的匮乏、安全性能不高、路由表过度膨胀、服务质量低下等。ipv6就是在这种环境下应运而生的,ipv6作为下一代互联网协议,在弥补这些缺点的同时还拥有巨大的地址空间、对移动性的内在支持、即插即用易于配置等优点,本文就是在以ipv6为核心的网络环境下分析与研究如何保证数字校园的信息安全。二、高校网络特点及经常出现的问题高校校园作为互联网诞生及最早应用的地方,具有网络应用普及率高,用户群数量庞大,分布密集且用户活跃等特点,所以高校校园网的
5、安全问题也越来越受到关注,网络安全管理也更加复杂。一般来说,校园网有以下特点:(一)开放的网络环境。由于高校科研和教学需要在一个相对开放、宽松的环境下进行,所以就决定了校园网络环境的开放性,一些新技术、新应用在校园网上才能更容易、更普遍的被大家接受。事物都有两面性,开放的网络环境同时也决定了更容易遭到黑客的骚扰和攻击。(二)联网速度快。通过以太网技术的互联,目前高校校园网可以到达百兆、千兆及万兆的带宽。(三)网络群体规模大、群体活跃。高校的学生通常是活跃的网络用户,数量庞大且分布密集。由于对网络应用的新技术充满着好奇,有些学生甚至会去攻击其他用户,影响和破坏了网络的正常运转。(四)管理网络系统
6、的困难。在校园计算机系统的管理体系中,购置和管理设备情况特殊,导致系统的维护和运作比较复杂,出现安全问题后不能及时准确地处理,责任划分不明。(五)缺乏对盗版资源的管理。盗版资源的传播占用了大量的网络带宽,由于广大网民对版权意识的不够重视,影视资源、盗版软件在校园网中使用普及,这些非法资源传播的同时也给网络安全带来了隐患。(六)资金投入。由于高校对网络资源的资金投入有限,维护人员和管理辅助方面的建设不能及时到位。通常情况下,维护网络正常运行的只有网络中心的少数工作人员。校园网既是孕育网络发展的摇篮,更是黑客攻击、病毒传播的目标和发源地。校园网当前易发生的威胁有:1.计算机的系统漏洞问题,它普遍存
7、在于每个系统中;2.校园网内部用户对网络资源的滥用,占用了网络带宽,影响了其他用户在校园网的正常使用;3.同一个网络系统下用户之间的攻击行为;4.校园网络之外的攻击、系统入侵等恶意破坏行为的发生。已经被攻破的计算机,会成为黑客继续攻击的工具;5.不良非法信息、垃圾邮件的传播;6.网络系统中蠕虫、病毒的侵袭,一般类似于木马、黑客的攻击。三、ipv6的系统体制(一)ipv6的安全特点在ipv4网络中,因为ip地址的缺乏,通常会使用nat技术将私有内网ip地址转换为公网ip地址与internet进行通信,这样虽然增大了ip地址的使用率,但是nat也给网络带来了延迟,因为要转换每个数据包包头的ip地址
8、,所以增加延迟。nat还会使某些要使用内嵌地址的应用不能正常工作。ipv6的网络地址足够大所以不需要担心网络地址不够使用,也就不需要使用nat进行网络地址转换,从而减少了网络延迟。在ipv4协议的基础上,ipv6对诸多不完善之处进行了改进,使其更加的完善和安全。新的功能显著的体现在协议内部引入了ipsec,作为ipv6协议固有的一部分一直贯穿于ipv6的各个领域,从而代替其以前ipsec单独存在的状态。在ipv4中,ipsec是一个可选扩展协议,但在ipv6中,却是一个重要组成部分,ipv6是通过两个专用的扩展标题将其列入的。基于ipv6的校园网安全机制中,ipsec在ip层上对数据包进行高强
9、度的安全处理,使用ah(authentication header)报头和esp(encapsulating security pay-load)报头来保护ip通信安全,其安全机制在校园网络的各种不同层次中得到应用。(二)ipsec的工作原理通过ah和esp这两个安全协议的实现来提供ipsec的安全服务。包括:数据包来源认证、抗数据重发攻击、访问控制、基于无连接的数据完整性、数据私有性、以及一定程度上的数据流量私有性等。ipsec既可在主机上实现,也可在网关上实现。当ip数据包进入或离开支持ipsec的接口时,ipsec模块将根据安全策略库spd(security policy databas
