前言:中文期刊网精心挑选了常用的网络安全协议范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
常用的网络安全协议范文1
[关键词]网络安全;安全协议课程;实践教学
[DOI]10.13939/ki.zgsc.2016.02.111
构建安全网络、营造网络安全环境都需要网络安全协议。人们对应用于计算机中的安全协议做了大量的分析研究,就是为了提高网络信息传输的安全性,使之能从根本上保证网络安全,以免造成因网络安全等级不够而导致网络信息数据丢失或者文件信息丢失以及信息泄露等问题。网络安全协议课程包括对密码学和计算机网络的学习,网络安全协议比较复杂,无论是对于教师还是学生而言,难度都比较大,所以学生只有在加强自身的理解与应用能力之后,才能有利于新知识的继续学习。针对网络安全协议中的协议原理和细节,对于教师而言,如何让学生理解非常重要;对于学生而言,如何掌握并应用非常重要。所以,教师对于网络安全协议课程的实践教学设计不能马虎。
1实践教学设计总述
常用的网络安全协议包括Kerberos认证协议,安全电子交易协议SET、SSL、SHTTP、S/MIME、SSH、IPSec等。[1]这些安全协议属于不同的网络协议层次,能提供不同的安全功能。特别是在IPV6当中采用IPSec来加强网络的安全性。并且在开放系统互连标准中,网络协议被分为7层,其中物理层、数据链路层、网络层、传输层和应用层都是常用的。所以,由于每种网络安全协议内容丰富以及它们都有各自的优点和缺点,致使在实际应用中网络安全协议更具复杂性。教师需要通过实践教学设计来实现让学生全面理解和掌握协议中的原理和细节,并能够有效应用。首先要做到让学生由表及里的、由浅入深的认识和学习网络安全协议,其次要做到让学生能应用到网络安全协议,最后达到创新的目标。所以实践教学内容要划分为阶段性的,才能让学生逐步透彻地掌握网络安全协议中的方方面面。
2SSL协议的实践教学实施
2.1认知阶段
教师在本阶段的教学内容就是让学生认识SSL协议。需要掌握以下内容:
SSL采用公开密钥技术,其目标是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。目前,利用公开密钥技术的SSL协议,已成为因特网上保密通信的工业标准。SSL协议中的SSL握手协议可以完成通信双方的身份鉴定以及协商会话过程中的信息加密密钥,从而建立安全连接。SSL握手协议如下图所示。
SSL握手协议
而在SSL协议中,获取SSL/TLS协议通信流量,直观地观看SSL/TLS协议的结构就需要使用Wireshark抓包分析工具软件。通过流量抓取分析来让学生掌握SSL/TLS的具体内容。
2.2体验阶段
经过初步的学习,要让学生体验SSL的应用范围,对SSL的应用过程有一个直观的感受和体验。学生用于数字证书生成、发放和管理需要完成CA的安装与配置,其次分别为IISWeb服务器和客户端申请、安装证书,再在服务器上配置SSL,通过以上步骤完成IIS服务器中的SSL/TLS配置来建立客户端和服务器的连接。[2]此阶段的具体应用会让学生深入的了解SSL/TLS中的有关内容。
2.3应用阶段
应用阶段的教学内容是前两阶段教学内容的升华,它会使学生具备利用SSL/TLS协议进行通信的编程能力。而要达到这点,就需要通过利用OpenSSL,实现一个简单的SSL服务器和客户端。这个阶段的工作量不小,学生需要在教师的指导下分组进行。进行过程中主要环节包括,首先,学生利用自己熟悉的系统和开发平台来完成OpenSSL的编译安装。其次,学生参考已有的源代码来完成VC++编译环境的设置。[3]再次,学生利用OpenSSL的证书生成命令性工具生成服务器和客户端数字证书。最后,通过完成简单的TCP握手连接和通信,并加入SSL握手功能来实现SSL/TLS编程。
2.4总结提高阶段
课堂上的理论教学和阶段性的实践教学对于学生熟悉掌握SSL协议具有很好的作用,但是还存在某些方面的不完整性。例如,通过研究和实际应用SSL/TLS协议的过程中,如何进一步改善SSL/TLS协议所存在的问题。这些都是需要学生去解决的。在解决过程中,学生就能具备进行高效学习的能力。教师可以采取向学生提问的方式来进行这一阶段的教学内容。问题可以是多方面的,例如通过前几阶段的认识和实践,SSL/TLS协议还存在哪些不足?并通过一个实际的SSL/TLS协议的应用案例,发现SSL/TLS协议还有哪些局限性,并解决这些局限所带来的问题。在此阶段内,学生和教师要进行不断的交流和讨论,并找出相关事实依据来论证自己的观点。例如,针对Heartbleed漏洞,学生需要了解漏洞产生的原因和危害,并提出解决措施。通过分析发现是OpenSSL开源软件包的问题导致了此漏洞出现,与SSL/TLS协议并无太大关系。经过对此问题的分析研究,我们可以发现,协议本身的安全并不代表能在实现协议过程中避免所有的不安全因素。
