計算機網(wǎng)絡通信研究論文
信息技術的快速發(fā)展,在整個社會領域都得到了更加廣泛地應用,深刻影響著人類的生活和經(jīng)濟的發(fā)展。下面是學習啦小編為大家整理的計算機網(wǎng)絡通信研究論文,供大家參考。
計算機網(wǎng)絡通信研究論文篇一
《淺談計算機通信的網(wǎng)絡安全問題 》
一、計算機通信安全現(xiàn)狀
計算機網(wǎng)絡伴隨信息技術的快速發(fā)展在各個行業(yè)中得到廣泛應用,但隨之帶來了信息安全問題的出現(xiàn),這對計算機通信造成了嚴重威脅。據(jù)美國聯(lián)邦調(diào)查局統(tǒng)計,美國每年因網(wǎng)絡安全問題造成的經(jīng)濟損失高達70多億美元,全球平均每20秒就出現(xiàn)一起計算機入侵事件,從這些入侵事件中也不難看出網(wǎng)絡攻擊所具有的顯著特點:
1.社會安全威脅,有些計算機網(wǎng)絡攻擊者主要針對國家的軍事、政府部門進行攻擊,從而對社會及國家安全形成威脅。
2.攻擊造成較大損失,由于計算機入侵主要是針對網(wǎng)絡上的計算機,因此每次攻擊如若成功都將會給計算機用戶帶來巨大災難,甚至會出現(xiàn)系統(tǒng)無法運行、數(shù)據(jù)丟失或者被盜竊的現(xiàn)象。
3.攻擊手段多樣化且十分隱蔽,計算機攻擊者通過非法手段竊取他人帳號及密碼進入計算機,然后通過對網(wǎng)絡監(jiān)視獲取機密信息。完成竊取、監(jiān)聽過程的時間十分短暫難以察覺,但攻擊的殺傷力卻十分強大。
計算機網(wǎng)絡通信安全所涉及的方面較多,可以從不同的角度作出相應的解釋,國際組織對網(wǎng)絡通信安全是這樣定義的:信息的可用性、完整性、可靠性及保密性。若從一般層次上講,計算機網(wǎng)絡通信的可靠性及安全性主要依靠網(wǎng)絡自己的特性借助一些安全措施或與安全技術相互結合預防計算機在通信過程中操作系統(tǒng)、軟件、硬件的應用能夠正常運行,網(wǎng)絡中數(shù)據(jù)的傳輸不受破壞及威脅,拒絕非法用戶對數(shù)據(jù)或服務的竊取。即借助于安全措施,無論是通過安全軟件來進行對計算機實施保護又或是通過安全硬件設備對計算機通信安全提供保障,預防計算機網(wǎng)絡遭受非法入侵,進而實現(xiàn)網(wǎng)絡通信的持久安全運行。從網(wǎng)絡運行的具體環(huán)節(jié)來看,網(wǎng)絡通信安全主要包含:數(shù)據(jù)信息在傳輸過程中的安全、硬件設備運行過程安全、用戶登錄信息安全識別。計算機通信過程如何實現(xiàn)安全傳輸,這涉及到較多的學科,例如,計算機科學、網(wǎng)絡技術、通信技術、網(wǎng)絡安全等等,它主要是以實現(xiàn)網(wǎng)絡系統(tǒng)中的硬件、軟件及系統(tǒng)中存放的數(shù)據(jù)進行安全保護為主。確保來自外部的不良因素無法形成對其威脅,從而使網(wǎng)絡系統(tǒng)安全、持久不間斷運行,形成網(wǎng)絡服務的暢通。
二、計算機通信網(wǎng)絡安全問題的原因分析
(一)客觀原因
首先,計算機通信網(wǎng)絡所具有聯(lián)結廣泛的特性決定了給網(wǎng)絡攻擊帶來了必要的條件,非法入侵者依據(jù)網(wǎng)絡存在的漏洞或存在安全缺陷對網(wǎng)絡系統(tǒng)的硬件、軟件進行攻擊。導致系統(tǒng)中數(shù)據(jù)的丟失,即便有些信息在安全級別方面進行了設置但還會有漏洞的存在。其次,計算機系統(tǒng)與通信網(wǎng)絡自身較脆弱,因此遭受不同程度的攻擊是不可避免的,雖然,我們也可以看到當前有很多保護系統(tǒng)安全的軟件出現(xiàn),例如,微軟操作系統(tǒng)在漏洞被發(fā)現(xiàn)后都會及時制定解決方案,而這些解決方案都是通過編寫應用程序的方式出現(xiàn),程序代碼的編寫不可能是完美無瑕的,安全隱患仍然會存在。最后,計算機病毒的傳播也加劇了網(wǎng)絡通信安全問題的出現(xiàn),使網(wǎng)絡系統(tǒng)遭受著不同程度的打擊,造成數(shù)據(jù)的改動、刪除最終破壞整個系統(tǒng)。再有,電子商務軟件普遍應用到通信網(wǎng)絡系統(tǒng)中,而這些電子商務軟件的源代碼又是公開的,這給非法入侵者尋找系統(tǒng)漏洞帶來了便利。
