前言：尋找寫作靈感？中文期刊網用心挑選的網絡安全技術論文(5篇)，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

第一篇：網絡安全計算機信息管理技術應用

1網絡安全

1.1網絡安全的含義

所謂網絡安全，可以理解為網絡信息安全，這里既包含了網絡系統硬件、軟件的安全，同時也強調系統中各種數據的安全性。信息在網絡系統中的傳輸、存儲、處理和使用等過程均涉及到安全性的問題，需要通過一些技術手段來提供相應的數據保護。現階段網絡安全基本是分為兩種：靜態安全和動態安全。所謂靜態，是指數據在整個網絡系統中并未發生傳輸和處理；相反，動態是指數據在網路系統中存在傳輸和處理等過程。運用計算機信息管理技術，可以保證在這些狀態下，網絡數據不被未授權人篡改，數據不會被遺失或破壞。

1.2網絡信息管理安全性

網絡信息管理安全性主要是指局域網的安全性，具體包括對局域網內部共享資源的維護及控制，對相關用戶名及口令加以管理。網絡安全問題的復雜性是由其開放性決定的，在實際管理應用中，不僅需要考慮信息及其公布的安全性，同時還要對各種安全監測及恢復方法進行更深入的研究。在此針對信息訪問控制和信息安全檢測這兩個方面進行討論。

1.2.1信息訪問控制問題

信息安全管理的重要內容之一就是信息訪問控制，主要是指對網絡信息訪問進行全面控制，既控制網絡信息的使用者，又控制網絡信息的擁有者。網絡資源訪問的最大特點就是遠程控制，在實際應用中需要對網絡信息資源進行可靠控制，在一定規則的指導下對用戶進行鑒別。

1.2.2信息安全監測問題

任何一種信息訪問控制措施均會存在一定的不足之處，大多數控制方法均是針對以往或現有問題所制定的可行性措施，如果出現新的網絡信息安全問題，就需要進行新措施的研究。實行網絡信息安全檢測，主要是因為網絡系統具有一定的潛在攻擊性，一旦遭遇某種攻擊，就必須及時報警并采取相應措施，全面保護網絡信息數據，盡快恢復被破壞數據，以保障數據安全。

1.3網絡信息安全衡量指標

在評價網絡信息安全水平時，可以從網絡信息的機密性、完整性和真實性三個方面加以分析。所謂網絡信息的機密性，是指網絡信息在系統中靜態和動態兩種狀況下，信息不被未授權第三方所截獲，這一點是網絡信息安全的關鍵點，也是決定網絡信息安全水平的重要指標；所謂網絡信息的完整性，是指網絡信息發生存儲或傳輸行為時，其信息內容不被第三方所修改和破壞，網絡信息完整性一旦被破壞，將會直接影響整個網絡系統的信息安全；所謂網絡信息的真實性，是指信息在傳輸過程中其可信度是否發生了變化。當前常用的一種立體式網絡信息安全管理模型可以分為三大塊，第一塊就是網絡信息安全管理控制中心，主要由安全管理者所制定的各種安全管理措施組成；第二塊是操作控制中心，主要由系統內部安全操作措施和計劃組成；第三塊是技術控制中心，這一部分主要涉及一些邏輯訪問控制方法，在具體認證、授權等方面有著較為明確的規定。

2網絡安全面臨的威脅

2.1系統漏洞

網絡系統通常情況下都使用制定好的協議，目的在于操作設計過程中能夠簡單方便的使用。任何一些協議的保護防范措施不周全，均會導致系統漏洞的存在，給黑客、病毒帶來入侵的機會，進而導致整個網絡系統遭遇大規模破壞的威脅。

2.2黑客攻擊

當前全球網絡已經逐漸實現統一化，人們對網絡的依賴性也越來越高。這樣一來黑客就可以更方便地利用網絡在更大范圍內尋找并挖掘系統漏洞，進而對網絡系統進行攻擊，造成多種破壞。比如，黑客有可能在被攻擊系統中制造出大量無價值的網絡數據，致使該系統資源被大量占用，導致網絡出現擁擠堵塞，目標主機和網絡就會在這段時間內喪失回應功能；黑客還有可能在網絡系統中搜索一些防衛性能較差的系統進行破壞；此外，黑客還有可能通過郵件發送病毒，進而實現入侵網絡的目的。這種攻擊威力非常大，而且由于是以郵件作為載體，所以傳播速度較為驚人。

