計算機網路通訊研究論文
資訊科技的快速發展,在整個社會領域都得到了更加廣泛地應用,深刻影響著人類的生活和經濟的發展。下面是小編跟大家分享的是,歡迎大家來閱讀學習~
篇一
《淺談計算機通訊的網路安全問題 》
一、計算機通訊安全現狀
計算機網路伴隨資訊科技的快速發展在各個行業中得到廣泛應用,但隨之帶來了資訊保安問題的出現,這對計算機通訊造成了嚴重威脅。據美國聯邦調查局統計,美國每年因網路安全問題造成的經濟損失高達70多億美元,全球平均每20秒就出現一起計算機入侵事件,從這些入侵事件中也不難看出網路攻擊所具有的顯著特點:
1.社會安全威脅,有些計算機網路攻擊者主要針對國家的軍事、政府部門進行攻擊,從而對社會及國家安全形成威脅。
2.攻擊造成較大損失,由於計算機入侵主要是針對網路上的計算機,因此每次攻擊如若成功都將會給計算機使用者帶來巨大災難,甚至會出現系統無法執行、資料丟失或者被盜竊的現象。
3.攻擊手段多樣化且十分隱蔽,計算機攻擊者通過非法手段竊取他人帳號及密碼進入計算機,然後通過對網路監視獲取機密資訊。完成竊取、監聽過程的時間十分短暫難以察覺,但攻擊的殺傷力卻十分強大。
計算機網路通訊安全所涉及的方面較多,可以從不同的角度作出相應的解釋,國際組織對網路通訊安全是這樣定義的:資訊的可用性、完整性、可靠性及保密性。若從一般層次上講,計算機網路通訊的可靠性及安全性主要依靠網路自己的特性藉助一些安全措施或與安全技術相互結合預防計算機在通訊過程中作業系統、軟體、硬體的應用能夠正常執行,網路中資料的傳輸不受破壞及威脅,拒絕非法使用者對資料或服務的竊取。即藉助於安全措施,無論是通過安全軟體來進行對計算機實施保護又或是通過安全硬體裝置對計算機通訊安全提供保障,預防計算機網路遭受非法入侵,進而實現網路通訊的持久安全執行。從網路執行的具體環節來看,網路通訊安全主要包含:資料資訊在傳輸過程中的安全、硬體裝置執行過程安全、使用者登入資訊保安識別。計算機通訊過程如何實現安全傳輸,這涉及到較多的學科,例如,電腦科學、網路技術、通訊技術、網路安全等等,它主要是以實現網路系統中的硬體、軟體及系統中存放的資料進行安全保護為主。確保來自外部的不良因素無法形成對其威脅,從而使網路系統安全、持久不間斷執行,形成網路服務的暢通。
二、計算機通訊網路安全問題的原因分析
一客觀原因
首先,計算機通訊網路所具有聯結廣泛的特性決定了給網路攻擊帶來了必要的條件,非法入侵者依據網路存在的漏洞或存在安全缺陷對網路系統的硬體、軟體進行攻擊。導致系統中資料的丟失,即便有些資訊在安全級別方面進行了設定但還會有漏洞的存在。其次,計算機系統與通訊網路自身較脆弱,因此遭受不同程度的攻擊是不可避免的,雖然,我們也可以看到當前有很多保護系統安全的軟體出現,例如,微軟作業系統在漏洞被發現後都會及時制定解決方案,而這些解決方案都是通過編寫應用程式的方式出現,程式程式碼的編寫不可能是完美無瑕的,安全隱患仍然會存在。最後,計算機病毒的傳播也加劇了網路通訊安全問題的出現,使網路系統遭受著不同程度的打擊,造成資料的改動、刪除最終破壞整個系統。再有,電子商務軟體普遍應用到通訊網路系統中,而這些電子商務軟體的原始碼又是公開的,這給非法入侵者尋找系統漏洞帶來了便利。
二主觀原因
計算機網路管理員往往忽視潛在的安全問題,亦有些管理員的實際操作水平不夠,在操作過程中違反安全保密所制定的規則,對操作規程不夠了解,例如,工作中不允許公開的機密資料卻進行公開發布,而金鑰又不進行及時更新,長時間使用相同金鑰,使得密碼被破解的機率急劇增加,最終導致網路系統在管理上沒有任何規章可循。在對網路系統的管理和使用方面,人們的習慣偏移於方便操作而忽視安全保密方面的問題。
三、計算機通訊網路安全問題的解決對策