3实践教学效果评价
各个阶段的实践教学过程需要教师进行精心的设计和把握,并通过具体的实施实践才能验证实践教学设计的是否合理,是否有效。由于网络安全协议课程本身就非常复杂,再加上具体实施过程中内容、方法和难度有所不同,就需要根据学生的反馈情况来进行及时的调整。教师要从各项反馈指标进行自我反思,并与学生进行沟通。同时,在此过程中,也要认真检查对学生的作业布置,关注学生是否掌握了有关网络安全协议的技能,注重学生的完成情况和学生对于实践教学过程中不足之处的意见。
4结论
网络安全协议内容复杂,具体应用过程及各项技术操作也较为烦琐,因此,单单只是针对SSL/TLS协议的实践教学做了简要的设计并不能移植到所有的网络安全协议课程的教学中去。若要讲关于网络安全协议中链路层和网络层,那么第三阶段的实践教学内容就不具意义了。而要讲应用层的安全协议,第三阶段的实践教学内容相比于第一阶段和第二阶段就重要得多。对于信息安全专业的学生来说,只有掌握好计算机网络和密码学的课程内容,才能继续网络安全协议课程的学习。因为网络安全协议课程的理论性和实践性都非常强。在实践教学的实施过程中,不但要让学生充分品尝动手的乐趣,还要让学生掌握网络安全协议的具体知识。同时还要注重培养在网络安全协议方面的应用型人才。
参考文献:
[1]刘凯.网络安全协议课程的实践教学设计[J].计算机教育,2014(24):111-114,118.
常用的网络安全协议范文2
【关键词】高职 信息安全专业基础课程 专业课程 关系 梳理
【中图分类号】G 【文献标识码】A
【文章编号】0450-9889(2012)09C-0036-03
信息安全专业涉及的知识面非常广,所包含的课程数目也比较多。在信息安全专业课程开设以及课程组织过程中,经常面临着专业课和基础课相互抢占课时的现象。而且专业课和基础课所开设的内容界定也不够清晰,从而导致在实际教学过程中,有些基础课开设的内容对专业课的学习并没有多少实质性的帮助,而有些专业课在学习过程中又反映出学生所掌握的基础课内容不够,甚至有些部分的基础知识缺失,这些现象都严重影响着信息安全专业课程的正常开设以及正常的教学秩序的组织。为了彻底地解决这一问题,需要对信息安全专业的所有课程进行系统的分析,研究每一门课程所涵盖的知识内容和教学要求,分析课程与课程之间的相互依托关系。围绕提高学生掌握信息安全专业核心技术,提高应用信息安全知识能力为目标,对信息安全专业目前所开设的课程进行深入细致的梳理,建立所有课程之间的相互依托关系,使得高职院校在开设信息安全专业课程时有一个明确的指导依据。同时也能够根据所建立的信息安全专业课程之间的相互依托关系,理清信息安全专业知识在不同课程的教学分工,合理安排教学秩序,使得高职院校的学生能够在有限的学习时间内,尽可能多地掌握信息安全专业核心知识和技术,形成比较完善的信息安全专业知识体系。
根据对信息安全专业课程的分析可以发现,信息安全专业所有课程的教学目标主要围绕三条主线来开展:其一,提高信息安全专业学生的网络编程能力。与之对应的将有一系列的相关课程形成版本课程体系。其二,促使学生对网络安全协议的理解认识能力,与之相对应的也会有一个系列的网络安全协议课程体系。其三,提高学生对网络安全知识的掌握分析和应用能力,与之相对应的有网络安全课程体系。当然除此之外,高职院校的学生还会有一些基础文化课程,如数学、英语、体育等,这些课程作为公共课程是保证学生全面发展的一个重要因素。本文在研究过程中重点研究和梳理高职信息安全专业对学生网络编程、安全协议应用、网络安全应用等三个方面能力培养的相关课程界定每一个课程体系的基础课程和专业课程的范围,梳理清楚每个课程体系中基础课程和专业课程之间的相互依托关系。
一、网络编程课程体系
