第一篇:IPv6对网络安全的改进与挑战
IPv6对网络安全的改进与挑战
谷 耀
摘要:本文从IPv4地址资源紧缺引发的安全问题出发,论述了IPv6协议对网络安全的多项改进,以及IPv6协议引入后带来的新的安全问题,并指出由IPv4向 IPv6转移可能出现的安全漏洞及相应对策。
关键词:IPv6,网络安全,IP协议
一、IPv4地址资源匮乏引发的安全问题
由于我国IPv4地址资源严重不足,除了采用CIDR、VLSM和DHCP技术缓解地址紧缺外,更多的是采用私有IP地址结合网络地址转换(NAT/PAT)技术来解决这个问题。比如PSTN/ADSL/GPRS拨号上网、宽带用户以及很多校园网、企业网大都是采用私有的IPv4地址,通过NAT技术接入互联网的。这不仅大大降低了网络传输的速度,且安全性等方面也难以得到保障。1.互联网可信度问题
互联网不可信是有其历史和技术原因的,互联网设计者的初衷就是为了互联和共享。TCP/IP协议不验证源IP地址,而采用NAT则掩盖了用户真实的IP地址。有专家指出,现在匿名垃圾邮件和病毒邮件之所以能够泛滥成灾,就是因为中国九千多万网民只拥有不足4000万IP地址。IP地址欺骗、身份难以确认、网络钓鱼、虚假服务请求、源路由篡改,正是这种匿名性使得黑客能够伪造或者屏蔽IP地址实现对网络的攻击并逃避惩罚。2.端到端连接特性
由于NAT透明性差,不能支持那些应用层协议中包含有IP地址、TPC/UDP协议端口等信息的应用程序,以及需要在应用层进行认证、加密的应用程序。因而破坏了IP协议端到端的连接特性,使得端到端的业务无法开展,成为安全连接的技术障碍。
3.网络安全性
作为Internet安全标准,IPv4并没有强制要求实现IPSec。即使采用IPSec,通常也只是部署在IPv4网络的边界路由器。并且,NAT技术和IPSec会有矛盾,有的情况下无法协同工作。采用NAT技术还限制了VPN(虚拟专用网)的可扩展性,这些都在一定程度上限制了网络加密和网络安全。
二、IPv6协议在网络安全方面的改进 1. IP安全协议(IPSec)
IPSec是IPv4的一个可选扩展协议,而在IPv6则是一个必备组成部分。IPSec协议可以“无缝”地为IP提供安全特性,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。新版路由协议OSPFv3 和 RIPng采用IPSec来对路由信息进行加密和认证,提高抗路由攻击的性能。
IPSec协议簇主要包括:AH:认证报头(RFC1826),ESP:封装化安全载荷(RFC1827),IKE:Internet密钥交换(RFC2409),以及强制转码类型等相关组件。AH用于保证数据的一致性。它要校验源地址和目的地址这些标明发送/接收设备的字段是否在路由过程中被改变。如果未通过校验,数据包就会被抛弃。通过这种方式,AH为数据的完整性和原始性提供了鉴定依据。ESP用于保证数据的机密性和数据的一致性。ESP报头提供集成功能和IP数据的可靠性。集成保证数据不被恶意破坏,可靠性保证使用密码技术的安全。IKE采用密钥交换协议自动实现通信双方安全参数的可靠协商与获取,进而能够最大程度地保证网络层的通信安全。
虽然IPSec能够防止多种攻击,但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IP Sec作为一个网络层协议,只能负责其下层的网络安全,不能对其上层如Web、E-mail及FTP等应用的安全负责。2.端到端的安全保证
IPv6最大的优势在于保证端到端的安全,可以满足用户对端到端安全和移动性的要求。IPv6限制使用NAT,允许所有的网络节点使用其全球惟一的地址进行通信。当建立一个IPv6的连接时,在两端主机上对数据包进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输,通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6 网络上安全地传输,因此,无需针对特别的网络应用部署ALG(应用层网关),保证端到端的网络透明性,有利于提高网络服务速度。
3.地址分配与源地址检查
在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员加强网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,在IPv6接入路由器对用户进入时进行源地址检查,使得ISP可以验证其客户地址的合法性。
IPv6邻居发现机制(Neighbor dicovery)动态收集相邻网络信息,包括本地网络参数、IPv6地址到MAC地址的解析、路由复位及相邻节点状态等,替代了ARP和RARP,帮助节点从目的IP地址中确定本地节点(即邻居)的链路层地址,可有效减轻“广播风暴”等的不利影响。
地址重复检测机制(DAD:Duplicate Address Detection)检测和确定节点想使用的IP地址是否已经在网络中配置使用,如果已被占用,则拒绝为该节点网络接口赋予该地址,而另行指派地址,解决安全引导(boot-strap)问题。4.源路由检查
