第一篇:IPv6的网络安全改进与新问题
(IPv4地址资源的紧缺引发了一系列安全问题,尽管IPv6协议在网络安全上做了多项改进,但是其引入也带来了新的安全问题。下面这篇文章分别从 IPv6安全上的改进,引入的新问题,迁移时的漏洞三个方面概述了IPv6的安全性.)
IPv6的网络安全改进与新问题
由于我国IPv4地址资源严重不足,除了采用CIDR、VLSM和DHCP技术缓解地址紧张问题,更多的是采用私有IP地址结合网络地址转换(NAT/PAT)技术来解决这个问题。比如PSTN、ADSL、GPRS拨号上网、宽带用户以及很多校园网、企业网大都是采用私有IPv4地址,通过NAT技术接入互联网,这不仅大大降低了网络传输的速度,且安全性等方面也难以得到保障。从根本上看,互联网可信度问题、端到端连接特性遭受破坏、网络没有强制采用IPSec而带来的安全性问题,使IPv4网络面临各种威胁。
IPv6协议在网络安全上有改进
IP安全协议(IPSec)IPSec是IPv4的一个可选扩展协议,而在IPv6则是一个必备组成部分。IPSec协议可以“无缝”地为IP提供安全特性,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。新版路由协议OSPFv3 和 RIPng采用IPSec来对路由信息进行加密和认证,提高抗路由攻击的性能。
需要指出的是,虽然IPSec能够防止多种攻击,但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议,只能负责其下层的网络安全,不能对其上层如Web、E-mail及FTP等应用的安全负责。
端到端的安全保证 IPv6最大的优势在于保证端到端的安全,可以满足用户对端到端安全和移动性的要求。IPv6限制使用NAT,允许所有的网络节点使用其全球惟一的地址进行通信。每当建立一个IPv6的连接,都会在两端主机上对数据包进行 IPSec封装,中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输,通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6 网络上安全地传递,因此,无需针对特别的网络应用部署ALG(应用层网关),就可保证端到端的网络透明性,有利于提高网络服务速度。
地址分配与源地址检查在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,在IPv6接入路由器对用户进入时进行源地址检查,使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑,许多核心路由器可根据需要,开启反向路由检测功能,防止源路由篡改和攻击。
防止未授权访问 IPv6固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问的能力,更加适合于那些对敏感信息和资源有特别处理要求的应用。
域名系统DNS 基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃,而采用可以提供认证和完整性安全特性的DNS安全扩展(DNS Security Extensions)协议,能进一步增强目前针对DNS新的攻击方式的防护,例如“网络钓鱼(Phishing)”攻击、“DNS中毒(DNS poisoning)”攻击等,这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。此外,专家认为,如果能争取在我国建立IPv6域名系统根服务器,则对于我国的信息安全很有必要和十分重要。
灵活的扩展报头 一个完整的IPv6的数据包可包括多种扩展报头,例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础,同时也为安全性提供了保障。
防止网络扫描与病毒蠕虫传播当病毒和蠕虫在感染了一台主机之后,就开始对其他主机进行随机扫描,在扫描到其他有漏洞的主机后,会把病毒传染给该主机。这种传播方式的传播速度在 IPv4环境下非常迅速(如Nimdar病毒在4~5分钟内可以感染上百万台计算机)。但这种传播方式因为IPv6的地址空间的巨大变得不适用了,病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。
防止网络放大攻击(Broadcast Amplication Attacks)ICMPv6在设计上不会响应组播地址和广播地址的消息,不存在广播,所以,只需要在网络边缘过滤组播数据包,即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。
防止碎片(Fragment)攻击 IPv6认为MTU小于1280字节的数据包是非法的,处理时会丢弃MTU小于1280字节的数据包(除非它是最后一个包),这有助于防止碎片攻击。
由此看来,IPv6协议确实比IPv4的安全性有所改进,IPv4中常见的一些攻击方式,将在IPv6网络中失效,例如网络侦察、报头攻击、ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一系列在IPv4网络中的问题,IPv6仍应对乏力,只是在IPv6的网络中事后追溯攻击的源头方面要比在IPv4中容易一些。
引入IPv6出现的安全新问题
IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题,主要包括应对拒绝服务攻击(DoS)乏力、包过滤式防火墙无法根据访问控制列表ACL正常工作、入侵检测系统(IDS)遭遇拒绝服务攻击后失去作用、被黑客篡改报头等问题。
此外,在IPv6中还有一些问题有待解决,主要包括:
1.IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网管技术,如SNMP等,不管是移植还是重新另搞,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现,因此缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。没有网管,何谈保障网络高效、安全运行?