3提高網絡安全防范水平措施分析

3.1加強信息管理技術的控制

信息管理技術的發展需要考慮多種因素，結合實際情況提高信息安全化管理水平。信息管理技術安全管理體系的構建必須注意可實施范圍，并在該范圍內加強各種因素的研發力度，進而在面對各種網絡應用風險時，能夠提供有效的解決措施，保證整個系統能夠在合理范圍內高效運行。

3.2做好網絡信息安全防御措施

3.2.1防火墻技術

防火墻是當前網絡安全防御措施中使用頻率最高的一種方式，是處于被保護網絡和外部網絡之間的一種安全防御措施，能夠實現對網絡數據的監測、限制等功能。防火墻的主要特點是價格適中，易于安裝，能夠實現在線升級功能。防火墻的技術水平將直接決定整個網絡系統的安全性。

3.2.2認證技術

網絡信息認證的主要目的在于驗證信息的發送者是否是真實信息擁有者，檢測信息在傳輸過程中是否被篡改或者有延遲情況的出現。目前，在網絡信息系統中的認證技術主要包括消息認證、身份認證和數字簽名三種，其中消息認證和身份認證的主要作用是在通信雙方利害一致的前提下，防止第三者通過一些技術手段破壞信息。

3.2.3信息加密技術

信息加密技術是當前網絡通信中使用較為廣泛的一種技術，通過對信息的加密來實現信息存儲和信息傳輸的保護。現階段使用的信息加密技術有對稱密鑰加密和非對稱密鑰加密兩種。其中對稱密鑰加密技術的加解密速度快，但實現起來較為麻煩；非對稱密鑰加密的密鑰管理技術較為容易實現，但加密時間較長。

4結語

計算機信息管理技術對于網絡安全非常重要，很多環節都需要結合實際情況進行全面深入的研究，制定出更全面更科學的信息管理體系，來應對當前復雜嚴峻的網絡安全防范形勢。在今后的工作中，筆者將繼續致力于該領域的研究工作，以期獲得更有價值的成果。

作者：樊宙 單位：蘭州資源環境職業技術學院

第二篇：云網絡安全技術現狀研究

1國內外研究現狀和發展趨勢

1.1隱私數據保護云安全技術

數據安全和隱私數據是用戶考慮是否采用云計算模式的一個重要因素。安全保護框架方面，最常見的數據安全保護體系是DSLC(DataSecurityLifeCycle)，通過為數據安全生命周期建立安全保護體制，確保數據在創建、存儲、使用、共享、歸檔和銷毀等六個生命周期的安全。Roy等人提出了一種基于MapReduce平臺的隱私保護系統Airavat，該平臺通過強化訪問控制和區分隱私技術，為處理關鍵數據提供安全和隱私保護。靜態存儲數據保護方面，Muntes-Mulero等人對K匿名、圖匿名以及數據預處理等現有的隱私處理技術進行了討論和總結，提出了一些可行的解決方案。動態存儲數據保護方面，基于沙箱模型原理，采用Linux自帶的chroot命令創建一個獨立的軟件系統的虛擬拷貝，保護進程不受到其他進程影響。

1.2虛擬化云安全技術

虛擬化技術是構建云計算環境的關鍵。在云網絡中，終端用戶包括潛在的攻擊者都可以通過開放式的遠程訪問模式直接訪問云服務，虛擬機系統作為云的基礎設施平臺自然成為這些攻擊的主要目標。虛擬機安全管理方面：Garfinkel等人提出在Hypervisor和虛擬系統之間構建虛擬層，用以實現對虛擬機器的安全管理。訪問控制方面：劉謙提出了Virt-BLP模型，這一模型實現了虛擬機間的強制訪問控制，并滿足了此場景下多級安全的需求。Revirt利用虛擬機監控器進行入侵分析，它能收集虛擬機的信息并將其記錄在虛擬機監控器中，實時監控方面LKIM利用上下文檢查來進行內核完整性檢驗。