計算機通訊網路安全威脅可分為兩類:故意黑客入侵等、偶然資訊去向錯誤的地址。故意威脅又可分為被動威脅及主動威脅兩類。被動威脅主要針對資訊進行監聽但不對資料內容進行改動,主動威脅則是針對資訊監聽但對資料進行惡意修改。從以上兩種攻擊不難看出,被動攻擊的難度遠遠小於主動攻擊,因此被動攻擊更加容易實現。但是目前並沒有一種統一的方式或方法對各種威脅進行區別或者進行分類劃分,也難以判斷不同的威脅之間有沒有聯絡。威脅隨時根據所存在的環境發生變化而改變。然而,人們為了解釋網路安全服務所帶來的作用,總結了現代計算機網路及通訊過程中比較常見的一些威脅:安全威脅領域植入威脅及滲入威脅,植入威脅比較常見的有:特洛伊木馬、陷門。滲入威脅:授權侵犯、旁路控制、假冒。但我們也可以清楚的看到,在非法入侵者實施入侵時往往將幾種攻擊手段進行結合使用。例如,Internet蠕蟲就是將旁路控制與假冒攻擊進行了結合形成的威脅。
一加強防範措施
網路攻擊是針對系統及各方面安全缺陷進行非法操作的行為,因此防範策略應針對網路中的各個層次從技術角度進行安全設計這是安全防禦系統形成的首要條件。目前所採用的安全防範措施從軟體、硬體、軟體及硬體相結合的裝置主要有以下幾種:安全過濾閘道器、系統加密、入侵檢測、身份認證、漏洞掃描、防毒軟體等。
二資料加密方式
資料加密在當前數字貨幣、電子商務、電子銀行等業務中得以普及,資料加密也是資料安全得以保障的核心技術,其加密的原理是由明文向密文進行轉變的過程。與加密相對應的則是解密,即將密文恢復成明文的實現的過程,這兩個環節均依靠密碼演算法進行實現。資料加密技術在網路通訊中的應用有效促進資料通訊、網路平臺應用的安全係數的提高,保證雙方的通訊在安全下進行使得資料不被盜取及破壞。同時,資料加密技術也可在軟體中實現加密,當加密程式本身沒有受到病毒感染時便無法檢查出資料或程式中是否含有數字簽名,因此應將該加密技術應用在防毒軟體或反病毒軟體當中。其次對網路資料庫實施加密是十分必要的,由於資料通訊傳輸中儲存系統與公用傳輸通道十分脆弱,因此採用資料加密技術進行保護。以前我們對資料庫的保護方式多采用設定訪問許可權及輸入密碼,此類問題解決的核心在於資料本身是否進行了加密,如若是進行了加密,那麼資料即便被盜取也較難被破解。因此我們也不難看出資料加密技術在針對系統內、外部的安全管理中起到舉足輕重的作用。隨著資料加密技術日新月異,還應將當前的技術與其結合,使資料以密文形式在網際網路上實現通訊傳送,等資料到達區域網路由器時再進行解密,進而實現區域網使用者明文查收資料,這樣就有效的解決了區域網與廣域網連線中網路通訊資料傳輸的安全問題。
三數字簽名及控制策略
數字簽名技術是針對網路通訊資訊理論證的科學方式手段,依據單向函式對報文進行處理及傳送,進而得到報文認證的來源並判斷傳輸過程中是否發生變化。數字網路通訊中數字簽名技術是認證的關鍵,它對解決偽造、冒充、篡改等問題起到主要作用,有著良好的無法抵賴性。當前數字簽名技術成熟,尤其在電子政務及電子商務中得到普遍應用,具有較強的可操作性,在實踐中我們應採用科學化、規範化的程式方式判斷簽名方身份,確保通訊內容的真實性、安全性性,進而實現有效的可控管理。其次,網路通訊實踐執行中還應引入科學的訪問控制策略,確定相應許可權,保障計算機網路安全、可靠執行,建立絕對安全的操作策略及保障機制有效預防非法攻擊行為。
四、結語
計算機技術的發展與日俱進致使網路安全技術不斷更新,掌握必要的網路安全知識,增強網路安全防範是十分必要的。我們要時刻注意安全問題,儘量多的使用可靠、安全工具進行系統的維護,使得我們的網路安全更加穩定、持久的執行,這也是未來電子化、資訊化發展的必然要求。
篇二
《 試析IPsec在計算機網路通訊中的應用 》
1 IPSsec協議簡介
