常用的网络安全协议篇1
1网络安全协议的概念
协议指的是为了完成某任务,由两个或者以上的参与者组成的程序,协议在社会生产和生活中的应用越来越广泛,人们对协议重要性的认识逐渐提高。协议的定义需要具备以下要素:首先,是一个过程,并且具有一定的程序性,协议制定者按照自身的需求制定程序次序,该顺序不能随意更改,必须严格按照既定的程序进行执行;其次,协议的参与者必须超过两个,每一个参与者在协议执行的过程中均具有固定的步骤;再者,由于协议的目的在于完成任务,因此在制定协议时应该保证预期的效果。网络安全协议指的是信息在计算机网络中传输时,为了保证信息的安全性而制定的一个程序,网络安全协议时通过加密或者其他措施保证信息传递的安全性、有效性以及完整性,主要包括身份认证、密钥认证等。网络安全协议在计算机通信网络中的应用起源于上世纪其实年代,通过多年的发展,网络安全协议在计算机通信技术中的应用越来越广泛,网络安全协议越来越优化,目前,计算机通信技术最常采用的网络安全协议包括Set协议、SSL协议等,并且上述两种网络安全协议都采用信息加密的方式保证协议的安全性。
2网络安全协议在计算机通信技术中的应用分析
1)网络安全协议设计方式。
在进行网络安全协议设计过程中,需要进行网络安全协议的复杂的抵御能力、交织的攻击性等进行分析和设计,同时还需要保证网络安全协议涉及的简单性、可操作性以及经济性,前者的目的在于保证网络安全协议自身的安全性,后者在于扩大其使用范围。在进行网络安全协议设计时,应该重点从三个方面进行设计:其一,常规性攻击抵御设计,常规性攻击抵御设计主要是针对所有的网络安全协议,阻止网络攻击者获取密钥信息,具有抵抗文明攻击、混合攻击等一般性、基本性的网络攻击,值得注意的是,随着网络攻击范围和攻击频率的增加,应该增加抵御范围,尽可能的减少网络漏洞,不给网络攻击者可乘之机;其二,采用一次性随机数取代传统的时间戳,传统的时间戳设计方式,即利用同步认证的方式设计的网络安全协议,在网路环境较好的前提下,能够同步认证用户,以此保证通信信息的安全性,但是,现阶段的网路环境非常差,依然采用传统的时间戳认证方式,很难保证网络信息的安全,因此,在进行网络安全协议设计时,应该采用异步认证方法渠道时间戳认证方式,采用随机生成数字的方法进行身份验证,即使在恶劣的网络环境中,也能够保证网络协议的安全性;其三,设计适合所有网络的协议层,网络不同其协议层的长度也存在一定差异,因此为了保证网络协议能够满足网络安全协议的基本要求,必须满足最短的协议层长度,保证报文长度和密码消息长度相同,进而保障网络安全协议的安全性以及适应性。
2)网络安全协议的攻击检测与安全性分析。
在科学技术快速发展的今天,网络安全协议越来越受到人们的重视。但是,许多网络安全协议的安全性令人堪忧,刚刚研发和应用就被检测出存在许多问题或者漏洞。导致网络安全协议存在漏洞的原因相对较多,主要包括:设计人员并没有全面了解网络安全协议的需求,研究不深入、不透彻,导致网络安全协议的安全性大打折扣,在实际应用的过程中能够存在许多问题。在检测网络安全协议的安全性时,通常采用攻击方式进行检测,对于加密协议的压力检测主要包括三个方面:攻击协议自身、攻击协议与算法的加密技术、攻击协议的加密算法。本文探究的主要为网络安全协议自身的攻击检测,与加密技术、加密算法无关,即假设进行网络安全协议自身攻击检测时,加密技术、加密算法都是安全的。
3)密码协议的类型分析。
目前,网络安全协议的类型尚没有权威、严格的定论,主要是因为缺乏专业的网络安全协议分类规范,并且网络安全协议的密码种类众多,想要将网络安全协议进行严格划分是不现实的。从不同角度来看,网络安全协议具有不同的类别。以iSo角度进行种类划分,能够将网络安全协议划分为两个层次,即高层次协议、低层析;从功能角度进行种类划分,可以将网络安全协议划分三种,即密钥认证协议、认证协议以及密钥建立协议;从密钥种类角度进行种类花费,可以划分为三种,即混合协议、公钥协议、单钥协议。目前,网络安全协议通常从功能角度进行划分,主要分为三种:其一,密钥认证协议,通过创建基于身份证明的共享密钥获得网络安全协议;其二,密钥协议,充分利用共享密钥对多个实体创建网络安全协议;其三,认证协议,指的是利用一个实体确认与之对应的另一个实体的身份创建的网络安全协议。
4)应用实例分析。
文章以某信息化调度系统为例,该信息化调度系统由2台高性能100m交换机构成,并且工作站、服务器等计算机设备都配备了2块100m冗余网卡,便于实现交换机和调度网络的连接和高速通信,以此满足整个调度系统的通信需求。为了保证信息传输的安全性,该局域网增加了2台高性能的集线器或者交换机、2台路由器,然后在交换机和路由器之间安装了防火墙,这样能够保证信息化调度系统局域网数据信息的安全性。采用迂回、双环的高速专用数字通道进行网络通信,将每个通信通道的站数设置为8个,并在每个环的交叉处设置了2台路由器,保证数据信息能够可靠、高速的传输。在网络安全协议方面,在信息传输中采用了tCp/ip协议,综合运用ipSeC安全保密技术、CHap身份验证技术等,既能够保证网络通信的安全性,又能够提高网络信息传输的高效性。
3结论
常用的网络安全协议篇2
(一)网络安全协议的特点
所谓网络安全协议,是计算机协议中的一种,指的是把一些密码算法融入到信息的分析和处理步骤当中,网络安全协议是一种信息交换协议,它运用密码算法和协议逻辑来实现认证和密钥分配等目标。其进行交换的基础是密码系统,并在通信网络或者是分布式的系统中运行,其安全交易的内容包括了密钥的安全分配、身份的相互认证、通信信息的加密、电子交易等。网络安全协议具有两个明确的目的:一是,实现传输消息的主体认证;二是,对通信过程中保密的会话密钥进行分配。这两个目的使得身份认证和密钥保密成为网络安全协议的最基本属性。
(二)网络安全协议的系统模型
由于网络安全协议是在网络环境当中运行的,因此,网络安全协议存在的最大问题就是网络通信环境的不安全性。网络安全协议系统的主要部分有诚实主体、攻击者、规则这三个部分,其中诚实主体主要是传输信息的发送者和接收者,规则主要是指对消息的发送和接收进行管理的一种规则。攻击者具有截取和篡改消息的能力,目前网络安全协议的两个攻击方式是被动攻击和主动攻击,其中主动攻击的内容多种多样,主要是对数据包进行截取和篡改,被动攻击的主要内容是对传输的信息进行监听,或者是截取有效的信息。网络安全协议系统的模型图如图1所示。
二、不同网络安全协议的探究
目前,基于因特网的网络安全协议主要有网络认证协议、安全电子交易协议、电子邮件的安全协议等。这几个不同的网络安全协议都各有优劣,下面对几个较为常见的安全协议进行简要的分析。第一,电子邮件的安全协议,其最大的优势在于能够支持数据、视频、音频等各种文件的传输,而不足之处在于传输过程中文件的大小受到严重的限制。第二,网络认证协议,网络认证协议的优势在于能够在过个防火墙和服务器之间构建个良好的安全协议,保证网络之间在其协议安全的前提下具有相互操作性,不足之处在于网络认证协议的每个过程都是可视的,其安全性不能够绝对保证。第三,安全电子交易协议,与传统的交易协议不同,电子安全交易协议具有很强的独立性,其交易的平台只存在于网络间,且其交易对于网络安全没有影响,不足之处在于这种高安全性的交易需要依靠复杂的加密方式来保证,从而使得电子交易的使用率较低,但是其运行的成本过高。
三、网络安全协议的设计准则
常用的网络安全协议篇3
当前,全球范围内的计算机安全形势日渐严峻,黑客、病毒肆虐网络,也给计算机通信网络的安全带来了严峻的考验。计算机通信网络安全技术也随之兴起,并迅速的发展。计算机通信网络安全技术就是利用专业的技术和手段,对计算机通信网络中的硬件设备、系统软件和应用软件以及数据信息等进行保护,限制未授权用户窃取信息。简单的说就是为了防止计算机通信网络受到威胁,保证其正常运行而采取的一些的技术措施。
1计算机通信网络安全产生问题的原因
1.1系统自身原因
1.1.1网络的开放性。计算机通信网络是一个开放性很强的广域系统,一方面方便了各种信息的交流共享,但是,另一方面也使得数据的泄露变得相对比较容易,数据保密工作面临着极大的挑战,此外,网络复杂的布线的方式以及通信质量引起的安全事故也是十分的普遍。
1.1.2软件的漏洞。通信系统自身的一些软件在设计上存在缺陷以及通信协议的漏洞,这些都给计算机通信网络的安全问题埋下了隐患。tcp/ip协议是构成整个互联网大厦的基石,但其本身在设计的时候过分重视失效而在安全性方面却是十分脆弱,留下了很多的漏洞,这样就导致基于该协议的很多应用在一开始就存在很多的安全问题,如万维网服务、电子邮件系统以及文件传输协议服务等。这些固有的缺陷和漏洞十分容易被黑客所利用,对计算机通信网络的安全造成危害。
1.2人为因素
1.2.1内部人员泄密。很多计算机通信网络部门的工作人员自身缺乏相应的安全意识,没有责任心以及职业道德,经常有意识或者无意的情况下泄露相关的秘密信息,还有一些工作人员处于自身利益的目的,利用所具有的权限在网络内部窃取信息,设置木马病毒。
1.2.2网络黑客。黑客人员往往都具备很高的计算机专业知识,有着很强的动手能力,他们处于各种目的对计算机通信网络进行入侵,窃取机密文件或者是恶意篡改数据等,还有一些黑客只是处于自我炫耀或者恶作剧的心理对计算机通信网络大肆破坏,加大的损害了网络的正常运行。很多黑客编写计算机病毒释放到网络上,并迅速的传播,极大的损害了互联网的安全。
1.3其他原因