出于安全性和多业务的考虑,许多核心路由器需要开启反向路由检测功能,防止源路由篡改和攻击。5.防止未授权访问
IPv6固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问能力,更加适合于那些对敏感信息和资源有特别处理要求的应用。6.域名系统DNS 基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃。而采用可以提供认证和完整性安全特性的DNS安全扩展(DNS Security Extensions)协议,能进一步增强目前针对DNS新的攻击方式的防护(例如:“网络钓鱼(Phishing)”攻击、“DNS中毒(DNS poisoning)”攻击)。这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。此外,专家认为,如果能争取在我国建立IPv6域名系统根服务器,对于我国的信息安全很有必要和十分重要。7.灵活的扩展报头
一个完整的IPv6的数据包可包括多种扩展报头:逐个路程段选项报头,目的选项报头,路由报头,分段报头,身份认证报头,有效载荷安全封装报头,最终目的报头。这些扩展报头不仅为IPv6扩展应用领域奠定了基础,同时也为安全性提供了保障。
8.网络扫描与病毒蠕虫传播
当病毒和蠕虫在感染了一台主机之后,就开始对其他主机进行随机扫描,在扫描到其他有问题的主机后,会把病毒传染给该主机。这种传播方式的传播速度在IPv4环境下非常迅速(如Nimdar病毒在4、5分钟内感染了上百万台计算机)。但这种传播方式因为IPv6的地址空间的巨大变得不适用了,病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。
9.网络放大攻击(Broadcast Amplication Attacks)
ICMPv6在设计上不会响应组播地址和广播地址的消息,不存在广播,所以,只需要在网络边缘过滤组播数据包即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。
10.碎片(Fragment)攻击
IPv6认为MTU小于1280字节的数据包是非法的,处理时会丢弃MTU小于1280字节的数据包(除非它是最后一个包),有利于防止碎片攻击。
由此看来,IPv6协议确实比IPv4的安全性有所改进。IPv4中常见的一些攻击方式,将在IPv6网络中失效,例如网络侦察、报头攻击、ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一系列在IPv4网络中的问题,在IPv6中仍会继续继续,只是在IPv6的网络中事后追溯攻击的源头方面要比在IPv4中容易一些。
三、IPv6引入后带来的新的安全问题
IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题: 1.拒绝服务攻击(DoS):由于IPSec加密/解密需要大量的计算开销,若攻击者向目标主机发送大量随意的加密数据包,就有可能造成被攻击主机消耗大量的资源来检验这些垃圾数据包,无法响应其他网络用户的服务请求,造成目标主机停止服务。
此外,IPv6中的组播(Multicast)地址定义方式也会给攻击者带来一些机会。例如,IPv6地址FF05::2是所有的路由器,FF05::5是所有的DHCP服务器,如果向这类地址发IPv6数据包,这个数据包就会到达网络中所有的路由器或DHCP服务器,所以可能会出现一些专门针对这些网络设备的拒绝服务攻击。
2.包过滤式防火墙:由于IPSec实现端到端的加密,并能够采用多种加密算法,且密钥不公开,防火墙无法解密IP数据包,也就无从知道TCP/UDP协议端口号,因此导致包过滤式防火墙无法根据访问控制规则ACL正常工作。
3.入侵检测系统(IDS):通过加密通道的攻击目前尚不多见,但随着IPv6的普及,这类问题会逐渐突出。同包过滤式防火墙一样,采用IPsec端到端加密的IPv6 数据包使得传统IDS无法识别数据包中的黑客攻击迹象或违反安全策略的行为。并且,IDS采用的是失效开放(Fail Open)工作机制,一旦IDS遭遇拒绝服务攻击后系统作用就会停止,整个网络系统就变为开放,一切通行无阻。
4.IPv6中规定所有的IPv6主机都要求接受并处理IPv6的路由扩展报头,并转发路由扩展报头内的数据包。这样就有可能被黑客修改这个路由扩展报头来改变数据包的转发方向,从而绕过网络防火墙。5.IPv6尚待解决的问题
IPv6的网络管理:IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网管技术,如SNMP等,不管是移植还是重新另搞,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现,因此缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。没有网管,何谈保障网络高效、安全运行?