网络编程能力的形成和提高是高职信息安全专业在人才培养过程中对学生的一个最基本的要求,由于信息安全专业的任职岗位当中有很多岗位是要求学生掌握一定的程序开发的基础。因此,学生通过对信息安全专业课程的学习应该具备一定的程序开发和调试的能力。整个网络编程的课程体系也是信息安全专业课程体系中的一个支撑课程体系,其所包含的课程都是信息安全专业中非常核心和重要的课程。针对高职院校学生的基础条件,以及在网络编程过程中可能会应用到的各种技术,本文设计了网络编程课程体系结构图(如图l所示)。在图l之中将所有课程分为了两个层次,分别是基础课程和专业课程,其中基础课程主要包括离散数学、计算机应用技术、计算机组成与原理、数据库系统。这些课程是信息安全专业中学生必须要掌握的基础性的知识和技术,通过对这些课程的学习可以让学生对计算机软硬件系统、计算机应用软件系统以及计算机的工作原理等有一个初步的认识,在此基础上,学生进行相应的一些程序开发过程时,能够更好地理解各种计算机的应用问题,也能够比较顺畅地与其他人员进行沟通和交流。如图1所示,网络编程课程体系的专业课程主要包括面向对象的程序设计、数据结构、汇编语言、网络编程技术,这些课程直接关系到学生应用程序的开发能力。通过对这些课程的学习,可以让学生对网络编程的主流技术进行学习和掌握。需要说明的是,在专业课程体系中放置了汇编语言课程,主要是由于随着信息安全问题的研究越来越深入,很多安全领域中的程序开发越来越朝底层转移,仅仅让学生掌握顶层的一些面向高级语言的程序开发技术和网络编程技术,还不足以满足信息安全领域的开发要求,因此适当地给学生开设一定的汇编语言程序开发的课程,有助于提高学生在不同的应用条件和环境下的程序开发能力。
通过图1所示的课程体系,也可以清晰地看到所有基础课程对专业课程的支撑情况。比如离散数学和计算机应用技术课程主要是为学生提供对计算机基本应用基本概念的理解基础。而计算机组成与原理课程则让学生掌握计算机的工作过程和内部组成结构,这对学生进行各种程序开发,理解程序的运行机制有着重要的促进作用,尤其是对汇编语言的程序开发更是有着直接而重要的支撑作用。而数据库系统课程主要是为学生开拓计算机应用系统的视野范围,而且现在有很多信息安全的程序开发都和数据库有着密切的关联。因此通过图1的结构,将网络编程的课程体系进行了一次全面的梳理。
二、安全协议课程体系
安全协议在信息安全领域扮演着非常重要的角色,安全协议的应用是实现信息系统安全的一门重要技术。因此,在对学生开设信息安全课程体系的时候对安全协议的相关课程的开设有着非常重要的实践价值。从目前高职信息安全专业学生的就业情况统计分析显示,学生毕业之后有相当一部分从事的工作于安全协议有着密切的关联。因此建设好安全协议课程体系同样是对学生的就业情况有着重要的支撑作用。本文通过对安全协议知识的结构以及对这些知识的前后关联情况进行分析之后,建立了如图2所示的安全协议课程体系结构图。同样在图2中也将安全协议的课程体系分成了基础课程和专业课程两部分。其中,基础课程主要包括信息安全数学基础、网络密码、网络通信基础、计算机网络等课程。这些课程所开设的内容各有侧重,信息安全数学基础课程主要给学生介绍信息安全领域所需要用到的各种数学基础知识。由于目前构建信息安全体系过程中,很多安全问题都是依赖于数学的问题,所以为了让学生对各种安全技术有着深刻的理解和掌握,有必要对学生开设与之相关的数学基础课程。网络密码课程主要给学生介绍网络安全协议以及网络应用过程中所使用到的密码技术。密码技术是在数学知识的基础上进行了一定的实现和应用,服务于整个信息安全体系,应用网络密码技术来提高信息系统的安全程度,是目前信息安全领域常用的一种方法和手段。网络通信基础和计算机网络则主要给学生介绍当前的信息安全领域中通信方法和通信技术。通信基础是安全协议应用的前提和条件,各种安全协议在具体实现过程中也需要依托各种网络环境来实现,因此这两门课程也是安全协议课程体系中必不可少的基础课程。
如图2所示,安全协议课程体系专业课程主要包括网络协议分析、VPN原理与应用、IPSec协议进阶。这三门课程主要给学生介绍典型的安全协议及具体的应用方法,如网络协议分析是对目前常用的网络协议工作原理及工作机制进行详细的分析和阐述,帮助学生对于网络环境下各种通信协议建立比较深刻的认识,同时也为学生建立起一些专业安全协议的理解和认识的桥梁。VPN原理与应用课程、IPSec协议课程则完全是为学生介绍当前主流的安全协议,目前在信息安全领域中所使用的安全协议主要是各种VPN协议,其中也包括IPSec协议。因此对这些协议的学习有助于学生掌握一系列当前实用的安全协议,促进学生在就业过程中的竞争力。