当前我国的互联网安全的相关的法律法规不够建全,尚存在不少的漏洞以及法律真空地带;计算机通信网络安全技术的相对落后;由不可抗力造成的自然灾害以及各种突发事故等都加剧了国内计算机通信网络安全的严峻形势。
2网络安全关键技术
2.1数据加密技术。为了防止敏感数据在传输的过程中以及储存设备中被泄露,就需要对数据在传输的过程中以及储存时进行加密处理,这是数据安全防护十分常见的措施。加密过程实际上就是将数据由,明码状态转化成密码状态,而解密过程则是一个逆向的将密码转化为明码的过程,这一切都是基于密钥进行的。
2.2用户识别技术。为了防止重要数据被没有经过授权的用户查看、复制或者转移,这就需要对用户进行识别。常见的用户识别技术有:口令、唯一标识符、标记识别等。其中最为常见的用户识别技术是口令,它由计算机随机产生,需要用户进行记忆,并作为对数据进行操作的唯一识别码。由于口令是由计算机系统随机产生,且大多具有一定的时效性,这给口令的暴力破解带来了很大的困难,安全性相对较高,但是随机产生的口令没有规律,同样给用户的记忆带来困难。
唯一标识符适用于高度安全网络系统,对存取控制和网络管理实行精确而唯一地标识用户。每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字,而且该数字在系统周期内不会被别的用户再度使用。
标记识别是一种包括一个随机精确码卡片(如磁卡等)的识别方式,一个标记是一个口令的物理实现,用它来代替系统打入一个口令。一个用户必须具有一个卡片,但可用于多个口令的使用,以提高其安全性。
2.3入侵检测技术。入侵检测技术又称为ids,作用在于:识别针对网络的入侵行为,并及时给出报警或采取安全措施以御敌于国门之外。它在计算机网络中是非常有效的安全技术,然而目前尚没有在通信网络上的成熟应用,这是由于目前计算机网络大都是基于单一的tcp/ip协议,其入侵行为的模式有一定规律可循,而通信网络本身就具有不同的种类,有完全不同的内部管理和信令协议,因此不可能有放之四海皆
转贴于
准的通信网络入侵检测技术。但是通信网络的入侵检测又是非常必要的,完全有理由针对特定技术体制的通信网设计专用的入侵检测系统。
可以借鉴计算机网络入侵检测系统的思想,设计基于节点的入侵检测系统或设计基于网络的入侵检测系统。前者基于节点的工作日志或网管系统的状态搜集、安全审计数据来发现入侵行为,而后者是在网络关键点设置数据采集构件,对网络数据包进行过滤、解释、分析、判断,实时地发现入侵行为。异常入侵检测原理和误用入侵检测原理都可以用于通信网入侵检测,但一定是针对特定通信网协议的。
2.4通信网络内部协议安全。通信网络中的链路层协议、路由协议、信令协议等各个控制协议维系着网络互联、路由选择控制、连接的建立和释放、资源的分配和使用等基本的网络运行功能,它们相当于通信网络的神经系统。而恶意攻击者往往选择通过对通信网内部协议的攻击,来达到控制网络的目的,这是通信网络安全防护所需注意的特点之一。
攻击网络协议的方式主要是通过对协议数据的截获、破译、分析获得网络相关资源信息,并通过重放截获的协议数据、假冒合法用户发起协议过程、直接修改或破坏协议数据等方式扰乱网络正常协议的运行,造成非法入侵、用户相互否认、服务中断、拒绝服务等恶果。通信网络内部协议的安全性主要应通过数据的认证和完整性鉴别技术实现协议的安全变异和重构。其中公钥密码算法和哈希函数是设计中的基本工具,它们用来实现对协议数据的源发起点的实体认证和抗重放的协议完整性鉴别。在安全协议的设计过程中,如果能够做到对于一个完整的信令过程一次加密,则安全性能够得到保证。
常用的网络安全协议篇4
多机协同作战的前提是实现无人机群自主测控通信一体化,也就是必须组建具有较强通信能力、信息感知能力和抗毁性强的无人机网络。该网络必然是一个动态性很强的网络,网络的拓扑结构快速变化,不断会有节点加入或离开网络。因此,移动自组织网络(adHoc,简称adHoc网络)是非常适合于建立无人机网络的技术[1]。
1无人机自组网的概念与特点
无人机自组织网络也称作无人机adHoc网络,是由无人机担当网络节点组成的具有任意性、临时性和自治性网络拓扑的动态自组织网络系统。作为网络节点,每架无人机都配备adHoc通信模块,既具有路由功能,又具有报文转发功能,可以通过无线连接构成任意的网络拓扑。每架无人机在该网络中兼具作战节点和中继节点两种功能:作为作战节点,可在地面控制站或其它无人机的指令控制下执行作战意图;作为中继节点,可根据网络的路由策略和路由表参与路由维护和分组转发工作[2]。在无人机adHoc网络中,由于无线传输范围有限,无人机间的路由有时需要多个网段(跳)组成。如图1(左)所示,无人机节点C和地面控制站(GroundControlStation,GCS)无法直接通信,但可以通过节点B和地面站以CBGCS路由进行通信,或通过节点D、a和地面站以CDaGCS路由进行通信。但由于无人机飞行的不确定性,节点C的快速移动使其处于节点D的通信范围之外,此时,网络拓扑将会发生变化,如图1(右)所示,路由CDaGCS也随网络拓扑变化而不可用。无人机adHoc网络除具有独立组网、自组织、动态拓扑、无约束移动、多跳路由等一般adHoc网络本身的技术特点以外,还具有以下作战使用特点。
1)抗毁能力强。无人机adHoc网络可以在不需要任何其它预置网络设施的情况下,能够在任何时刻、任何地方快速展开并自动组网,可以动态改变网络结构,即使某个节点的无人机受到攻击,也可以自动重构网络拓扑,不会影响其它节点,并克服了单机工作时易受攻击而影响作战成功率的弱点,其网络的分布式特征、节点的冗余性使得该网络的健壮性和抗毁性突出。
2)智能化高。无人机adHoc网络具有高效的路由协议算法,能够及时感知网络变化,自动配置或重构网络,保证数据链路的实时连通,具有高度的自治性和自适应能力。另外,无人机自组网可以实现信息共享,能够将所接收的信息进行处理,并自主决策,实现作战任务智能化。
3)功能多样。无人机自组网后就具有所有终端的功能,各无人机优势互补、分工协作,形成有机整体,获得比单机更好的作战效能,而且还可以获得很多组网后的增值功能,这也就意味着无人机的功能有了更大的扩展,所以应用范围也得到了拓宽。
2国外无人机自组网研究情况
很久以来,国际上包括美国在内各国无人机使用主体上一直采用后方中心与单个无人机直接通信的控制模式。随着技术的发展和需求的变化,各国开始意识到未来无人机的工作模式会逐步从“单机———后方中心”模式转向“机群———后方中心”模式[3]。近年来,美国和欧洲已经正式把无人机的发展列入到“网络中心战”的系统框架中。美国国防部2005年的《无人飞行器系统发展路线图,2005~2030》中就勾画出了未来无人驾驶系统(UaS)的通信网络与全球信息栅格之间的关系,指出无人机作为一个信息节点必将连接未来的全球信息栅格。该文件还指出,未来无人机将以adHoc网络拓扑进行通信自组网,而全球鹰和捕食者无人机自身就应具备支持adHoc网络的能力,并提到了自组网设计,以及相关的宽带路由器、跨层通信协议、高性能网关等方面的问题[4]。目前,国外无人机自组网研究尚处于初级阶段。例如,美国Colorado大学基于adHoc网络研究了无人机组网技术;JohnsHopkins大学提出了基于adHoc扩展的无人机群通信体系结构[5]。另外,DanielLihuiGu等人将无人机作为路由器节点在分级adHoc网络中负责路由信息的采集和分发,并通过改进adHoc分级状态路由协议HSR,解决了adHoc网络中可用带宽随着节点增多而逐渐减小的问题。LiZhihua等人提出用无人机作为中继节点,结合aoDV和Dtn路由协议,解决了在高度分散的adHoc网络中数据的远距离传输问题。tariqSamad等人提出建立无人机adHoc网络将在城市网络中心战中更好地发挥无人机的优势,可使得战场信息的捕获和传输更加及时[6-7]。BRowntX等人则进行了无人机自组网的试验,通过在无人机上加装自组网设备进行了语音传输实验,验证了在能够接受的传输质量和相同的吞吐量条件下无人机自组网可以延伸的通信距离[8]。但是,由于战场环境的复杂性和无人机的特点,目前国外无人机自组网研究还只是集中于网络体系结构、通信协议、网络管理、拓扑控制、安全管理等技术理论方面,距离实际应用还有待时日,国际上还未见具体应用的报道。目前通用性较好的数据链,如美国的CDL和tCDL、英国的HiDL等,都还只是支持点对点组网模式或广播模式,还不符合“网络中心战”的概念和接入“全球信息栅格的设想”。
3无人机自组网的关键技术
无人机adHoc网络作为adHoc网络的一个应用领域,其网络参考模型[9]应具有相同结构,如图2所示。但是,无人机adHoc网络是适应无人机特点和无人机作战环境而组建的自组织网络,有其自身的独特性,在媒体接入控制、路由建立与维护、服务质量保证和网络安全管理等各个方面都有不同于一般adHoc网络的特殊要求,是一个涉及路由协议、maC协议、服务质量、安全协议等多个关键技术的一个复杂网络通信系统。
3.1路由协议