1.3云安全用戶認證與信任研究

云網絡中存在云服務提供商對個人身份信息的介入管理、服務端無法解決身份認證的誤判，以及合法的惡意用戶對云的破壞等問題，身份認證機制在云網絡下面臨著諸多挑戰。Bertino提出了基于隱私保護的多因素身份屬性認證協議，采用零知識證明協議認證用戶且不向認證者泄露用戶的身份信息。陳亞睿等人用隨機Petri網對用戶行為認證進行建模分析，通過建立嚴格的終端用戶的認證機制以及分析不同認證子集對認證效果的影響，降低了系統對不可信行為的漏報率。林闖、田立勤等針對用戶行為可信進行了一系列深入的研究和分析，將用戶行為的信任分解成三層，在此基礎上進行用戶行為信任的評估、利用貝葉斯網絡對用戶的行為信任進行預測、基于行為信任預測的博弈控制等。

1.4安全態勢感知技術

自態勢感知研究鼻祖Endsley最早提出將態勢感知的信息出路過程劃分為察覺、理解、預測三個階段后，許多的研究學者和機構在此基礎上開始進行網絡安全臺式感知，其中最著名的是TimBass提出的基于數據融合的入侵檢測模型，一共分為六層，包括數據預處理、對象提取、狀態提取、威脅提取、傳感控制、認知和干預，全面的將安全信息的處理的階段進行了歸納。網絡安全態勢感知框架模型方面：趙文濤等人針對大規模網絡環境提出用IDS設備和系統狀態監測設備代替網絡安全態勢感知中的傳感器，用于收集網絡安全信息，并從設備告警和日志信息中還原攻擊手段和攻擊路徑，同時利用圖論基礎建立的認知模型。網絡安全態勢感知評估方面：陳秀真利用系統分解技術將網絡系統分解為網絡系統、主機、服務、脆弱點等四個層次，利用層次間的相關安全信息，建立層次化網絡系統安全威脅態勢評估模型，綜合分析網絡安全威脅態勢。之后該架構做出了改進，量化了攻擊所造成的風險，同時考慮了弱點評估和安全服務評估兩種因素，加入了網絡復雜度的影響因素，該框架更加體現網絡安全態勢真實情況。

2研究現狀中存在的不足

以上這些研究對全面推動云安全技術的迅猛發展具有重要的作用。但是目前的研究，對幾個領域還存在不足：（1）云網絡中虛擬機間因關聯而引起的安全威脅較為忽視；（2）云網絡中可信計算與虛擬化的結合研究不足；（3）云網絡環境下云/端動態博弈狀態下安全方案和策略研究較少；（4）云網絡下安全態勢感知鮮有研究。我們須知云網絡最大的安全問題在于不可信用戶利用云平臺強大的計算能力及其脆弱性發動極具破壞力的組合式或滲透式攻擊，而這種攻擊要比在局域網上的危害大得多，因此在這方面需要投入更多的關注，即：立足于某個特定的“云網絡”系統，剖析不可信用戶和網絡自身脆弱性所帶來的風險，時刻預測網絡上的風險動向。要做到這一點，就要對云網絡中終端用戶的訪問行為和云網絡的服務行為進行實時觀測，實時評估。

3未來研究發展趨勢

針對上述這種影響機制，無疑博弈分析是十分合適的研究方法，國內知名學者林闖等人已提出采用博弈模型來研究云服務商對用戶的信任問題，但現有的研究成果都是從云服務商的角度單向評價用戶的信任等級，其實并沒有考慮用戶對云服務平臺的信任情況以及雙方信任的相互作用，有待于后人在這一方面重點展開探討和研究。

作者：王純子 張斌 李艷 單位：西安工程大學管理學院西安建筑科技大學

第三篇：通信網絡安全關鍵技術研究

 

 

1通信網絡的安全需求

通信網絡作為一種信息傳遞的載體，對于多數的普通用戶而言，其是透明的、也是公開的，這就導致在使用的過程中很難讓人放心，因此這種透明公開的使用模式使得用戶的使用過程是一個不可控的過程，這就導致在信息傳遞的過程中很容易被竊取或者是破壞，其通常會面臨著很多的安全威脅，主要有以下幾個方面：首先是信息的泄露，這是指信息在傳遞或者儲存的過程一些未經授權的用戶通過一些非法的途徑對信息進行了竊取。其次，信息在傳遞的過程中其完整性被一些惡意的因素所破壞，導致通信使用的雙方在信息的傳遞的過程中存在著信息的差異。再次，就是抵賴問題，是指信息發送的雙方在信息發送完成后對于各自的行為予以否認，從而導致通信網絡的協議或者期間的一些應用規則出現失效的情況。這些都會影響通信網絡的使用的安全，也產生了通信網絡安全的需求，因此，保證通信網絡的私密性、數據的完整性等是非常必要的。