从图2中反映的安全协议课程体系可以看出整个安全协议的教学过程应该采用逐步推进的方式,因为所采用的这些课程即使是分为专业课和基础课,实际上课程与课程之间有着相互的依托关系。整个课程体系中网络协议分析是一门承上启下的课程,各种基础课程对网络协议分析有重要的支撑作用,而网络协议分析技术则有助于学生深刻地去理解和掌握各种安全协议工作机制。
三、设计中应注意的问题
各种网络安全技术在信息安全领域有着非常重要的角色,也是当前信息安全领域中最活跃的技术部分,而且在信息安全领域,发展最为迅速,技术更新速度最快的都集中在网络安全技术中。因此,对网络安全课程体系的建设和研究能够直接促进学生对各种具体的网络安全应用技术的掌握程度,提高学生快速有效的解决各种实用的网络安全问题。这一领域的技术发展和变化最为活跃,因此也要求课程体系和课程内容能够紧跟技术的发展趋势,及时地作出调整和变化,以适应社会就业环境的需求。
针对网络安全课程的教学目标以及当前网络安全技术的发展现状,本文建立了如图3所示的网络安全课程体系的结构图。在网络安全课程体系中,处于基础支撑地位的课程有计算机组成与原理、Linux操作系统、操作系统结构分析,这三门课程是网络安全课程体系中的核心基础课程。计算机组成与原理在网络编程课程体系中也是基础课程,由于在该课程中对计算机的工作机制、组成结构进行了深入的阐述,有助于学生理解计算机上各种程序的运行机制和运行过程,对后续的网络安全技术的应用有着重要的支撑作用,因此这门课程也是网络安全课程体系的基础课程,而Linux操作系统、操作系统结构分析两门课程重点给学生介绍目前操作系统内部的结构、工作过程以及操作系统对各种安全问题的关联情况。之所以选择Linux操作系统作为网络安全课程的样本,主要是由于Linux操作系统结构比较清晰,有助于给学生讲解操作系统的内部组成情况。而Windows操作系统虽然是目前主流的操作系统,但是由于这些操作系统是不开源的操作系统,因此不利于给学生把整个操作系统的内部结构讲清讲透。因此,在操作系统结构分析的课程里面将会给学生介绍当前主流的Windows操作系统内部机构以及操作系统在实现过程中所采用的各种安全技术和存在的安全缺陷。
网络安全课程体系的专业课程从图3可知,主要包括防火墙技术、数字水印、木马及病毒分析、入侵检测技术、缓冲区溢出攻击等,这些课程有的是关于网络安全防护及安全提升方面的技术,有的是网络威胁和网络攻击方面的技术。可以说,目前所开设的这几门网络安全专业课程涵盖了当前主流的网络安全实践技术,高职院校学生毕业后所从事的网络安全工作凡是涉及的网络安全操作都主要以这几大类的技术相关联,因此通过对这些课程的开设具有很强的针对性,能够缩短学生毕业后进入工作状态的周期。
由于目前绝大多数的网络安全应用技术都是依赖于操作系统环境的,因此在网络安全课程体系中将计算机组成原理和操作系统的课程作为基础课程是非常科学合理的,有着十分重要的支撑作用。学生通过对这些基础课程的学习和掌握,能够理清操作系统的运行过程和可能存在的安全风险,对各种网络安全应用技术将会有更深刻的理解。比如,木马与病毒分析课程,其中有很多涉及的关键技术都是与操作系统的安全缺陷有直接的关系。缓冲区溢出攻击课程则有一部分的场合也是利用操作系统的漏洞来开展,因此,图3所建立的网络安全课程体系,课程之间的依托关系非常清晰,有助于教学过程中对所设计的相关课程进行科学合理的安排与组织。
常用的网络安全协议范文3
【 关键词 】 局域网;网络监听;检测;防范
1 引言
随着因特网的不断普及和广泛应用,因特网给我们的生活带来很多便利的同时,网络安全问题给我们带来了许多的麻烦,甚至会给个人、企业甚至国家带来巨大的损失。在局域网诸多网络安全问题中,最常遇到的安全问题就是网络监听。局域网采用广播方式,入侵者利用监听系统可以通过局域网中的接口捕获其他计算机的数据包,这样像用户名、密码、邮件内容、QQ聊天内容等一些很隐私的重要数据都可以轻易被窃取。因此,如何防止网络监听已成为局域网网络安全急需解决的问题。
本文首先介绍了网络监听的工作原理并利用常用的网络监听软件做了一个监听实验,然后提出了相应的防范措施。
2 网络监听技术概述
2.1 网络监听技术的概念
网络监听技术主要就是为了获取网络上传输的信息,网络监听技术是一种比较成熟的技术,它原本是为网络管理人员有效管理网络的工具,可以协助网络管理人员监控网络运行情况,了解网络中数据流的动向以及监控网络中传输信息的内容等,一直备受网络管理人员的喜爱。但是网络监听技术在帮助网络管理人员有效管理网络的同时,也给网络安全带来了极大地安全隐患。当我们将网络端口设置成为监听模式,就可以捕获在局域网中以明文形式传输的任何信息。所以当入侵者在局域网中的一台主机上取得超级用户权限并登录以后便可使用网络监听技术捕获到网络上传输的数据。但是,这一入侵方法只能应用于同一个网段上。
