论文部分内容阅读
[摘要]在网络技术高速发展的时代,网络安全成每个网络使用者为关注的焦点,讨论传输层安全性问题,分析了地址机制﹑通用的安全协议将逐步消失,取而代之的是融合安全技术应用的问题研究。
[关键词]计算机网络 网络安全 传输层安全 地址机制 安全协议
中图分类号:TP2 文献标识码:A 文章编号:1671-7597(2008)0520044-01
互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,操作系统漏洞、计算机病毒、黑客人侵及木马控制、垃圾邮件等也给广大互联网用户带来了越来越多的麻烦,网络安全问题因此成为令人瞩目的重要问题。
一、传输层安全
最常见的攻击是TCP会话劫持,该劫持是劫持一个现存的会话,利用合法用户进行连接并通过验证,之后顺其自然接管会话。TCP通过3次握手建立连接以后主要采用滑动窗口机制来验证对方发送的数据,如果对方发送的数据不在自己的接收窗口内,则丢弃此数据,这种发送序号不在对方接收窗口的状态称为非同步状态。当通信双方进入非同步状态后,攻击者可以伪造发送序号在有效接收窗口内的报文也可以截获报文。篡改内容后,再修改发送序号,而接收方会认为数据是有效数据。
TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击,如HTTP FTP及Telnet等。攻击者通过正在进行TCP通信的2台主机之间传送的报文得知该报文的源IP、源TCP端口号、目的IP、目的TCP端口号。从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ackseq值的要求。这样,在该合法主机收到另一台合法主机发送的TCP报文前,攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文,如果该主机先收到攻击报文就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。TCP会话劫持避开了被攻击主机对访问者的身份验证和安全认证。使攻击者直接进入对被攻击主机的访问状态,因此对系统安全构成的威胁比较严重。
二、地址机制
IPv6采用128位的地址空间,其可能容纳的地址总数高达2128,相当于地球表面每平方米拥有6.65×1023个。一方面可解决当前地址空间枯竭的问题,使网络的发展不再受限于地址数目的不足;另一方面可容纳多级的地址层级结构,使得对寻址和路由层次的设计更具有灵活性,更好地反映现代Internet的拓扑结构。IPv6的接口ID固定为64位,因此用于子网ID的地址空间达到了64位,便于实施多级路由结构和地址集聚。IPv6的前缀类型多样,64位的前缀表示一个子网ID,小于64位的前缀要么表示一个路由,要么表示一个地址聚类。IPv6的地址类型包括单播、多播和任播地址,取消了广播地址。IPv6的地址机制带来的安全措施包括:
1)防范网络扫描与病毒、蠕虫传播。传统的扫描和传播方式在IPv6环境下将难以适用,因为其地址空间太大。
2)防范IP地址欺骗。IPv6的地址构造为可会聚、层次化的地址结构,每一ISP可对其客户范围内的IPv6地址进行集聚,接入路由器在用户进入时可对IP包进行源地址检查,验证其合法性,非法用户将无法访问网络所提供的服务。另外,将一个网络作为中介去攻击其他网络的跳板攻击将难以实施,因为中介网络的边界路由器不会转发源地址不属其范围之内的IPv6数据包。
3)防范外网入侵。IPv6地址有一个作用范围,在这个范围之内,它们是唯一的。在基于IPv6的网络环境下,主机的一个网络接El可配置多种IPv6地址,如链路本地地址、站点本地地址、单播全球地址等,这些不同地址有不同的作用域。IPv6路由器对IPv6地址的作用范围是敏感的,绝不会通过没有正确范围的接El转发数据包。因此,可根据主机的安全需求,为其配置相应的IPv6地址。例如,为保障本地子网或本地网络内的主机的安全,可为其配置相应的链路本地或站点本地地址,使其通信范围受限于所在链路或站点,从而阻断外网入侵。
三、通用的安全协议将逐步消失,取而代之的是融合安全技术
当网络安全还没有成为网络应用的重要问题时,制定的通信协议基本上不考虑协议和网络的安全性。而当这些协议大规模使用出现诸多安全漏洞和安全威胁后,不得不采取补救措施,即发展安全协议保护通信的安全,因此IPSec、IKE、TLS等通用的安全协议应运而生,并获得广泛的应用,在充分重视安全重要性后,新的协议在设计过程中就充分考虑安全方面的需要,协议的安全性成了新的协议是否被认可的重要指标.因此新的通信协议普遍融入了安全技术,如SIP本身就附带诸多安全机制,IPv6本身附带了必要的安全字段,这种发展趋势将会持续,由此可以预见,传统的通用安全协议应用范围将逐渐缩小,最终消失,取而代之的是所有通信协议都具备相应的安全机制。