2通信網絡安全的關鍵技術

通信網絡安全的關鍵技術包含很多的方面，主要有信息加密技術、通信網絡內部協議安全、網路管理安全、通信網入侵檢測技術以及通信網絡安全效果評估技術五個方面，具體而言有以下幾點。

2.1通信網絡信息加密技術

加密技術作為一種常見的信息保密技術和手段，在信息傳送業務中被廣泛的運用著，通過這種途徑來保障信息傳輸的安全，可以在信息傳遞的兩個節點之間進行加密，保障兩個節點間各種控制協議或者管理信息也可以獲得相應的保密性，同時也必然的降低各控制協議和管理信息的被攻擊和利用的可能性。因此，對于通信網絡信息加密，通常所采用的加密技術就是鏈路加密和端到端的混合加密方式，這種方式可以有效的提高信息密碼的分析難度，也可以防止流量的分析。

2.2通信網絡內部協議安全

在通信網絡運行的過程中必不可少的有著很多控制協議，這些協議是維持網絡互相連接，確保信息資源的分配或者使用的最基本網絡運行功能得以進行的基本保證。很多對網絡協議的攻擊就是通過對協議的截獲、破譯等手段進行攻擊，所以通信網絡內部協議的安全性其主要的實現過程就是通過對于數據的認證和鑒別，以此保證信息數據的完整性來實現的，當然，需要特別注意的是在具體的設計過程中密鑰的儲存開銷、密鑰管理復雜性等因素。

2.3安全網管系統

在實際應用當中，對于網管協議的破壞或者是重放拒絕是構成網管系統安全性的威脅的最主要因素，如果非授權的用戶從網管系統的層面對系統經行非法的登陸訪問，則必然會導致網管系統很難正常的工作，網絡的效率變得極低，甚至在嚴重的情況下還會竊取或者是破壞通信網的數據，因此在設計網管系統的過程中一定要制定切實可行的安全策略，其就包括網管系統的安全目標、安全的服務和技術控制的本身。

2.4通信網絡的入侵檢測技術

如何更好的識別網絡的入侵行為，并在識別的基礎可以給予一定的報警或者安全防范，做到能夠御敵于國門之外這是在通信網絡信息技術應用過程中的一個重要的技術手段，也是確保計算機網絡安全的一個非常有效且常用的手段，基于這種思想，對于設計通信網絡信息技術的入侵檢測技術系統時，就需要根據計算網絡安全系統設計的思路，逐漸向著可以做到實時的檢測、互動式分布以及智能化發展的方向前進。當然，通信網絡本身就具有著不同于計算機網絡的特點，也有著一個完全不同的內部管理以及信令協議，這就導致通信網絡入侵檢測需要根據具體的情進行專門的設計。

2.5通信網絡安全效果評價

通信網絡安全的效果評價是對整個通信網絡規劃和安全策劃制定和實施的最有力保證和強有力的支持，其包含的內容非常的廣泛，有通信網絡安全評估理論、安全性能評估工具和測試床環境的建立等多方面內容。而建立這套完整的通信網絡安全效果評估工具，其必須要有著如下幾個方面的功能，首先是可以有效的模仿真用戶對通信網絡進行模擬攻擊，并且還可以提供多種的仿真測試能力，而對于通信保密系統的終端加密還可以進行效果驗證，最后需要提供全面的安全評估結果。

3結束語

隨著現代通信網絡技術的快速發展，對于通信網絡安全的要求也呈現出越來越高的趨勢，信息加密技術，通信網絡內部協議安全，安全網管系統，通信網絡的入侵檢測技術以及通信網絡安全效果評價作為通信網絡安全的關鍵技術，設計者需要根據不同的通信網絡和具體的應用要求，合理的運用各項安全技術，以盡可能的保證通信網絡系統運行安全可靠。

作者：吳妍巖 單位：北海艦隊

第四篇：網絡安全技術分析

1常見的網絡安全威脅

所謂網絡安全，主要是指對網絡系統中存有的軟、硬件和相關的信息進行保衛，使其不會受到各類因素的影響，進而令整個系統能夠順利、持續的運轉。此外，所謂計算機網絡安全，實際上是指基于整個系統的數據安全。當前，網絡中可能會遇到的主要安全問題如下。