10、e)决定对该包进行何种处理(图1)。包的处理方式分为3种:抛弃、旁路、根据安全关联进行ipsec处理。当某接口收到一个ip包后,根据该ip包的属性及一些安全设置,在安全关联数据库sad(security association database)中寻找相应的安全关联对该ip包进行解密等处理,然后在spd中寻找相应的安全策略来处理数据包。图1 ipsec的工作原理图四、ipv6数字校园组网建设建立ipv6数字校园主要考虑校园网升级支持ipv6业务和采用同时支持ipv6/ipv4网络设备进行新校园网建设两种情况。(一)升级旧校园网1.隧道模式隧道技术由于对中间部分没有特殊要求,而只需要在隧道的出入
11、口进行修改,所以较为容易实现。具体表现为在隧道入口处,将被封装协议封装入封装协议,在隧道出口处再将被封装协议报文取出,整体上即是将一种协议封装到另一种协议中。在整个隧道的传输过程中,被封装协议是作为封装协议的负载进行传播的。校园网中存在大量ipv4设备,没有ipv6功能,或者不能升级到ipv6,将网络都升级为ipv6需要较长的时间。为了保护用户的ipv4投资,同时让新增用户使用ipv6,可以采用隧道模式。原有ipv4网络不进行改造,在核心增加一台双栈三层交换机,通过隧道技术和ipv6网络进行互通,使数据穿越原有的ipv4网络,同时通过互通技术,实现和原ipv4互通,实现访问原有ipv4网络资源
12、。2.部分新建模式部分新建模式是在原有校园网的基础上,更换或添加一些网络设备。只有少数设备可以通过升级直接支持双栈,一般而言需要购买新的双栈设备。若增加新的双栈设备,利用新增设备进行nat-pt与原ipv4核心设备互通,则新建ipv6网与原有ipv4网在各自网内分别互通,与外部则分别经原核心连接的cernet或新增设备所连接的cernet2与ipv4和ipv6网络互通。出口路由器可以是对原有设备进行软件升级支持ipv6协议,也可以更换性能更高的双栈路由器,或者通过新增一台ipv6出口路由器来实现与外部网络的连接。若希望原有用户可以方便的接入ipv6网络,又希望尽量避免对原有网络线路改造或增加,
13、建设形式将类似于新建ipv6校园网。ipv6建设初期用户较少,又希望减少设备投资,可以考虑直接将核心三层交换机替换为双栈设备,或者是考虑使用服务器模拟路由器作为边界的双栈设备。(二)新建ipv6校园网为达到形成层次化的ipv6网络的目标,可以考虑汇聚使用双栈三层交换机,校园网核心采用支持双栈的三层交换机,汇聚接入使用普通ipv4交换机即可。或者是建议采用同时支持ipv6/ipv4的网络设备进行组网建设,使得校园网平台同时支持两种业务流的承载和互通。所有关于ipv6的三层功能均交由核心处理,而不在汇聚层进行。此方案同时支持ipv6/ipv4两种业务流,不会影响目前高校主要的ipv4业务,具备硬件
14、的ipv6/ipv4线速转发能力、多种隧道和互通技术,可满足高校在ipv6应用时的不同网络环境。五、结语在数字校园ipv4的应用基础上,ipv6在可控性方面有了新的突破,完整性、网络保密性等方面较之有了很大的改进。由于目前的大多数网络攻击和威胁源自于应用层而不是ip层,ipv6不可能彻底解决所有的网络安全问题,同时伴随其发展肯定还会产生新的问题。因此,为了保障网络安全与信息安全,还要在加密体系、可信计算体系、认证体系、密钥分发体系的共同作用下,共同配合完成,只靠个别技术并不能真正达到实现的目的。参考文献:1陈艳格.ipv6校园网架构的研究与设计d.硕士学位论文,河南理工大学,20092杨立身,马亚玲.ipv6在校园网中的应用研究j.现代计算机(总第二六七期),2007,9:69-703伍海桑,陈茂科等.ipv6原理与实践m.北京:人民邮电出版社,2000村民建房委员会应建立村级农房建设质量安全监督制度和巡查制度,选聘有责任心和具有一定施工技术常识的村民作为义务巡查监督员,开展经常性的巡查和督查。