开发良好的路由协议是建立无人机adHoc网络的首要问题,同时也是研究的热点和难点问题。无人机高速飞行使得无人机adHoc网络的拓扑始终高速动态变化,一般的adHoc网络路由协议不能完全适用于无人机网络。因此,根据无人机特点设计快速、准确、高效、扩展性好、自适应能力强的路由算法成为无人机自组网的一个至关重要的研究课题。目前,根据发现路由的驱动模式的不同,一般adHoc网络路由协议分为先验式路由协议、反应式路由协议和混合式路由协议[10]。先验式路由协议能够及时更新路由表,准确反应网络的拓扑结构,具有获取路由时延小的优点,非常适合有实时要求的应用。但是,由于先验式路由中节点之间要不断交互路由信息,当网络规模较大、移动速度较快时,会消耗大量的带宽和节点能量,同时也浪费了一些资源来建立和重建那些根本没有被使用的路由。当网络规模和移动性增加到一定程度(超过某个阈值)时,大部分先验式路由方案都不适用。目前已经提出的具有代表性的先验式路由协议有DSDV、wRp、oLSR、CGSR、FSR、GSR协议等。反应式路由协议是一种需要时才查找路由的路由选择方式,可按需建立拓扑结构和路由表,具有降低开销和节省网络资源的优点。但是存在初始路由延迟大、有“广播风暴”和单向链路问题,不适合高速移动的源和目的节点的通信。典型的反应式路由协议有DSR、aoDV、toRa、aBR、SSR协议等。单纯的先验式或反应式路由协议都不能完全解决路由问题,结合两者优点的混合式路由协议理具有实用意义。这种协议既可以减少路由开销,也能有效改善时延特性,如ZRp协议。但是,混合式路由协议也面临诸多困难,如簇的选择和维护、先验式和反应式路由协议的合理选择以及网络工作的大流量等问题。
3.2maC协议
由于无人机网络节点的移动性、链路的易变性和缺乏中心协调性,使得无人机网络媒体接入控制(maC)协议的设计极富挑战。设计低时延、低能耗、高信道利用率、较好公平性并支持实时业务的maC协议也成为无人机自组网的关键问题和研究热点。maC协议的核心问题是如何协调多个用户共用一个信道实现高效可靠传输,它直接影响到网络的吞吐量和端到端延时等系统性能。针对不同的信道接入方式,目前,adHoc网络的maC协议一般分为以下三类:基于竞争机制的maC协议、基于调度机制的maC协议和混合类maC协议[11]。竞争类maC协议采用竞争的方式来接入无线信道,若竞争信道失败,则根据所采用的退避算法来修改其下次竞争接入信道的时间或概率,其性能主要由所采用的竞争机制决定。目前己经有大量基于竞争机制的maC协议提出,其中比较典型的有基于单信道的aLoHa、CSma、maCa、maCaw、ieee802.11DCF、Fama等和基于多信道的DBtma、DCma、多信道CS-ma、DCa-pC等。调度类maC协议就是将无线信道资源按照频域、时域和码域的方式划分,以一定的调度机制分配给网络中的节点使用。目前基于调度机制的maC协议一般都依赖于基于时分结构的adHoc网络系统,例如StDma、tSma、USap、USap-ma、tRa-ma、tDma-w、DmaC等等。为了解决竞争类与调度类maC协议在不同网络环境下应用受限的问题,有学者提出混合的接入策略,称为混合类maC协议,例如ptDma、混合tD-ma/CSma、aDapt、Z-maC、Funneling-maC等协议。由于adHoc网络本身不依赖于网络基础设施,而且节点出入网络频繁,所以在实际中竞争机制的接入方式成为首选方式。但是在某些特殊情况下,比如要求QoS或者节省能量,采用调度机制和混合机制的maC协议将会得到较好的效果。
3.3服务质量
实现高速可靠的数据链是支撑无人机网络各种复杂业务的一个根本,服务质量控制也成为无人机自组网的一个关键技术。然而,因为adHoc网络的特性,使得传统的服务质量控制算法和协议无法正常工作。因此,设计适用于无人机adHoc网络拓扑结构高动态变化,并且网络资源严格受限的高效、低复杂度的QoS控制机制也是无人机自组网的一个重要研究内容。adHoc网络的多跳性、拓扑易变性、控制分布性和带宽受限性等特点,使得实现服务质量(QoS)保证[12]需要网络中各节点上的各个协议层相互协作,共同完成,如图3所示。目前adHoc网络的服务质量控制机制包括:系统QoS模式、QoS信令协议、QoS-maC访问控制、QoS路由算法等[13]。系统QoS模式定义了网络中为用户提供的各种业务的质量标准和等级,标志最终应该达到的系统设计目标。QoS信令协议是业务服务质量的控制中心,包括当前网络无线资源信息的收集、计算、分配、预留和释放,各个用户间业务请求的应答、调度等功能。QoS-maC访问控制则根据高层协议确定的数据传输任务,完成相邻节点间的最终数据传递。QoS路由算法负责在网络中搜索满足信令系统给出的服务质量要求的从源节点到目的节点的路径。QoS信令协议、QoS-maC访问控制、QoS路由算法相互配合以实现网络QoS模式中定义的服务质量控制保障。
3.4安全协议
由于不依赖固定基础设施,adHoc网络相对于传统网络更易受各种安全威胁和攻击,这使得安全问题在adHoc网络中更受关注。无人机自组网本身受限的网络资源、动态变化的网络条件,以及战场环境的复杂性,使得安全机制的设计和实现非常困难,安全协议的设计就更显得尤其重要。传统的安全机制,例如认证协议、数字签名和加密,在实现adHoc网络的安全目标时依然具有重要的作用。但是,adHoc网络还有适合其自身特点的安全策略,主要包括安全路由、密钥管理、访问控制和认证机制等[14]。安全路由是对现有基本路由协议的安全扩展,主要是采用了加密机制、认证机制、入侵检测机制等一些传统的安全方法,并进行相应的调整,以适应adHoc网络环境。密钥管理用于解决密钥的产生、分配、存储、销毁等问题,是adHoc网络安全技术的关键内容。访问控制用于限制系统内用户的行为和操作,包括用户能做什么和系统程序根据用户的行为应该做什么两个方面,防止非法用户进入系统和合法用户对系统资源的非法使用。认证是指对节点身份的合法性或者消息来源可靠性的验证,是各种安全策略所依托的最基本的安全服务。无人机自组网只有综合运用这些安全策略,才能提高网络的安全性和可靠性。
4无人机自组网面临的问题
4.1高速移动需要更好的网络协议
尽管国际上对adHoc网络技术的研究已经开展多年,但是通常研究的adHoc网络节点移动速率较慢,移动速率在5m/s~15m/s。但是,无人机的飞行速度每秒可达几十米,甚至上百米,和一般节点移动速度可能有数量级上的差别,这对网络性能提出了极大的考验[15]。由于节点高速移动,会造成网络拓扑变化频繁,势必会导致更多的分组丢失或错误和网络路由的重新选择,将会大大增加网络开销,加剧网络阻塞,影响数据传输时延,也会给媒体访问控制和路由算法设计带来更大的挑战。无人机自组网必须设计时延低、公平性好、信道利用率高的媒体访问控制协议和开销低、自适应性强、可靠性高的路由算法,以解决无人机高速移动带来的诸多问题。
4.2安全管理需要更好的安全策略
安全性对于网络来说是一个非常敏感的问题,无人机将来作为网络中心战的重要一环,其安全问题更是受到特别关注。无人机面临的作战环境非常复杂,除了要克服无线链路和移动拓扑等固有的安全弱点之外,还要防止诸如被动窃听、主动入侵、信息假冒等各种信息窃取和攻击。这就要求无人机自组网必须研究与设计适用性好、安全性强的分布式安全策略和方法。但是网络安全作为网络正常运行的一种保障,不应该也不允许占用节点大量的资源,不能因为增加了安全措施,降低了网络性能,影响了网络的正常运行。因此,无人机自组网在解决安全问题的同时,还必须做好安全机制与网络通信性能之间的平衡。
4.3信息处理需要更强的机载处理能力
无人机自组网的无线传输带宽有限,另外还要考虑无线信道竞争时所产生的信号衰落、碰撞、阻塞、干扰等因素,使得链路带宽更加受限、链路容量时变性强。如果对于大量的包含很多冗余的无人机信息不进行预处理,会直接会影响信息传输效率。但是,由于受技术和机载环境的限制,无人机机载平台的处理能力相对有限,不能对信息进行预处理,这不仅增大了系统通信负荷,降低了工作效率,还会增加信号在发送过程中被探测的概率[16]。因此,无人机自组网还必须解决好网络带宽有限和机载预处理能力相对不足之间的矛盾。
常用的网络安全协议篇5
关键词:ip网络Vpn信息安全
中图分类号:tn711文献标识码:a文章编号:
随着信息技术的飞速发展和ip网用户数量的迅猛增加以及多媒体应用需求的不断增长,人们对ip网提高带宽的渴望越来越强。
初期的internet仅提供文件传输、电子邮件等数据业务,如今的internet集图像、视频、声音、文字、动画等为一体,即以传输多媒体宽带业务为主,由此internet的发展趋势必然是宽带化向宽带ip网络发展,宽带ip网络技术应运而生。
所谓的宽带ip网络是指internet的交换设备、中继通信线路、用户接入设备和用户终端设备都是宽带的,通常中继线带宽为每秒数吉比特至几十吉比特,接入带宽为1~100mbit/s。在这样一个宽带ip网络上能传送各种音视频和多媒体等宽带业务,同时支持当前的窄带业务,它集成与发展了当前的网络技术、ip技术,并向下一代网络方向发展。
当今年代,ip网络的覆盖范围如此广泛、网络规模如此庞大、用户数量如此之多、业务传输如此频繁,保障其安全性显然是至关重要的。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从内容看网络安全大致包括4个方面,即网络实体安全、软件安全、数据安全及安全管理。从其本质上来讲主要就是网络上的信息安全,即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。
宽带ip网络面临的安全性威胁分为两大类:被动攻击和主动攻击。被动攻击中,攻击者只是观察和分析某一个协议数据单元,不对数据信息做任何修改,所以根本不会留下痕迹或留下的痕迹很少,因而一般都检测不出来,对付被动攻击可以采用数据加密技术。主动攻击是更改信息和拒绝用户使用资源的攻击,攻击者对某个连接中通过的协议数据单元进行各种处理。这类攻击可分为篡改、伪造、中断和抵赖。主动攻击可采取适当的措施检测出来,而要有效的防是十分困难的。对付主动攻击需要将数据加密技术与适当的鉴别技术相结合。另外还有一种特殊的主动攻击就是恶意程序,如计算机如冲、特洛伊木马和逻辑炸弹。