1.1非授權型訪問，是指在沒有獲取相關批準的情況下就私自運用相關的計算機網絡和資源

主要是指用來編制與調試能夠將網絡的另一邊聯系起來的計算機程，從而獲得非法或缺少授權的訪問權限。比如故意跳過系統的訪問管控系統，利用不正當方式運用相關的網絡設施與資源，或缺少必要授權的訪問數據。主要有以下幾種類型：攻擊，偽造身份，在未經授權的合法用戶的非法操作，非法用戶的網絡接入系統的違法行為等。

1.2數據丟失，是指各類較為敏感的信息遭到泄露或丟失

信息的完整性遭到損壞，也就是運用不合法的手段對相關信息進行訪問于操作，對相關信息實施刪除、插入、修改等活動，從而令用戶不能夠順利工作，進而滿足攻擊者的非法目的。此外還有黑客攻擊，最終導致財務表格和各類重要數據均被修改或損壞，進而給相關企業造成巨大的經濟損失。更有甚者，令信息失效，系統崩潰，進而使整個網絡系統都無法順利運轉，這種情況所引發的后果比賬號被盜所遭受的后果還要嚴重。

1.3后門和木馬程序

所謂后門與木馬程序，主要是指那些能夠運用某種軟件實現對其余計算機進行管控的程序，其呈現出隱秘性強與非授權等特征。如果某臺計算機安裝了后門或木馬程序就能夠輕而易舉竊取用戶的信息，包括用戶輸入的賬號密碼，并發送這些信息，或者允許遠程計算機的用戶通過網絡竊取計算機中的文件，并通過網絡控制控制這臺計算機，更加恐怖的是，此計算機能夠對整個網絡系統實現全面管控，進而為黑客提供各種便利。

2關于計算機網絡的各類安全預防方法

關于計算機網絡安全技術，其是一項十分龐大且繁雜的系統工程。而不斷進步的技術與持續改進的安保方式能夠對網絡安全進行保障。從技術層面上講，網絡系統安全主要由如下部分構成：安全的應用機制、安全的操作系統、網絡監測、防火墻、入侵監察、數據加密、系統還原、安全檢測等。其中，無論哪一個單獨組件都不能確保計算機網絡安全。

2.1防火墻技術

關于防火墻技術，其能夠對網絡之間的互相訪問方面的管控進行強化，并避免其余用戶利用不法方式對內部網絡進行入侵和獲取相關的網絡資源，進而實現對內部網絡安全的保衛。此外，防火墻技術也有若干類，主要包括：包過濾型、型與監測型。（1）包過濾。包過濾型的防火墻產品屬于入門級產品，其中主要運用到網絡的分包輸送法。在網絡中，需要傳送的信息通常都是用“包”作為單位，從而實施信息傳送活動的，其中，信息會被分成若干個數據包，各個數據包內都存有一定量的數據，比如信息的目的地、信息源地址、目的端口等等。而防火墻則利用產看數據包中的實際數據的方式，對信息的信任度進行判定，如得出相關信息的來源是部分危險的網站，則禁止此部分信息進入。包過濾型防火墻技術的優點是簡單實用成本低，缺點是只根據特定的信息來確定數據包是否安全，無法識別惡意侵入。（2）型。關于型防火墻，其也叫服務器，在安全方面比包過濾型表現的更為優秀。此外，服務器處在服務器與客戶端中間的地方，在客戶端和服務器進行通信活動時，第一步是把相關請求傳送給服務器，之后由服務器結合實際需求向服務器進行信息索取活動，最終由服務器負責將獲取的信息傳送至客戶端。所以服務器實際上就是客戶端與服務器的媒介。型防火墻具有安全性和可靠性高的優勢，但也存在設置比較繁瑣，且在很大程度上影響到總體性能的劣勢。（3）監測型。關于監測型防火墻，其可以實現對各層信息的實時監測與自行解析，最終對是否存有攻擊現象進行明確。此外，這種產品通常會自帶探測裝置，并裝配在服務器與網絡的部分重要節點內，不但能夠監察到外部的攻擊活動，還能夠實現對內部的蓄意損壞活動的預防。