(二)主觀原因
計算機網(wǎng)絡管理員往往忽視潛在的安全問題,亦有些管理員的實際操作水平不夠,在操作過程中違反安全保密所制定的規(guī)則,對操作規(guī)程不夠了解,例如,工作中不允許公開的機密資料卻進行公開發(fā)布,而密鑰又不進行及時更新,長時間使用相同密鑰,使得密碼被破解的幾率急劇增加,最終導致網(wǎng)絡系統(tǒng)在管理上沒有任何規(guī)章可循。在對網(wǎng)絡系統(tǒng)的管理和使用方面,人們的習慣偏移于方便操作而忽視安全保密方面的問題。
三、計算機通信網(wǎng)絡安全問題的解決對策
計算機通信網(wǎng)絡安全威脅可分為兩類:故意(黑客入侵等)、偶然(信息去向錯誤的地址)。故意威脅又可分為被動威脅及主動威脅兩類。被動威脅主要針對信息進行監(jiān)聽但不對數(shù)據(jù)內(nèi)容進行改動,主動威脅則是針對信息監(jiān)聽但對數(shù)據(jù)進行惡意修改。從以上兩種攻擊不難看出,被動攻擊的難度遠遠小于主動攻擊,因此被動攻擊更加容易實現(xiàn)。但是目前并沒有一種統(tǒng)一的方式或方法對各種威脅進行區(qū)別或者進行分類劃分,也難以判斷不同的威脅之間有沒有聯(lián)系。威脅隨時根據(jù)所存在的環(huán)境發(fā)生變化而改變。然而,人們?yōu)榱私忉尵W(wǎng)絡安全服務所帶來的作用,總結了現(xiàn)代計算機網(wǎng)絡及通信過程中比較常見的一些威脅:安全威脅領域(植入威脅及滲入威脅),植入威脅比較常見的有:特洛伊木馬、陷門。滲入威脅:授權侵犯、旁路控制、假冒。但我們也可以清楚的看到,在非法入侵者實施入侵時往往將幾種攻擊手段進行結合使用。例如,Internet蠕蟲就是將旁路控制與假冒攻擊進行了結合形成的威脅。
(一)加強防范措施
網(wǎng)絡攻擊是針對系統(tǒng)及各方面安全缺陷進行非法操作的行為,因此防范策略應針對網(wǎng)絡中的各個層次從技術角度進行安全設計這是安全防御系統(tǒng)形成的首要條件。目前所采用的安全防范措施從軟件、硬件、軟件及硬件相結合的設備主要有以下幾種:安全過濾網(wǎng)關、系統(tǒng)加密、入侵檢測、身份認證、漏洞掃描、殺毒軟件等。
(二)數(shù)據(jù)加密方式
數(shù)據(jù)加密在當前數(shù)字貨幣、電子商務、電子銀行等業(yè)務中得以普及,數(shù)據(jù)加密也是數(shù)據(jù)安全得以保障的核心技術,其加密的原理是由明文向密文進行轉(zhuǎn)變的過程。與加密相對應的則是解密,即將密文恢復成明文的實現(xiàn)的過程,這兩個環(huán)節(jié)均依靠密碼算法進行實現(xiàn)。數(shù)據(jù)加密技術在網(wǎng)絡通信中的應用有效促進數(shù)據(jù)通信、網(wǎng)絡平臺應用的安全系數(shù)的提高,保證雙方的通信在安全下進行使得數(shù)據(jù)不被盜取及破壞。同時,數(shù)據(jù)加密技術也可在軟件中實現(xiàn)加密,當加密程序本身沒有受到病毒感染時便無法檢查出數(shù)據(jù)或程序中是否含有數(shù)字簽名,因此應將該加密技術應用在殺毒軟件或反病毒軟件當中。其次對網(wǎng)絡數(shù)據(jù)庫實施加密是十分必要的,由于數(shù)據(jù)通信傳輸中存儲系統(tǒng)與公用傳輸信道十分脆弱,因此采用數(shù)據(jù)加密技術進行保護。以前我們對數(shù)據(jù)庫的保護方式多采用設定訪問權限及輸入密碼,此類問題解決的核心在于數(shù)據(jù)本身是否進行了加密,如若是進行了加密,那么數(shù)據(jù)即便被盜取也較難被破解。