公共密钥(PKI)管理: PKI管理在IPv6中是悬而未决的新问题。
IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发还有待时日。
IPv6协议仍需在实践中完善。如IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能;而移动IPv6(Mobiel IPv6)也存在很多新的安全挑战;DHCP必须经过升级才可以支持IPv6地址,DHCPv6仍然处于研究、制定之中。
6.向 IPv6转移可能出现的安全漏洞
由于IPv6与IPv4网络将会长期共存,网络必然会同时存在两者的安全问题,或由此产生新的安全漏洞。
已经发现从IPv4向 IPv6转移出现的一些安全漏洞,例如:黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源。攻击者可以通过安装了双栈的使用IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。向IPv6协议的转移与采用其他任何一种新的网络协议一样,需要重新配置防火墙,其安全措施必须经过慎重的考虑和测试。IPv4环境下的IDS并不能直接支持IPv6,需要重新设计。原来应用在IPv4协议的安全策略和安全措施必须在IPv6上得到落实。
目前,IPv4向IPv6过渡有多种技术,其中基本过渡技术有:双栈、隧道和协议转换,但目前这几种技术运行都不理想。有专家建议,向IPv6转移尽量采用双栈技术,避免采用协议转换;尽量采用静态隧道,避免采用动态隧道。这些都需要在广泛实验中加以检验。
结束语
与IPv4相比,IPv6在网络保密性、完整性方面有了更好的改进,在可控性和抗否认性方面有了新的保证。但IPv6不仅不可能彻底解决所有安全问题,同时还会伴随其产生新的安全问题。目前多数网络攻击和威胁来自应用层而非IP层,因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。参考文献:
[1].Pete Ldshin,IPv6详解,机械工业出版社;
[2].王玲等,IPv6的安全机制及其对现有网络安全体系的影响; [3].Albert Ball, etc.Testing IPv6 Security;
[4].S.Convery, etc.IPv6 and IPv4 Threat Comparison
原载<计算机世界>2005年48期(2005-12-12)第 D09版
第二篇:IPv6的网络安全改进与新问题
(IPv4地址资源的紧缺引发了一系列安全问题,尽管IPv6协议在网络安全上做了多项改进,但是其引入也带来了新的安全问题。下面这篇文章分别从 IPv6安全上的改进,引入的新问题,迁移时的漏洞三个方面概述了IPv6的安全性.)
IPv6的网络安全改进与新问题
由于我国IPv4地址资源严重不足,除了采用CIDR、VLSM和DHCP技术缓解地址紧张问题,更多的是采用私有IP地址结合网络地址转换(NAT/PAT)技术来解决这个问题。比如PSTN、ADSL、GPRS拨号上网、宽带用户以及很多校园网、企业网大都是采用私有IPv4地址,通过NAT技术接入互联网,这不仅大大降低了网络传输的速度,且安全性等方面也难以得到保障。从根本上看,互联网可信度问题、端到端连接特性遭受破坏、网络没有强制采用IPSec而带来的安全性问题,使IPv4网络面临各种威胁。
IPv6协议在网络安全上有改进
IP安全协议(IPSec)IPSec是IPv4的一个可选扩展协议,而在IPv6则是一个必备组成部分。IPSec协议可以“无缝”地为IP提供安全特性,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。新版路由协议OSPFv3 和 RIPng采用IPSec来对路由信息进行加密和认证,提高抗路由攻击的性能。
需要指出的是,虽然IPSec能够防止多种攻击,但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议,只能负责其下层的网络安全,不能对其上层如Web、E-mail及FTP等应用的安全负责。
端到端的安全保证 IPv6最大的优势在于保证端到端的安全,可以满足用户对端到端安全和移动性的要求。IPv6限制使用NAT,允许所有的网络节点使用其全球惟一的地址进行通信。每当建立一个IPv6的连接,都会在两端主机上对数据包进行 IPSec封装,中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输,通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6 网络上安全地传递,因此,无需针对特别的网络应用部署ALG(应用层网关),就可保证端到端的网络透明性,有利于提高网络服务速度。
地址分配与源地址检查在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,在IPv6接入路由器对用户进入时进行源地址检查,使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑,许多核心路由器可根据需要,开启反向路由检测功能,防止源路由篡改和攻击。
