信息安全论文要求.doc

信息安全论文信息安全论文一、参考题目 关于安全访问控制的讨论 “端口扫描”的简易对策 用户的安全意识与网络安全 SET的安全性分析 计算机网络安全与防火墙技术 对随机密码生成的一点思考-混沌在密码体制中的运用初探 桌面操作系统平台的安全性 Kerberos:面向开放式网络的认证服务 Internet上的安全机制 构筑分布式网络环境中的安全认证体系 信息安全和RSA 具有安全权限的微内核操作系统模型 CGI安全问题 虚拟专用网VPN结构简析 安全的Email PGP的安全性 信息安全中消息层次的讨论-密码学 对PGP的进一步讨论 讨论防火墙技术 互联网环境中可修补的密钥分配协议 网上密钥发布和信息广播策略及其安全上的考虑 身份认证技术分析 网络安全中基于传统对称密码体制的密钥管理 流行的网络安全技术 TCP欺骗 Sniffer、黑客和网络管理 电子商务中的协定(Agreement) 计算机安全中的认证问题 Public Key Infrastructure 一个认证中心的设计与实现 TCP/IP协议安全性能的改进 安全与身份验证 Java2的安全特性及其数字签名的实现 电子商务交易流程及其用到的公钥体制 电子商务与PKI 公钥密码体制的进一步思考 防火墙的安全性分析 信息战与信息安全 电子商务安全策略 两种安全在线支付协议SSL和SET简析 实现网络远程攻击主动防御的一种构想；漏洞陷阱 校园网防火墙实用技术 关于信任模型的介绍及讨论 数据加密技术 WEB安全技术与防火墙 Java对安全性的支持 计算机网络安全概述 Internet电子邮件和网络安全 分布式系统的安全 网络安全五层体系研究 引诱、欺骗并研究一个黑客 安全套接层(SSL)协议中的安全机制 操作系统的访问控制 信息时代的网络安全 Internet软件发行、下载中的安全问题 电子商务的安全性 两种网络安全系统的缺陷分析 Windows 2000的分布式安全协议 Internet层的安全模型 DNS欺骗 Hash函数的攻击方法 FTP的安全问题 安全E-mail标准的比较与分析 INTERNET安全性的分析及解决实例 也可根据自已对本门课中的感兴趣的问题自拟题目。二、要求论文包括部分（一）前置部分1、 论文标题（署名）2、 论文摘要（关键词）3、 关键字（二）主体部分1、引言（绪论）2、正文（三）结论部分1、结束语2、参考文献交电子稿、打印稿 上交时间：2012年7月12日IPv6网络安全防御系统的构建研究（宋体三号） 姓名 学号（楷体五号）摘要（黑体小五）： 本文分析了IP网络的现状与发展趋势，提出了IPv6协议的安全性隐患以及IPv6网络面临的安全威胁，并得出初步的结论。在深入研究IPSec协议的基础上，提出了IPv6网络安全防御系统的设计方案，并进行了功能性验证和分析，能够较有效的保障IPv6网络的安全（楷体小五）。关键词： IPv6； IPSec； 安全防护系统1 研究背景（黑体四号）（正文 宋体五号）试验任务IP网是由通信网络、计算机及各种应用组成的信息系统，由于网络地域分布广、用户分散，存在着网络访问不可控、流量不可控、链路不可控、计算机病毒传播等安全性问题，因此，在保证服务性能的基础上，对可靠性和安全性提出更高的要求。IP网络安全防御设备，主要有防火墙，认证加密机构，入侵检测(IDS)等。由于IPv6协议还未进入大规模商用，因此目前这些设备对IPv6的支持还不是很充分。此外，这些安全设备有特定的功能，适用于特定的场合。因此，基于IPv6网络的安全防护系统的研究及设计有重要意义。IP协议是一个开放的协议，其特点表现为：协议由软件实现，不强制网络设备对数据包进行检查，没有统一的监管机构，没有通信记录机制。由此带来了许多信息的安全与保密方面的问题，如网络资源滥用，黑客攻击，网络型计算机病毒以及安全缺陷与系统漏洞等。2 IPv6协议安全性分析IPSec(Internet 协议安全)是由IETF 定义的一套在网络层提供IP安全性的协议，主要有两个基本目标：1)保护IP数据包安全；2)为抵御网络攻击提供防护措施。IPv6的数据包本身没有提供任何安全保护，黑客可以通过sniffer、IP地址欺骗、中间人等攻击，导致窃取，修改，伪造传输数据。IPSec可为IP及其上层协议(TCP和UDP等)提供安全保护。IPSec的基本结构是利用认证头标(AH)和有效封装安全载(ESP)来实现数据的认证和加密。前者用来实现数据的完整性，后者用来实现数据的机密性。同时对数据的传输规定了两种模式：传送模式和通道模式。在传送模式中，IP头与上层协议头之间嵌入一个新的IPSec头(AH 或ESP)； 在通道模式中，要保护的整个IP包都封装到另一个IP数据包里，同时在外部与内部IP头之间嵌入一个新的IPSec头。IPSec协议在ISO 参考模型第三层即网络层上实施的安全保护，在具体实现中，嵌入IP协议栈，工作稳定可靠。同时其保护范围几乎涵盖了TCP/IP协议簇中所有IP协议和上层协议，如TCP、UDP、ICMP，Raw(第255 号协议)、甚至包括在网络层发送数据的客户自定义协议。