因此我們也不難看出數(shù)據(jù)加密技術在針對系統(tǒng)內(nèi)、外部的安全管理中起到舉足輕重的作用。隨著數(shù)據(jù)加密技術日新月異,還應將當前的技術與其結合,使數(shù)據(jù)以密文形式在互聯(lián)網(wǎng)上實現(xiàn)通信傳送,等數(shù)據(jù)到達局域網(wǎng)路由器時再進行解密,進而實現(xiàn)局域網(wǎng)用戶明文查收數(shù)據(jù),這樣就有效的解決了局域網(wǎng)與廣域網(wǎng)連接中網(wǎng)絡通信數(shù)據(jù)傳輸?shù)陌踩珕栴}。
(三)數(shù)字簽名及控制策略
數(shù)字簽名技術是針對網(wǎng)絡通信信息論證的科學方式手段,依據(jù)單向函數(shù)對報文進行處理及發(fā)送,進而得到報文認證的來源并判斷傳輸過程中是否發(fā)生變化。數(shù)字網(wǎng)絡通信中數(shù)字簽名技術是認證的關鍵,它對解決偽造、冒充、篡改等問題起到主要作用,有著良好的無法抵賴性。當前數(shù)字簽名技術成熟,尤其在電子政務及電子商務中得到普遍應用,具有較強的可操作性,在實踐中我們應采用科學化、規(guī)范化的程序方式判斷簽名方身份,確保通訊內(nèi)容的真實性、安全性性,進而實現(xiàn)有效的可控管理。其次,網(wǎng)絡通信實踐運行中還應引入科學的訪問控制策略,確定相應權限,保障計算機網(wǎng)絡安全、可靠運行,建立絕對安全的操作策略及保障機制有效預防非法攻擊行為。
四、結語
計算機技術的發(fā)展與日俱進致使網(wǎng)絡安全技術不斷更新,掌握必要的網(wǎng)絡安全知識,增強網(wǎng)絡安全防范是十分必要的。我們要時刻注意安全問題,盡量多的使用可靠、安全工具進行系統(tǒng)的維護,使得我們的網(wǎng)絡安全更加穩(wěn)定、持久的運行,這也是未來電子化、信息化發(fā)展的必然要求。
計算機網(wǎng)絡通信研究論文篇二
《 試析IPsec在計算機網(wǎng)絡通信中的應用 》
1 IPSsec協(xié)議簡介
IPsec是指IETF公布的一組以RFC形式描述的IP協(xié)議集,實在IP包級時為現(xiàn)有的IP業(yè)務提供的安全協(xié)議標準。IPsec的基本目的技術把安全機制和TCP/IP相結合,并且通過現(xiàn)代的高科技技術進行加密使其更加具有機密性和認證性。使用的用戶可以通過選擇來確定是使用的安全服務,并且可以達到期望的效果。IPsec協(xié)議主要是包括AH、ESP、IKE和IPsec。
IPsec的主要存在優(yōu)點:IPsec定義了一整套用于認證和保護完整性、私有性的標準協(xié)議,IPsec支持一系列的加密算法例如DES、3DES、AES等,運用了IPsec技術來檢查傳輸?shù)陌欠窬哂邪踩院痛_保數(shù)據(jù)包內(nèi)的數(shù)據(jù)沒有被修改。IPsec被廣泛的應用在許多場合,大至保護國家機關的網(wǎng)關機與用戶之間的協(xié)議小至保護用戶與用戶之間傳輸?shù)奈募?、?shù)據(jù)。
2 IPsec和NET間的協(xié)作
與大多數(shù)的包交換網(wǎng)絡一樣,因特網(wǎng)也是建立在IP協(xié)議之上的傳輸。IP是使用一個16Byte的頭校驗和來確定數(shù)據(jù)是否完整,但是IP本身確實不安全的,在傳輸?shù)倪^程中IP及其容易被捕獲、攔截、重放、修改。這時IPsec就解決了IP在網(wǎng)絡層的傳輸問題,IPsec的加密機制為Internet上數(shù)據(jù)的傳輸提供了保障。不僅如此,IPsec還可以為其IP層以上的高層協(xié)議提供安全保護,并且IPsec也是一種比較簡單易懂很容易進行推廣的安全網(wǎng)絡基礎方案。我們現(xiàn)在就以IPV4或者IPV6下的IPsec與防火墻協(xié)同問題研究為主要研究課題來進行探討IPsec與NET之間的合作。
