IPv6大赛获奖项目：具有内生安全属性的IPv6云网融合平台

校园网IPv4向IPv6演进升级并不是一蹴而就的，实际工作中需要构建和现有网络结构相容、使用方便、安全可靠的IPv6单栈网络环境，吸引用户逐步使用，提高演进升级的平滑度，实现自然过渡。

本项目结合校园网的实际情况，采用IPv6真实源地址验证技术在校园网中建立方便易用、功能完善、具有内生安全属性的IPv6单栈云网融合平台，为师生提供一个上网免认证、应用易部署、安全信得过的网络环境。

本项目中云网融合平台包括三部分：

（1） 基于真实源地址验证技术构建IPv6单栈无线网。将IPv6 DHCP系统和校园网认证系统结合，实现真实IPv6地址生成，同时利用AP自带的源地址验证功能，构建上网免认证、安全信得过的IPv6单栈无线网。

（2）基于真实源地址验证技术构建IPv6单栈云平台。基于Openstack搭建多租户云环境，在NEUTRON中实现真实IPv6地址生成，结合自带的访问控制功能，构建应用易部署、安全信得过的IPv6单栈云基础设施。

（3）基于软件定义网络实现IPv6源地址动态验证。在软件定义交换机中实现IPv6源地址验证功能的动态配置，满足校园网中科研服务器、特殊应用服务器等专用设备的灵活接入配置需求。

项目整体技术架构从下到上分为三层。底层是地址生成层，基于IPv6真实源地址生成技术，从源头保障终端接入设备IPv6地址的真实性；在中间地址验证层，基于设备和平台自带的源地址验证功能和软件定义网络技术，灵活保障多场景的源地址验证功能需求；在上方地址利用层，利用真实地址进行安全事件溯源、资源访问控制、安全行为审计，实现平台的内生安全。主要技术包括：

根据IPv6地址的特点，首先将用户的个人信息使用哈希算法运算得到哈希值；然后提取哈希值的前40位，将其作为用户的NID；最后将NID、时间信息等一起使用商议密钥进行加密，得到64位的加密信息和前缀结合生成完整的真实IPv6地址。

源地址验证一方面采用交换机和AP自带的源地址验证功能，另一方面基于软件定义网络技术满足接入用户的源地址动态验证需求；另一方面在云平台中基于网络插件开发真实地址分配和验证机制，满足多租户云平台安全需求。

项目基于Openstack开发实现了多租户云平台上IPv6真实地址生成和分配机制，为云环境下IPv6单栈的部署和内生安全奠定了基础；同时，本项目基于网络组件NEUTRON进行开发，后期可以和Openstack生态的国内云平台对接，在数据中心部署真实源地址验证功能。

传统校园网安全管理要求“落地查人”，技术上采用802.1x、IP0E等多种认证方式，安全追溯需要查询NAT日志、DHCP日志、认证日志等多种数据，本项目以IPv6真实源地址验证技术构建的无线网在满足校园网安全管控的同时能够实现“免认证实名上网、无日志安全追溯”，在网络使用体验、安全管理等方面有明显的优势。

校园网的接入终端不但有用户使用的个人电脑，还有科研服务器、特殊应用服务器等多种专用设备，目前静态的源地址验证设备无法满足安全灵活管理需求，本项目基于软件定义网络开发了源地址动态验证功能，能够灵活配置源地址验证机制，满足特殊设备的IPv6安全接入需求。