2.PKI管理在IPv6中是悬而未决的新问题。
3.IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发还尚需时日。
4.IPv6协议仍需在实践中完善,例如IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能,而移动IPv6(Mobiel IPv6)也存在很多新的安全挑战。DHCP必须经过升级才可以支持IPv6地址,DHCPv6仍然处于研究、制订之中。
向IPv6迁移的可能漏洞
由于IPv6与IPv4网络将会长期共存,网络必然会同时存在两者的安全问题,或由此产生新的安全漏洞。
已经发现从IPv4向 IPv6转移时出现的一些安全漏洞,例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源,攻击者可以通过安装了双栈的使用IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。
向IPv6协议的转移与采用其他任何一种新的网络协议一样,需要重新配置防火墙,其安全措施必须经过慎重的考虑和测试,例如IPv4环境下的IDS并不能直接支持IPv6,需要重新设计,原来应用在IPv4协议的安全策略和安全措施必须在IPv6上得到落实。
目前,IPv4向IPv6过渡有多种技术,其中基本过渡技术有双栈、隧道和协议转换,但目前这几种技术运行都不理想。专家建议,向IPv6转移应尽量采用双栈技术,避免采用协议转换;尽量采用静态隧道,避免采用动态隧道;这些都需要在广泛实验中加以检验。
与IPv4相比,IPv6在网络保密性、完整性方面有了更好的改进,在可控性和抗否认性方面有了新的保证,但IPv6不仅不可能彻底解决所有安全问题,同时还会伴随其产生新的安全问题。目前多数网络攻击和威胁来自应用层而非IP层,因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。
第二篇:IPv6对网络安全的改进与挑战
IPv6对网络安全的改进与挑战
谷 耀
摘要:本文从IPv4地址资源紧缺引发的安全问题出发,论述了IPv6协议对网络安全的多项改进,以及IPv6协议引入后带来的新的安全问题,并指出由IPv4向 IPv6转移可能出现的安全漏洞及相应对策。
关键词:IPv6,网络安全,IP协议
一、IPv4地址资源匮乏引发的安全问题
由于我国IPv4地址资源严重不足,除了采用CIDR、VLSM和DHCP技术缓解地址紧缺外,更多的是采用私有IP地址结合网络地址转换(NAT/PAT)技术来解决这个问题。比如PSTN/ADSL/GPRS拨号上网、宽带用户以及很多校园网、企业网大都是采用私有的IPv4地址,通过NAT技术接入互联网的。这不仅大大降低了网络传输的速度,且安全性等方面也难以得到保障。1.互联网可信度问题
互联网不可信是有其历史和技术原因的,互联网设计者的初衷就是为了互联和共享。TCP/IP协议不验证源IP地址,而采用NAT则掩盖了用户真实的IP地址。有专家指出,现在匿名垃圾邮件和病毒邮件之所以能够泛滥成灾,就是因为中国九千多万网民只拥有不足4000万IP地址。IP地址欺骗、身份难以确认、网络钓鱼、虚假服务请求、源路由篡改,正是这种匿名性使得黑客能够伪造或者屏蔽IP地址实现对网络的攻击并逃避惩罚。2.端到端连接特性
由于NAT透明性差,不能支持那些应用层协议中包含有IP地址、TPC/UDP协议端口等信息的应用程序,以及需要在应用层进行认证、加密的应用程序。因而破坏了IP协议端到端的连接特性,使得端到端的业务无法开展,成为安全连接的技术障碍。
3.网络安全性
作为Internet安全标准,IPv4并没有强制要求实现IPSec。即使采用IPSec,通常也只是部署在IPv4网络的边界路由器。并且,NAT技术和IPSec会有矛盾,有的情况下无法协同工作。采用NAT技术还限制了VPN(虚拟专用网)的可扩展性,这些都在一定程度上限制了网络加密和网络安全。
二、IPv6协议在网络安全方面的改进 1. IP安全协议(IPSec)