IPsec和防火墻是計算機通信中最常見的兩種安全保護技術。IPsec主要是對特定的連接的認證機制和加密機制進行保護,在傳輸過程中IPsec會最大限度的屏蔽數(shù)據(jù)包的內(nèi)容才能達到保護的作用防止數(shù)據(jù)包內(nèi)數(shù)據(jù)被攻擊。相反防火墻則是關注網(wǎng)絡間連接種類比較多,它會根據(jù)上層的協(xié)議進行包過濾來阻止非法想要進入主機的入侵者。以上可以看出兩者之間具有互補性,但是事物的好壞具有相對性,有利必有弊防火墻和IPSsec同樣也存在以下幾方面的不兼容問題。
(1)由于防火墻不能看到數(shù)據(jù)包的內(nèi)容所以很難運行安全策略,因此防火墻對內(nèi)部網(wǎng)絡的保護能力被削弱。同時防火墻保護了主機中的配置,但卻也很容易使這些中間節(jié)點與外界建立連接,從而降低了保密性和私有性使數(shù)據(jù)包的加密不再有意義。
(2)無論是防火墻與防火墻還是防火墻與主機之間的聯(lián)系都能被內(nèi)網(wǎng)的主機嗅到,這就加大了IPsec與防火墻的安全隱患。
綜上所述,我們應該加強IPsec與防火墻的協(xié)同工作。
IPsec與防火墻的沖突在于防火墻要對數(shù)據(jù)包的報頭部分進行檢測以確保數(shù)據(jù)包的安全性,但是IPsec協(xié)議卻又在保護整個數(shù)據(jù)包的安全性和保密性使得防火墻無法完成工作,從而產(chǎn)生沖突。所以將數(shù)據(jù)包的報頭部分和數(shù)據(jù)部分分開操作是不可避免的。
接收端和發(fā)送端會對數(shù)據(jù)包的數(shù)據(jù)部分進行接收和處理,達到從一個網(wǎng)絡到達另一個網(wǎng)絡并且進行有利的保護的目的。而防火墻和主機之間用于對IP報文的協(xié)議頭進行處理,這時由防火墻的內(nèi)部主機來扮演通道這一角色,即在傳輸中間加入IPsec的加密步驟并且結合IDS達到不被外界攻擊和修改的目的。
3 IPsec在計算機網(wǎng)絡通信中的應用
3.1 IPsec中的SA
IPsec中的安全聯(lián)盟(SA)是能夠構成IPsec的主要基礎。SA是兩個IPsec經(jīng)過協(xié)商后簡歷起的一種共同的協(xié)定:規(guī)定了傳輸?shù)碾p方應該用什么IPsc來保護數(shù)據(jù)的安全性、加密、認證的密鑰獲取和安全認證密鑰的生存周期等等的一系列問題。
一個SA主要是由安全協(xié)議標示符、安全參數(shù)索引(SPI)和目的IP地址確定的,SPI一般是一個32位的數(shù)字由目的端點來選擇,安全協(xié)議標識符則是針對(50)(51)兩個端口的協(xié)議號。由于SA是單工的所以想要實現(xiàn)兩個實體對IPsec的雙向使用就要兩個SA,一個SA負責一個方向。SA通過一種類似于IKE的密鑰管理通信協(xié)議在通信雙方建立對等協(xié)議,當SA協(xié)商完成后兩個對等雙方都在他們各自的安全聯(lián)盟數(shù)據(jù)庫中存儲了該SA的數(shù)據(jù)參數(shù)。
3.2 IPsec中的安全數(shù)據(jù)庫(SAD)
為了方便IPsec數(shù)據(jù)流的處理,IPsec中定義了兩個數(shù)據(jù)庫那就是:安全聯(lián)盟數(shù)據(jù)庫SAD和安全策略數(shù)據(jù)庫SPD。簡單地說就是SPD進行指定到達特定主機或者網(wǎng)絡的數(shù)據(jù)策劃流而SAD則是用于存儲SA的相關數(shù)據(jù)。
