第一篇:网络安全计算机信息管理技术应用
1网络安全
1.1网络安全的含义
所谓网络安全,可以理解为网络信息安全,这里既包含了网络系统硬件、软件的安全,同时也强调系统中各种数据的安全性。信息在网络系统中的传输、存储、处理和使用等过程均涉及到安全性的问题,需要通过一些技术手段来提供相应的数据保护。现阶段网络安全基本是分为两种:静态安全和动态安全。所谓静态,是指数据在整个网络系统中并未发生传输和处理;相反,动态是指数据在网路系统中存在传输和处理等过程。运用计算机信息管理技术,可以保证在这些状态下,网络数据不被未授权人篡改,数据不会被遗失或破坏。
1.2网络信息管理安全性
网络信息管理安全性主要是指局域网的安全性,具体包括对局域网内部共享资源的维护及控制,对相关用户名及口令加以管理。网络安全问题的复杂性是由其开放性决定的,在实际管理应用中,不仅需要考虑信息及其公布的安全性,同时还要对各种安全监测及恢复方法进行更深入的研究。在此针对信息访问控制和信息安全检测这两个方面进行讨论。
1.2.1信息访问控制问题
信息安全管理的重要内容之一就是信息访问控制,主要是指对网络信息访问进行全面控制,既控制网络信息的使用者,又控制网络信息的拥有者。网络资源访问的最大特点就是远程控制,在实际应用中需要对网络信息资源进行可靠控制,在一定规则的指导下对用户进行鉴别。
1.2.2信息安全监测问题
任何一种信息访问控制措施均会存在一定的不足之处,大多数控制方法均是针对以往或现有问题所制定的可行性措施,如果出现新的网络信息安全问题,就需要进行新措施的研究。实行网络信息安全检测,主要是因为网络系统具有一定的潜在攻击性,一旦遭遇某种攻击,就必须及时报警并采取相应措施,全面保护网络信息数据,尽快恢复被破坏数据,以保障数据安全。
1.3网络信息安全衡量指标
在评价网络信息安全水平时,可以从网络信息的机密性、完整性和真实性三个方面加以分析。所谓网络信息的机密性,是指网络信息在系统中静态和动态两种状况下,信息不被未授权第三方所截获,这一点是网络信息安全的关键点,也是决定网络信息安全水平的重要指标;所谓网络信息的完整性,是指网络信息发生存储或传输行为时,其信息内容不被第三方所修改和破坏,网络信息完整性一旦被破坏,将会直接影响整个网络系统的信息安全;所谓网络信息的真实性,是指信息在传输过程中其可信度是否发生了变化。当前常用的一种立体式网络信息安全管理模型可以分为三大块,第一块就是网络信息安全管理控制中心,主要由安全管理者所制定的各种安全管理措施组成;第二块是操作控制中心,主要由系统内部安全操作措施和计划组成;第三块是技术控制中心,这一部分主要涉及一些逻辑访问控制方法,在具体认证、授权等方面有着较为明确的规定。
2网络安全面临的威胁
2.1系统漏洞
网络系统通常情况下都使用制定好的协议,目的在于操作设计过程中能够简单方便的使用。任何一些协议的保护防范措施不周全,均会导致系统漏洞的存在,给黑客、病毒带来入侵的机会,进而导致整个网络系统遭遇大规模破坏的威胁。
2.2黑客攻击
当前全球网络已经逐渐实现统一化,人们对网络的依赖性也越来越高。这样一来黑客就可以更方便地利用网络在更大范围内寻找并挖掘系统漏洞,进而对网络系统进行攻击,造成多种破坏。比如,黑客有可能在被攻击系统中制造出大量无价值的网络数据,致使该系统资源被大量占用,导致网络出现拥挤堵塞,目标主机和网络就会在这段时间内丧失回应功能;黑客还有可能在网络系统中搜索一些防卫性能较差的系统进行破坏;此外,黑客还有可能通过邮件发送病毒,进而实现入侵网络的目的。这种攻击威力非常大,而且由于是以邮件作为载体,所以传播速度较为惊人。
3提高网络安全防范水平措施分析
3.1加强信息管理技术的控制