宽带ip网络安全服务的基本需求包括保密性、完整性、可用性、可控性和不可否认性。
为了满足网络信息系统安全的基本要求,加强网络信息系统安全性,对抗安全攻击,可采取数据加密、数字签名、鉴别、设置防火墙等一系列措施。
为了保证数据信息的保密性和完整性,要对数据信息进行加密,数据加密的密码体制分为常规密钥和公开密钥两种密码体制,从网络传输的角度看,有两种不同的加密策略:链路加密和端到端加密。两种加密策略各有优缺点,一般将链路加密和端到端加密结合起来使用,以获得更好的安全性。
保证网络安全的另外一个重要措施就是设置防火墙,防火墙是一种位于两个网络间、实施网络之间访问控制的组件集合,防火墙的网络称为“可信赖的网络”,而将外部internet称为“不可信赖的网络”。
防火墙可以从不同角度分类,根据物理特性可分为硬件防火墙和软件防火墙,但是由于软件防火墙自身属于运行于系统上的程序,不可避免地需要占用一部分CpU资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失。因此,许多网络更侧重于硬件防火墙作为防御措施。
以上介绍了保障ip网络安全的一些措施,在不安全的公共网络上建立一个安全的专用通信网络Vpn也称得上是实现管好全性的一项举措。
Vpn虚拟专网是虚拟私有网络的简称,安是一种利用公共网络,来构建的私有专用网络,Vpn将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。
Vpn的目标是在不安全的公共网络上建立一个安全的专用通信网络,在降低费用的同时保障通信的安全性,即构建在公共数据网络上的Vpn将像当前企业私有的网络一样提供安全性、可靠性和可管理性。Vpn利用严密的安全措施和隧道技术来确保数据专有、安全地在公网上传输。目前internet已成为全球最大的网络基础设施,几乎延伸到世界的各个角落,于是基于internet的ipVpn技术越来越受到关注,ietF对基于ip的Vpn的定义为“使用ip机制仿真出一个私有广域网”。
ipVpn按接入方式划分可分为专线Vpn和拨号Vpn,专线Vpn是为已经通过专线接入iSp边缘路由器的用户提供的Vpn解决方案,是一种“永远在线”的Vpn。拨号Vpn又称VpDn,它是向利用拨号pStn或iSDn接入iSp的用户提供的Vpn业务,是一种“按需连接”的Vpn。因为这种Vpn的用户一般是漫游用户,因此VpDn通常需要做身份认证。按协议实现类型还可以分为采用第二层隧道协议的Vpn和采用第三层隧道协议的Vpn。还可以按Vpn的发起方式、服务类型、承载主体等多种方式进行划分。
构成ipVpn的主要设备有ip安全隧道和Vpn设备。内部网Lan1发送者发送明文信息到连接公共网络的源Vpn设备,源Vpn设备首先进行访问控制,确定是否需要对数据进行加密或让数据直接通过或拒绝通过。对需要加密的ip数据报进行加密,并附上数字签名以提供数据报鉴别。Vpn设备依据所使用的隧道协议,重新封装加密后的数据,此数据通过ip安全隧道在公共网络上传输。当数据报到达目的的pVn设备时,首先根据隧道协议数据报被解除封装,数字签名被核对无误后数据报被解密还原成原明文,然后目的Vpn设备根据明文中的目的地址对内部网Lan2中的主机进行访问控制,在核对无误后将明文传送经Lan2中的接收者。
Vpn的隧道技术是构建Vpn的关键技术,广义的隧道包括隧道启动节点、隧道终止点和承载隧道的ip网络。按照工作的层次,隧道协议可分为两类:二层隧道协议和三层隧道协议。三层隧道协议主要有两种:RFC1701通用路由封装协议和ietF制定的ip层加密标准协议ipSec协议。二层隧道协议主要有三种,点对点隧道协议(pptp)、二层转发协议(L2F)和二层隧道协议(L2tp)。二层隧道协议简单易行,但扩展性差且提供内在的安全机制安全强度低,主要应用于构建拨号Vpn,而三层隧道协议安全性、可扩展性、可靠性较强,两者通常结合使用。
常用的网络安全协议篇6
关键词:信息技术;通信网络安全;网络协议安全
引言
所谓的信息安全是指在信息采集、传递、储存以及应用的过程中,需要确保信息具有的完整性、机密性、可用性、可控性以及不可否认性不发生改变[1]。在现代社会通信网络安全以及不仅仅是一个it行业的问题,其也是一个不可忽视的社会问题,它包含了多学科的系统安全工程问题,甚至直接关系到国家的安全。因此,明确通信网络安全的需求,探析通信网络安全的关键技术及其作用、机制和发展趋势,以促进通信网络安全技术的发展,确保我国的通信网络安全就有着重要的现实意义。
1通信网络的安全需求
通信网络作为一种信息传递的载体,对于多数的普通用户而言,其是透明的、也是公开的,这就导致在使用的过程中很难让人放心,因此这种透明公开的使用模式使得用户的使用过程是一个不可控的过程,这就导致在信息传递的过程中很容易被窃取或者是破坏,其通常会面临着很多的安全威胁,主要有以下几个方面:首先是信息的泄露,这是指信息在传递或者储存的过程一些未经授权的用户通过一些非法的途径对信息进行了窃取。其次,信息在传递的过程中其完整性被一些恶意的因素所破坏,导致通信使用的双方在信息的传递的过程中存在着信息的差异。再次,就是抵赖问题,是指信息发送的双方在信息发送完成后对于各自的行为予以否认,从而导致通信网络的协议或者期间的一些应用规则出现失效的情况。这些都会影响通信网络的使用的安全,也产生了通信网络安全的需求,因此,保证通信网络的私密性、数据的完整性等是非常必要的[2]。
2通信网络安全的关键技术
通信网络安全的关键技术包含很多的方面,主要有信息加密技术、通信网络内部协议安全、网路管理安全、通信网入侵检测技术以及通信网络安全效果评估技术五个方面,具体而言有以下几点。
2.1通信网络信息加密技术
加密技术作为一种常见的信息保密技术和手段,在信息传送业务中被广泛的运用着,通过这种途径来保障信息传输的安全,可以在信息传递的两个节点之间进行加密,保障两个节点间各种控制协议或者管理信息也可以获得相应的保密性,同时也必然的降低各控制协议和管理信息的被攻击和利用的可能性。因此,对于通信网络信息加密,通常所采用的加密技术就是链路加密和端到端的混合加密方式,这种方式可以有效的提高信息密码的分析难度,也可以防止流量的分析。
2.2通信网络内部协议安全
在通信网络运行的过程中必不可少的有着很多控制协议,这些协议是维持网络互相连接,确保信息资源的分配或者使用的最基本网络运行功能得以进行的基本保证。很多对网络协议的攻击就是通过对协议的截获、破译等手段进行攻击,所以通信网络内部协议的安全性其主要的实现过程就是通过对于数据的认证和鉴别,以此保证信息数据的完整性来实现的,当然,需要特别注意的是在具体的设计过程中密钥的储存开销、密钥管理复杂性等因素[3]。
2.3安全网管系统
在实际应用当中,对于网管协议的破坏或者是重放拒绝是构成网管系统安全性的威胁的最主要因素,如果非授权的用户从网管系统的层面对系统经行非法的登陆访问,则必然会导致网管系统很难正常的工作,网络的效率变得极低,甚至在严重的情况下还会窃取或者是破坏通信网的数据,因此在设计网管系统的过程中一定要制定切实可行的安全策略,其就包括网管系统的安全目标、安全的服务和技术控制的本身[4]。
2.4通信网络的入侵检测技术
如何更好的识别网络的入侵行为,并在识别的基础可以给予一定的报警或者安全防范,做到能够御敌于国门之外这是在通信网络信息技术应用过程中的一个重要的技术手段,也是确保计算机网络安全的一个非常有效且常用的手段,基于这种思想,对于设计通信网络信息技术的入侵检测技术系统时,就需要根据计算网络安全系统设计的思路,逐渐向着可以做到实时的检测、互动式分布以及智能化发展的方向前进。当然,通信网络本身就具有着不同于计算机网络的特点,也有着一个完全不同的内部管理以及信令协议,这就导致通信网络入侵检测需要根据具体的情进行专门的设计。
2.5通信网络安全效果评价
通信网络安全的效果评价是对整个通信网络规划和安全策划制定和实施的最有力保证和强有力的支持,其包含的内容非常的广泛,有通信网络安全评估理论、安全性能评估工具和测试床环境的建立等多方面内容。而建立这套完整的通信网络安全效果评估工具,其必须要有着如下几个方面的功能,首先是可以有效的模仿真用户对通信网络进行模拟攻击,并且还可以提供多种的仿真测试能力,而对于通信保密系统的终端加密还可以进行效果验证,最后需要提供全面的安全评估结果[5]。
3结束语
随着现代通信网络技术的快速发展,对于通信网络安全的要求也呈现出越来越高的趋势,信息加密技术,通信网络内部协议安全,安全网管系统,通信网络的入侵检测技术以及通信网络安全效果评价作为通信网络安全的关键技术,设计者需要根据不同的通信网络和具体的应用要求,合理的运用各项安全技术,以尽可能的保证通信网络系统运行安全可靠。
参考文献
[1]滕学斌,齐忠杰.通信网络安全关键技术[J].计算机与网络,2015(9).
[2]魏亮.通信网络安全分层及关键技术[J].世界电信,2014(3).
[3]徐茂.通信网络安全的系统、实现与关键技术[J].电子政务,2004(Z1).
[4]杨光辉,李晓蔚.现代移动通信网络安全关键技术探讨[J].长沙通信职业技术学院学报,2013(2).