防止未授权访问 IPv6固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问的能力,更加适合于那些对敏感信息和资源有特别处理要求的应用。
域名系统DNS 基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃,而采用可以提供认证和完整性安全特性的DNS安全扩展(DNS Security Extensions)协议,能进一步增强目前针对DNS新的攻击方式的防护,例如“网络钓鱼(Phishing)”攻击、“DNS中毒(DNS poisoning)”攻击等,这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。此外,专家认为,如果能争取在我国建立IPv6域名系统根服务器,则对于我国的信息安全很有必要和十分重要。
灵活的扩展报头 一个完整的IPv6的数据包可包括多种扩展报头,例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础,同时也为安全性提供了保障。
防止网络扫描与病毒蠕虫传播当病毒和蠕虫在感染了一台主机之后,就开始对其他主机进行随机扫描,在扫描到其他有漏洞的主机后,会把病毒传染给该主机。这种传播方式的传播速度在 IPv4环境下非常迅速(如Nimdar病毒在4~5分钟内可以感染上百万台计算机)。但这种传播方式因为IPv6的地址空间的巨大变得不适用了,病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。
防止网络放大攻击(Broadcast Amplication Attacks)ICMPv6在设计上不会响应组播地址和广播地址的消息,不存在广播,所以,只需要在网络边缘过滤组播数据包,即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。
防止碎片(Fragment)攻击 IPv6认为MTU小于1280字节的数据包是非法的,处理时会丢弃MTU小于1280字节的数据包(除非它是最后一个包),这有助于防止碎片攻击。
由此看来,IPv6协议确实比IPv4的安全性有所改进,IPv4中常见的一些攻击方式,将在IPv6网络中失效,例如网络侦察、报头攻击、ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一系列在IPv4网络中的问题,IPv6仍应对乏力,只是在IPv6的网络中事后追溯攻击的源头方面要比在IPv4中容易一些。
引入IPv6出现的安全新问题
IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题,主要包括应对拒绝服务攻击(DoS)乏力、包过滤式防火墙无法根据访问控制列表ACL正常工作、入侵检测系统(IDS)遭遇拒绝服务攻击后失去作用、被黑客篡改报头等问题。
此外,在IPv6中还有一些问题有待解决,主要包括:
1.IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网管技术,如SNMP等,不管是移植还是重新另搞,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现,因此缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。没有网管,何谈保障网络高效、安全运行?
2.PKI管理在IPv6中是悬而未决的新问题。
3.IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发还尚需时日。
4.IPv6协议仍需在实践中完善,例如IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能,而移动IPv6(Mobiel IPv6)也存在很多新的安全挑战。DHCP必须经过升级才可以支持IPv6地址,DHCPv6仍然处于研究、制订之中。
向IPv6迁移的可能漏洞
由于IPv6与IPv4网络将会长期共存,网络必然会同时存在两者的安全问题,或由此产生新的安全漏洞。
已经发现从IPv4向 IPv6转移时出现的一些安全漏洞,例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源,攻击者可以通过安装了双栈的使用IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。
向IPv6协议的转移与采用其他任何一种新的网络协议一样,需要重新配置防火墙,其安全措施必须经过慎重的考虑和测试,例如IPv4环境下的IDS并不能直接支持IPv6,需要重新设计,原来应用在IPv4协议的安全策略和安全措施必须在IPv6上得到落实。
目前,IPv4向IPv6过渡有多种技术,其中基本过渡技术有双栈、隧道和协议转换,但目前这几种技术运行都不理想。专家建议,向IPv6转移应尽量采用双栈技术,避免采用协议转换;尽量采用静态隧道,避免采用动态隧道;这些都需要在广泛实验中加以检验。