信息管理技术的发展需要考虑多种因素,结合实际情况提高信息安全化管理水平。信息管理技术安全管理体系的构建必须注意可实施范围,并在该范围内加强各种因素的研发力度,进而在面对各种网络应用风险时,能够提供有效的解决措施,保证整个系统能够在合理范围内高效运行。
3.2做好网络信息安全防御措施
3.2.1防火墙技术
防火墙是当前网络安全防御措施中使用频率最高的一种方式,是处于被保护网络和外部网络之间的一种安全防御措施,能够实现对网络数据的监测、限制等功能。防火墙的主要特点是价格适中,易于安装,能够实现在线升级功能。防火墙的技术水平将直接决定整个网络系统的安全性。
3.2.2认证技术
网络信息认证的主要目的在于验证信息的发送者是否是真实信息拥有者,检测信息在传输过程中是否被篡改或者有延迟情况的出现。目前,在网络信息系统中的认证技术主要包括消息认证、身份认证和数字签名三种,其中消息认证和身份认证的主要作用是在通信双方利害一致的前提下,防止第三者通过一些技术手段破坏信息。
3.2.3信息加密技术
信息加密技术是当前网络通信中使用较为广泛的一种技术,通过对信息的加密来实现信息存储和信息传输的保护。现阶段使用的信息加密技术有对称密钥加密和非对称密钥加密两种。其中对称密钥加密技术的加解密速度快,但实现起来较为麻烦;非对称密钥加密的密钥管理技术较为容易实现,但加密时间较长。
4结语
计算机信息管理技术对于网络安全非常重要,很多环节都需要结合实际情况进行全面深入的研究,制定出更全面更科学的信息管理体系,来应对当前复杂严峻的网络安全防范形势。在今后的工作中,笔者将继续致力于该领域的研究工作,以期获得更有价值的成果。
作者:樊宙 单位:兰州资源环境职业技术学院
第二篇:云网络安全技术现状研究
1国内外研究现状和发展趋势
1.1隐私数据保护云安全技术
数据安全和隐私数据是用户考虑是否采用云计算模式的一个重要因素。安全保护框架方面,最常见的数据安全保护体系是DSLC(DataSecurityLifeCycle),通过为数据安全生命周期建立安全保护体制,确保数据在创建、存储、使用、共享、归档和销毁等六个生命周期的安全。Roy等人提出了一种基于MapReduce平台的隐私保护系统Airavat,该平台通过强化访问控制和区分隐私技术,为处理关键数据提供安全和隐私保护。静态存储数据保护方面,Muntes-Mulero等人对K匿名、图匿名以及数据预处理等现有的隐私处理技术进行了讨论和总结,提出了一些可行的解决方案。动态存储数据保护方面,基于沙箱模型原理,采用Linux自带的chroot命令创建一个独立的软件系统的虚拟拷贝,保护进程不受到其他进程影响。
1.2虚拟化云安全技术
虚拟化技术是构建云计算环境的关键。在云网络中,终端用户包括潜在的攻击者都可以通过开放式的远程访问模式直接访问云服务,虚拟机系统作为云的基础设施平台自然成为这些攻击的主要目标。虚拟机安全管理方面:Garfinkel等人提出在Hypervisor和虚拟系统之间构建虚拟层,用以实现对虚拟机器的安全管理。访问控制方面:刘谦提出了Virt-BLP模型,这一模型实现了虚拟机间的强制访问控制,并满足了此场景下多级安全的需求。Revirt利用虚拟机监控器进行入侵分析,它能收集虚拟机的信息并将其记录在虚拟机监控器中,实时监控方面LKIM利用上下文检查来进行内核完整性检验。
1.3云安全用户认证与信任研究
云网络中存在云服务提供商对个人身份信息的介入管理、服务端无法解决身份认证的误判,以及合法的恶意用户对云的破坏等问题,身份认证机制在云网络下面临着诸多挑战。Bertino提出了基于隐私保护的多因素身份属性认证协议,采用零知识证明协议认证用户且不向认证者泄露用户的身份信息。陈亚睿等人用随机Petri网对用户行为认证进行建模分析,通过建立严格的终端用户的认证机制以及分析不同认证子集对认证效果的影响,降低了系统对不可信行为的漏报率。林闯、田立勤等针对用户行为可信进行了一系列深入的研究和分析,将用户行为的信任分解成三层,在此基础上进行用户行为信任的评估、利用贝叶斯网络对用户的行为信任进行预测、基于行为信任预测的博弈控制等。