IPSec是IPv4的一个可选扩展协议,而在IPv6则是一个必备组成部分。IPSec协议可以“无缝”地为IP提供安全特性,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。新版路由协议OSPFv3 和 RIPng采用IPSec来对路由信息进行加密和认证,提高抗路由攻击的性能。
IPSec协议簇主要包括:AH:认证报头(RFC1826),ESP:封装化安全载荷(RFC1827),IKE:Internet密钥交换(RFC2409),以及强制转码类型等相关组件。AH用于保证数据的一致性。它要校验源地址和目的地址这些标明发送/接收设备的字段是否在路由过程中被改变。如果未通过校验,数据包就会被抛弃。通过这种方式,AH为数据的完整性和原始性提供了鉴定依据。ESP用于保证数据的机密性和数据的一致性。ESP报头提供集成功能和IP数据的可靠性。集成保证数据不被恶意破坏,可靠性保证使用密码技术的安全。IKE采用密钥交换协议自动实现通信双方安全参数的可靠协商与获取,进而能够最大程度地保证网络层的通信安全。
虽然IPSec能够防止多种攻击,但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IP Sec作为一个网络层协议,只能负责其下层的网络安全,不能对其上层如Web、E-mail及FTP等应用的安全负责。2.端到端的安全保证
IPv6最大的优势在于保证端到端的安全,可以满足用户对端到端安全和移动性的要求。IPv6限制使用NAT,允许所有的网络节点使用其全球惟一的地址进行通信。当建立一个IPv6的连接时,在两端主机上对数据包进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输,通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6 网络上安全地传输,因此,无需针对特别的网络应用部署ALG(应用层网关),保证端到端的网络透明性,有利于提高网络服务速度。
3.地址分配与源地址检查
在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员加强网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,在IPv6接入路由器对用户进入时进行源地址检查,使得ISP可以验证其客户地址的合法性。
IPv6邻居发现机制(Neighbor dicovery)动态收集相邻网络信息,包括本地网络参数、IPv6地址到MAC地址的解析、路由复位及相邻节点状态等,替代了ARP和RARP,帮助节点从目的IP地址中确定本地节点(即邻居)的链路层地址,可有效减轻“广播风暴”等的不利影响。
地址重复检测机制(DAD:Duplicate Address Detection)检测和确定节点想使用的IP地址是否已经在网络中配置使用,如果已被占用,则拒绝为该节点网络接口赋予该地址,而另行指派地址,解决安全引导(boot-strap)问题。4.源路由检查
出于安全性和多业务的考虑,许多核心路由器需要开启反向路由检测功能,防止源路由篡改和攻击。5.防止未授权访问
IPv6固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问能力,更加适合于那些对敏感信息和资源有特别处理要求的应用。6.域名系统DNS 基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃。而采用可以提供认证和完整性安全特性的DNS安全扩展(DNS Security Extensions)协议,能进一步增强目前针对DNS新的攻击方式的防护(例如:“网络钓鱼(Phishing)”攻击、“DNS中毒(DNS poisoning)”攻击)。这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。此外,专家认为,如果能争取在我国建立IPv6域名系统根服务器,对于我国的信息安全很有必要和十分重要。7.灵活的扩展报头
