网络安全论文.docx
《网络安全论文.docx》由会员分享,可在线阅读,更多相关《网络安全论文.docx(16页珍藏版)》请在冰点文库上搜索。
网络安全论文
本科学年论文(设计)
题目网络安全技术的研究
姓名:
_________
指导教师:
________
成绩:
______________
完成时间:
_年_月
网络安全技术的研究
【摘要】:
21世纪是知识与经济新时代。
网络化、信息化已成为现代社会的一个重要特征。
在这个新时代里,网络信息与我们息息相关。
网络安全技术是随着现代社会对资源共享和信息交换与及时传递的迫切需要而不断发展起来的,人们在享受着网络所带来的巨大便利的同时,网络安全问题也变得越来越突出,成为人们日益关注的重点。
一些常用的网络安全解决方案有防火墙技术、VPN(VirttmlPrivateNetwork)、加密技术、入侵检测技术等,防火墙技术作为网络安全的重要组成部分格外受到关注,入侵检测系统与防火墙联动处理研究也是网络安全体系研究的一个热点问题。
对网络安全的威胁主要表现在:
非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。
这以要求我们与Internet互连所带来的安全性问题予以足够重视。
【关键词】:
网络安全;密码技术;防火墙技术;入侵检测技术
一、绪论
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论等多种学科的综合性学科。
网络信息安全一般是指网络信息的机密性(confideniSality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)。
网络安全通常分为5个层次。
网络安全技术体现为保障以上某个或某几个层次的安全。
现有的安全组件有访问控制、加密、鉴别与认证等,在Internet的时代,人们又采用了防火墙、入侵检测系统、数字签名、虚拟专网等来加强网络、系统的安全性。
网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。
在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其它接收者的信息。
此时,它关心的对像是那些无权使用,但却试图获得远程服务的人。
安全性也处理合法消息被截获和回放的问题,以及发送者是否曾发送过该条消息的问题。
网络安全技术的种类有很多,下面仅就其几个方面进行研究和讨论,具体包括:
密码学中的加密技术、消息鉴别与数字证书、网络安全协议、防火墙、病毒知识与防护、入侵检测技术、网络系统安全等。
二、网络安全协议
(一)网络安全协议的概念及作用
协议是指通信双方关于如何进行通信而做的一个约定。
网络安全协议就是在协议中采用了若干密码算法协议——加密技术、认证技术、以保证信息安全交换的网络协议。
它运行在计算机通信网或分布式系统中,为有安全需求的各方提供一系列保障。
例如:
电子商务交易协议来支持常用的信用卡支付、数字现金支付和电子支票支付。
(二)网络安全协议的特点
1、保密性:
即通信的内容不向他人泄漏。
为了维护个人权利,必须确保通信内容发给所指定的人,同时还必须防止某些怀有特殊目的的人的“窃听”。
2、完整性:
把通信的内容按照某种算法加密,生成密码文件即密文进行传输。
在接收端对通信内容进行破译,必须保证破译后的内容与发出前的内容完全一致。
3、认证性:
防止非法的通信者进入。
进行通信时,必须先确认通信双方的真实身份。
甲已双方进行通信,必须确认甲已是真正的通信双方,防止除甲已以外的人冒充甲或已的身份进行通信。
(三)网络安全协议的类型
常用的安全协议有SSH(安全外壳协议)、PKI(公钥基础结构)、SSL(安全套接字层协议)、SET(安全电子交易)、IPSec(网络协议安全)。
1、SSH(安全外壳协议)
SSH是SecureShellProtocol的缩写。
通过它可以加密所有传输的数据,攻击者想通过DNS欺骗和IP欺骗的方法就无法达成。
并且SSH可以将要传输的数据在传输之前进行压缩,从而加快传输的速度。
2、PKI(公钥基础结构)
PKI是Public Key Infrastructure的缩写,即公共密钥基础设施,可简称为公钥基础设施。
3、SSL(安全套接字层协议)
SSL是SecureSocketLayer的缩写。
它工作在网络传输层之上,最早应用于电子商务的网络安全协议。
SSL使客户服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,并选择性的对客户进行认证。
目前,SSL协议已被广泛用于Web浏览器与服务器之间的身份认证和加密数据传输,成为Internet上保密通讯的工业标准。