1.4安全态势感知技术
自态势感知研究鼻祖Endsley最早提出将态势感知的信息出路过程划分为察觉、理解、预测三个阶段后,许多的研究学者和机构在此基础上开始进行网络安全台式感知,其中最著名的是TimBass提出的基于数据融合的入侵检测模型,一共分为六层,包括数据预处理、对象提取、状态提取、威胁提取、传感控制、认知和干预,全面的将安全信息的处理的阶段进行了归纳。网络安全态势感知框架模型方面:赵文涛等人针对大规模网络环境提出用IDS设备和系统状态监测设备代替网络安全态势感知中的传感器,用于收集网络安全信息,并从设备告警和日志信息中还原攻击手段和攻击路径,同时利用图论基础建立的认知模型。网络安全态势感知评估方面:陈秀真利用系统分解技术将网络系统分解为网络系统、主机、服务、脆弱点等四个层次,利用层次间的相关安全信息,建立层次化网络系统安全威胁态势评估模型,综合分析网络安全威胁态势。之后该架构做出了改进,量化了攻击所造成的风险,同时考虑了弱点评估和安全服务评估两种因素,加入了网络复杂度的影响因素,该框架更加体现网络安全态势真实情况。
2研究现状中存在的不足
以上这些研究对全面推动云安全技术的迅猛发展具有重要的作用。但是目前的研究,对几个领域还存在不足:(1)云网络中虚拟机间因关联而引起的安全威胁较为忽视;(2)云网络中可信计算与虚拟化的结合研究不足;(3)云网络环境下云/端动态博弈状态下安全方案和策略研究较少;(4)云网络下安全态势感知鲜有研究。我们须知云网络最大的安全问题在于不可信用户利用云平台强大的计算能力及其脆弱性发动极具破坏力的组合式或渗透式攻击,而这种攻击要比在局域网上的危害大得多,因此在这方面需要投入更多的关注,即:立足于某个特定的“云网络”系统,剖析不可信用户和网络自身脆弱性所带来的风险,时刻预测网络上的风险动向。要做到这一点,就要对云网络中终端用户的访问行为和云网络的服务行为进行实时观测,实时评估。
3未来研究发展趋势
针对上述这种影响机制,无疑博弈分析是十分合适的研究方法,国内知名学者林闯等人已提出采用博弈模型来研究云服务商对用户的信任问题,但现有的研究成果都是从云服务商的角度单向评价用户的信任等级,其实并没有考虑用户对云服务平台的信任情况以及双方信任的相互作用,有待于后人在这一方面重点展开探讨和研究。
作者:王纯子 张斌 李艳 单位:西安工程大学管理学院西安建筑科技大学
第三篇:通信网络安全关键技术研究
1通信网络的安全需求
通信网络作为一种信息传递的载体,对于多数的普通用户而言,其是透明的、也是公开的,这就导致在使用的过程中很难让人放心,因此这种透明公开的使用模式使得用户的使用过程是一个不可控的过程,这就导致在信息传递的过程中很容易被窃取或者是破坏,其通常会面临着很多的安全威胁,主要有以下几个方面:首先是信息的泄露,这是指信息在传递或者储存的过程一些未经授权的用户通过一些非法的途径对信息进行了窃取。其次,信息在传递的过程中其完整性被一些恶意的因素所破坏,导致通信使用的双方在信息的传递的过程中存在着信息的差异。再次,就是抵赖问题,是指信息发送的双方在信息发送完成后对于各自的行为予以否认,从而导致通信网络的协议或者期间的一些应用规则出现失效的情况。这些都会影响通信网络的使用的安全,也产生了通信网络安全的需求,因此,保证通信网络的私密性、数据的完整性等是非常必要的。
2通信网络安全的关键技术
通信网络安全的关键技术包含很多的方面,主要有信息加密技术、通信网络内部协议安全、网路管理安全、通信网入侵检测技术以及通信网络安全效果评估技术五个方面,具体而言有以下几点。
2.1通信网络信息加密技术
加密技术作为一种常见的信息保密技术和手段,在信息传送业务中被广泛的运用着,通过这种途径来保障信息传输的安全,可以在信息传递的两个节点之间进行加密,保障两个节点间各种控制协议或者管理信息也可以获得相应的保密性,同时也必然的降低各控制协议和管理信息的被攻击和利用的可能性。因此,对于通信网络信息加密,通常所采用的加密技术就是链路加密和端到端的混合加密方式,这种方式可以有效的提高信息密码的分析难度,也可以防止流量的分析。
2.2通信网络内部协议安全
在通信网络运行的过程中必不可少的有着很多控制协议,这些协议是维持网络互相连接,确保信息资源的分配或者使用的最基本网络运行功能得以进行的基本保证。很多对网络协议的攻击就是通过对协议的截获、破译等手段进行攻击,所以通信网络内部协议的安全性其主要的实现过程就是通过对于数据的认证和鉴别,以此保证信息数据的完整性来实现的,当然,需要特别注意的是在具体的设计过程中密钥的储存开销、密钥管理复杂性等因素。
2.3安全网管系统
在实际应用当中,对于网管协议的破坏或者是重放拒绝是构成网管系统安全性的威胁的最主要因素,如果非授权的用户从网管系统的层面对系统经行非法的登陆访问,则必然会导致网管系统很难正常的工作,网络的效率变得极低,甚至在严重的情况下还会窃取或者是破坏通信网的数据,因此在设计网管系统的过程中一定要制定切实可行的安全策略,其就包括网管系统的安全目标、安全的服务和技术控制的本身。
2.4通信网络的入侵检测技术
如何更好的识别网络的入侵行为,并在识别的基础可以给予一定的报警或者安全防范,做到能够御敌于国门之外这是在通信网络信息技术应用过程中的一个重要的技术手段,也是确保计算机网络安全的一个非常有效且常用的手段,基于这种思想,对于设计通信网络信息技术的入侵检测技术系统时,就需要根据计算网络安全系统设计的思路,逐渐向着可以做到实时的检测、互动式分布以及智能化发展的方向前进。当然,通信网络本身就具有着不同于计算机网络的特点,也有着一个完全不同的内部管理以及信令协议,这就导致通信网络入侵检测需要根据具体的情进行专门的设计。
2.5通信网络安全效果评价
通信网络安全的效果评价是对整个通信网络规划和安全策划制定和实施的最有力保证和强有力的支持,其包含的内容非常的广泛,有通信网络安全评估理论、安全性能评估工具和测试床环境的建立等多方面内容。而建立这套完整的通信网络安全效果评估工具,其必须要有着如下几个方面的功能,首先是可以有效的模仿真用户对通信网络进行模拟攻击,并且还可以提供多种的仿真测试能力,而对于通信保密系统的终端加密还可以进行效果验证,最后需要提供全面的安全评估结果。
3结束语
随着现代通信网络技术的快速发展,对于通信网络安全的要求也呈现出越来越高的趋势,信息加密技术,通信网络内部协议安全,安全网管系统,通信网络的入侵检测技术以及通信网络安全效果评价作为通信网络安全的关键技术,设计者需要根据不同的通信网络和具体的应用要求,合理的运用各项安全技术,以尽可能的保证通信网络系统运行安全可靠。
作者:吴妍岩 单位:北海舰队
第四篇:网络安全技术分析
1常见的网络安全威胁
所谓网络安全,主要是指对网络系统中存有的软、硬件和相关的信息进行保卫,使其不会受到各类因素的影响,进而令整个系统能够顺利、持续的运转。此外,所谓计算机网络安全,实际上是指基于整个系统的数据安全。当前,网络中可能会遇到的主要安全问题如下。
1.1非授权型访问,是指在没有获取相关批准的情况下就私自运用相关的计算机网络和资源