一个完整的IPv6的数据包可包括多种扩展报头:逐个路程段选项报头,目的选项报头,路由报头,分段报头,身份认证报头,有效载荷安全封装报头,最终目的报头。这些扩展报头不仅为IPv6扩展应用领域奠定了基础,同时也为安全性提供了保障。
8.网络扫描与病毒蠕虫传播
当病毒和蠕虫在感染了一台主机之后,就开始对其他主机进行随机扫描,在扫描到其他有问题的主机后,会把病毒传染给该主机。这种传播方式的传播速度在IPv4环境下非常迅速(如Nimdar病毒在4、5分钟内感染了上百万台计算机)。但这种传播方式因为IPv6的地址空间的巨大变得不适用了,病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。
9.网络放大攻击(Broadcast Amplication Attacks)
ICMPv6在设计上不会响应组播地址和广播地址的消息,不存在广播,所以,只需要在网络边缘过滤组播数据包即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。
10.碎片(Fragment)攻击
IPv6认为MTU小于1280字节的数据包是非法的,处理时会丢弃MTU小于1280字节的数据包(除非它是最后一个包),有利于防止碎片攻击。
由此看来,IPv6协议确实比IPv4的安全性有所改进。IPv4中常见的一些攻击方式,将在IPv6网络中失效,例如网络侦察、报头攻击、ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一系列在IPv4网络中的问题,在IPv6中仍会继续继续,只是在IPv6的网络中事后追溯攻击的源头方面要比在IPv4中容易一些。
三、IPv6引入后带来的新的安全问题
IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题: 1.拒绝服务攻击(DoS):由于IPSec加密/解密需要大量的计算开销,若攻击者向目标主机发送大量随意的加密数据包,就有可能造成被攻击主机消耗大量的资源来检验这些垃圾数据包,无法响应其他网络用户的服务请求,造成目标主机停止服务。
此外,IPv6中的组播(Multicast)地址定义方式也会给攻击者带来一些机会。例如,IPv6地址FF05::2是所有的路由器,FF05::5是所有的DHCP服务器,如果向这类地址发IPv6数据包,这个数据包就会到达网络中所有的路由器或DHCP服务器,所以可能会出现一些专门针对这些网络设备的拒绝服务攻击。
2.包过滤式防火墙:由于IPSec实现端到端的加密,并能够采用多种加密算法,且密钥不公开,防火墙无法解密IP数据包,也就无从知道TCP/UDP协议端口号,因此导致包过滤式防火墙无法根据访问控制规则ACL正常工作。
3.入侵检测系统(IDS):通过加密通道的攻击目前尚不多见,但随着IPv6的普及,这类问题会逐渐突出。同包过滤式防火墙一样,采用IPsec端到端加密的IPv6 数据包使得传统IDS无法识别数据包中的黑客攻击迹象或违反安全策略的行为。并且,IDS采用的是失效开放(Fail Open)工作机制,一旦IDS遭遇拒绝服务攻击后系统作用就会停止,整个网络系统就变为开放,一切通行无阻。
4.IPv6中规定所有的IPv6主机都要求接受并处理IPv6的路由扩展报头,并转发路由扩展报头内的数据包。这样就有可能被黑客修改这个路由扩展报头来改变数据包的转发方向,从而绕过网络防火墙。5.IPv6尚待解决的问题
IPv6的网络管理:IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网管技术,如SNMP等,不管是移植还是重新另搞,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现,因此缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。没有网管,何谈保障网络高效、安全运行?