常用的网络安全协议篇7
关键词:无线传感器网络;安全路由协议;安全机制
引言
无线传感器网络是由大量随机分布的传感器节点组成通过自组织的方式形成的网络。随着无线传感器网络应用的不断发展,安全问题成为无线传感器网络研究的一个重要方向。目前对无线传感器网络安全方面的相关研究有很多,其中对安全路由协议的研究是重中之重。路由协议是否受到攻击会对无线传感器网络有一定的影响,因此保证路由协议的安全性是提高网络安全性的前提。为了防御路由协议受到的攻击情况,需要设计具有良好扩展性且适合无线传感器网络特点的安全路由协议。
1无线传感器网络路由协议的攻击方式
因为传感器节点具有能量、通信能力和存储能力有限等特点,并且传感器节点在进行数据传输时,每个节点都可能是路由节点,这样就给攻击者提供了一定的条件对网络发起攻击。主要的攻击方式有以下几种:
1.1虚假路由信息
攻击者通过伪造节点间的路由信息,导致节点不能得到正确的路由信息。这样的攻击方式,可以造成网络中出现路由环路或者增加端到端的延迟等问题。
1.2选择性转发攻击
攻击者对节点进行攻击后,控制节点在收到数据包后,不按正常的情况进行数据包的转发,有选择的进行转发或者直接拒绝转发数据包。
1.3黑洞攻击
攻击者通过一定的手段,例如声称自己电源充足、性能可靠等,吸引其周围的节点将其当成是下一跳节点,这样就形成了一个以攻击者为中心的黑洞。
1.4女巫攻击
攻击者通过伪造多种身份的节点对网络发起的攻击称为女巫攻击。攻击者伪造的节点就是女巫节点,实际上并不存在的节点。这些女巫节点的存在,让网络中的正常节点以为存在距离基站更近的节点,可以将信息传递给这些节点来减少自己的能量消耗。
1.5虫洞攻击
攻击者利用通过控制两个节点,让两个节点合作对网络发起的攻击,其中一个节点距离基站比较远,另一个节点就在基站附近,距离基站比较远的节点通过声称自己和基站附近的节点可以建立高效链路,吸引周围的节点将数据包转发给自己,这样的攻击方式叫做虫洞攻击。
1.6HeLLoFlood攻击
有些路由协议节点需要通过定时发送Hello消息的方式来获得自己的邻居节点的情况。这时,攻击者可以用足够大的功率广播Hello消息,让距离很远的节点收到这个Hello消息后认为攻击者是自己的邻居节点,这样节点在进行路由时,会将收到的数据包转发给攻击者,这样的攻击方式就是HeLLoFlood攻击。
2安全机制
对无线传感器网络路由协议的易受到的攻击进行研究分析,为了能够防御这些攻击,目前已径提出了一些安全机制。这些安全机制大致有以下几种:
2.1身份认证
身份认证就是确定通信双方的身份并进行密钥交换。在网络中存在攻击节点,可以通过身份认证的安全机制来阻止该节点对网络进行的破坏。无线传感器网络因为节点自身的计算能力和存储能力有限,使得传统网络中应用的公钥加密方式并不能应用在无线传感器网络中。为了节省网络能量的消耗,保证身份认证的有效性,需要密钥算法更加符合无线传感器网络的特点。
2.2消息认证
消息认证就是确保消息接收者收到的是来自发送者发送的真实的消息。无线传感器网络中,攻击者在网络中可以通过发送虚假的消息或者修改传感器节点收到的消息等方法,让网络中的消息不能正确的到达目的节点,造成目的节点收到的消息是不真实的或者是不完整的。针对这样的情况,可以在节点间建立随机的预分配密钥对,对节点间发送的消息进行认证,就可以保证消息的完整性和可靠性。
2.3入侵检测
入侵检测就是在攻击者对网络发起进一步危害的时候及时的发现这些攻击节点,隔离这些节点,保证网络能正常运行。
2.4多路径路由
多路径路由就是存在多条从源节点到目的节点的路径,即节点在选择一条路径进行数据传输的时候,一旦这条路径出现问题的时候还有另外的路径可以选择。
3无线传感器网络安全路由协议
无线传感器网络中已经提出了很多路由协议,这些路由协议大多是高效节能的,并没有考虑到安全方面的问题。为了提高路由协议的安全性,需要设计安全路由协议。目前,安全路由协议的设计方法之一就是将安全机制与原有的路由协议相结合。对典型的安全路由协议的介绍如下:
3.1容侵路由协议(inSenSe协议)
inSenS协议采用的是对密钥体制和冗余路由机制。该协议建立路由的方法为:基站向网络中的节点发送请求消息,收到请求消息的节点将消息转发给自己的邻居节点。节点在收到请求消息后要给机制发送应答消息,基站根据收到的应答消息建立路由。基站和节点采用双向认证,这样可以减少入侵者对网络造成的破坏。
inSenSe协议的优点是用到了双向认证,对恶意节点的破坏网络的范围进行了限制。但是也存在一定的问题,密钥方面共享的密钥是固定的,且加入机制会一定程度上消耗网络能量,缩短网络生命周期。
3.2协作式安全路由协议
该协议的设计思路就是将安全机制和路由协议结合,通过安全机制可以提高路由协议的安全性。
3.3基于能量优化的安全路由协议
该协议考虑节点的剩余能量,选择剩余能量多的节点进行数据的传输,这样可以延长网络的生命周期。同时为了保证协议的安全性,采用pKi密钥技术。
4结束语
文章介绍了无线传感器网络路由协议易受到的攻击类型和防御攻击的安全机制,介绍了几种安全路由协议。近年来对无线传感器网络安全路由协议已经进行了相应的研究,但是还存在一定的问题,比如现有的研究工作主要是针对节点静止的无线传感器网络,而对于移动传感器网络的路由安全研究较少;另外无线传感器网络存在资源受限的问题,因此在研究设计路由协议的时候要尽量降低节点间的计算代价、存储代价、通信代价等。
参考文献
[1]YalinevrenSagduyu,anthonyephremides.agame-theoreticanalysisofdenialofserviceattacksinwirelessrandomaccess[J].wirelessnetworks,2009(5).
常用的网络安全协议篇8
关键词:tCp/ip协议;网络安全;层次
中图分类号:tp393文献标识码:a文章编号:1672-3791(2015)11(b)-0000-00
1、tCp/ip协议
transmissionControlprotocol/internetprotocol是tCp/ip协议的全称,不但这个协议是internet最基本的,同时也在internet国际互联网络中属于非常基础的。传输控制协议/因特网互联协议是它的中文名称,也叫作网络通讯协议。tCp/ip协议对电子设备怎样做到和因特网连接以及数据在它们之间进行传输的标准做了规定。4层的分层结构是协议所采用的,对于每一层来说,完成自身的请求都利用对下一层进行呼叫并依据提供的协议来实现。
2、存在的安全隐患
2.1网络接口层上的攻击
网络接口层在tCp/ip网络中,属于复杂程度最高的一个层次,一般来说,进行网络嗅探组成tCp/ip网络的以太网是最为常见的攻击方式。以太网应用非常广泛,并且共享信道得到了普遍使用,广播机制在媒体访问协议CSma/CD中使用的较多,这也使得网络嗅探的物理基础得到构建。以太网卡的工作方式包含两种,首先是一般工作方式,而就另一种方式来说,显得较为特殊属于混杂方式。来自共享信道上的数据包能被主机说接收。网管工作的需要可能是网络嗅探进行的初衷,但是这种情况下极有可能导致因为被攻击方面原因导致的信息丢失,同时攻击者能够依据数据分析获得诸多关键数据比如账户、密码等。
2.2网络层上的攻击
2.2.1aRp欺骗
一般来说是为了把目标主机的ip地址关联到攻击者的maC地址上,使得目标主机的ip地址的流量定位到攻击者处。局域网通信在数据链路层进行传输的时候数据链路层的maC地址是网络层的ip地址需要转换的,假如一个主机的ip地址知道以后,获取其maC地址就需要通过一个广播来实现主机响应中有这个ip的maC地址。aRp协议没有状态,无论是否收到请求,主机都会自动缓存任何它们收到的aRp响应。这样的话新aRp响应会覆盖哪怕没有过期的aRp缓存,并且主机对数据包的来历无法认定。而这个漏洞是aRp欺骗所采用的,与目标主机通过maC地址的伪造产生关联,实现aRp欺骗。
2.2.2iCmp欺骗
iCmp协议也就是internet控制报文协议,它主要的功能就是在路由器和主机之间进行控制信息的传递。控制信息就是主机能不能可达、网络是不是畅通以及路由是不是可用等网络自身方面的信息,如果差错出现,iCmp数据包会通过主机马上进行发送,对描述错误的信息做到自动返回。基于iCmp的服务最常用的就是ping命令,iCmp协议在网络安全中是非常重要的,因为它自身特点的原因使得它遭受入侵很容易,一般来说,目标主机通过长期、大量iCmp数据包的发送,导致大量的CpU资源被目标主机所占用,最终导致系统瘫痪。
2.3运输层上的攻击
在网络安全领域,隐藏自己的一种有效手段就是ip欺骗―伪造自身的ip地址向目标主机发送恶意请求,造成目标主机受到攻击却无法确认攻击源,或者取得目标主机的信任以便获取机密信息。进行DoS攻击经常会利用ip欺骗的方式实现,因为数据包的地址来源非常广泛,过滤不能轻松地进行,这使得基于ip的防御不再有效。ip欺骗也会用来跳过基于ip的认证,虽然这种方法要一次更改数量众多的数据包,使得实施攻击远端系统非常困难,但在受信任的内网主机之间却很有效。此外,ip欺骗偶尔也用作网站性能测试。
2.4应用层上的攻击
域名系统的英文缩写是DnS,这个系统用在组织到域层次结构中的各项网络服务的命名。对于internet来说,域名和ip地址都是一一对应,它们之间工作进行转换叫做域名解析,而域名解析的服务器就是DnS。而对于DnS欺骗来说,它就是攻击者一种对域名服务器进行冒充的欺骗行为,它可以为目标主机提供错误DnS信息。例如用户在浏览网页时,攻击者把原有的ip地址偷换成攻击者的ip地址,这样的话,用户看到的就不是原有的页面,而是攻击者的页面。DnS服务器能够误导客户引导进入非法服务器,也能够对服务器进行误导使他们相信诈骗ip。
3、基于tCp/ip网络的安全策略
3.1防火墙技术
防火墙是网络访问控制设备,除了有访问权限的资源可以通过,各种没有权限的通信数据都会被拒绝。从层次上来说,防火墙的实现一般包含两种:应用层网关以及报文过滤。报文过滤在防火墙中占据非常核心的地位,它在网络层实现以及过滤器方面发挥非常大的作用,在进行设计的时候对防火墙的访问要尽可能减少。在调用过滤器的时候将被调度到内核中实现执行,服务停止的时候,将会从内核中消除过滤规则,在内核中一切分组过滤功能运行在ip堆栈的深层中。此外,技术实现上还有代管服务器、隔离域名服务器、邮件技术等,都是在内外网上建立一道屏障,对外使得内部的信息得到屏蔽,同时对内进行服务的提供。
3.2入侵检测系统
入侵检测技术属于动态安全技术的范畴,通过研究入侵行为的特征及过程,使得安全系统做出实时响应入侵过程能。另外这也属于网络安全研究的非常重要的内容,入侵检测技术可以实现逻辑补偿防火墙技术,是在安全防护技术上属于较为积极主动的,它实时保护外部入侵、内部入侵以及误操作,它能够使得网络系统免遭破坏。入侵检测技术的发展有三个方向:智能化入侵检测、分布式入侵检测以及全面的安全防御方案。
3.3访问控制策略
每个系统都要访问用户是有访问权限的,这样才允许他们访问,这种机制叫做访问控制。访问控制虽然不是直接抵御入侵行为,但在实际网络应用中迫切需要,也是网络防护的一个重要方面。访问控制包括两个方面,一方面是对来自外部的访问进行合法性检查,这类似于防火墙的功能;另一方面是对由内到外的访问做一些目标站点检查,对非法站点的访问进行封锁。在服务器上必须对那些用户可以守护进程以及访问服务进行限制。
结束语
总之,虽然使协议中的存在的安全缺口免遭攻击实现起来很困难,但是科技的发展以及安全技的不断改进,只有对我们的安全体系采用新技术进行完善,tCp/ip协议才会有更安全的明天。才能给tCp/ip网络信息服务安全带来足够的保障。
参考文献
[1]谢希仁.《计算机网络(第5版)》[m],电子工业出版社,2012.5.