与IPv4相比,IPv6在网络保密性、完整性方面有了更好的改进,在可控性和抗否认性方面有了新的保证,但IPv6不仅不可能彻底解决所有安全问题,同时还会伴随其产生新的安全问题。目前多数网络攻击和威胁来自应用层而非IP层,因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。
第三篇:无线网络安全的相关技术与改进探讨
无线网络安全的相关技术与改进探讨
摘 要:无线网络的安全主要是用户与用户之间的信息往来是否能够保证其安全性隐私性,用户之间信息的往来包括信息的传送和信息的接收。那么无线网络的安全问题也应从这两个方面入手。无线网络的隐患时时存在,在研究相关技术的同时,相关专家应该加强交流,进行探讨。本文通过介绍无线网络的威胁,以及我国相关技术的应用来进一步探讨如何更有效地解决这一难题。
关键词:无线网络;非法访问;网络安全无线网络的现状和威胁
1.1 无线网络的现状
我们平时使用的无线局域网其实还存在着大量的安全隐患,这种隐患可能是我们遭受比较大的损失,特别对企业来说,黑客的侵入,可能会是一个企业的系统发生混乱和瘫痪,更可能给企业带来惨重的损失。随着社会的发展着中问题日益暴露出来,因为它对我们造成的影响已经无法继续无视下去,因此,我国对无线网络的安全问题已经开始重视,下发各种限令和规范措施来维护网络的安全性。
1.2 无线网络的威胁
我们都应该知道我们使用的网络分为广域网、城域网、局域网以及个人网络。这几种网络的覆盖面积依次减少。可以说我们生活处处有网络,网络带给我们便利和极高的自由行。但是同时也让我们面临一些问题,其中安全问题是最重要的问题,因为网络是由很多交错的网络线路和众多的用户组成的巨型网络,设备仪器发出的信息和数据不可能只针对一个用户发送或接收。只要在这个区域的覆盖范围内,任何都可以自由的获取信息或数据,当然这些都是在你根本没有察觉的情况下,你的隐私可以说是无处藏身的,一些极重要的个人信息就随时有被窃取的可能性。除了可以自由获取信息和数据外,一些不法者也能够把一些乱七八糟的信息和数据随时插入到这些网络渠道中。无线网络安全的相关技术与分析
2.1 无线网络安全的相关技术
现在为了保护无线网络的安全问题,出现了几种方法,第一种主要是控制他人的访问权,这样一来如果没有你的认证,其它人就不能访问,这样就不用担心自己的信息被随意的截取和访问了。访问权是用户设置的一张通行证,如果的不到用户的认证,那么它只能被拦截在门外了。第二种是用户要记住对对自己的信息进行加密措施,一旦加密,就可以有效保护自己的信息或数据不被他人获取或拦截。当然,给自己的重要信息加密是保护我们网络信息安全的基础,我们每一个人都应该有这种意识。第三种是对访问者进行安全认证,我们可以通过安全认证来确定者是不是非法的,从而也能把它挡在门外。安全认证有实体认证和数据源认证,如果单单用其中的一种认证方式,那么安全认证效果就会大打折扣,两者同时运用能够有效保护我们的网络安全。第四种是对数据或信息进行校验认证,这样可以防止不法访问者截取和谐该用户的重要信息和数据了。
2.2 无线网络安全的相关技术分析
为了维护无线网络的安全,出现了3A技术,这种技术是现在无线网络最基本的保证网络安全的用方法,同时也是应用最广泛,最基本的一种技术。另外新出现的WSAP技术,它其实是一种网络认证的协议,但是它有一个很显著地特点就这种认证时匿名的。相关的研究人员对这种最新的认证方法进行了多次的理论对比和比较,所以我们有信心有理由信任这种新的认证方法,它已经可以满足我们对私人信息和数据保密性和安全性的一般要求。探讨无线网络安全技术的发展
要进一步实现保护无线网络安全的目的,除了用户自身要做好加密的措施外,还要好好利用一些功能和性能强大的认证体系,同时我们应加快一些更加好的协议出现的速度,因为网络每天都发生着变化一些黑客采取的非法手段也不听的更新着,所以无限网络安全的相关技术的开发工作时没有止境的,只有深刻的认识到无线网络存在的安全隐患,同时对不同的安全技术进行不断地研究和探讨,并不断开发新的保护技术才能使无线网络环境保持健康,继续成长。总结
近几十年来网络的普及已经使我们每一个人都时时刻刻身处网络之中,特别是无线网络的兴起更加的方便了人们的生活,无线网络的开放性和移动性以及机动性都被我们所接受,但是随之带来的安全隐患也时时刻刻威胁着我们的生活。市场上已经有的一些安全技术和安全协议基本上能够保证我们的信息和数据不被窃取或修改。但是面对复杂的网络环境,我们应该加紧相关,安全技术开发的脚步,不仅要关注网络现存的一些威胁和漏洞还要预防哪些网络可能存在的一些漏洞,提前做好预防措施。相关研究开发人员应该加强交流和探讨,在对各种无线网络安全技术进行分析比较的情况下,开发出新的更有效的保护措施。
[参考文献]
[1]郭萍.无线网络认证体系结构及相关技术研究[D].南京理工大学,2012.[2]肖跃雷.可信网络连接关键技术研究及其应用[D].西安电子科技大学,2013.[3]何道敬.无线网络安全的关键技术研究[D].浙江大学,2012.[4]王文彬.无线网络安全的相关技术研究与改进[D].山东大学,2007.[5]王双剑,丁辉.无线网络安全的机制及相关技术措施[J].科技传播,2012,06:154+147.