公共密钥(PKI)管理: PKI管理在IPv6中是悬而未决的新问题。
IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发还有待时日。
IPv6协议仍需在实践中完善。如IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能;而移动IPv6(Mobiel IPv6)也存在很多新的安全挑战;DHCP必须经过升级才可以支持IPv6地址,DHCPv6仍然处于研究、制定之中。
6.向 IPv6转移可能出现的安全漏洞
由于IPv6与IPv4网络将会长期共存,网络必然会同时存在两者的安全问题,或由此产生新的安全漏洞。
已经发现从IPv4向 IPv6转移出现的一些安全漏洞,例如:黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源。攻击者可以通过安装了双栈的使用IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。向IPv6协议的转移与采用其他任何一种新的网络协议一样,需要重新配置防火墙,其安全措施必须经过慎重的考虑和测试。IPv4环境下的IDS并不能直接支持IPv6,需要重新设计。原来应用在IPv4协议的安全策略和安全措施必须在IPv6上得到落实。
目前,IPv4向IPv6过渡有多种技术,其中基本过渡技术有:双栈、隧道和协议转换,但目前这几种技术运行都不理想。有专家建议,向IPv6转移尽量采用双栈技术,避免采用协议转换;尽量采用静态隧道,避免采用动态隧道。这些都需要在广泛实验中加以检验。
结束语
与IPv4相比,IPv6在网络保密性、完整性方面有了更好的改进,在可控性和抗否认性方面有了新的保证。但IPv6不仅不可能彻底解决所有安全问题,同时还会伴随其产生新的安全问题。目前多数网络攻击和威胁来自应用层而非IP层,因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。参考文献:
[1].Pete Ldshin,IPv6详解,机械工业出版社;
[2].王玲等,IPv6的安全机制及其对现有网络安全体系的影响; [3].Albert Ball, etc.Testing IPv6 Security;
[4].S.Convery, etc.IPv6 and IPv4 Threat Comparison
原载<计算机世界>2005年48期(2005-12-12)第 D09版
第三篇:无线网络安全的相关技术与改进探讨
无线网络安全的相关技术与改进探讨
摘 要:无线网络的安全主要是用户与用户之间的信息往来是否能够保证其安全性隐私性,用户之间信息的往来包括信息的传送和信息的接收。那么无线网络的安全问题也应从这两个方面入手。无线网络的隐患时时存在,在研究相关技术的同时,相关专家应该加强交流,进行探讨。本文通过介绍无线网络的威胁,以及我国相关技术的应用来进一步探讨如何更有效地解决这一难题。
关键词:无线网络;非法访问;网络安全无线网络的现状和威胁
1.1 无线网络的现状
我们平时使用的无线局域网其实还存在着大量的安全隐患,这种隐患可能是我们遭受比较大的损失,特别对企业来说,黑客的侵入,可能会是一个企业的系统发生混乱和瘫痪,更可能给企业带来惨重的损失。随着社会的发展着中问题日益暴露出来,因为它对我们造成的影响已经无法继续无视下去,因此,我国对无线网络的安全问题已经开始重视,下发各种限令和规范措施来维护网络的安全性。
1.2 无线网络的威胁
我们都应该知道我们使用的网络分为广域网、城域网、局域网以及个人网络。这几种网络的覆盖面积依次减少。可以说我们生活处处有网络,网络带给我们便利和极高的自由行。但是同时也让我们面临一些问题,其中安全问题是最重要的问题,因为网络是由很多交错的网络线路和众多的用户组成的巨型网络,设备仪器发出的信息和数据不可能只针对一个用户发送或接收。只要在这个区域的覆盖范围内,任何都可以自由的获取信息或数据,当然这些都是在你根本没有察觉的情况下,你的隐私可以说是无处藏身的,一些极重要的个人信息就随时有被窃取的可能性。除了可以自由获取信息和数据外,一些不法者也能够把一些乱七八糟的信息和数据随时插入到这些网络渠道中。无线网络安全的相关技术与分析
2.1 无线网络安全的相关技术
现在为了保护无线网络的安全问题,出现了几种方法,第一种主要是控制他人的访问权,这样一来如果没有你的认证,其它人就不能访问,这样就不用担心自己的信息被随意的截取和访问了。访问权是用户设置的一张通行证,如果的不到用户的认证,那么它只能被拦截在门外了。第二种是用户要记住对对自己的信息进行加密措施,一旦加密,就可以有效保护自己的信息或数据不被他人获取或拦截。当然,给自己的重要信息加密是保护我们网络信息安全的基础,我们每一个人都应该有这种意识。第三种是对访问者进行安全认证,我们可以通过安全认证来确定者是不是非法的,从而也能把它挡在门外。安全认证有实体认证和数据源认证,如果单单用其中的一种认证方式,那么安全认证效果就会大打折扣,两者同时运用能够有效保护我们的网络安全。第四种是对数据或信息进行校验认证,这样可以防止不法访问者截取和谐该用户的重要信息和数据了。
2.2 无线网络安全的相关技术分析
为了维护无线网络的安全,出现了3A技术,这种技术是现在无线网络最基本的保证网络安全的用方法,同时也是应用最广泛,最基本的一种技术。另外新出现的WSAP技术,它其实是一种网络认证的协议,但是它有一个很显著地特点就这种认证时匿名的。相关的研究人员对这种最新的认证方法进行了多次的理论对比和比较,所以我们有信心有理由信任这种新的认证方法,它已经可以满足我们对私人信息和数据保密性和安全性的一般要求。探讨无线网络安全技术的发展