[2]梁毅.《tCp/ip协议的漏洞和防御》[J],清华大学出版社,2014.3.
[3]龙东阳.《网络安全技术及应用》[m],华南理工大学出版社,2012.9.
常用的网络安全协议篇9
关键词:ipSecVpn;aH;eSp;SSLVpn;iKe
中图分类号:tp393文献标识码:a文章编号:1009-3044(2009)24-6652-03
SecurityResearchofVpnBasedonipSec
GUoXu-zhan
(ComputerandinformationtechnologyCollege,XinyangnormalUniversity,Xinyang464000,China)
abstract:SSLVpnandipSecVpnsecuritytechnologyprinciplesareintroducedinthispaper.andcarriedoutadetailedstudyandresearchontheencryption,authentication,keymanagementofipSec,researchthesecurityofipSecVpn.
Keywords:ipSecVpn;aH;eSp;SSLVpn;iKe
随着经济的不断发展,企业的信息化进程也在逐渐加快,为了保证企业机密信息在远距离传输过程中的安全,可以采用专线式广域网络传输数据,但是这样的方案耗资巨大,不符合成本-效益原理。因此Vpn(虚拟专用网络)技术应运而生。Vpn是以internet为平台,建立起在安全技术保护下的虚拟专用网络,并且此虚拟网络提供与专用网络相同的功能、安全性、易于管理等特点,是原有专用网络的替代方案,更为符合成本-效益原理。通过Vpn可以帮助远程用户、公司分支机构、商业伙伴及供应商等外部用户透过公用网与公司的内部网建立可信的安全连接,并保证数据的安全传输。将企业专用网上的数据加密封装后,透过虚拟专用网络进行传输,可以防止敏感数据被窃。Vpn技术发展非常迅速,目前组建技术多种多样,比较常见的有SSL、ipSec、L2tp等。只有在充分了解这些协议的基础上,才能根据需求组建不同保护功能地Vpn。
1SSL安全协议
SSL[1-2]协议工作在传输层,它分为两层:SSL握手协议和SSL记录协议。使用SSL协议组建的Vpn称为SSLVpn。
1.1SSL握手协议
SSL握手协议[3]用于在通信双方建立安全传输通道,可以实现以下功能:
1)在客户端验证服务器,SSL协议采用公钥方式进行身份认证;
2)在服务器端验证客户(可选);
3)客户端和服务器之间协商双方都支持的加密算法和压缩算法,可选用的加密算法包括:iDea、RC4、DeS、3DeS、RSa、DSS、mD5等;
4)产生对称加密算法的会话密钥;
5)建立加密SSL连接。
1.2SSL记录协议
SSL记录协议[4]从高层接收到数据后要经过分段、压缩和加密处理,再发送出去。在SSL协议中,所有的传输数据都被封装在记录中,SSL记录协议规定了记录头和记录数据的格式。每个SSL记录包含以下信息:1)内容类型:指SSL的高层协议;2)协议版本号:指所用的SSL协议版本号;3)长度:指记录数据的长度,最大长度为16383字节;4)数据有效载荷:将数据进行压缩和加密处理后的结果;5)maC:maC在有效数据被加密之前计算出来并放入SSL记录中,用于进行数据完整性检查。
SSLVpn最大的好处就是不需要安装客户端程序,由于只通过443端口作为唯一的传输通道,因此管理员不需要在防火墙上作任何修改,从而最大限度的减少了分发和管理客户端软件的麻烦,降低了系统部署成本和it部门日常性的管理支持工作费用。SSLVpn能保证在任何地方访问基于tCp应用程序的安全,包括web和C/S应用,传统的应用程序,网络文件传输和共享,终端服务,电子邮件服务以及pDa等手持无线设备。
然而SSLVpn也有其缺点:它不适用做点对点的Vpn,后者通常是使用ipsec技术,SSLVpn需要开放网络防火墙中的HttpS连接端口,以使SSLVpn网关流量通过,SSLVpn通常需要其他安全配置,例如用第三方技术验证“非信任”设备的安全性(包括其他信息站或家用计算机)。
2ipsec协议与隧道技术
2.1隧道技术简介
隧道[5]是网络通信常用的一种模式,在公用网络中,通信两端之间建立的虚拟专用网络,就是一种隧道技术的运用。隧道技术包括封装、传输及解除封装等几个方面。目前常见的隧道技术有ipsec隧道模式、ipX隧道、点对点隧道协议pptp和第二层隧道协议L2tp等。其中效果最好,应用最广泛的就是ipsec。
隧道由用户终端及服务器端构成,两端必须使用相同的隧道协议(tunnelprotocol)。隧道传输协议用来传送数据,隧道维护协议用于管理隧道。隧道工作于oSi参考模型的第二层或第三层,第二层对应到数据链路层,以帧为单元交换信息。pptp、L2tp都是第二层的隧道协议,数据被封装在点对点通讯协议(ppp)帧中,再以隧道协议封装,继而通过网络传送。第二层隧道协议可以实现如下功能:用户验证、动态地址指派、数据压缩、数据加密等。第三层对应到网络层,以信息分组为信息交换单位,包括ipX及ipsec隧道模式,ip信息分组被处理(如压缩、加密)后,封装上额外的ip标头,然后再通过ip网络传送。
2.2ipSec的基本概念
ipSec协议定义了通过公共网络时实现安全通信的规范,通过在ip数据包中增加字段来保证ip数据包的完整性、私有性和真实性以及采用的加密方法。ipsec协议集合了多种安全技术,从而能确保建立一个安全的通信隧道。
ipSec提供以下几个方面的网络安全服务:
(1)私有性:ipSec通过加密数据包,保证数据的安全性。
(2)完整性:ipSec能在目的地验证数据包,保证数据包没有被替换。
(3)真实性:ipSec端验证所有加密数据包,保证加密正确。
(4)反重复:ipSec通过序列号防止数据包被捕捉。
ipSec协议实现过程如图1所示。
ipsec实施方案主要包括以下几个组件:
1)ipSec基本协议:包括eSp和aH,用于处理数据包头,通过与SpD和SaDB交互,决定为数据包提供的安全措施。
2)SpD:SpD决定了对数据包是否采用安全措施以及外来数据包的安全措施是否符合策略配置。
3)SaDB:SaDB为数据包的出入处理维持一个活动列表。以确保数据包的安全受到ipSec的保障。SaDB由各个Sa聚集构成,通常由iKe等自动密钥管理系统来进行。
4)iKe:iKe代表ipSec对Sa进行协商,并对SaDB数据库进行填充。
5)策略和Sa管理:对策略和Sa进行管理。
2.3ipSec组件功能
ipsec安全体系结构中包括了三个最基本的协议:aH协议,为ip包提供信息源验证和完整性保证;eSp协议,提供加密保证;密钥管理协议iSaKmp,提供双方交流时的共享安全信息。eSp和aH协议具备相关的一系列支持文件,规定了加密和认证的算法。信息分组通过这两种转换协议得以加密保护。其实现方式分为隧道模式(tunnelmode)和传输模式(transportmode)两种。ipSec的组件构成如图2所示。
2.3.1aH与eSp
确认性标头aH[6](authenticationHeader)用来保证ip包的信息的完整性和准确性。aH既可以单独使用,也可在隧道模式下和eSp联用。aH支持传输模式(transportmode)和隧道模式(tunnelmode)。aH利用在Header和信息分组之间添加验证链接,来验证该信息分组的发送用户身份。aH协议不加密所保护的数据包,它只为ip数据流提供高强度的密码认证,以确保被修改的数据包可以被检查出来。为此aH必须包含对HmaC的支持(Keyed-Hashingformessageauthentication)。
植入安全载荷eSp[7](encapsulatingSecuritypayload)主要用来处理对ip信息分组的加密,同时也可进行认证。为了保证通信中的互操作性,eSp规范规定要强制实现56位的DeS加密算法,同时eSp与具体的加密算法是相互独立的,几乎可以支持各种对称密钥加密算法,例如DeS,tripleDeS,RC5等。eSp在隧道模式和传输模式中的作用是不同的,在隧道模式中,整个ip数据包都被eSp封装和加密。真正的ip源地址和目的地址被隐藏为internet发送的普通数据。而在传输模式中,只有更高层协议帧(tCp、UDp、iCmp等)被放到加密后的ip数据报的eSp负载部分,在这种模式中,源和目的ip地址以及所有的ip包头域都是不加密发送的。
eSp协议数据单元格式由三部分组成:头部、加密数据、可选尾部。头部有两个域:安全策略索引(Spi)和序列号Sn(Sequencenumber)。使用eSp进行安全通信之前,通信双方需要先协商加密策略,包括使用的算法、密钥以及密钥的有效期等。安全策略索引用来标识发送方的加密策略,接收方可采用相应策略对收到的ip信息分组处理。“序列号”用来区分不同信息分组。加密数据部分除了包含原ip信息分组的有效负载,填充域(用来保证加密数据部分满足块加密的长度要求),其余部分在传输时都是加密过的。eSp结构如图3所示。
2.3.2iKe
自动密钥交换iKe[8](ipsecKeyexchange)用于动态验证ipSec通信双方的身份、协商安全服务以及生成安全密钥。有了iKe,密钥在使用一段时间后可以作废,并重新生成密钥。这样,限制了每个密钥所保护的数据量,增强了ipSec的安全性。iKe协商的参数同协议本身是分隔开的,在ipsec协议中iKe协商的参数被归于一个单独的iKe参数文档内。
iKe定义了两个阶段的协议:第一阶段生成iKe自身的加密和验证标头,第二阶段iKe快速生成和刷新ipsec的加密和验证标头。ipsec和iKe通过接口层进行交互,ipsec通过接口层向iKe发出生成或刷新ipsec的加密和验证标头的请求,iKe通过接口层向ipsec传送加密和验证标头。
2.3.3密钥管理协议iSaKmp
ipSec采用iSaKmp[9](internetSecurityassociationandKeymanagementprotocol)作为管理协议的框架。iSaKmp是一个应用层协议,它不仅可管理ipSec协议所辖的安全联结和密钥,而且也适应于其他网络安全协议。iSaKmp协议定义了通信双方的认证过程,安全联结的建立、修改和删除过程及相应的报文格式。一次iSaKmp会话分为两个阶段:
第一阶段,会话双方协商建立一个iSaKmp的安全联结,用来保护它们自身的通信。会话双方通过基于公钥加密算法的数字签名完成相互认证。具体的认证步骤由相应的认证协议来规定,iSaKmp定义了一个认证时应遵循的报文格式。
第二阶段,双方协商建立其他安全联结。ipSec使用因特网密钥交换协议iKe(internetKeyexchange)来完成会话密钥的生成。iKe规定了自动验证ipSec对等实体、协商安全服务和产生共享密钥的标准。iKe采用iSaKmp报文格式,并综合了oakley和SKeme密钥交换协议的优点,使用Diffie-Hellman算法来生成会话密钥。
3ipSec安全特点
ipsec产生于ipv6的制定过程中,用于提供ip层的安全性。由于所有支持tCp/ip协议的主机进行通信时,都要经过ip层的处理,所以提供了ip层的安全性就相当于为整个网络提供了安全通信的基础。在ipSec协议中,一旦ipSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如tCp、UDp、Snmp、Http、pop等,而不管这些协议构建时所采用的安全和加密方法如何。ipsec协议弥补了ip层的安全缺陷,定义了针对ip分组(信息分组)的加密标头和验证标头,以及如何添加和拆分这些标头。同时ipSec支持各种对称密钥加密算法,这就使得数据传输的加密保护灵活多样,提高了数据的安全性。
4结束语
通过以上分析,可以看出ipSec因其安全性和灵活性,已经成为构建Vpn的首选。ipSec能对ip数据包的安全提供足够的保护,大大加强了internet传输信息的安全性,为Vpn的建立提供了坚实的基础,同时大大降低了网络费用。未来的Vpn技术将在ipSec的基础上得到更大的发展。
参考文献:
[1]李塑京.SSL的原理和应用[J].微型机与应用,2000,11:34-35.