2.2 网络监听技术原理
在局域网中普遍使用的网络协议是基于广播机制的IEEE802.3协议,即以太网协议。以太网协议的主要特点是以广播的方式发送文件,在局域网中的主机很多是通过电缆或集线器连接在一起的。当一台主机需要与另一台主机通信时,源主机会将包含目的主机地址的数据包直接发送给目的主机。此时该数据包不是在IP层直接发送,而是通过数据链路层传送到网络接口,而网络接口不能识别IP地址,因此必须在该数据包上加上以太帧头的信息。在帧头中有源主机和目的主机的物理地址两个域,这是一个与IP地址对应的48位地址,只有网络接口才能识别。当数据传送时,包含物理地址的帧从网络接口发送到物理线路上,如果该局域网是由一条电缆连接而成,则信号通过电缆进行传输,便能够到达该电缆上的每一台主机。而如果该局域网是使用集线器连接时,便由集线器再发送到连接在该集线器上的每条线路,信号便能到达连接在该集线器上的每一台主机。当数据到达一台主机的网络接口时,网络接口便对其进行检查,如果物理地址与自己的地址相符,则将该数帧据包交给上层协议软件,否则就将其丢弃。而如果当主机处在监听模式下,所有的数据帧无论地址是否与自己相符,都会交给上层协议软件处理。此时,该主机可以接收到在同一条物理信道上传输的所有数据。
例如:主机A要给主机B发送一个数据包,它并不是只发送给主机B,而是发送给局域网内的所有主机,因为只有主机B的地址与之相匹配,所有一般情况下只有主机B收到,其他主机发现目的地址与自己的地址不匹配,就会自动丢弃这个数据包,但是如果这时主机C正处于监听模式,即便是数据包的目的地址不与之相匹配,也能收到这个数据包,这就是局域网监听的基本原理。
2.3 网络监听的危害
(1)捕获口令。现在流行的网络传输协议如FTP、Telnet等,都是以明文的形式进行数据传输的,而传输的数据如果是未加密的明文,那么嗅探器就便可以很容易地截取到数据包中的口令信息,包含用户名及密码等重要信息。
(2)捕获机密信息。为了方便客户的需求,大部分银行都在网上开通了网上银行,提供用户查询、转账、缴费等业务,在给用户提供方便的同时,也带来了一定的安全隐患,当用户在网上银行上使用自己的银行卡号登陆时,嗅探器便可以截取到银行卡号、用户名、密码等重要信息。
(3)获取更高级别的用户访问权限。访问权限的提高,让入侵者在计算机系统里更加肆意妄为,给计算机系统带来不可估量的损害。
(4)捕获底层协议信息。通过嗅探器入侵者可以获取到计算机系统底层协议的内容,比如IP路由信息、两台主机间网络接口的地址、TCP连接的序列号、远程网络接口的IP地址等。当入侵者获取了这些关键信息后将会对计算机网络系统的安全构成更大的危害,如果入侵者捕获到了TCP连接的序列号便可以进行IP欺骗。
3 局域网网络监听技术的实现
3.1 常见的监听工具
如果你在百度中搜索“网络监听软件”,你可以找到5,230,000个结果,各式各样的监听软件在不断地被开发出来,现在我们介绍一下常用的一些监听软件,在Unix系统下,常用的网络监听工具有Sniffit、Snoop、Dsniff等,而且这些软件都是免费的源代码,方便我们进行研究。在Windows系统下,最常用的网络监听工具是Sniffer pro,大多数入侵者都是用它在Windows系统下捕获数据包来进行分析。
3.2 网络监听实验
3.2.1实验目的:运用Sniffer pro软件抓ping传送的数据包和自己的邮箱及密码。
3.2.2实验过程
(1)启动Sniffer pro软件
(2)抓包的条件设置
在默认条件下,sniffer pro可以抓到本网段内的所有数据包,但是这样信息量太大,为了便于分析,我们可以在抓包之前进行条件设置,这样就可以只抓取我们想要的数据包。
(3)抓ping命令传递的数据包
第一步:在抓包过滤器的窗口中,可以选择Address选项卡。
第二步:在窗口中进行两处设置:在Address的下拉列表中,选择抓包的类型为IP,在Station1下输入本机的IP地址:172.18.25.110;在Station2下面输入目标机的IP地址:172.18.25.109。