要进一步实现保护无线网络安全的目的,除了用户自身要做好加密的措施外,还要好好利用一些功能和性能强大的认证体系,同时我们应加快一些更加好的协议出现的速度,因为网络每天都发生着变化一些黑客采取的非法手段也不听的更新着,所以无限网络安全的相关技术的开发工作时没有止境的,只有深刻的认识到无线网络存在的安全隐患,同时对不同的安全技术进行不断地研究和探讨,并不断开发新的保护技术才能使无线网络环境保持健康,继续成长。总结
近几十年来网络的普及已经使我们每一个人都时时刻刻身处网络之中,特别是无线网络的兴起更加的方便了人们的生活,无线网络的开放性和移动性以及机动性都被我们所接受,但是随之带来的安全隐患也时时刻刻威胁着我们的生活。市场上已经有的一些安全技术和安全协议基本上能够保证我们的信息和数据不被窃取或修改。但是面对复杂的网络环境,我们应该加紧相关,安全技术开发的脚步,不仅要关注网络现存的一些威胁和漏洞还要预防哪些网络可能存在的一些漏洞,提前做好预防措施。相关研究开发人员应该加强交流和探讨,在对各种无线网络安全技术进行分析比较的情况下,开发出新的更有效的保护措施。
[参考文献]
[1]郭萍.无线网络认证体系结构及相关技术研究[D].南京理工大学,2012.[2]肖跃雷.可信网络连接关键技术研究及其应用[D].西安电子科技大学,2013.[3]何道敬.无线网络安全的关键技术研究[D].浙江大学,2012.[4]王文彬.无线网络安全的相关技术研究与改进[D].山东大学,2007.[5]王双剑,丁辉.无线网络安全的机制及相关技术措施[J].科技传播,2012,06:154+147.
第四篇:·网络安全与防护
摘要: 随着互联网技术以及信息技术的飞速发展,网络安全技术已经影响到社会的政治、经济、文化和军事等各个领域。网络技术的成熟使得网络连接更加容易,人们在享受网络带来便利的同时,网络的安全也日益受到威胁。安全性是互联网技术中很关键的也是很容易被忽略的问题。曾经,许多的组织因为在使用网络的过程中未曾意识到网络安全性的问题,直到受到了资料安全的威胁,才开始重视和采取相应的措施。可以举例我们身边的例子,如网上银行。用户可能没有意识到网络存在木马程序的现象,未经检查软件的安全性就放心使用,其结果自然是损失惨重了。故此,在网络广泛使用的今天,我们更应该了解网络安全,做好防范措施,做好网络信息的保密性、完整性和可用性。
关键词:网络;安全;防范
引言
现今这个高速信息化的时代里,网络作为计算机技术发
展到一定阶段的必然产物,在生产生活中越来越发挥出主导和支配性作用。网络的开放性和共享性在方便人们交换信息的同时,多节点的结构使网络也越来越容易受到攻击。因此,网络和信息安全技术也越来越受到人们的重视。
如何才能解决网络安全问题,避免网络环境遭到攻击,使网络得到良性发展,我们就要了解目前网络安全可能存在的各种安全风险、网络安全防范的定义和范围以及在网络环境下如何应对这些不可控的风险。
1网络安全的含义及特征
1.1 含义网络安全是指:为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时,能使网络得到保护,正常运行。
网络安全的内容远不只是防范黑客和病毒,它包括着广泛的规则和惯例。网络的安全内容由数据的安全性和通信的安全性内容组成。数据的安全性具体内容包括阻止对数据的非授权的访问、转移、修改和破坏。通信的安全性要求在通信中采用保密安全性、传输安全性、辐射安全性等措施,并且要求对通信安全性信息采用物理安全性措施。
1.2 特征网络安全根据其本质的界定,应具有以下基本特征:①机密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的每一个层次都存在着不同的机密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息外露,在运行层面,保证能够为授权使用者正常的使用,并对非授权的人禁止使用,并有防范黑客,病毒等的恶行攻击能力。②完整性:是指信息未经授权不能被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得发布者无法否认所发布的信息内容。接受者无法否认所接收的信息内容,对数据抵赖采取数字签名。
2网络安全现状分析
网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。网络信息具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性等,现在越来越多的恶性攻击事件的发生说明目前网络安全形势严峻,不法分子的手段越来越先进,系统的安全漏洞往往给他们可趁之机,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整
性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全不够完善不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。3网络安全解决方案
要解决网络安全,首先要明确实现目标:①身份真实性:对通信实体身份的真实性进行识别。②信息机密性:保证机密信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法拥护对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机智,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。