SPD是一個用于保護IP報文安全的策略數(shù)據(jù)表,IPsec通常在數(shù)據(jù)包內(nèi)提取的選擇字符段有:源IP地址、目的IP地址、源或者目的端口、傳輸層協(xié)議、數(shù)據(jù)敏感級別。一個IP報文的傳輸和接收一共是有三個可以選擇的操作:應用IPsec安全服務、允許IP報文通過IPsec和不允許IP報文通過IPsec協(xié)議。當在SPD中沒有尋找到相匹配的條目時句選擇它的默認策略:丟棄IP報文即不允許通過IPsec協(xié)議。
SAD是SA相關參數(shù)的集合,每一個SA在SAD里面都有一個條目,這個條目包含以下幾個域:
安全參數(shù)索引、協(xié)議的運行模式、抗重播窗口、安全聯(lián)盟的目的IP和源IP、加密算法以及加密秘鑰、安全聯(lián)盟的生命周期、身份驗證和加密秘鑰的生命周期、驗證算法和驗證密鑰、最大傳送單元路徑、序列號計數(shù)器和用于安全聯(lián)盟的協(xié)議。
IP報文分為出站和入站兩種,入站時通過IPsec協(xié)議和IP報文內(nèi)容還有SPI在SAD里面查找是否有相匹配的SA。若找到了則按照安全服務來進行處理這個報文,該報文服從SPD的規(guī)則。若沒有找到則不允許入站。相反的出站時先查找SPD中有沒有相匹配的策略若是有則檢索SAD中是否已經(jīng)建立安全聯(lián)盟條目并根據(jù)該條目對其進行出站處理。若是沒有則將新的SA和這個IP報文一同存入SAD中。
4 IPsec與NAT之間存在的兼容性問題
IPsec與NAT之間的不兼容性主要是表現(xiàn)在IKE和NAT之間的不兼容和AH及ESP和NAT之間的不兼容性。下面我們進行分別得探討:
4.1 IKE和NAT之間的不兼容
現(xiàn)有的IKE不支持和NAT之間的協(xié)同 工作時是無法完成通信的,只有當雙方都支持穿越NAT的功能才能進行通信。因此我們應該探測雙方主機是否有NAT穿越功能。
IEK雙方能否感知到NAT的存在也是一個不容忽視的問題,當傳輸雙方其中一方不能感受到NAT那么通信雙方之間是不能建立起協(xié)同工作的。只有通過更改IP數(shù)據(jù)包內(nèi)的相應IP端口號來工作。具體實現(xiàn)方法為:利用發(fā)送方的IP地址端口號進行HASH的運算并將結果傳送到對方主機,接收方也進行相同的HASH運算要是得到的結果不相同則代表有NAT相反的,若是結果不相同則代表NAT是相同的不能進行傳輸。
4.2 傳輸模式中ESP與NAT不兼容的問題
當源端口的IP地址被NAT改變了的時候同時也會改變IP頭和TCP/UDP的校驗和。ESP傳輸模式在經(jīng)過NAT的時候TCP/UDP校驗和還處于加密的狀態(tài),NAT不能進行新的校驗和的產(chǎn)生,當TCP/UDP經(jīng)過NAT包需要解密時由于原來的TCP/UDP已經(jīng)被改變所以無法產(chǎn)生原有的解密密鑰,這個數(shù)據(jù)包就不會通過校驗也就是無法被接受。
在隧道模式中卻不同,因為隧道模式只運用了內(nèi)部的IP包,而內(nèi)部的IP包是不會被改變的,所以不會存在這種問題。
5 結束語
根據(jù)以上論述我們可以看出IPsec在實際 應用上還是不夠完善,有很大的提高空間。本文只是提供了一個大致的方向,具體的施行方法有許多,應該按照具體的狀況來進行選擇。時代在進步,人們越來越多的使用 網(wǎng)絡來進行交流,這就使網(wǎng)絡的安全性成為了人們關注的一大焦點,IPsec作為一個重要的安全通信協(xié)議在網(wǎng)絡通信中很多產(chǎn)品都是以其為基礎進行制造和改進的。本文主要討論了IPsec的新的 環(huán)境下的應用,主要是從NAT網(wǎng)絡環(huán)境下和移動IP環(huán)境下兩方面進行深入的了解并對IPsec與NAT的不和諧的地方進行了仔細的分析和修改。在移動IP環(huán)境中在內(nèi)核中尋找SA的條件,通過這個條件我們可使IPsec與IKE協(xié)商的次數(shù)大大減少。針對以上的兩個問題我們也給出了相應的解決方案,但是這只是一個初步的解決方案僅供參考還需提高和改進。
有關計算機網(wǎng)絡通信研究論文推薦: