1、IPv6协议分析
1997年,针对IPv4协议无法满足网络社会的需求,IETF(互联网工作组)制定了IPv6(InternetProtocolVersion6)协议。与IPv4相比,IPv6具有几个优势。(1)相对无限的地址空间。IPv6的地址长度是12位,意味着IPv6拥有2128个IP地址,这个地址空间可以给当前全球所有的设备无限制地提供IP地址。(2)支持移动设备。针对移动终端数量的不断增长IPv6在设计之初就针对设备的移动问题给出相应的解决方案。(3)内置安全特性。IPv6的内置安全机制是IPsec安全机制,这是一个协议簇,AH(认证报头)利用内置加密算法对传输数据进行加密,在传输过程中被截获时对方无法获取数据的原始信息内容,保障了数据的安全性和机密性。(4)服务质量。通过对网络业务的分类对服务进行处理,对Diff-Serv模型进一步发展,解决了可扩展问题由于该模型不能实现端到端的服务,需要通过PHB、流量工程、网络流量规划等联合实现。IPv6地址是128位,原有的IPv4的十进制表示方法描述难度加大,采用16进制进行表示,每4个16进制数表示一节,中间用冒号隔开,例如:7D83:982A:52DA:ECF1:B2C3:D672:8874:573B。为了简化IPv6的地址描述,可以通过符号::来表示连续的0,例如:A2C3:0000:0000:0000:0000:0001:B3C4:FAD6可以表示为:A2C3:::::1:B3C4。IPv6的地址可以分为单播、组播和任播三大类,单播地址是对应节点(节点可以有多个接口)的某个接口,那么一个节点可以对应多个单播地址;组播是数据在网络中传输时,所经过的节点都对传输的数据包进行检测,查看数据包中的目的地址与自身是否一致,由检测的结果来决定接收还是转发;任播是对一组接口进行数据发送,另外任播不能将源地址封装在IPv6数据包中。
2、IPv6安全机制
IPv6的报头结构和IPv4相比要简单的多,IPv6协议中有2个地址空间及6个域,报头虽然占40个字节,要比IPv4的报头长,但由于长度固定,不需要进行计算,减少了内存资源的消耗。(1)IPv6中的验证。IPv6的认证报头具有重播放的保护机制,只有接收节点对序列号验证,该传输业务才有效。也就意味着,IPv6的报头在加密扩展报头、端到端扩展报头、TCP、UDP、路由及网络控制等报头之前,进而保障无连接的完整性。(2)IPv6中的加密。IPv6协议标准中包含的密码算法是DES-CBC,给IPv6提供安全业务协议制定者设计了封装安全载荷(ESP),为了保障传输IP数据包的完整性,机密性和可靠性,先通过报头来确定数据包的真实性,然后再对其进行解密。
3、校园网IPv6构架
3.1高校网络需求分析
在高校,网络已经成为师生工作、学习、交流不可缺少的一部分,校园网建设的好坏直接关系到高校的教学和科研。建设校园网不能只考虑先进性、前沿性,还要充分考虑学校自身的经济情况和师资力量。一般来说,校园网的建设需要把握实用、先进、开放、可扩展、安全等几个原则。当前,虽然高校之间的情况不同,但每个高校的大体组成是相近的,一般都有教职工行政楼、教学楼、图书馆、网络中心和学生宿舍。当前校园网的建设要充分考虑未来的发展,对于网络中的硬件要使用IPv6作为主协议,特别是教学楼、行政楼和网络中心,尽可能地选为IPv6,对于学生宿舍,采用IPv6和IPv4混合使用,采用双协议栈技术。
3.2校园网构架方案设计
对于基于IPv6的校园网,需要在原有的IPv4校园网的基础上进行设计,不能将以前的网络完全推翻重建,那样会花费更多的人力和财力。对于新的IPv6协议需要利用原有的网络,使用隧道技术进行双协议的使用。其网络架构如图1所示。
4、校园网IPv6安全体系
4.1校园网IPv6RA安全威胁和防范
(1)IPv6RA安全威胁。在核心交换机层启用IPv6RA功能,假如IPv6网络通过无状态分配,一般来说,路由器会周期性地公告RA报文,对节点声明IPv6地址前缀,主机收到RA报文后,进而生成链路地址,RA公告主要包括链路前缀和MTU信息。当攻击者模拟路由器发送RA报文,通过默认路由指向攻击者的IPv6主机,那么就可以获取其他用户的信息,从而使网络的安全受到威胁。(2)IPv6RA安全威胁防范。为了防范RA欺骗,在中心交换机上配置安全RA,对于配置交换机的上层端口设置为信任,其他的则为非信任,这样对于下层端口来进入的RA报文,则直接丢弃,这使得即使攻击者冒充RA报文发送给交换机,也会被丢弃,有效地阻绝了RA报文欺骗。
4.2IPv6校园网安全评估系统
对校园网的安全进行评估,可以有效地保护网络的安全。安全评估系统通过对IPv6网络的渗透弱点进行整理分析,并对每次的渗透进行风险评估,生成对应的攻击图,并在此基础上生成风险评估报告,自动加载到知识库之中。整个IPv6校园网络安全评估系统主要由渗透测试模块、攻击图生成模块、系统管理模块、IPv6态势分析模块和IPv6弱点知识库模块组成,具体如图2所示。
5、结束语
本文针对高校IPv6网络安全技术进行分析,对于当前高校网络的普及化,安全问题已经成为师生关注的焦点。随着网络的不断发展,IPv6取代IPv4已经成为必然,但IPv6是一个管理学论文新生的事物,在发展和壮大过程中,需要受到各方面的挑战。本文仅对IPv6校园网的部署和安全防范进行了描述,具体的一些细节并没有完全展开。
作者:刘凯 单位:西京学院