四、总结
总之,随着网络的普及,网络信息安全所面临的危险已经渗透到社会各个方面,应深刻剖析各种不安全的因素,并采取相应的策略,确保网络安全。解决信息网络安全仅依靠技术是不够的,还要结合管理、法制、政策及教育等手段,将信息网络风险降低至最小程度。相信随着网络安全技术的不断改进和提高,以及各项法律法规的不断完善,将能构造出更加安全可靠的网络防护体系。
网络安全法律制度所要解决的问题,乃是人类进入信息社会之后才产生的特殊安全问题。正如为了适应时代所赋予的“正义观念”必须调整为“科学发展观”一样,法律规范随着信息社会的发展也应适应新的安全问题而作出结构性调整,以符合时代赋予的“科学发展观”。
网络安全监管应当以“快速反应和有效治理”为原则。从信息化发展的趋势考察,政府部门职权的适当调整是网络安全监管权力配置的必然选择。因此,构建政府部门之间、政府与社会之间的“信息共享”机制便成为网络安全监管法制建设的重点,应当注意到,只有政府和企业、个人密切配合,才能弥补政府网络安全监管能力的不足,使其更好地履行职责,从而实现保障网络安全的战略目标。
参考文献:
[1]郑晓妹. 信息系统安全模型分析[J]安徽技术师范学院学报, 2006,(01).
[2]李雪青. 论互联网络青年道德主体性的失落及其建设[J]北方工业大学学报, 2000,(04).
[3]刘建永,杜婕. 指挥控制系统的信息安全要素[J]兵工自动化, 2004,(04).
[4]高攀,陈景春. VC.net/GS选项分析[J]成都信息工程学院学报, 2005,(03).
[5]刘颖. 网络安全战略分析[J]重庆交通学院学报(社会科学版), 2003,(S1).
[6]刘颖. 析计算机病毒及其防范技术[J]重庆职业技术学院学报, 2003,(04).
[7]王世明. 入侵检测技术原理剖析及其应用实例[J]燕山大学学报, 2004,(04).
[8]刘晓宏. 浅谈航空电子系统病毒防范技术[J]电光与控制, 2001,(03).
[9]高树风. 防火墙在校园网中的应用[J]大连轻工业学院学报, 1999,(03).
[10]刘洪辉. 基于Windows平台的认证系统的开发[J]电脑开发与应用, 2006,(08).
[关键词]计算机网络 网络安全 传输层安全 地址机制 安全协议
中图分类号:TP2 文献标识码:A 文章编号:1671-7597(2008)0520044-01
互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,操作系统漏洞、计算机病毒、黑客人侵及木马控制、垃圾邮件等也给广大互联网用户带来了越来越多的麻烦,网络安全问题因此成为令人瞩目的重要问题。
一、传输层安全
最常见的攻击是TCP会话劫持,该劫持是劫持一个现存的会话,利用合法用户进行连接并通过验证,之后顺其自然接管会话。TCP通过3次握手建立连接以后主要采用滑动窗口机制来验证对方发送的数据,如果对方发送的数据不在自己的接收窗口内,则丢弃此数据,这种发送序号不在对方接收窗口的状态称为非同步状态。当通信双方进入非同步状态后,攻击者可以伪造发送序号在有效接收窗口内的报文也可以截获报文。篡改内容后,再修改发送序号,而接收方会认为数据是有效数据。
TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击,如HTTP FTP及Telnet等。攻击者通过正在进行TCP通信的2台主机之间传送的报文得知该报文的源IP、源TCP端口号、目的IP、目的TCP端口号。从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ackseq值的要求。这样,在该合法主机收到另一台合法主机发送的TCP报文前,攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文,如果该主机先收到攻击报文就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。TCP会话劫持避开了被攻击主机对访问者的身份验证和安全认证。使攻击者直接进入对被攻击主机的访问状态,因此对系统安全构成的威胁比较严重。
二、地址机制