4、SET(安全电子交易)
SET是SecureElectronicTransaction的缩写,即安全电子交易。
电子商务迅速发展的今天,遇到了一个瓶颈,即保证用户在网上安全的使用银行卡进行交易。
为此,VISA和MasterCard两大信用卡公司于1997年5月联合推出此规范,它可以保证消费者信用卡数据不会被泄露或窃取。
因此,SET协议已经成为公认的信用卡网上交易的国际安全标准。
5、IPSec(网络协议安全)
IPSec是IPSecurity的缩写。
由于Internet是全球最大的、开放的计算机网络,TCP/IP协议族是实现网络连接和互操作性的关键,但在最初设计IP协议时并没有充分考虑其安全性。
三、网络信息密码技术
密码学(Cryptology)一词为希腊字根“隐藏”(kryptos)及“信息”(logos)的组合,是研究编制密码和破译密码的科学。
其中研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为密码编码学(Cryptography);应用于破译密码以获取通信情报的,称为密码分析学(Cryptanalysis),总称密码学。
两者相互对立,而又相互促进。
(一)密码技术的分类
密码技术分类有多种标准,若以密钥为分类标准时,可将密码系统分为对称密码(又称为单钥密码或私钥密码)和非对称密码(又称为双钥密码或公钥密码)。
在对称密码体制下,加密密钥与解密密钥是相同的(即K1=K2),密钥k在传递过程中需经过安全的密钥信道,由发方传送到收方。
单钥密码的特点是加密、解密都使用同一个密钥,所以此密码体制的安全性关键就在于密钥的安全性,若其密钥泄露,则此密码系统便失去其应有的作用。
在非对称密码下,加密密钥与解密密钥不同,无需安全信道来传送密钥,只需利用本地密钥的发生器产生解密密钥k并控制解密操作D。
由于双钥密码体制的加密与解密方法不同,且只需保密解密密钥,所以双钥密码不存在密钥管理问题。
但双钥密码算法一般比较复杂,加解密速度慢。
(二)对称密码体系
1、对称密码体系的加密算法DES
DES算法属于分组加密法,即对一定大小的明文或密文进行加密或解密工作。
在DES加密系统中,其每次加密或解密的分组大小均为64位,所以DES无需考虑密文扩充问题。
无论明文或密文,一般的数据大小通常都大于64位,此时只要将明文或密文中的每64位当成一个分组进行分割,再对每一分组做加密或解密即可。
当切割后的最后一个分组小干64位时,便在此分组之后附加‘0’位,直到此分组大小为64位。
DES所用的加密或解密密钥也是64位,但因其中有8位是用来做奇偶校验,所以64位中真正起到密钥作用的只有56位。
DES加密与解密所用的算法除了子密钥的顺序不同外,其他的部分则相同的。
2、对称密码体系的工作模式
对称密码体系的工作模式有电子密码本(ECB)、密码分组链(CBC)、密码反馈(CFB)。
(三)非对称密码体系
1、对称密码体系的加密算法RSA
RSA的密钥生成,第一、用户任意选择两个大素数p及q,并求出其乘积N=p*q第二、任选一整数e,使得e与N互素,即GCD(e,Φ(N))=1为加密密钥,并求出e在阶T中的乘法逆元d,即e*d=1modT。
根据欧拉定理,指数函数在模N中所有元素阶的最小公倍数T=ln(p-1,q-1),即T等于p-1与q-1的最小公倍数,一般均使用T=(p-1)(q-1)=Φ(N)。
第三、将(e,N)公布为公开密钥,并将d秘密保存为私有秘密密钥。
p与q可以毁去,以增加其安全性。
(四)密码的管理的步骤
1、密钥生成
2、发送密钥
3、验证密钥
4、更新密钥
5、存取密钥
四、数字签名与认证技术
(一)、数字签名机制
数字签名是信息安全的一个重要研究领域,使用数字签名的主要目的与手写签名一样:
证明消息发布者的身份。
数字签名实现以下几个目的:
1、可信:
接受者通过签名可以确信消息来自于声明的发送者。
2、不可伪造:
签名应当是独一无二的,其他人无法假冒和伪造。
3、不可重用:
签名是消息的一部分,不能被挪用到其他文件上。
4、不可抵赖:
签名者事后不能否认自己签过的文件。
(二)、数字签名的基本原理
数字签名实际上是附加在数据单元上的一些数据或是对数据单元所作的密码变换,这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性。
签名机制的本质特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能惟一地由他自己生成。
当收发双方发生争执的时候,第三方(仲裁机构)能够根据消息上的数字签名来裁定这条消息是否确实由发送方发出,从而实现抗抵赖服务。
(三)、数字证书