2.2數據加密技術

和防火墻同時運用的包括信息加密技術，對相關信息進行加密能夠對數據的機密性進行保障。從功能的角度出發，可以將信息加密技術分成信息傳送、信息保存、信息完整程度的判定、密鑰管控四種技術。信息加密技術屬于信息流傳送的加密方式；信息保存加密技術的主要目標是避免信息在存儲階段出現丟失現象，此技術可繼續分成存取管控與密文保存兩類，其中，存取管控主要是對用戶的各類權限與資格進行審核與限制，從而避免缺少相應授權的不法分子對相關信息進行非法訪問或部分合法用戶訪問或保存超越自身權限的信息，而密文保存通常是利用加密算法轉換、加密模塊與額外密碼等方式進行實施；信息完整程度的判定技術的主要目標是針對相關數據的保存、傳輸、操作者身份與相關的信息內容實施驗證活動，進而實現保密的目的，通常涵蓋口令、身份、信息等項判定，系統根據對驗證目標輸入的特征值和之前設置的參數是否相符，實現對數據的安全保護；密鑰管控技術的主要目標是實現信息的便捷運用，通常是保密與與盜竊的重要目標，此外，密鑰的媒體形式主要有磁卡、磁盤與半導體存儲器等，而密鑰的管控技術涵蓋了密鑰的出現、配置保存與替換、銷毀等各個步驟的保密活動。

2.3防病毒技術

當前，對信息安全威脅最大的是計算機病毒。在計算機網絡環境下，病毒能夠實現快速傳播，僅僅運用單機防病毒軟件難以實現對計算機病毒的徹底消除，所以，結合網絡中各類病毒攻擊的可能性設計出針對性的防毒與殺毒軟件，利用多層次與全方面的防毒系統配置，令網絡能夠在最大程度上實現對病毒的防御。此外，市場上的主流殺毒應用主要有瑞星殺毒軟件、360衛士、卡巴斯基殺毒軟件等，此類殺毒應用較為重視對病毒的防護，在檢測到有病毒侵入當前網絡后，殺毒應用會立即進行處理。

3總結

綜上，網絡安全這個課題較為復雜，其涵蓋了管理、技術與運用等各方面內容，不僅包括信息系統的自身安保問題，還包括物理與邏輯方面的技術方法。在國內，關于數據網絡安全技術與產品的探究歷程才剛剛開始，還有很多的工作需要我們去解析與探究。

作者：王磊 單位：華北理工大學附屬醫院

第五篇：高校IPv6網絡安全技術研究

1引言

隨著網絡技術的不斷發展，網絡用戶的人數呈現出爆炸式的增長，這使得原有的IPv4網絡環境發生重大變化。首先網絡的地址空間數量已經無法滿足當前網絡用戶的需求；其次，由于用戶的增加使得路由的數量不斷呈幾何量增長。另外，網絡的普及使得對網絡安全、性能、服務質量都提出了更高的要求，這使得原有的IPv4協議根本無法解決此類問題。高校作為科研的橋頭堡，在高校中應用IPv6作為校園網的主要協議并對網絡安全性加以研究，是當前高校科研的一個熱點。

2IPv6技術

2.1IPv6協議分析

1997年，針對IPv4協議無法滿足網絡社會的需求，IETF（互聯網工作組）制定了IPv6（InternetProtocolVersion6）協議。與IPv4相比，IPv6具有幾個優勢。（1）相對無限的地址空間。IPv6的地址長度是128位，意味著IPv6擁有2128個IP地址，這個地址空間可以給當前全球所有的設備無限制地提供IP地址。（2）支持移動設備。針對移動終端數量的不斷增長，IPv6在設計之初就針對設備的移動問題給出相應的解決方案。（3）內置安全特性。IPv6的內置安全機制是IPsec安全機制，這是一個協議簇，AH（認證報頭）利用內置加密算法對傳輸數據進行加密，在傳輸過程中被截獲時對方無法獲取數據的原始信息內容，保障了數據的安全性和機密性。（4）服務質量。通過對網絡業務的分類對服務進行處理，對Diff-Serv模型進一步發展，解決了可擴展問題，由于該模型不能實現端到端的服務，需要通過PHB、流量工程、網絡流量規劃等聯合實現。IPv6地址是128位，原有的IPv4的十進制表示方法描述難度加大，采用16進制進行表示，每4個16進制數表示一節，中間用冒號隔開，例如：7D83：982A：52DA：ECF1：B2C3：D672：8874：573B。為了簡化IPv6的地址描述，可以通過符號：：來表示連續的0，例如：A2C3：0000：0000：0000：0000：0001：B3C4：FAD6可以表示為：A2C3：：：：：1：B3C4。IPv6的地址可以分為單播、組播和任播三大類，單播地址是對應節點（節點可以有多個接口）的某個接口，那么一個節點可以對應多個單播地址；組播是數據在網絡中傳輸時，所經過的節點都對傳輸的數據包進行檢測，查看數據包中的目的地址與自身是否一致，由檢測的結果來決定接收還是轉發；任播是對一組接口進行數據發送，另外任播不能將源地址封裝在IPv6數據包中。