第三步:点击该Advanced选项卡,拖动滚动条找到IP项,将IP和ICMP选中。
第四步:完成了Sniffer的抓包过滤器就设置后,选择菜单栏Capture下拉菜单Start,启动抓包以后,就可以在主机的DOS窗口中Ping目标机了。
第五步:等待Ping命令执行完毕,按下工具栏中的停止并分析按钮。
第六步:在新出现的窗口中选择Decode选项卡,就可以看到数据包在两台主机之间的传输过程了,如图2所示。
(4)抓取邮箱账号密码
第一步:在窗口中capture中选择define filter菜单项:在Address中选择IP;在station 1中填上本机IP地址,在station 2中填any。
第二步:点击该Advanced选项卡,选择ip---tcp---http。
第三步:抓包。按抓包键开始抓包。
第四步:访问访问网站,输入你的邮箱名和密码。
第五步:查看结果。当望远镜图标变红时,表示已捕获到数据,点击该图标,选择Decode选项即可看到捕捉到的所有数据包。在Summary中寻找含有POST关键字的包,便可以看到用户名为yxa222,密码为111111。
4 局域网网络监听的检测与防范
4.1 局域网网络监听的检测
在局域网中由于监听的主机只是被动接受局域网中传输的信息,不修改这些信息,也不主动向其他主机传送信息,所以在局域网中的监听行为一般很难被发现。介绍几种检测局域网是否被监听的方法。
(1)通常情况下我们可以通过ps-aux或ps-ef进行检测,但大多数的入侵者都会用几个shell把监听程序的名称过滤掉,用这样的简单方法修改ps的命令来防止被ps-ef的,这样就很难被发现了。
(2)如果怀疑某一台主机运行了监听程序,我们可以分别用正确的IP地址和一个错误的物理地址执行Ping命令。使监听程序对之做出反应,因为一般情况下正常运行的主机不会接收错误物理地址的Ping命令,只有正在监听的主机可以接收,但是这种方法依赖于系统的IP stack,不能适用于所有系统。
(3)可以向局域网发送大量错误物理地址的数据包,由于监听程序的特性,实施监听的主机都会一一处理这些数据包,使该主机机器性能下降,便可以利用icmp echo delay来进行判断和比较。
(4)搜索监听程序,一般情况下的监听都是使用监听软件进行的,要检测出系统是否被监听,可以在目录中搜索是否有监听程序正在运行,不过这样的工作量极大,管理员可以在反监听软件的帮助下完成以上的各步操作。
4.2 局域网网络监听的防范
(1)数据加密。在数据传送前,先将数据进行加密,即便是该数据包被捕获,但是由于没有密钥,入侵者也不能真正获取数据包内容,这是最简单易行的保护数据的方法。
如今最常用的局域网加密方法是IPSec协议,IPSec 协议不是一个单独的协议,它是应用于IP层上保证网络数据安全性的一整套体系,包括了网络认证协议(AH)、密钥管理协议(IKE)、封装安全载荷协议(ESP)和一些加密算法等,以保证数据认证、数据完整性和加密性。
(2)利用路由进行网络分段。在局域网中改共享式集线器或普通交换机为路由器,利用路由器来进行网络物理分段,把局域网分成一个个小段,使数据包在每个小段中进行通信,可以使单播包(Unicast Packet)点对点传输。当路由器接受到一个数据包以后,会检查该数据包的目的地址,再根据这个目的地址将数据包准确的转发到对应的主机,这样就只有与目的地址相匹配的主机才可以接受该数据包,所以利用在局域网中利用路由器可以有效地防止网中的监听。
(3)利用VLAN技术进行网络分段。利用虚拟局域网(VLAN)技术可以使实现局域网中点到点的通信,这种方法不需要购置路由器等硬件,大大地节约了成本,但是同时也可以有效地防止局域网中的监听行为。
(4)使用检测软件。如在单机上可以使用的检测软件:TripWare,它是一款MD5校验工具,可以有效地在单机上搜索到嗅探器。但是想要在网络中寻找嗅探器就不是一件容易的事情了,有一些检测软件可以帮助管理人员在网络上寻找嗅探器,如promisc、Anti.Snif-fer、cmp等,其中Anti.Sniffer版本较多,但对管理员的水平要求较高,需要结合自己知识分析网络中的异常情况,从而判断网络中是否存在嗅探器。
(5)使用网络管理工具。网络监听是影响网络安全一个很重要的因素,因此很多网络管理软件都少不了监听这一块工作。有效地使用网络管理工具,也可以有效地防范网络监听行为。
参考文献
[1] 邓亚平.计算机网络安全.北京:人民邮电出版社,2007.7.