数字证书就是网络通信中标志通信各方身份信息的一系列数据,就像现实生活中我们拥有一张个人身份证和驾驶执照一样,它可以表明持证人的身份或持证人具有某种资格。
数字证书是由权威公正的第三方机构即CA(CertificateAuthority)中心签发的。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密、解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名的不可否认性,从而保证网络应用的安全性。
数字证书可用于发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上缴费网上税务等网上安全电子事务处理和安全电子交易活动。
目前的几种数字证书标准:
X.509证书、简单PKI证书、PGP证书、属性证书
(四)、数字证书的分类:
个人证书、企业或机构身份证书、支付网关证书 、服务器证书、企业或机构代码签名证书、安全电子邮件证书、个人代码签名证书
1、个人证书:
书中包含个人身份信息和个人的公钥,用于标识证书持有人的个人身份。
数字安全证书和对应的私钥存储于E-key中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。
2、企业或机构身份证书:
证书中包含企业信息和企业的公钥,用于标识证书持有企业的身份。
数字安全证书和对应的私钥存储于E-key或IC卡中,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交易、交易支付信息等方面。
3、支付网关证书 :
支付网关证书是证书签发中心针对支付网关签发的数字证书,是支付网关实现数据加解密的主要工具,用于数字签名和信息加密。
支付网关证书仅用于支付网关提供的服务(Internet上各种安全协议与银行现有网络数据格式的转换)。
支付网关证书只能在有效状态下使用。
支付网关证书不可被申请者转让。
4、服务器证书:
符合X.509标准的数字安全证书,证书中包含服务器信息和服务器的公钥,在网络通讯中用于标识和验证服务器的身份。
数字安全证书和对应的私钥存储于E-key中。
服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度等。
5、企业或机构代码签名证书
代码签名证书是CA中心签发给软件提供商的数字证书,包含软件提供商的身份信息、公钥及CA的签名。
软件提供商使用代码签名证书对软件进行签名后放到Internet上,当用户在Internet上下载该软件时,将会得到提示,从而可以确信:
软件的来源;软件自签名后到下载前,没有遭到修改或破坏。
代码签名证书可以对32-bit.exe、.cab、.ocx、.class等程序和文件进行签名。
6、安全电子邮件证书:
符合X.509标准的数字安全证书,通过IE或Netscape申请,用IE申请的证书存储于WINDOWS的注册表中,用NETSCAPE申请的存储于个人用户目录下的文件中。
用于安全电子邮件或向需要客户验证的WEB服务器(https服务)表明身份。
7、个人代码签名证书:
个人代码签名证书是CA中心签发给软件提供人的数字证书,包含软件提供个人的身份信息、公钥及CA的签名。
软件提供人使用代码签名证书对软件进行签名后放到Internet上,当用户在Internet上下载该软件时,将会得到提示,从而可以确信:
软件的来源;软件自签名后到下载前,没有遭到修改或破坏。
五、防火墙技术
(一)防火墙的基本概念
所谓“防火墙”,是指一种将内部网和公众网络(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通信时执行的一种访问控制手段,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、复制和毁坏你的重要信息。
(二)防火墙的功能
1、过滤掉不安全服务和非法用户
2、控制对特殊站点的访问
3、提供监视Internet安全和预警的方便端点
(三)、防火墙的不足
1、防火墙不能防范不经由防火墙的攻击。
例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
2、防火墙不能防止感染了病毒的软件或文件的传输。
这只能在每台主机上装反病毒软件。
3、防火墙不能防止数据驱动式攻击。
当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。
(四)防火墙类型
1、包过滤型防火墙(IPFilteringFirewall)
数据包过滤技术的发展:
静态包过滤、动态包过滤。
包过滤的优点:
不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。
包过滤处理的过程如图5-1所示
图5-1包过滤处理
2、代理服务(ProxyServer)型防火墙
代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应用程序使用的记录。
代理防火墙的工作原理如图5-2所示
图5-2代理防火墙的工作方式
3、电路级网关防火墙
电路层网关防火墙的工作原理如图5-3所示电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段
图5-3电路层网关
(五)防火墙的体系结构
1、双宿堡垒主机防火墙
一个双宿主机是一种防火墙,拥有两个联接到不同网络上的网络接口。
例如,一个网络接口联到外部的不可信任的网络上,另一个网络接口联接到内部的可信任的网络上。
这种防火墙的最大特点是IP层的通信是被阻止的,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。
一般情况下,人们采用代理服务的方法,因为这种方法为用户提供了更为方便的访问手段。
图5-4双宿主机网关
2、屏蔽主机防火墙
这种防火墙强迫所有的外部主机与一个堡垒主机相联接,而不让它们直接与内部主机相连。
为了实现这个目的,专门设置了一个过滤路由器,通过它,把所有外部到内部的联接都路由到了堡垒主机上。
下图显示了屏蔽主机防火墙的结构。
图5-5
3、屏蔽子网防火墙
在这种体系结构中,堡垒主机位于内部网络,屏蔽路由器联接Internet和内部网,它是防火墙的第一道防线。
屏蔽路由器需要进行适当的配置,使所有的外部联接被路由到堡垒主机上。
并不是所有服务的入站联接都会被路由到堡垒主机上,屏蔽路由器可以根据安全策略允许或禁止某种服务的入站联接(外部到内部的主动联接)。
对于出站联接(内部网络到外部不可信网络的主动联接),可以采用不同的策略。
对于一些服务,如Telnet,可以允许它直接通过屏蔽路由器联接到外部网而不通过堡垒主机;其他服务,如WWW和SMTP等,必须经过堡垒主机才能联接到Internet,并在堡垒主机上运行该服务的代理服务器。
怎样安排这些服务取决于安全策略。
图5-6被屏蔽子网防火墙示意图
六、入侵检测技术
(一)入侵检测技术系统的类型
1、基于主机的入侵检测系统
基于主机的入侵检测系统的输入数据来源于系统的审计日志,它只能检测发生在这个主机上的入侵行为。
这种检测系统一般应用在系统服务器、用户机器和工作站上。
检测的目标主要是主机系统和系统本地用户。
检测的原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。
基于主机的HIDS(Host-basedIDS,HIDS)在操作系统、应用程序或内核层次上对攻击进行监控,监视和寻找操作系统的可疑事件。
要发现一些恶意事件,HIDS需要和主机协调一致,被监控的主机系统深入的知识只能由入侵检测系统所掌握。
要检测一些攻击,HIDS必须具备主机的正常行为的知识。
2、基于网络的入侵检测系统
基于网络的入侵检测系统通过在共享网段上对通信数据进行侦听,采集数据,分析可疑现象,系统根据网络流量、协议分析、简单网络管理协议信息等检测入侵。
网络入侵检测系统(Network-basedIDS,NIDS)放置在网络基础设施的关键区域,监控流向其他主机的流量。
基于网络的入侵检测系统的数据来源于网络的信息流,NIDS被动地在网络上监听整个网络上的信息流,分析所截获的网络数据包,检测其是否发生网络入侵。
NIDS与基于主机的入侵检测系统对比,前者对入侵者而言是透明的,入侵者不知道有入侵检测系统的存在。
与HIDS相比,NIDS更为安全也不易中断。
运行在一台加固的主机上的NIDS(主机只支持入侵检测相关的服务)会使得主机更为健壮。
NIDS并不依赖于受监控主机的完整性和可用性的缺点,因而它的监控不易被中断。
但NIDS也易受到IDS逃避技术的攻击,现今黑客们已经发现了许多隐藏恶意流量以躲开NIDS检测的方法。
3、分布式入侵检测系统
基于网络与基于主机的IDS相比具有明显的优点,如部署数量少,能实时监测、具有0S独立性等,但同时也有较大的缺陷:
只能检查一个广播型网段上的通信、难以处理加密的会话过程。
由此看出,二者各有优势,且具有互补性,把二者结合起来使用,有可能改善入侵检测系统的检测效果,这就是分布式入侵检测系统(DistributedIDS,DIDS)形成的原因。
DIDS综合了基于主机和基于网络的IDS的功能。
它通过收集、合并来自多个主机的审计数据和检查网络通信,能够检测出多个主机发起的协同攻击。
DIDS系统在框架上结合了Haystack系统和NSM系统的特点,进行数据的分布式监视,集中式分析。