2.2IPv6安全機制

IPv6的報頭結構和IPv4相比要簡單的多，IPv6協議中有2個地址空間及6個域，報頭雖然占40個字節，要比IPv4的報頭長，但由于長度固定，不需要進行計算，減少了內存資源的消耗。（1）IPv6中的驗證。IPv6的認證報頭具有重播放的保護機制，只有接收節點對序列號驗證，該傳輸業務才有效。也就意味著，IPv6的報頭在加密擴展報頭、端到端擴展報頭、TCP、UDP、路由及網絡控制等報頭之前，進而保障無連接的完整性。（2）IPv6中的加密。IPv6協議標準中包含的密碼算法是DES－CBC，給IPv6提供安全業務協議制定者設計了封裝安全載荷（ESP），為了保障傳輸IP數據包的完整性，機密性和可靠性，先通過報頭來確定數據包的真實性，然后再對其進行解密。

3校園網IPv6構架

3.1高校網絡需求分析

在高校，網絡已經成為師生工作、學習、交流不可缺少的一部分，校園網建設的好壞直接關系到高校的教學和科研。建設校園網不能只考慮先進性、前沿性，還要充分考慮學校自身的經濟情況和師資力量。一般來說，校園網的建設需要把握實用、先進、開放、可擴展、安全等幾個原則。當前，雖然高校之間的情況不同，但每個高校的大體組成是相近的，一般都有教職工行政樓、教學樓、圖書館、網絡中心和學生宿舍。當前校園網的建設要充分考慮未來的發展，對于網絡中的硬件要使用IPv6作為主協議，特別是教學樓、行政樓和網絡中心，盡可能地選為IPv6，對于學生宿舍，采用IPv6和IPv4混合使用，采用雙協議棧技術。

3.2校園網構架方案設計

對于基于IPv6的校園網，需要在原有的IPv4校園網的基礎上進行設計，不能將以前的網絡完全推翻重建，那樣會花費更多的人力和財力。對于新的IPv6協議需要利用原有的網絡，使用隧道技術進行雙協議的使用。

4校園網IPv6安全體系

4.1校園網IPv6RA安全威脅和防范

（1）IPv6RA安全威脅。在核心交換機層啟用IPv6RA功能，假如IPv6網絡通過無狀態分配，一般來說，路由器會周期性地公告RA報文，對節點聲明IPv6地址前綴，主機收到RA報文后，進而生成鏈路地址，RA公告主要包括鏈路前綴和MTU信息。當攻擊者模擬路由器發送RA報文，通過默認路由指向攻擊者的IPv6主機，那么就可以獲取其他用戶的信息，從而使網絡的安全受到威脅。（2）IPv6RA安全威脅防范。為了防范RA欺騙，在中心交換機上配置安全RA，對于配置交換機的上層端口設置為信任，其他的則為非信任，這樣對于下層端口來進入的RA報文，則直接丟棄，這使得即使攻擊者冒充RA報文發送給交換機，也會被丟棄，有效地阻絕了RA報文欺騙。4.2IPv6校園網安全評估系統對校園網的安全進行評估，可以有效地保護網絡的安全。安全評估系統通過對IPv6網絡的滲透弱點進行整理分析，并對每次的滲透進行風險評估，生成對應的攻擊圖，并在此基礎上生成風險評估報告，自動加載到知識庫之中。整個IPv6校園網絡安全評估系統主要由滲透測試模塊、攻擊圖生成模塊、系統管理模塊、IPv6態勢分析模塊和IPv6弱點知識庫模塊組成。

5結束語

本文針對高校IPv6網絡安全技術進行分析，對于當前高校網絡的普及化，安全問題已經成為師生關注的焦點。隨著網絡的不斷發展，IPv6取代IPv4已經成為必然，但IPv6是一個新生的事物，在發展和壯大過程中，需要受到各方面的挑戰。本文僅對IPv6校園網的部署和安全防范進行了描述，具體的一些細節并沒有完全展開。

作者：劉凱 單位：西京學院陜西西安