IPsec是指IETF公佈的一組以RFC形式描述的IP協議集,實在IP包級時為現有的IP業務提供的安全協議標準。IPsec的基本目的技術把安全機制和TCP/IP相結合,並且通過現代的高科技技術進行加密使其更加具有機密性和認證性。使用的使用者可以通過選擇來確定是使用的安全服務,並且可以達到期望的效果。IPsec協議主要是包括AH、ESP、IKE和IPsec。
IPsec的主要存在優點:IPsec定義了一整套用於認證和保護完整性、私有性的標準協議,IPsec支援一系列的加密演算法例如DES、3DES、AES等,運用了IPsec技術來檢查傳輸的包是否具有安全性和確保資料包內的資料沒有被修改。IPsec被廣泛的應用在許多場合,大至保護國家機關的閘道器機與使用者之間的協議小至保護使用者與使用者之間傳輸的檔案、資料。
2 IPsec和NET間的協作
與大多數的包交換網路一樣,因特網也是建立在IP協議之上的傳輸。IP是使用一個16Byte的頭校驗和來確定資料是否完整,但是IP本身確實不安全的,在傳輸的過程中IP及其容易被捕獲、攔截、重放、修改。這時IPsec就解決了IP在網路層的傳輸問題,IPsec的加密機制為Internet上資料的傳輸提供了保障。不僅如此,IPsec還可以為其IP層以上的高層協議提供安全保護,並且IPsec也是一種比較簡單易懂很容易進行推廣的安全網路基礎方案。我們現在就以IPV4或者IPV6下的IPsec與防火牆協同問題研究為主要研究課題來進行探討IPsec與NET之間的合作。
IPsec和防火牆是計算機通訊中最常見的兩種安全保護技術。IPsec主要是對特定的連線的認證機制和加密機制進行保護,在傳輸過程中IPsec會最大限度的遮蔽資料包的內容才能達到保護的作用防止資料包內資料被攻擊。相反防火牆則是關注網路間連接種類比較多,它會根據上層的協議進行包過濾來阻止非法想要進入主機的入侵者。以上可以看出兩者之間具有互補性,但是事物的好壞具有相對性,有利必有弊防火牆和IPSsec同樣也存在以下幾方面的不相容問題。
1由於防火牆不能看到資料包的內容所以很難執行安全策略,因此防火牆對內部網路的保護能力被削弱。同時防火牆保護了主機中的配置,但卻也很容易使這些中間節點與外界建立連線,從而降低了保密性和私有性使資料包的加密不再有意義。
2無論是防火牆與防火牆還是防火牆與主機之間的聯絡都能被內網的主機嗅到,這就加大了IPsec與防火牆的安全隱患。
綜上所述,我們應該加強IPsec與防火牆的協同工作。
IPsec與防火牆的衝突在於防火牆要對資料包的報頭部分進行檢測以確保資料包的安全性,但是IPsec協議卻又在保護整個資料包的安全性和保密性使得防火牆無法完成工作,從而產生衝突。所以將資料包的報頭部分和資料部分分開操作是不可避免的。
接收端和傳送端會對資料包的資料部分進行接收和處理,達到從一個網路到達另一個網路並且進行有利的保護的目的。而防火牆和主機之間用於對IP報文的協議頭進行處理,這時由防火牆的內部主機來扮演通道這一角色,即在傳輸中間加入IPsec的加密步驟並且結合IDS達到不被外界攻擊和修改的目的。
3 IPsec在計算機網路通訊中的應用
3.1 IPsec中的SA
IPsec中的安全聯盟SA是能夠構成IPsec的主要基礎。SA是兩個IPsec經過協商後簡歷起的一種共同的協定:規定了傳輸的雙方應該用什麼IPsc來保護資料的安全性、加密、認證的金鑰獲取和安全認證金鑰的生存週期等等的一系列問題。
一個SA主要是由安全協議標示符、安全引數索引SPI和目的IP地址確定的,SPI一般是一個32位的數字由目的端點來選擇,安全協議識別符號則是針對5051兩個埠的協議號。由於SA是單工的所以想要實現兩個實體對IPsec的雙向使用就要兩個SA,一個SA負責一個方向。SA通過一種類似於IKE的金鑰管理通訊協議在通訊雙方建立對等協議,當SA協商完成後兩個對等雙方都在他們各自的安全聯盟資料庫中儲存了該SA的資料引數。
3.2 IPsec中的安全資料庫SAD