DIDS的分布性表现在两个方面:
首先,数据包过滤的工作由分布在各网络设备(包括联网主机)上的探测代理完成;
其次,探测代理认为可疑的数据包将被根据其类型交给专用的分析层设备处理。
七、病毒防范技术
(一)、计算机病毒的概念
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
(二)、计算机病毒发展史
第一次提出病毒一词,计算机之父冯•诺伊曼半世纪前预言了电脑病毒的出现——称为病毒(Virus)。
第一验证验证了计算机病毒的存在,1983年11月3日,弗雷德•科恩(FredCohen)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦•艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在VAX11/750计算机系统上运行,第一个病毒实验成功。
第一个PC机病毒:
1986年发现的PakistaniBrain(巴基斯坦大脑),它是属于引导区型病毒,是由巴基斯坦的巴锡特(Basit)和阿姆杰德(Amjad)两兄弟设计的。
在一年内流传到了世界各地。
第一个在中国发现的病毒:
1989年发现的“小球”病毒。
(三)、计算机网络病毒的十项防范措施
1、尽量使用无盘工作站,不用或少用有软驱的工作站。
工作站是网络的门户,只要把好这一关,就能有效地防止病毒入侵。
2、采用专用文件服务器,将硬盘划分出一“NetWare”分区,用软盘启动文件服务器。
这种方法启动速度虽慢,但却增强了系统的安全性。
3、少用“Supervisor”登录,建立用户组或功能化的用户,适当将其部分权限下放。
这样赋予组管理员某些权限与职责,既能简化网络管理,又能保证网络系统的安全。
4、运行NetWare提供的“SECURITY”实用程序,找出网络系统中最薄弱的环节,检查并堵塞潜在漏洞。
“SECURITY”能发现网络中的许多问题,诸如口令不保密、未指定用户口令、与管理员同等权限、在任何卷的根目录下都有访问特权、在标准目录中的权限超过了应有范围等问题。
5、正确设置文件属性,合理规范用户的访问权限。
NetWare提供了目录与文件访问权限和属性两种安全性措施,可有效地防止病毒侵入,具体措施如下:
·一般不允许多个用户对同一目录有“Read”和“Write”权,不允许对其他用户的私人目录有“Read”和“Scan”权。
·将所有用户对PUBLIC、LOGIN等目录的权限设置为“Read”和“Scan”。
·将扩展名为.EXE和.COM的文件属性设为“ReadOnly”和“ExecuteOnly”,这种设置还可将文件属性“DeleteInhibit”和“RenameInhibit”等赋予文件。
·组目录只允许含有数据文件,一般用户只能“Read”和“Scan”等。
·特殊情况下授权一个用户在某目录中有“AccessControl”和“Supervisory”权。
6、对非共享软件,将其执行文件和覆盖文件如*.COM、*.EXE、*.OVL等备份到文件服务器上,定期从服务器上拷贝到本地硬盘上进行重写操作
7、接收远程文件输入时,一定不要将文件直接写入本地硬盘,而应将远程输入文件写到软盘上,然后对其进行查毒,确认无毒后再拷贝到本地硬盘上。
8、采用工作站防病毒芯片,在工作站的DOS引导过程中,当“ROMBIOS”和“ExtendedBIOS”已装入而“PartitionTable”未装入时,防毒芯片即获控制权,这样可防止引导型病毒。
9、采用优秀的网络防病毒软件,如LANProtect和LANClearforNetWare等。
10、建立健全的网络系统安全管理制度,严格操作规程和规章制度,定期作文件备份和病毒检测。
八、结论
计算机网络安全不仅关系到国计民生,还与国家安全密切相关,不仅涉及到国家政治、军事和经济各个方面,而且影响到国家的安全和主权。
因此,现代网络技术中的最关键也是最容易被人忽视的安全性问题,现在已经成为各国关注的焦点,也成为热门研究和人才需要的新领域。
如何不断提高网络安全水平,是一个随着网络技术的发展而不断研究的课题。
网络安全实际上是理想中的安全策略和实际的执行之间的一种平衡,并没有一种技术可以完全消除网络安全中的漏洞,网络安全的目标就是尽可能的增大保护时间,尽量减少检测时间和响应时间。
在众多的安全策略中,采用入侵检测系统和防火墙互助互补的联动体系将会使网络更加安全。
只有在法律、管理、技术、道德各个方面采取切实可行的有效措施,共同努力,才能确保现实网络安全。
参考文献:
[1]张同光等,信息安全技术实用教程,机械工业出版社,2008.7
[2]王曦等,网络安全技术与实务,电子工
升级会员 