4网络安全是一项动态、整体的系统工程。
网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。从实际操作的角度出发网络安全应关注以下技术:
①防病毒技术。病毒因网络而猖獗,对计算机系统安全威胁也最大,做好防护至关重要。应采取全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。②防火墙技术。通常是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合(包括硬件和软件)。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。③入侵检测技术。入侵检测帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控,从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动;系统构造和弱点审计;识别反映已进攻的活动规模并报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。④安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合,对网络安全的提高非常有效。通过对系统以及网络的扫描,能够对自身系统和网络环境有一个整体的评价,并得出网络安全风险级别,还能够及时的发现系统内的安全漏洞,并自动修补。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。⑤网络安全紧急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。⑥安全加密技术。加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。⑦网络主机的操作系统安全和物理安全措施。防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全
作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
5结语
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,成为当务之急。参考文献:
[1]黄怡强等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01).[2]胡道元.计算机局域网[M].北京:清华大学出版社,2001.[3]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.[4]张世永.网络安全原理与应用[M].出版社.
[5]李明之.网络安全与数据完整性指南[M].机械出版社.
第五篇:网络安全与技术
网 络 安 全 与 技 术
计算机网络安全之防火墙概述
随着计算机网络技术的普及和越来越广泛地应用于工业、农业、交通等国民经济各个领域和国防建设和军事领域,计算机网络时常出现的安全问题日益增多,存在的安全隐患,促使人们采取各种方案保护计算机网络的安全。21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我们将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我们要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样
于(Checkpoint)。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
2.硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上所谓二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的(Unix、Linux和FreeBSD)系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS操作系统本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接(内网,外网和DMZ区)非军事化区,现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
3.芯片级防火墙
“芯片级”防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有(NetScreen、FortiNet、Cisco)等。这类防火墙由于是专用OS操作系统,因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个
4.监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
当前信息安全技术发展迅速,但没有任一种解决方案可以防御所有危及信息安全的攻击,这是“矛”与“盾”的问题,需要不断吸取新的技术,取众家所长,才能使“盾”更坚,以防御不断锋利的“矛”,因此,要不断跟踪新技术,对所采用的信息安全技术进行升级完善,以确保相关利益不受侵犯。
我国信息网络安全技术的研究和产品开发尚处于起步阶段,就更需要我们去研究、开发和探索,以走有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国网络信息的安全,推动我国围民经济的高速发展。
点击咨询 