[2] 崔晶,刘广忠.计算机网络基础.北京:清华大学出版社,2010.1.
[3] 徐其兴.计算机网络技术及应用[M] .北京:高等教育出版社,2008:277.
[4] 吴功宜,吴英.计算机网络教程[M].北京:电子工业出版社,2009.
[5] 任伟.物联网安全架构与技术路线研究.?信息网络安全,2012.(5).
[6] 朱鹏飞,于华章,陆舟.物联网信息完整性保护方案.信息网络安全,2012.(8).
常用的网络安全协议范文4
摘要:目前视频监控系统已经是我国高速公路网的一个重要组成部分,而无线视频监控由于自身的移动性和便利性,在这方面有着广泛的应用前景。本文针对无线视频监控系统的网络安全性,提出了一种基于公钥基础设施PKI模型的安全机制,并且对PKI系统中常用的SSL认证和其相关的软件开发进行了探讨。
LWlm.CoM
1引言
随着经济的飞速发展,我国的高速公路网络已经逐步形成,高速公路视频监控系统也已成为了整个高速公路网络运营管理的重要组成部分。一般的监控系统组成是在一些重要的场所(如收费站、车道等)[1]架设摄像机,将视频信号通过光纤网络传送到监控中心。但是,架设的固定摄像机必然有盲区存在,而摄像范围的限制也会导致远离摄像机的视频监控不够清晰。由于高速公路突发事件的地点偶然性,固定摄像机往往不能有效地满足视频监控、远程指挥的需要。对此,我们可利用无线网络的便利性,将摄像机安装在汽车上,车载系统将拍摄到的视频信号经过无线网络,将现场情况实时清楚地传输至监控中心。监控中心通过监控软件,实时掌握各个被监控点的情况,并对发生的情况做出反应和处理。
在建立和使用无线网络传输视频信号的时候我们不可避免的要遇到网络安全方面的问题,实际应用中,由于无线路由器是使用成品设备,因此无法从无法协议层进行改进,只能在选择路由器时采用安全系数最高的产品。因此考虑在上层增加安全机制,以提高系统的安全性以及对安全的控制能力。
2基于PKI模型的无线视频监控中安全机制的建立
公钥基础设施PKI(Public Key Infrastructure)是目前网络安全建设的基础与核心,是保证应用安全性公认有效的解决方案。完整的PKI系统包括证书机构(Certification Authority,CA)、用户注册管理系统(Registration Authority,RA)、端实体、PKI存储库以及证书撤销列表(CRL)中心。其中证书机构CA、端实体是其基本组件,注册机构RA、PKI存储库、CRL中心为其辅助组件。 其中PKI基础设施涵盖了证书认证与签发、用户注册管理、CRL签发与、密钥管理四大功能;用户方则仅仅是利用申请的证书进行验证,然后通信。其系统示意图如图1所示。
左侧为PKI基础设施,它是整个无线办公网络安全平台的关键部分,各组件功能如下:用户注册管理系统(RA)验证证书申请者身份、维护注册用户信息;证书操作系统(Certificate Processor,CP)实现证书签发、证书撤销、证书撤销列表(CRL)签发,CP与RA合称为证书认证中心(CA),作为安全平台中受信任的第三方;证书/CRL系统存储、管理CA签发的数字证书和CRL;证书/CRL查询系统对安全客户端提供相关查询服务;密钥备份恢复系统托管、备份客户的密钥对,保证密钥丢失的情况下加密数据能及时脱密。
图1的右侧为安全客户端,从CA获得数字证书后,安全客户端利用SSL协议以及CRL查询服务在无线媒质上建立安全通道,实现保密通信。
由于认证是其主要内容,因此我们着重研究了PKI系统中常用的SSL认证以及与认证相关的软件开发。
3 采用OpenSSL实现PKI体系
3.1 SSL协议概述
SSL(Secure Sockets Layer 安全套接层), 位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。它实际上是由共同工作的两层协议组成。处于SSL协议底层的是SSL记录协议(SSL Record Protocol),它位于可靠的传输层协议(如TCP)之上,用于封装高层协议的数据。高层协议主要包括其中SSL握手协议(SSL Handshake Protocol)、更改密码规范协议(Change Cipher Spec Protocol)、警告协议(Alert Protocol)等。其中SSL握手协议允许服务器端和客户端相互认证,并在应用层协议传送数据之前协商出一个加密算法和会话密钥,SSL握手协议是SSL协议的核心。