第四篇:“后XP时代”,企业信息网络安全市场的挑战与机遇
“后XP时代”,企业信息网络安全市场的挑战与机遇
近期,IT业发生发生了两件十分引人关注的大事:一件是2014年4月,服役了13年的微软XP“退休”了;另一件是XP退役几天后,国内互联网安全协议OpenSSL被曝存在十分严重的安全漏洞。
中国信息系统裸奔?用不用XP,都纠结
XP退役,意味着微软公司以后对XP系统不再提供任何官方的升级版本与保护措施,2亿仍安装XP系统的中国用户。如果再使用XP系统,在没有任何安全保护的情况下,更容易遭新病毒和木马攻击,或将处于“裸奔”状态。
“微软停止XP补丁服务后带来的主要风险是漏洞得不到修复。这意味着,黑客可以利用漏洞远程入侵和控制XP用户电脑,盗取电脑上任意文件和账号密码。”中国国家信息安全漏洞库特聘专家袁仁广认为,“以往安全软件只能防木马病毒,对漏洞缺乏抵抗力。在冲击波蠕虫爆发、伊朗核设施被Stuxnet(震网)破坏、谷歌公司遭遇极光攻击等安全事件中,黑客攻击都是通过漏洞发起的,诸多安全软件所构成的防护基本形同虚设。安全形势严峻,特别是中国政府机构和公司单位相当一部分仍在使用XP系统。”
国家互联网信息中心公布的网络安全信息与动态周报显示,XP退役后,虽然360、金山、腾讯和瑞星等国内厂商表示在4月8日后将出手保护XP,并针对XP新出现的高危漏洞提供防护措施,但国内网络安全问题仍呈现上升的态势,单是4月9日这一天,境内感染网络病毒的主机数量为57.8万台,环比上升5.6%。
互联网安全协议OpenSSL是互联网存在的重要基础协议之一,如果黑客利用了这次发现的OpenSSL上的漏洞,可以套取3成https开头网址的用户登录账号密码。有消息说,这次暴露的OpenSSL漏洞可能波及到2亿国内网民,因此IT技术员们称这个漏洞为“心脏失血”。业界专家称,OpenSSL被曝存在严重的安全漏洞,这与XP退役、微软不再提供防护技术大有关系。
根据《2013中国软件盗版率调查报告》的数据,在中国的PC中,XP的市场份额占70.1%,即XP用量约为2亿台,其中84.2%用户没有升级到“视窗8”的计划。现在企业用户很纠结。如果不离弃XP,不升级切换到Win7/Win8应用环境,总有隐忧后患――企业网络系统会不会瞬间成为黑客主要攻击目标?而升级切换到Win7/Win8,应用成本、业务的连续性、兼容性却是这些企业难于承受。
青岛某数据技术有限公司信息技术部CIO郑经理表示,“XP对我们企业而言,有时就如鸡肋,弃之可惜,食之无味。作为WinXP的替代版本,Win7/Win8具有更好的安全性,这一点我们是清楚的,也是非常看重的。但是,作为一家外包服务类企业,我们要同时面对100多家客户的不同操作平台。从我们现在测试的结果来看,Win7对于比较陈旧的一些客户平台(因为IE版本,第三方软件版本等原因),依然存在着一些兼容性问题。如果两者没有对接兼容好,我们业务就会出现问题、跑单,我们客户就会流失。”
厦门一家计算机生产制造商的一位研发主管对此表示赞同,“从目前的情况来看,将所有的系统进行升级,似乎更为合理。但事实上,升级到Win7/Win8等新系统将面临很多新的问题。而企业许多应用管理软件使用时间较长,已形成稳定规范。例如,外包服务类企业软件如信息技术外包(ITO)、业务流程外包(BPO)等最初开发时是基于WindowsXP,除了底层代码,还有后期很多升级都是在原有软件基础上修改,就像盖房子,地基是Windows XP,砖瓦结构(外包类应用软件)都是建立在此地基上,突然要升级到Win7/Win8等高版本操作系统上,肯定有诸多不适不配,如果没有全面统筹应对,这房子就会动摇,应用程序运行速度会很慢,甚至宕机,影响工作。而且住户已经习惯了原有的门和窗户的位置,叫他们搬家,打心底不太乐意。”
加强自主可控的核心软硬件建设
WindowsXP退役,再次提醒我们在自主创新上的短板。信息系统的核心软硬件,尤其是操作系统(如Windows系列)和CPU芯片等与系统的安全关系极大,历来我国政府和重要信息系统中,大量采用外国的操作系统和CPU等核心软硬件,存在极大安全隐患。为了从根本上增强国内信息安全,中国工程院院士倪光南表示:“今后我们要对智能终端操作系统、CPU和网络架构等这些系统中使用的核心软硬件以自主可控的国产软硬件进行替代,由替代XP所引发的操作系统国产化替代就是一个重要的必要环节。”
同时倪光南及国内部分专家建议,国内应在信息安全领域权威机构――中国国家信息安全漏洞库的支撑下,集中我国信息安全领域的力量协同攻关,采用自主创新的可信计算技术进行安全加固,在微软停止对“XP”支持后,推出有公信力的“安全云服务”,接管我国2亿台XP电脑用户的服务支撑。这样,可防止在微软中止支持XP后继续使用XP的电脑出现严重安全事件。