為了方便IPsec資料流的處理,IPsec中定義了兩個資料庫那就是:安全聯盟資料庫SAD和安全策略資料庫SPD。簡單地說就是SPD進行指定到達特定主機或者網路的資料策劃流而SAD則是用於儲存SA的相關資料。
SPD是一個用於保護IP報文安全的策略資料表,IPsec通常在資料包內提取的選擇字元段有:源IP地址、目的IP地址、源或者目的埠、傳輸層協議、資料敏感級別。一個IP報文的傳輸和接收一共是有三個可以選擇的操作:應用IPsec安全服務、允許IP報文通過IPsec和不允許IP報文通過IPsec協議。當在SPD中沒有尋找到相匹配的條目時句選擇它的預設策略:丟棄IP報文即不允許通過IPsec協議。
SAD是SA相關引數的集合,每一個SA在SAD裡面都有一個條目,這個條目包含以下幾個域:
安全引數索引、協議的執行模式、抗重播視窗、安全聯盟的目的IP和源IP、加密演算法以及加密祕鑰、安全聯盟的生命週期、身份驗證和加密祕鑰的生命週期、驗證演算法和驗證金鑰、最大傳送單元路徑、序列號計數器和用於安全聯盟的協議。
IP報文分為出站和入站兩種,入站時通過IPsec協議和IP報文內容還有SPI在SAD裡面查詢是否有相匹配的SA。若找到了則按照安全服務來進行處理這個報文,該報文服從SPD的規則。若沒有找到則不允許入站。相反的出站時先查詢SPD中有沒有相匹配的策略若是有則檢索SAD中是否已經建立安全聯盟條目並根據該條目對其進行出站處理。若是沒有則將新的SA和這個IP報文一同存入SAD中。
4 IPsec與NAT之間存在的相容性問題
IPsec與NAT之間的不相容性主要是表現在IKE和NAT之間的不相容和AH及ESP和NAT之間的不相容性。下面我們進行分別得探討:
4.1 IKE和NAT之間的不相容
現有的IKE不支援和NAT之間的協同 工作時是無法完成通訊的,只有當雙方都支援穿越NAT的功能才能進行通訊。因此我們應該探測雙方主機是否有NAT穿越功能。
IEK雙方能否感知到NAT的存在也是一個不容忽視的問題,當傳輸雙方其中一方不能感受到NAT那麼通訊雙方之間是不能建立起協同工作的。只有通過更改IP資料包內的相應IP埠號來工作。具體實現方法為:利用傳送方的IP地址埠號進行HASH的運算並將結果傳送到對方主機,接收方也進行相同的HASH運算要是得到的結果不相同則代表有NAT相反的,若是結果不相同則代表NAT是相同的不能進行傳輸。
4.2 傳輸模式中ESP與NAT不相容的問題
當源埠的IP地址被NAT改變了的時候同時也會改變IP頭和TCP/UDP的校驗和。ESP傳輸模式在經過NAT的時候TCP/UDP校驗和還處於加密的狀態,NAT不能進行新的校驗和的產生,當TCP/UDP經過NAT包需要解密時由於原來的TCP/UDP已經被改變所以無法產生原有的解密金鑰,這個資料包就不會通過校驗也就是無法被接受。
在隧道模式中卻不同,因為隧道模式只運用了內部的IP包,而內部的IP包是不會被改變的,所以不會存在這種問題。
5 結束語
根據以上論述我們可以看出IPsec在實際 應用上還是不夠完善,有很大的提高空間。本文只是提供了一個大致的方向,具體的施行方法有許多,應該按照具體的狀況來進行選擇。時代在進步,人們越來越多的使用 網路來進行交流,這就使網路的安全性成為了人們關注的一大焦點,IPsec作為一個重要的安全通訊協議在網路通訊中很多產品都是以其為基礎進行製造和改進的。本文主要討論了IPsec的新的 環境下的應用,主要是從NAT網路環境下和移動IP環境下兩方面進行深入的瞭解並對IPsec與NAT的不和諧的地方進行了仔細的分析和修改。在移動IP環境中在核心中尋找SA的條件,通過這個條件我們可使IPsec與IKE協商的次數大大減少。針對以上的兩個問題我們也給出了相應的解決方案,但是這只是一個初步的解決方案僅供參考還需提高和改進。