主要是指用来编制与调试能够将网络的另一边联系起来的计算机程,从而获得非法或缺少授权的访问权限。比如故意跳过系统的访问管控系统,利用不正当方式运用相关的网络设施与资源,或缺少必要授权的访问数据。主要有以下几种类型:攻击,伪造身份,在未经授权的合法用户的非法操作,非法用户的网络接入系统的违法行为等。
1.2数据丢失,是指各类较为敏感的信息遭到泄露或丢失
信息的完整性遭到损坏,也就是运用不合法的手段对相关信息进行访问于操作,对相关信息实施删除、插入、修改等活动,从而令用户不能够顺利工作,进而满足攻击者的非法目的。此外还有黑客攻击,最终导致财务表格和各类重要数据均被修改或损坏,进而给相关企业造成巨大的经济损失。更有甚者,令信息失效,系统崩溃,进而使整个网络系统都无法顺利运转,这种情况所引发的后果比账号被盗所遭受的后果还要严重。
1.3后门和木马程序
所谓后门与木马程序,主要是指那些能够运用某种软件实现对其余计算机进行管控的程序,其呈现出隐秘性强与非授权等特征。如果某台计算机安装了后门或木马程序就能够轻而易举窃取用户的信息,包括用户输入的账号密码,并发送这些信息,或者允许远程计算机的用户通过网络窃取计算机中的文件,并通过网络控制控制这台计算机,更加恐怖的是,此计算机能够对整个网络系统实现全面管控,进而为黑客提供各种便利。
2关于计算机网络的各类安全预防方法
关于计算机网络安全技术,其是一项十分庞大且繁杂的系统工程。而不断进步的技术与持续改进的安保方式能够对网络安全进行保障。从技术层面上讲,网络系统安全主要由如下部分构成:安全的应用机制、安全的操作系统、网络监测、防火墙、入侵监察、数据加密、系统还原、安全检测等。其中,无论哪一个单独组件都不能确保计算机网络安全。
2.1防火墙技术
关于防火墙技术,其能够对网络之间的互相访问方面的管控进行强化,并避免其余用户利用不法方式对内部网络进行入侵和获取相关的网络资源,进而实现对内部网络安全的保卫。此外,防火墙技术也有若干类,主要包括:包过滤型、型与监测型。(1)包过滤。包过滤型的防火墙产品属于入门级产品,其中主要运用到网络的分包输送法。在网络中,需要传送的信息通常都是用“包”作为单位,从而实施信息传送活动的,其中,信息会被分成若干个数据包,各个数据包内都存有一定量的数据,比如信息的目的地、信息源地址、目的端口等等。而防火墙则利用产看数据包中的实际数据的方式,对信息的信任度进行判定,如得出相关信息的来源是部分危险的网站,则禁止此部分信息进入。包过滤型防火墙技术的优点是简单实用成本低,缺点是只根据特定的信息来确定数据包是否安全,无法识别恶意侵入。(2)型。关于型防火墙,其也叫服务器,在安全方面比包过滤型表现的更为优秀。此外,服务器处在服务器与客户端中间的地方,在客户端和服务器进行通信活动时,第一步是把相关请求传送给服务器,之后由服务器结合实际需求向服务器进行信息索取活动,最终由服务器负责将获取的信息传送至客户端。所以服务器实际上就是客户端与服务器的媒介。型防火墙具有安全性和可靠性高的优势,但也存在设置比较繁琐,且在很大程度上影响到总体性能的劣势。(3)监测型。关于监测型防火墙,其可以实现对各层信息的实时监测与自行解析,最终对是否存有攻击现象进行明确。此外,这种产品通常会自带探测装置,并装配在服务器与网络的部分重要节点内,不但能够监察到外部的攻击活动,还能够实现对内部的蓄意损坏活动的预防。
2.2数据加密技术
和防火墙同时运用的包括信息加密技术,对相关信息进行加密能够对数据的机密性进行保障。从功能的角度出发,可以将信息加密技术分成信息传送、信息保存、信息完整程度的判定、密钥管控四种技术。信息加密技术属于信息流传送的加密方式;信息保存加密技术的主要目标是避免信息在存储阶段出现丢失现象,此技术可继续分成存取管控与密文保存两类,其中,存取管控主要是对用户的各类权限与资格进行审核与限制,从而避免缺少相应授权的不法分子对相关信息进行非法访问或部分合法用户访问或保存超越自身权限的信息,而密文保存通常是利用加密算法转换、加密模块与额外密码等方式进行实施;信息完整程度的判定技术的主要目标是针对相关数据的保存、传输、操作者身份与相关的信息内容实施验证活动,进而实现保密的目的,通常涵盖口令、身份、信息等项判定,系统根据对验证目标输入的特征值和之前设置的参数是否相符,实现对数据的安全保护;密钥管控技术的主要目标是实现信息的便捷运用,通常是保密与与盗窃的重要目标,此外,密钥的媒体形式主要有磁卡、磁盘与半导体存储器等,而密钥的管控技术涵盖了密钥的出现、配置保存与替换、销毁等各个步骤的保密活动。
2.3防病毒技术
当前,对信息安全威胁最大的是计算机病毒。在计算机网络环境下,病毒能够实现快速传播,仅仅运用单机防病毒软件难以实现对计算机病毒的彻底消除,所以,结合网络中各类病毒攻击的可能性设计出针对性的防毒与杀毒软件,利用多层次与全方面的防毒系统配置,令网络能够在最大程度上实现对病毒的防御。此外,市场上的主流杀毒应用主要有瑞星杀毒软件、360卫士、卡巴斯基杀毒软件等,此类杀毒应用较为重视对病毒的防护,在检测到有病毒侵入当前网络后,杀毒应用会立即进行处理。
3总结
综上,网络安全这个课题较为复杂,其涵盖了管理、技术与运用等各方面内容,不仅包括信息系统的自身安保问题,还包括物理与逻辑方面的技术方法。在国内,关于数据网络安全技术与产品的探究历程才刚刚开始,还有很多的工作需要我们去解析与探究。
作者:王磊 单位:华北理工大学附属医院
第五篇:高校IPv6网络安全技术研究
1引言
随着网络技术的不断发展,网络用户的人数呈现出爆炸式的增长,这使得原有的IPv4网络环境发生重大变化。首先网络的地址空间数量已经无法满足当前网络用户的需求;其次,由于用户的增加使得路由的数量不断呈几何量增长。另外,网络的普及使得对网络安全、性能、服务质量都提出了更高的要求,这使得原有的IPv4协议根本无法解决此类问题。高校作为科研的桥头堡,在高校中应用IPv6作为校园网的主要协议并对网络安全性加以研究,是当前高校科研的一个热点。
2IPv6技术
2.1IPv6协议分析
1997年,针对IPv4协议无法满足网络社会的需求,IETF(互联网工作组)制定了IPv6(InternetProtocolVersion6)协议。与IPv4相比,IPv6具有几个优势。(1)相对无限的地址空间。IPv6的地址长度是128位,意味着IPv6拥有2128个IP地址,这个地址空间可以给当前全球所有的设备无限制地提供IP地址。(2)支持移动设备。针对移动终端数量的不断增长,IPv6在设计之初就针对设备的移动问题给出相应的解决方案。(3)内置安全特性。IPv6的内置安全机制是IPsec安全机制,这是一个协议簇,AH(认证报头)利用内置加密算法对传输数据进行加密,在传输过程中被截获时对方无法获取数据的原始信息内容,保障了数据的安全性和机密性。(4)服务质量。通过对网络业务的分类对服务进行处理,对Diff-Serv模型进一步发展,解决了可扩展问题,由于该模型不能实现端到端的服务,需要通过PHB、流量工程、网络流量规划等联合实现。IPv6地址是128位,原有的IPv4的十进制表示方法描述难度加大,采用16进制进行表示,每4个16进制数表示一节,中间用冒号隔开,例如:7D83:982A:52DA:ECF1:B2C3:D672:8874:573B。为了简化IPv6的地址描述,可以通过符号::来表示连续的0,例如:A2C3:0000:0000:0000:0000:0001:B3C4:FAD6可以表示为:A2C3:::::1:B3C4。IPv6的地址可以分为单播、组播和任播三大类,单播地址是对应节点(节点可以有多个接口)的某个接口,那么一个节点可以对应多个单播地址;组播是数据在网络中传输时,所经过的节点都对传输的数据包进行检测,查看数据包中的目的地址与自身是否一致,由检测的结果来决定接收还是转发;任播是对一组接口进行数据发送,另外任播不能将源地址封装在IPv6数据包中。
