基于IPv6的數(shù)字校園信息安全設(shè)計及研究

1、基于IPv6的數(shù)字校園信息安全設(shè)計及研究摘要：本文介紹了數(shù)字校園網(wǎng)絡(luò)安全的特點和易發(fā)生的威脅，并進一步分析了新一代網(wǎng)際協(xié)議ipv6的安全機制，說明了ipsec網(wǎng)絡(luò)安全體系結(jié)構(gòu)的實現(xiàn)原理與服務(wù)，闡述了ipv6對解決校園網(wǎng)安全問題的思路及方法。最后設(shè)計使用ipv6路由協(xié)議建設(shè)校園網(wǎng)絡(luò)，使校園網(wǎng)內(nèi)用戶能夠高速通信，達到資源共享。關(guān)鍵詞：信息安全；網(wǎng)絡(luò)安全；數(shù)字校園；ipv6design and research of digital campus information security based on ipv6zhu liang,zhou jianfei(college of computer

2、science of chongqing university,chongqing400030,china)abstract:this paper describes the digital campus network security features and ease the threat,and further analysis of the next-generation internet protocol,ipv6,security mechanisms,ipsec network security architecture principles and services on t

3、he campus network ipv6 to solve the ideas and methods of security issues.the final design of the ipv6 routing protocol to build a campus network,campus network users to high-speed communications,and sharing resources.keywords:information security;network security;digital campus;ipv6一、前言隨著近年來數(shù)字校園的高速發(fā)

4、展和基數(shù)越來越大網(wǎng)民對于校園網(wǎng)需求的提高，互聯(lián)網(wǎng)產(chǎn)生了巨大的經(jīng)濟效益和社會效益。然而，在基于ipv4協(xié)議的校園網(wǎng)絡(luò)快速發(fā)展的同時也暴露出其本身一些不可避免的問題，如ipv4地址的匱乏、安全性能不高、路由表過度膨脹、服務(wù)質(zhì)量低下等。ipv6就是在這種環(huán)境下應(yīng)運而生的，ipv6作為下一代互聯(lián)網(wǎng)協(xié)議，在彌補這些缺點的同時還擁有巨大的地址空間、對移動性的內(nèi)在支持、即插即用易于配置等優(yōu)點，本文就是在以ipv6為核心的網(wǎng)絡(luò)環(huán)境下分析與研究如何保證數(shù)字校園的信息安全。二、高校網(wǎng)絡(luò)特點及經(jīng)常出現(xiàn)的問題高校校園作為互聯(lián)網(wǎng)誕生及最早應(yīng)用的地方，具有網(wǎng)絡(luò)應(yīng)用普及率高，用戶群數(shù)量龐大，分布密集且用戶活躍等特點，所以高

5、校校園網(wǎng)的安全問題也越來越受到關(guān)注，網(wǎng)絡(luò)安全管理也更加復雜。一般來說，校園網(wǎng)有以下特點：（一）開放的網(wǎng)絡(luò)環(huán)境。由于高?？蒲泻徒虒W需要在一個相對開放、寬松的環(huán)境下進行，所以就決定了校園網(wǎng)絡(luò)環(huán)境的開放性，一些新技術(shù)、新應(yīng)用在校園網(wǎng)上才能更容易、更普遍的被大家接受。事物都有兩面性，開放的網(wǎng)絡(luò)環(huán)境同時也決定了更容易遭到黑客的騷擾和攻擊。（二）聯(lián)網(wǎng)速度快。通過以太網(wǎng)技術(shù)的互聯(lián)，目前高校校園網(wǎng)可以到達百兆、千兆及萬兆的帶寬。（三）網(wǎng)絡(luò)群體規(guī)模大、群體活躍。高校的學生通常是活躍的網(wǎng)絡(luò)用戶，數(shù)量龐大且分布密集。由于對網(wǎng)絡(luò)應(yīng)用的新技術(shù)充滿著好奇，有些學生甚至會去攻擊其他用戶，影響和破壞了網(wǎng)絡(luò)的正常運轉(zhuǎn)。（四）管

6、理網(wǎng)絡(luò)系統(tǒng)的困難。在校園計算機系統(tǒng)的管理體系中，購置和管理設(shè)備情況特殊，導致系統(tǒng)的維護和運作比較復雜，出現(xiàn)安全問題后不能及時準確地處理，責任劃分不明。（五）缺乏對盜版資源的管理。盜版資源的傳播占用了大量的網(wǎng)絡(luò)帶寬，由于廣大網(wǎng)民對版權(quán)意識的不夠重視，影視資源、盜版軟件在校園網(wǎng)中使用普及，這些非法資源傳播的同時也給網(wǎng)絡(luò)安全帶來了隱患。（六）資金投入。由于高校對網(wǎng)絡(luò)資源的資金投入有限，維護人員和管理輔助方面的建設(shè)不能及時到位。通常情況下，維護網(wǎng)絡(luò)正常運行的只有網(wǎng)絡(luò)中心的少數(shù)工作人員。校園網(wǎng)既是孕育網(wǎng)絡(luò)發(fā)展的搖籃，更是黑客攻擊、病毒傳播的目標和發(fā)源地。校園網(wǎng)當前易發(fā)生的威脅有：1.計算機的系統(tǒng)漏洞問題

7、，它普遍存在于每個系統(tǒng)中；2.校園網(wǎng)內(nèi)部用戶對網(wǎng)絡(luò)資源的濫用，占用了網(wǎng)絡(luò)帶寬，影響了其他用戶在校園網(wǎng)的正常使用；3.同一個網(wǎng)絡(luò)系統(tǒng)下用戶之間的攻擊行為；4.校園網(wǎng)絡(luò)之外的攻擊、系統(tǒng)入侵等惡意破壞行為的發(fā)生。已經(jīng)被攻破的計算機，會成為黑客繼續(xù)攻擊的工具；5.不良非法信息、垃圾郵件的傳播；6.網(wǎng)絡(luò)系統(tǒng)中蠕蟲、病毒的侵襲，一般類似于木馬、黑客的攻擊。三、ipv6的系統(tǒng)體制（一）ipv6的安全特點在ipv4網(wǎng)絡(luò)中，因為ip地址的缺乏，通常會使用nat技術(shù)將私有內(nèi)網(wǎng)ip地址轉(zhuǎn)換為公網(wǎng)ip地址與internet進行通信，這樣雖然增大了ip地址的使用率，但是nat也給網(wǎng)絡(luò)帶來了延遲，因為要轉(zhuǎn)換每個數(shù)據(jù)包包頭

8、的ip地址，所以增加延遲。nat還會使某些要使用內(nèi)嵌地址的應(yīng)用不能正常工作。ipv6的網(wǎng)絡(luò)地址足夠大所以不需要擔心網(wǎng)絡(luò)地址不夠使用，也就不需要使用nat進行網(wǎng)絡(luò)地址轉(zhuǎn)換，從而減少了網(wǎng)絡(luò)延遲。在ipv4協(xié)議的基礎(chǔ)上，ipv6對諸多不完善之處進行了改進，使其更加的完善和安全。新的功能顯著的體現(xiàn)在協(xié)議內(nèi)部引入了ipsec，作為ipv6協(xié)議固有的一部分一直貫穿于ipv6的各個領(lǐng)域，從而代替其以前ipsec單獨存在的狀態(tài)。在ipv4中，ipsec是一個可選擴展協(xié)議，但在ipv6中，卻是一個重要組成部分，ipv6是通過兩個專用的擴展標題將其列入的。基于ipv6的校園網(wǎng)安全機制中，ipsec在ip層上對數(shù)據(jù)

9、包進行高強度的安全處理，使用ah（authentication header）報頭和esp（encapsulating security pay-load）報頭來保護ip通信安全，其安全機制在校園網(wǎng)絡(luò)的各種不同層次中得到應(yīng)用。（二）ipsec的工作原理通過ah和esp這兩個安全協(xié)議的實現(xiàn)來提供ipsec的安全服務(wù)。包括：數(shù)據(jù)包來源認證、抗數(shù)據(jù)重發(fā)攻擊、訪問控制、基于無連接的數(shù)據(jù)完整性、數(shù)據(jù)私有性、以及一定程度上的數(shù)據(jù)流量私有性等。ipsec既可在主機上實現(xiàn)，也可在網(wǎng)關(guān)上實現(xiàn)。當ip數(shù)據(jù)包進入或離開支持ipsec的接口時，ipsec模塊將根據(jù)安全策略庫spd(security policy da

10、tabase)決定對該包進行何種處理(圖1)。包的處理方式分為3種：拋棄、旁路、根據(jù)安全關(guān)聯(lián)進行ipsec處理。當某接口收到一個ip包后，根據(jù)該ip包的屬性及一些安全設(shè)置，在安全關(guān)聯(lián)數(shù)據(jù)庫sad（security association database）中尋找相應(yīng)的安全關(guān)聯(lián)對該ip包進行解密等處理，然后在spd中尋找相應(yīng)的安全策略來處理數(shù)據(jù)包。圖1 ipsec的工作原理圖四、ipv6數(shù)字校園組網(wǎng)建設(shè)建立ipv6數(shù)字校園主要考慮校園網(wǎng)升級支持ipv6業(yè)務(wù)和采用同時支持ipv6/ipv4網(wǎng)絡(luò)設(shè)備進行新校園網(wǎng)建設(shè)兩種情況。（一）升級舊校園網(wǎng)1.隧道模式隧道技術(shù)由于對中間部分沒有特殊要求，而只需要在