其实去年“棱镜门”早已暴露了国内网络信息安全所存在的问题。无论是非法的政府行为还是民间黑客行为,都给严重依赖国外技术装备的中国信息化特别是关键行业的信息安全敲响了警钟。当前,国内已建的重要信息系统几乎均为外国品牌,基本在IBM、HP等美国企业垄断下,而操作系统、数据库、中间件也基本在Oracle、微软和redhat等美国企业控制下。而国内互联网更是被以思科为首的美国网络巨头所把持,已经形成了从PC网络到移动网络的绝对垄断格局,国内网络厂商基本很难进入这个领域。
有专家认为,中国的信息安全在以思科、英特和微软为代表的美国公司面前,简直就是在跳裸舞,毫无秘密可言。一旦战争爆发,美国政府极有可能利用思科在全球部署的产品,发动网络战,对敌国实施致命打击。
目前国内政府和企业对国外电子信息产品过分依赖,而任何信息电子产品都可植入后门,成为窃取情报的工具,不知不觉中成为政府、国企的信息安全隐患。今后XP退役所引起的各种安全**(包括OpenSSL严重的安全漏洞)更说明了国内信息安全的自主创新已经成为事关国家安全的重大战略问题,只有自主可控的国产产品才是安全可信,尤其是移动互联网时代,国家、企业信息安全问题已从PC端全面转移到各种各样的移动终端设备上,只有国内移动互联网服务商、国产的移动安全市场产品联合起来才能真正全面完整有效地抵御境内外敌对黑客势力的渗透、入侵。
赛迪智库信息安全研究所所长刘权建议,推广使用国产软件,政府要起带动作用,特别是在政府采购中要集中采购国产软硬件产品,包括服务器、操作系统和办公软件等,而各IT厂商应结成联盟,联合上下游资源,共同与国外企业竞争。
“后XP时代”的网络安全市场盛宴开启
不过,XP退役既是挑战,也是机遇。在“后XP时代”,一个巨大的网络安全市场正在开启,国内众多厂商将迎来机会和竞争。
近段时间以来,国内沪深股市,信息安全概念板块再度全线活跃,多只个股受到市场资金的追捧。在市场人士看来,信息安全行业再度受资本热捧的背后,是微软XP系统停止服务后,给国内软件行业带来的巨大想象空间。近几年来我国信息安全行业市场规模持续高速增长。据统计,我国2010年信息安全产品和信息安全服务市场分别为6.06亿和3.38亿美元,2012年两者市场规模分别为8.77亿和4.61亿美元。根据IDC预测,到2015年,国内信息安全产品和安全服务的市场规模有望分别达到14.35亿美元和6.84亿美元,复合增长率分别为18.8%和15.1%,网络安全、信息服务等行业有望受益。
招商证券发布的报告认为,如今网络安全的外延和内涵发生了根本性变化,行业全面打开了全新成长空间。一是IT日益渗透人类的生产生活成为现代社会的基础,网络安全的外延极度扩张。二是高级持续性威胁(APT)攻击等新型攻击技术的出现使得网络攻击从软件走向硬件,国家重大基础设施成为亟需保护的对象。网络空间的安全与国土安全、经济安全、政治安全成为国家安全的基础,但我国国家意义上的网络空间自主可控和防护尚是一片处女地,信息安全内涵和边界的扩张将带来行业市场空间的成倍扩张,从而打开了龙头公司的市值上升空间。
国内外在信息安全方面的差距主要是基础IT软硬件方面的技术差距和信息对抗方面的投入差距。近年美国在网络安全对抗方面的国家性投入预算达到40亿美金左右,中短期来看,通过加大信息对抗投入来从战术上实现安全,成为确保网络安全现实可行的做法。
第五篇:利用Web服务架构对网络安全支付协议的改进
利用Web服务架构对网络安全支付协议的改进
【摘 要】安全电子交易协议(SET协议)其安全性和复杂性都非常高。随着网络的普及以及新一代网络的出现,它将可能得到更大的应用,但是它自身却无法克服虚假交易和洗钱等网上支付漏洞。因而本文通过增加承运商角色提出对这个问题的解决模型。
【关键词】SET Web服务 网络支付引言
自互联网诞生以来,通过网络达成传统商务贸易就是人类一直孜孜不倦的追求目标。而在互联网发展到今天,人们对电子商务的认识早已经远远超过以往仅仅代替传统商务业务的需要了。
本文将就在新的网络条件下SET协议的应用以及对其不足进行完善和改进,尤其针对避免网络贸易上的虚假贸易提出自己的建设性意见。SET协议及不足
SET协议(Secure Electronic Transaction安全电子交易协议)最早由Visa和MasterCard提出,后来得到IBM和Microsoft支持,由几家公司共同联合开发。这一协议主要针对信用卡用户而设计,它不仅制定了相应的加解密算法、认证方法等技术手段,而且还详细规定了客户、商家、银行等各方的数字证书的含义、响应动作以及与交易相关的责任认定等。1 SET协议模型