2.2IPv6安全机制
IPv6的报头结构和IPv4相比要简单的多,IPv6协议中有2个地址空间及6个域,报头虽然占40个字节,要比IPv4的报头长,但由于长度固定,不需要进行计算,减少了内存资源的消耗。(1)IPv6中的验证。IPv6的认证报头具有重播放的保护机制,只有接收节点对序列号验证,该传输业务才有效。也就意味着,IPv6的报头在加密扩展报头、端到端扩展报头、TCP、UDP、路由及网络控制等报头之前,进而保障无连接的完整性。(2)IPv6中的加密。IPv6协议标准中包含的密码算法是DES-CBC,给IPv6提供安全业务协议制定者设计了封装安全载荷(ESP),为了保障传输IP数据包的完整性,机密性和可靠性,先通过报头来确定数据包的真实性,然后再对其进行解密。
3校园网IPv6构架
3.1高校网络需求分析
在高校,网络已经成为师生工作、学习、交流不可缺少的一部分,校园网建设的好坏直接关系到高校的教学和科研。建设校园网不能只考虑先进性、前沿性,还要充分考虑学校自身的经济情况和师资力量。一般来说,校园网的建设需要把握实用、先进、开放、可扩展、安全等几个原则。当前,虽然高校之间的情况不同,但每个高校的大体组成是相近的,一般都有教职工行政楼、教学楼、图书馆、网络中心和学生宿舍。当前校园网的建设要充分考虑未来的发展,对于网络中的硬件要使用IPv6作为主协议,特别是教学楼、行政楼和网络中心,尽可能地选为IPv6,对于学生宿舍,采用IPv6和IPv4混合使用,采用双协议栈技术。
3.2校园网构架方案设计
对于基于IPv6的校园网,需要在原有的IPv4校园网的基础上进行设计,不能将以前的网络完全推翻重建,那样会花费更多的人力和财力。对于新的IPv6协议需要利用原有的网络,使用隧道技术进行双协议的使用。
4校园网IPv6安全体系
4.1校园网IPv6RA安全威胁和防范
(1)IPv6RA安全威胁。在核心交换机层启用IPv6RA功能,假如IPv6网络通过无状态分配,一般来说,路由器会周期性地公告RA报文,对节点声明IPv6地址前缀,主机收到RA报文后,进而生成链路地址,RA公告主要包括链路前缀和MTU信息。当攻击者模拟路由器发送RA报文,通过默认路由指向攻击者的IPv6主机,那么就可以获取其他用户的信息,从而使网络的安全受到威胁。(2)IPv6RA安全威胁防范。为了防范RA欺骗,在中心交换机上配置安全RA,对于配置交换机的上层端口设置为信任,其他的则为非信任,这样对于下层端口来进入的RA报文,则直接丢弃,这使得即使攻击者冒充RA报文发送给交换机,也会被丢弃,有效地阻绝了RA报文欺骗。4.2IPv6校园网安全评估系统对校园网的安全进行评估,可以有效地保护网络的安全。安全评估系统通过对IPv6网络的渗透弱点进行整理分析,并对每次的渗透进行风险评估,生成对应的攻击图,并在此基础上生成风险评估报告,自动加载到知识库之中。整个IPv6校园网络安全评估系统主要由渗透测试模块、攻击图生成模块、系统管理模块、IPv6态势分析模块和IPv6弱点知识库模块组成。
5结束语
本文针对高校IPv6网络安全技术进行分析,对于当前高校网络的普及化,安全问题已经成为师生关注的焦点。随着网络的不断发展,IPv6取代IPv4已经成为必然,但IPv6是一个新生的事物,在发展和壮大过程中,需要受到各方面的挑战。本文仅对IPv6校园网的部署和安全防范进行了描述,具体的一些细节并没有完全展开。
作者:刘凯 单位:西京学院陕西西安