IPv6采用128位的地址空间,其可能容纳的地址总数高达2128,相当于地球表面每平方米拥有6.65×1023个。一方面可解决当前地址空间枯竭的问题,使网络的发展不再受限于地址数目的不足;另一方面可容纳多级的地址层级结构,使得对寻址和路由层次的设计更具有灵活性,更好地反映现代Internet的拓扑结构。IPv6的接口ID固定为64位,因此用于子网ID的地址空间达到了64位,便于实施多级路由结构和地址集聚。IPv6的前缀类型多样,64位的前缀表示一个子网ID,小于64位的前缀要么表示一个路由,要么表示一个地址聚类。IPv6的地址类型包括单播、多播和任播地址,取消了广播地址。IPv6的地址机制带来的安全措施包括:
1)防范网络扫描与病毒、蠕虫传播。传统的扫描和传播方式在IPv6环境下将难以适用,因为其地址空间太大。
2)防范IP地址欺骗。IPv6的地址构造为可会聚、层次化的地址结构,每一ISP可对其客户范围内的IPv6地址进行集聚,接入路由器在用户进入时可对IP包进行源地址检查,验证其合法性,非法用户将无法访问网络所提供的服务。另外,将一个网络作为中介去攻击其他网络的跳板攻击将难以实施,因为中介网络的边界路由器不会转发源地址不属其范围之内的IPv6数据包。
3)防范外网入侵。IPv6地址有一个作用范围,在这个范围之内,它们是唯一的。在基于IPv6的网络环境下,主机的一个网络接El可配置多种IPv6地址,如链路本地地址、站点本地地址、单播全球地址等,这些不同地址有不同的作用域。IPv6路由器对IPv6地址的作用范围是敏感的,绝不会通过没有正确范围的接El转发数据包。因此,可根据主机的安全需求,为其配置相应的IPv6地址。例如,为保障本地子网或本地网络内的主机的安全,可为其配置相应的链路本地或站点本地地址,使其通信范围受限于所在链路或站点,从而阻断外网入侵。
三、通用的安全协议将逐步消失,取而代之的是融合安全技术
当网络安全还没有成为网络应用的重要问题时,制定的通信协议基本上不考虑协议和网络的安全性。而当这些协议大规模使用出现诸多安全漏洞和安全威胁后,不得不采取补救措施,即发展安全协议保护通信的安全,因此IPSec、IKE、TLS等通用的安全协议应运而生,并获得广泛的应用,在充分重视安全重要性后,新的协议在设计过程中就充分考虑安全方面的需要,协议的安全性成了新的协议是否被认可的重要指标.因此新的通信协议普遍融入了安全技术,如SIP本身就附带诸多安全机制,IPv6本身附带了必要的安全字段,这种发展趋势将会持续,由此可以预见,传统的通用安全协议应用范围将逐渐缩小,最终消失,取而代之的是所有通信协议都具备相应的安全机制。
四、总结
总之,随着网络的普及,网络信息安全所面临的危险已经渗透到社会各个方面,应深刻剖析各种不安全的因素,并采取相应的策略,确保网络安全。解决信息网络安全仅依靠技术是不够的,还要结合管理、法制、政策及教育等手段,将信息网络风险降低至最小程度。相信随着网络安全技术的不断改进和提高,以及各项法律法规的不断完善,将能构造出更加安全可靠的网络防护体系。
网络安全法律制度所要解决的问题,乃是人类进入信息社会之后才产生的特殊安全问题。正如为了适应时代所赋予的“正义观念”必须调整为“科学发展观”一样,法律规范随着信息社会的发展也应适应新的安全问题而作出结构性调整,以符合时代赋予的“科学发展观”。
网络安全监管应当以“快速反应和有效治理”为原则。从信息化发展的趋势考察,政府部门职权的适当调整是网络安全监管权力配置的必然选择。因此,构建政府部门之间、政府与社会之间的“信息共享”机制便成为网络安全监管法制建设的重点,应当注意到,只有政府和企业、个人密切配合,才能弥补政府网络安全监管能力的不足,使其更好地履行职责,从而实现保障网络安全的战略目标。
参考文献:
[1]郑晓妹. 信息系统安全模型分析[J]安徽技术师范学院学报, 2006,(01).
[2]李雪青. 论互联网络青年道德主体性的失落及其建设[J]北方工业大学学报, 2000,(04).
[3]刘建永,杜婕. 指挥控制系统的信息安全要素[J]兵工自动化, 2004,(04).
[4]高攀,陈景春. VC.net/GS选项分析[J]成都信息工程学院学报, 2005,(03).
[5]刘颖. 网络安全战略分析[J]重庆交通学院学报(社会科学版), 2003,(S1).
[6]刘颖. 析计算机病毒及其防范技术[J]重庆职业技术学院学报, 2003,(04).
[7]王世明. 入侵检测技术原理剖析及其应用实例[J]燕山大学学报, 2004,(04).
[8]刘晓宏. 浅谈航空电子系统病毒防范技术[J]电光与控制, 2001,(03).
[9]高树风. 防火墙在校园网中的应用[J]大连轻工业学院学报, 1999,(03).
[10]刘洪辉. 基于Windows平台的认证系统的开发[J]电脑开发与应用, 2006,(08).