SET协议的支付模型如图1所示,交易的每个阶段包括了身份认证、信息的加解密、数字签名/验证、数字信封、消息摘要生成/验证等过程。
2SET协议的不足
因为具有高安全复杂性,造成了SET协议在应用上的较高成本代价,以及完成一个交易的较高时间代价。这就使其普及应用受到了很大的影响。随着计算机成本的降低和计算机网络的普及,相信SET协议在互联网上的应用又将活跃起来。
不过,当前SET协议,就如何在支付的时候更大的保护交易双方的利益,防止虚假交易和洗钱活动在网络的掩护下肆虐进行,还是无法解决这样的问题。而就虚假交易来说,现在各国银行也无法判断,仅仅是通过限制网上贸易的额度对这些问题进行象征性的管制。这些都是现有SET协议本身所无法克服的问题。
我们将在接下来的部分讨论利用当前的流行技术Web Services来融入第三方物流信息,以弥补对以上SET协议在这些方面的不足之处。Web服务
Web服务模型
Web服务体系结构基于三种角色(服务提供者、服务注册中心和服务请求者)之间的交互。图 2显示了这些操作、提供这些操作的组件及它们之间的交互。改进后的模型设计
仅仅通过对SET协议本身加解密算法或者认证手段等等技术条件进行增减或效率改进是很难针对防范虚假交易和洗钱活动的。我们在这里提出一种将可信赖的第三方物流承运商加入到整个交易流程中来的办法,不但可以达到比设定交易资金限额方法更有效的结果,而且还能更大的保护交易各方的利益,尽量避免交易中产生的不必要纠纷。本文设计的改进后的模型具体如图3所示。
其中客户与商家进行订单协商的过程因与图1重复,故这里就直接从商家向客户发出购物响应后开始描述,主要过程
(1)商家向客户发出购物响应后,客户的购物行动基本完成,商家按照客户订单信息备货,并通知承运商到商家仓库收货;
(2)承运商到商家确认收货,并将货物的物流信息以Web Service的方式提供给商家服务器,以便商家和客户实时跟踪自己的货物状态,以及有利于客户安排接货;
(3)承运商将货物运送到客户地址,通知客户准备接货;
(4)客户验货并确认收货,承运商通过移动商务系统或本地网络实时地将信息传送回承运商服务器;
(5)承运商将客户确认收货信息(包括承运商的证书)通过Web Service的方式实时回送给商家,以便商家在第一时间向支付网关发出获款请求;
(6)商家向支付网关发出获款请求,其中包括承运商的证书和承运商发送货物的track number,支付网关检查商家和承运商的证书,并以调用承运商服务器提供的Web服务验证货物发送情况;
(7)承运商服务器提供相应的货物状态信息查询服务,支付网关获得相关确认后判断这是一次真实的交易,然后向银行发出放款请求,得到响应后支付网关立即向商家作出获款响应。
这样,整个交易至此就完全结束了。
而在这个模型中,承运商并不需要像SET协议里那样提供完整的加解密、数字信封、数字摘要、双重签名等操作,而只需通过注册相应的Web服务,然后向支付网关提供自己的数字证书就可以了。所以其带来的系统开销和网络开销并不太大。
最重要的一点是,有这样的一个可信赖的第三方承运商的参与,我们就可以大大提高防范虚假交易和洗钱活动的效率。尤其针对SET协议有相当大的意义,因为信用卡网上支付是SET协议的最大支持对象,而通过虚假网上实现信用卡套现或洗钱的活动确实有些防不胜防,如果采用本文的模型那么实现这样的防范将相对容易得多。结束语
电子商务安全涉及到方方面面,而其中支付的安全(包括技术安全和社会安全)是一个非常重要的课题。本文仅就SET协议在提供更好的交易各方利益保护方面和防范虚假交易方面提出了相应的改进模式,而其中主要涉及到对Web Services的应用。相信利用Web服务和分布式网络架构提出电子商务新的支付模式和开发新支付平台在不远的将来就会出现,这也将推动整个电子商务走向新的高潮。
参考文献:
[1]柯新生.网络支付与结算.北京:电子工业出版社,2004,182-194.International Technical Support Organization,Secure Electronic Transactions:Credit Card Payment on the Web in Theory and Practice,IBM Corporation,1997,17-49.苏成,胡庆锋,赵飞芙.SET协议的分析与改进.计算机时代,2004,(3):20-21.陈炎,杨庚.基于Web Services的电子钱包系统的分布式解决方案研究.南京邮电学院学报,2005,(1):42-45.马强,李燕军.网络安全之GAP技术研究.林枫.电子商务安全理论与实务.北京航天航空大学出版社.信息安全与技术.中国信息安全测试认证中心.