在第三层上提供数据安全保护的主要优点就在于：所有使用IP协议进行数据传输的应用系统和服务都可以使用IPSec，而不必对这些应用系统和服务本身做任何修改。相对于运作于第三层以上的其它一些安全机制，如安全套接层SSL，仅对知道如何使用SSL的应用系统(如Web 浏览器)提供保护，这极大地限制了SSL的应用范围；而运作于第三层以下的安全机制，如链路层加密，通常只保护了特定链路间的数据传输，而无法做到在数据路径所经过的所有链路间提供安全保护，这使得链接层加密无法适用于Internet 或路由Intranet 方案中的端对端数据保护。然而，由于IPv6是强制包含IPSec，并不是强制执行IPSec，因此，目前部署的IPv6大多数都不包含任何的密钥保护措施。此外，大多数安全缺口都发生在应用程序层，即使IPv6的IPSec部署的再好，也无法对这些攻击提供什么安全保障。根据IPv6网络推广进程，大多数组织在短时间内完全转移到IPv6上是不大可能的，可能的情况是花费几年时间过渡到IPv6，过渡期间内保留IPv4通信，同时逐渐增加IPv6通信。针对这种过渡时期网络将遇到的威胁，目前还没有完整的解决方案。3构建动态安全防御体系的对策从上述分析看出，基于IPv6 的网络协议对IPSec的包含和强制使用，在安全性方面有了较大的提高，能够提供实现以上安全属性的绝大部分的安全服务。但是IPSec不能完全解决网络的安全问题，因此技术方案必须引入针对安全漏洞和网络攻击的研究，通过对安全漏洞的实时检测与修补，对网络攻击的实时监测和防御，结合风险管理的相关措施实现防御的整体性和动态性，其中重点考虑IPv6 网络的各种安全威胁和隐患，并引入安全审计和信息综合分析模块来实现防御的智能性，增强体系的健壮能力。网络的动态安全模型能够提供给用户更完整、更合理的安全机制，全网动态安全体系可由下面的公式概括：网络安全= 风险分析+ 制定策略+ 防御系统+ 实时监测+ 实时响应+ 灾难恢复网络的安全是一个“APPDRR”的动态安全模型，如图1所示。安全保护是网络的第一道防线，能够阻止对网络的入侵和危害；安全监测是网络的第二道防线，可以及时发现入侵和破坏；实时响应是网络的第三道防线，当攻击发生时维持网络“打不垮”；恢复是第四道防线，使网络在遭受攻击后能以最快的速度“起死回生”，最大程度上降低安全事件带来的损失。进行风险评估和提出安全需求是制定网络安全策略的依据。风险分析（风险评估、风险管理），是指确定网络资产的安全威胁和脆弱性，并估计可能由此造成的损失或影响的过程。风险分析有两种基本方法：定性分析和定量分析。在制定网络安全策略的时候，要从全局进行考虑，基于风险分析的结果进行决策。图1 “APPDRR”的动态安全模型根据已有的研究成果，这里将给出一个初步的IPv6 网络安全动态防御技术体系的模型：该模型既要体现APPDRR 模型的典型防护过程，也要体现网络安全管理的因素；既要有强大的对已知风险的处理能力，也要有对新的攻击、安全风险和特性的识别能力，而系统的基础安全支撑技术则主要引入了IPSec 的作用并结合IPv6 网络的安全特性。图2 网络安全动态防御的模型4 IPv6网络安全防御系统方案设计IPv6 网络安全防御系统的基本组成结构，如图3所示。IPv6 网络安全防御系统由数据采集, 协议分析/数据还原,网络攻击检测,反应阻断,访问控制(防火墙),数据库,用户界面等若干模块组成。其中数据采集模块是网络攻击检测与协议分析/数据还原模块的基础。数据采集探针数据采集探针IPv6网络安全防御系统数据采集探针IPSec安全隧道管理中心与用户界面网络入侵检测访问控制反应中断网络数据库存储数据解码与还原图3 IPv6 网络安全防御系统的基本组成结构这些模块独立完成一定的网络安全检测与控制功能， 需要互相弥补，从而将网络安全最大化。同时这些功能模块具有相对的独立性，作用范围为一条链路，因此在部署上具有很好的灵活性， 可以根据安全需求部署一个或多个功能模块。在一个IPv6边缘网络，如试验网中，可以部署多个上述功能模块，各个功能模块可以独立工作，也可以通过数据库共享网络安全信息，同步多个功能模块的运作，提供统一的管理接口。在网络出口处提供了数据采集、数据解码、网络攻击检测和网络阻断的功能，可以在入口处检测，监视出入本地网络的非法数据流并提供控制手段。在本地网络内部，由路由器和交换设备将两个个局域网相互连接，由于在本地网络内部，网络可控度和信任度都比较高，可以仅在各个局域网的网关配置了数据采集，网络攻击检测功能，用于检测来自内部网络的网络攻击， 并提供日志记录和报警功能。如果考虑应对网络蠕虫病毒传播， 也可以部署访问控制模块，用于发生病毒时隔离该局域网。各个安全模块有专门的线路与交换机相互连接，模块之间使用IPSec安全隧道相互通信。所有网络安全设备与正常网络通信链路交汇点的网络接口，都工作在混杂模式下，安全监控设备与本通信链路的接口地址是IPv6 地址。因此可以认为安全防御子网与数据传输子网是彻隔离的，也就杜绝了网络入侵者访问安全设备的能。为安全设备提供了良好的隐蔽性和安全性。5 结束语基于IP网络的现状与发展趋势，深入分析了IPv6协议安全性以及IPv6网络面