[2]冯登国.计算机通信网络安全[m].北京:清华大学出版社,2001.
[3]金仑,谢俊元.基于SSL协议的可信应用及实现[J].计算机应用研究,2006,(1):103-105.
[4]马英杰,肖丽萍,何文才,李彦兵.SSL协议分析及其在web服务应用中的改进[J].微处理机,2005,12:31-33.
[5]刘铁民,孙伟.Vpn网络隧道技术的研究[J].电信工程技术与标准化,2003(12):55-57.
[6]S.Kent,R.atkinson.ipauthenticationHeader.RFC2402ietF[S].1998,11:1-68.
[7]S.Kent,R.atkinson,ipencapsulatingSecuritypayload.RFC2406ietF[S].1998,11:1-57.
常用的网络安全协议篇10
关键词 网络教学;入侵检测系统;网络安全
1 引言
网络教学平台作为一种新兴的教学与学习互动的教育工具目前在各大专院校得到了普遍的应用,大量的学生通过访问网络教学平台进行自学或是辅助学习。但是,网络教学平台的使用者常常会发现网络连接速度太慢,影响学习和教学,经过调查发现,部分问题源于网络安全,进一步验证了网络安全问题的无处不在。而在目前网络安全热的背后,许多人对网络安全的认识还处于初级阶段,并不成熟。因此,作为教育工作者,依托网络教学平台,我们实现了网络入侵检测系统与其互动,在保证网络教学平台自身安全的基础上,提供给使用者网络安全的解决方案,唤醒使用者对网络安全的重视。
2 全新的安全机制
无论是在个人平台、传统主从构架,或多层次构架,internet平台等,防毒软件及防火墙都扮演了重要的角色,尽管如此,研究仍然发现网络学习者往往个人使用电脑网络警觉性不足,并且不具备相关电脑知识,还是会饱受网络病毒或黑客入侵的危机,有些学习者甚至不知道自己的机器已经被黑客入侵或感染了网络病毒,进而继续感染给网络学习平台或其他使用者的电脑上,进而导致教学平台无法正常运作。纵观目前的网络教学平台,系统管理者所处理的方式都是利用防火墙及防毒软件杜绝网络的危害,属于被动的预防或是治疗。
而我们的研究认为网络教学平台除了提供网络教学的服务之外,应有义务主动的告知使用者在学习时的网络情况并告知处理方法。因此建立教学平台的网络安全告知的机制是必要的,这样,我们变以往被动的安全机制为主动防御和治疗的安全机制,让使用者了解电脑目前的状况,解决安全问题,并从根本上唤起使用者的警觉心,加强网络安全意识。进而,从本质上有效的截断病毒传播,维护网络安全。
3 网络教学平台的研究
我国的教育问题正处于一个关键发展阶段,随着高等教育改革的实施和深化发展,接受高等教育的人数快速增长,怎样提供更多的机会,普及高等教育也就迫在眉睫。为了解决这一问题,教育工作者尝试利用互联网通过网络进行教育,逐步实现远程教育的普及。而能够提供这些服务的,只能是搭建网络教学平台。
通常,网络教学平台都按照browser/server模式,一般将传统的两层体系结构扩展成浏览器—web服务器+应用服务器—数据库服务器三层体系结构,因为这种模式采用多种标准的协议和技术,适合于任何硬件平台和软件环境。
常见的基于windows的网络教学平台,采用jsp与sqlserver2000数据库相结合,其体系结构如图1所示。
图1 网络教学平台的体系结构 网络教学平台一般由教师教学系统、学生学习系统和教学管理系统三大模块组成,这些模块之间相互联系,相互配合,构成一个完整的网络教学系统。系统功能框图如图2所示。
由于我们计划在真实的网络教学平台中搭建入侵检测系统,选择了学校自己建设的网络教学平台,即西安邮电学院网络教学平台。它是为教师课堂面授课程服务的网络辅助教学的支撑平台,该系统支持教师与学生进行网上互动式教学活动,它能向学生提供网络辅助学习支持功能,如选课与登录相应的课程、浏览相应的课程辅导材料、网上提问、在线测试、讨论式学习等等;它能向教师提供网上教学支持功能,如选课程信息、布置作业、制作课件、网上答疑、在线测试、讨论式学习、并永久保留各项网上学习痕迹和各项统计消息等等从而拓展教学空间,扩大师生视野。可见,我校的网络教学平台是一个典型的网络教学平台,具有很好的实践价值。
图2 系统功能框图
同时,为完成在网络教学平台中搭建入侵检测系统的工作,我们对西安邮电学院网络教学平台的特点进行了分析和研究:
⑴ 所有的操作都在web页面,简单易懂,客户端不用使用特殊的插件。
⑵ 为各种形式的教学资料提供了交流平台,使教师和学生能够相互交流和共享教学资料。
⑶ 交互工具强大,教师可以开辟聊天室,讨论组,利用邮件,备忘录来交流。
⑷ 具有个人备忘录,博客等全面的功能。
4 入侵检测系统的研究
本文的入侵监测系统选用东软的neteyeids系统。它是东软开发的具有自主版权的网络入侵监测系统。采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图,进行报警,响应和防范。作为防火墙之后的第二道安全闸门,配合防火墙系统使用,全面保障网络的安全,组成完整的网络安全解决方案。
整个系统采用客户/服务器结构,由检测引擎和管理主机组成。结构示意图如图3所示。
图3 结构示意图 主要功能模块有:网络攻击与入侵检测功能;多种通信协议内容恢复功能;应用审计和网络审计功能;图表显示网络信息功能;报表功能;实时网络监考功能;网络扫描器;数据备份恢复功能;其它辅助管理工具。
实践研究得出东软neteye入侵检测系统的技术优势包括:
⑴ 以“网络安全问题是一个完整的过程,而不是一个孤立的事件”为核心设计思想。有效监控网络全过程,整体保障网络安全和健康。
⑵ 强大的攻击检测能力和优越的性能,是功能强大的入侵检测产品。
⑶ neteye入侵检测系统独有的网络内容恢复、应用审计、网络审计等功能,是完整的网络行为录像机。
⑷ neteye入侵检测系统独有的网络实时监控和诊断功能,是全面的网络故障分析器。
⑸ neteye入侵检测系统独有的网络主动扫描功能,综合主动发现和被动分析功能。是灵活的网络安全探测仪。
综上所述,neteye入侵检测系统是一个具有易用性、易维护性、高可用性、易部署性等特色的网络安全产品,而且整体拥有成本最低。
5 互动研究及设计
首先明确我们设计所针对的对象:
网络教学平台:西安邮电学院网络教学平台
平台环境:linux服务器
工作模式:b/s模式
入侵检测系统原型:neteyeids系统
平台环境:linux服务器
工作模式:日志记录和报警模式
最终的设计目标是:实现在原有的网络教学平台中搭建入侵检测系统,支持对用户和系统的运行状况分析,查找非法用户和合法用户的越权操作,检测系统配置的正确性和安全漏洞,提示管理员和用户修补漏洞,对用户的非正常活动进行统计分析,发现攻击行为的特征,实时检测到攻击行为并且进行响应等功能。
整个互动的构架是基于cidf模型框架模型,该模型定义:一个完整的入侵检测系统分为以下组件:事件产生器、事件分析器、响应单元和事件数据库。
这四部分的功能如下:
事件产生器:目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
事件分析器:分析得到的数据,并产生分析结果。
响应单元:对分析结果做出反应的功能单元,可以切断连接、改变文件属性等,也可以只是简单的报告。
事件数据库:是存放各种中间和最终数据的地方的统称,可以是复杂的数据库,也可以是简单的文本文件。
其中,ids需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。在这个模型中,前三者以程序的形式出现,而最后一个则往往是文件或数据流的形式。
为了适应复杂的网络环境,提高现有的网络入侵检测系统扩展性、高可靠性、高劲型、准确性,参考cidf模型,结合当今的入侵检测技术(模式匹配、统计模型、状态检测、协议分析)的需要,并最终配合网络教学平台使用,达到互动的目的,我们采用了以下的框架。
图4 改进后的系统框架
针对各功能模块的设计如下:
1)数据预处理模块
该模块完成将网络中采集的数据报文按照各层协议逐一进行分离,将数据报文转换成程序可以识别的数据结构。
采用东软ids的模块设计,将该模块主要分为5大部分:
链路层协议分解(ppp.fddi等);
网络层协议分解(ip协议、ipx协议、arp协议等);
传输层协议分解(tcp协议、udp协议、icmp协议等);
ip分片重组;
tcp流重组。
通过该模块的处理,原始数据报文按照协议分层信息转化成程序可识别的数据结构。该结构中包含有各个协议层次的信息,以及其他一些检测所需的数据。