11、隧道的出入口進行修改，所以較為容易實現(xiàn)。具體表現(xiàn)為在隧道入口處，將被封裝協(xié)議封裝入封裝協(xié)議，在隧道出口處再將被封裝協(xié)議報文取出，整體上即是將一種協(xié)議封裝到另一種協(xié)議中。在整個隧道的傳輸過程中，被封裝協(xié)議是作為封裝協(xié)議的負載進行傳播的。校園網(wǎng)中存在大量ipv4設(shè)備，沒有ipv6功能，或者不能升級到ipv6，將網(wǎng)絡(luò)都升級為ipv6需要較長的時間。為了保護用戶的ipv4投資，同時讓新增用戶使用ipv6，可以采用隧道模式。原有ipv4網(wǎng)絡(luò)不進行改造，在核心增加一臺雙棧三層交換機，通過隧道技術(shù)和ipv6網(wǎng)絡(luò)進行互通，使數(shù)據(jù)穿越原有的ipv4網(wǎng)絡(luò)，同時通過互通技術(shù)，實現(xiàn)和原ipv4互通，實現(xiàn)訪問原有ipv

12、4網(wǎng)絡(luò)資源。2.部分新建模式部分新建模式是在原有校園網(wǎng)的基礎(chǔ)上，更換或添加一些網(wǎng)絡(luò)設(shè)備。只有少數(shù)設(shè)備可以通過升級直接支持雙棧，一般而言需要購買新的雙棧設(shè)備。若增加新的雙棧設(shè)備，利用新增設(shè)備進行nat-pt與原ipv4核心設(shè)備互通，則新建ipv6網(wǎng)與原有ipv4網(wǎng)在各自網(wǎng)內(nèi)分別互通，與外部則分別經(jīng)原核心連接的cernet或新增設(shè)備所連接的cernet2與ipv4和ipv6網(wǎng)絡(luò)互通。出口路由器可以是對原有設(shè)備進行軟件升級支持ipv6協(xié)議，也可以更換性能更高的雙棧路由器，或者通過新增一臺ipv6出口路由器來實現(xiàn)與外部網(wǎng)絡(luò)的連接。若希望原有用戶可以方便的接入ipv6網(wǎng)絡(luò)，又希望盡量避免對原有網(wǎng)絡(luò)線路改

13、造或增加，建設(shè)形式將類似于新建ipv6校園網(wǎng)。ipv6建設(shè)初期用戶較少，又希望減少設(shè)備投資，可以考慮直接將核心三層交換機替換為雙棧設(shè)備，或者是考慮使用服務(wù)器模擬路由器作為邊界的雙棧設(shè)備。（二）新建ipv6校園網(wǎng)為達到形成層次化的ipv6網(wǎng)絡(luò)的目標，可以考慮匯聚使用雙棧三層交換機，校園網(wǎng)核心采用支持雙棧的三層交換機，匯聚接入使用普通ipv4交換機即可。或者是建議采用同時支持ipv6/ipv4的網(wǎng)絡(luò)設(shè)備進行組網(wǎng)建設(shè)，使得校園網(wǎng)平臺同時支持兩種業(yè)務(wù)流的承載和互通。所有關(guān)于ipv6的三層功能均交由核心處理，而不在匯聚層進行。此方案同時支持ipv6/ipv4兩種業(yè)務(wù)流，不會影響目前高校主要的ipv4業(yè)務(wù)，具備硬件的ipv6/ipv4線速轉(zhuǎn)發(fā)能力、多種隧道和互通技術(shù)，可滿足高校在ipv6應(yīng)用時的不同網(wǎng)絡(luò)環(huán)境。五、結(jié)語在數(shù)字校園ipv4的應(yīng)用基礎(chǔ)上，ipv6在可控性方面有了新的突破，完整性、網(wǎng)絡(luò)保密性等方面較之有了很大的改進。由于目前的大多數(shù)網(wǎng)絡(luò)攻擊和威脅源自于應(yīng)用層而不是ip層，ipv6不可能徹底解決所有的網(wǎng)絡(luò)安全問題，同時伴隨其發(fā)展肯定還會產(chǎn)