2)入侵检测规则库
入侵检测规则库是入侵检测系统的支撑,该库主要按照一种系统可识别的语言描述了所有已知的攻击模型信息和适用的检测方法。这里我们同样继承neteyeids系统的规则库模块及规则格式的定义,因为这种规则格式,可以适应目前匹配技术在入侵检测系统的应用,包括检测各种类型的攻击,检测到攻击后采取什么样的措施等,并且有很好的扩展性。而且neteyeids入侵检测规则库中会不断的更新升级,几乎包含了针对目前出现的几乎所有的入侵的规则表述。另外,针对具体攻击的特征和实质,该规则库中还有一些附加信息描述,方便了解每一种攻击的来龙去脉,即该条规则属于何种类型的攻击、针对哪一类操作系统的什么漏洞,以及该漏洞的发现时间、补丁信息等。为我们实现对网络平台用户的报警及提供相应的支持信息,帮助其尽快完善和修复系统提供了可能。
3)状态检测模块
状态检测技术的基本思想是通过在ids主机上维护着一个状态表,实现状态检测的核心就在于这个状态表的建立和维护。在tcp/ip协议族中,ip所承载的tcp通信是面向连接的,icmp和udp都是无连接的,由于tcp通信包含有丰富的状态以及状态转换机制。状态检测首先要考虑的,就是tcp通信的检测方法,该模块在neteyeids系统中没有提供给我们的,所以就需要我们进行设计,这里,我们设计该模块的内容包括:
① tcp,udp,icmp通信的状态确定与提取;
② ids必须维护着一张状态表,状态表里存储着tcp,udp,icmp通信的状态;为保证查表的准确与高效,该表应该是一个内核态的散列(hash)表;
③ ids接收的数据包将首先与状态表相匹配;
④ 该状态表能够严格发现不符合状态转换机制的攻击,并能够结合统计方法对扫描攻击和恶意拒绝服务攻击进行检测。
4)协议分析模块
这里的协议分析模块主要指的是应用层协议分析。同样是原本系统所不支持的,因为原有ids系统只是对应用层以下的协议进行了分析。
我们设计该协议分析模块包含各个针对具体协议处理的子模块,即ftp协议处理摸块、telnet协议处理模块、http协议处理模块、smtp协议处理模块、pops协议处理模块共5个子模块。分别对应网络教学平台上的应用,如:ftp上传下载课程资源,telnet登陆平台,通过web页面使用平台以及平台的邮件服务。
因为,telnet,smtp,pop3等协议是面向字符的协议,所以,对于从数据采集和数据预处理模块传送来的单个协议报文,需要协议分折模块来进行缓存处理,按照协议规定的命令结束方式(以回车符表示结束),把连续的几个协议包组织成一个可识别的完整命令,在组包的过程中,要对具体客户端协议包中的一些特殊键入字符进行相应处理,包括协议本身命令符、空格、回退等。
5)异常统计模块
不同于一般的攻击方式,黑客们常常还使用暴力手段或同时控制多台机器发动恶意攻击、对于这类攻击,会在短时间内产生大量的攻击报文,如果仍然采用单包检测的模式匹配技术,会产生大量的重复告警信息,影响系统的检测效率和性能。因此,对于这类攻击,我们设计了异常统计模块来进行检测口。
该模块主要采用了统计方法,通过对这一类攻击进行建模,设置极限阀植等方法,将检测数据与己有的正常行为比较,如果超出极限值,就认为是入侵行为。简单描述如何使用异常统计模块检测网络入侵。黑客入侵任何系统之前,必须要做的准备工作之一就是通过扫描和探测获取目标主机的信息,包括操作系统的信息(类型、版本),开放了哪些端口和服务等。通常黑客使用的工具如:pingscan,portscan,等。
使用这些工具对主机进行扫描和探测时,采用统计模型,定义的通常的特征是:在单位时间内,对同一台目标主机的n个端口发送异常数据包或者在单位时间内,对n个主机的相同端口发送异常数据包。因此,在这样的统计模型下,关键在于如何确定n的值,才能准确的捕捉到入侵,而又不会对系统造成危害。
6)模式匹配模块
模式匹配模块是入侵检测系统的主要环节。随着黑客攻击手段的飞速增长,针对模式匹配的攻击特征规则越来越多,这就对模式匹配模块的匹配速度提出了较高的要求。
7)入侵响应模块
不管是状态检测模块、协议分析模块还是模式匹配模块,一旦发现入侵行为,入侵检测系统立即调用入侵响应模块进行实时响应。这时入侵响应模块会根据系统初始配置入侵行为的响应设置来进行相应的措施。
针对我们为网络教学平台的特殊设计,这里响应模块根据不同的响应设置有划分为8个子模块,发现攻击、防火墙联动、阻塞攻击、email通知、snmp通知警铃通知、消息通知、短消息通知、文件通知。email通知是发现攻击后,发送email给管理员和能够定位的系统进行通知;snmp通知是发现攻击后,调用snmp进行通知,以及使用网络教学平台系统消息和短信等方式通知。在传统的单纯隔断入侵行为的基础上,强调了对用户提供安全防御等辅助信息,加强用户的安全意识,从源头上阻断网络上的入侵行为。
8)日志记录模块
网络入侵检测系统的日志记录分为两种:攻击日志记录和操作日志记录。攻击日志记录在入侵事件发生后,提供给网络管理者必要的信息。操作日志记录用于记录网络入侵检测系统本身的状态和控制,包括启动、停止、负载运行等状态和控制信息。
日志提供一套全面的、独立于操作系统本身的、可查询的日志记录,可用于事后对入侵行为的审计和追踪。当各种入侵检测模块(包括状态检测、协议分析、异常统计和模式匹配模块)发现入侵后,先调用响应模块对该入侵进行及时的处理,然后由响应模块直接调用攻击日志记录模块进行攻击日志记录,否则,不进行调用;当模块对网络入侵检测系统进行控制时,由模块直接调用操作日志记录模块进行日志记录。
攻击日志记录模块是用来记录入侵检测系统检测到的入侵行为的必要信息。
6 互动的实现
先给出系统实现的网络结构图。
图5表示了该网络入侵检测系统的网络结构。
出于安全的考虑,研究初期,没有采用直接在网络教学平台服务器上搭建系统的方式。但选取同样的操作系统平台,尽可能的保证日后移植的可用性。
(1)安装与配置neteyeids:见操作手册。
(2)neteyeids规则库的下载和更新。
此外,在实际应用过程中,系统管理员可以自己设定,使neteyeids自动的下载更新规则库,保持ids系统具有最新的防御能力。图5 系统实现的网络结构图 后期对前面设计中提到的各个模块进行完全实现,下面一一说明。
(1)数据预处理模块:使用neteyeids原始模块。
(2)入侵检测规则库:使用neteyeids原始模块。
(3)状态检测模块:主要针对底层协议的攻击检测,这类攻击数量相对较少,变化慢,大部分可以通过在防火墙中进行设置实现。目前采用有限状态机的原理编程实现。
(4)协议分析模块:由于目前网络教学平台的用户基本上都只能通过web方式使用,故使用协议仅仅为http协议,该协议攻击的检测使用规则匹配就可以达到很好的效果,采用基于内容分析和协议解析的方法实现。
(5)异常统计模块:该模块目前实现了在neteyeids检测中个别环节添加了阈值进行重复报警限制的功能。
(6)模式匹配模块:使用neteyeids原始模块。
(7)入侵响应模块:这里在使用neteyeids原始报警模块的基础上,添加了邮件报警及系统消息报警两部分功能,分别对用户和管理员进行报警。
(8)日志记录模块:使用neteyeids原始模块。
7 结论
利用neteyeids在网络教学平台中实现与入侵检测系统的互动,不仅附加成本问题,而且对系统的负载也轻,实际中导入教学平台进行测试,可以提高系统的稳定性及可靠性,是每个学习者享有更安全、更良好的教学平台。另外系统的高移植性,适合于任何操作系统构成的教学平台。
在入侵检测技术发展的同时,入侵技术也在更新,一些地下组织己经将如何绕过ids或攻击ids系统作为研究重点。高速网络,尤其是交换技术的发展以及通过加密信道的数据通信,使得通过共享网段侦听的网络数据采集方法显得不足,而大量的通信量对数据分析也提出了新的要求。随着信息系统对一个国家的社会生产与国民经济的影响越来越重要,信息战已逐步被各个国家重视,信息战中的主要攻击“武器”之一就是网络的入侵技术,信息战的防御主要包括“保护”、“检测”与“响应”,入侵检测则是其中“检测”与“响应”环节不可缺少的部分。
参考文献
[1]刘文涛.linux网络入侵检测系统.2004年,北京:电子工业出版社
[2]蒋建春等.网络入侵检测原理与技术.2001年,北京:清华大学出版社
[3]韩东海等.入侵检测系统实例剖析系统工程.2002年,北京:清华大学出版社
[4]蒋建春等.网络安全入侵检测:研究概述.软件学报,2000年,1460-1466