3.2 基于OPENSSL的软件实现
客户端在进行SSL通信前首先检查是否具有数字证书,若没有,则向CA提出证书申请。CA验证证书请求是否合格,若合格,生成用户的加密密钥对和对应的数字证书,分别备份或保存在密钥备份恢复系统和证书/CRL系统;若证书请求不合格,则拒绝该请求。CA用自己的私钥对生成的数字证书签名,并把该证书发送给客户端。
在安全平台运行期间,CA根据安全规则可以撤销的证书,签发对应的CRL,并将其保存在证
书/CRL系统。
获得数字证书后,客户端之间依靠SSL协议进行安全通信;在通信过程中客户端从证书/CRL查询系统下载最新的CRL,以验证通信对方数字证书的有效性。
利用OpenSSL的ca命令可以实现一个小型CA系统。它能签发证书请求和生成CRL,并维护一个已签发证书状态的文本数据库LWlm.CoM。用户从CA获得CA的证书,以及自己的证书和私钥后,就可以完成SSL中客户端与服务器间的信息加密传输、数据的完整性验证以及通信双方的身份认证等功能。
常用的网络安全协议范文5
关键词:计算机通信;网络安全
随着信息技术的飞速发展,计算机通信网络也变的越来越普及,已成为社会结构的一个基本组成部分。从工商业的电子商务、电子银行、现代化的企业管理,到学校政府部门的日常办公乃至现在的电子社区,无一不是以计算机网络系统为基础。但由于计算机通信网络的开放性、交互性和分散性等特点,使计算机通信网络的安全带来了巨大的隐患。
1 计算机通信网络安全概念
所谓计算机通信网络安全,是指根据网络特性通过相应的安全技术和措施防止计算机通信网络中的硬件、操作系统、应用软件和数据等遭到破坏,防止非特权用户窃取服务。从网络的运行环节来分,网络安全有设备安全、数据传输安全、用户识别安全等几个方面。
2 网络安全存在的原因
2.1 系统自身的问题
由于计算机网络软硬件系统在设计时为了方便用户的使用、开发、和资源共享以及远程管理,总是留有“窗口”或是“后门”,这就使得计算机在实际运用的过程中由于其系统自身的不完善导致了安全隐患。系统问题主要包括:网络的开放性;软件的漏洞;脆弱的TCP/IP 服务。
2.2 网络传输信道上的安全隐患
网络在传输信道上设计不完善,没有必要的疲敝措施,这也会给计算机通信网络留下安全隐患。因为如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,专门设备是可以接收到。
2.3 人为因素
缺乏安全意识和安全技术的计算机内部管理人员、利用合法身份进入网络,进行有目的破坏的人员、恶意窃取、篡改和损坏数据的网络黑客以及网上犯罪人员对网络的非法使用及破坏等对网络构成了极大威胁。
3 网络安全问题的解决措施
3.1 密码技术
密码技术的基本思想是伪装信息,密码技术由明文、密文、算法和密钥构成。其中密钥管理是一个非常重要的问题,是一个综合性的技术,涉及到密钥的产生、检验、分配、传递、保存、使用、消钥的全过程。密码类型基本有3种,即移位密码、代替密码和乘积密码。在实际加密过程中,一般不单独使用一种密码,而是将上述3种密码经过多次变换迭代生成。
3.2 用户识别技术
为了使网络具有是否允许用户存取数据的判别能力,避免出现非法传送、复制或篡改数据等不安全现象,网络需要采用识别技术。常用的识别方法有口令、唯一标识符、标记识别等。口令是最常使用的识别用户的方法。通常口令字由计算机系统随机产生,虽然会增加用户记忆困难,但是随机产生的口令字不易猜测,保密性强。必要时,还可以随时更改,实行固定或不固定使用有效期制度,进一步提高其安全性。唯一标识符适用于高度安全网络系统,对存取控制和网络管理实行精确而唯一地标识用户。
3.3 入侵检测技术
入侵检测技术又称为IDS,作用在于:识别针对网络的入侵行为,并及时给出报警或采取安全措施以御敌于国门之外,它在计算机网络中是非常有效的安全技术。目前计算机网络大都是基于单一的TCP/IP协议,其入侵行为的模式有一定规律可循,而通信网络本身就具有不同的种类,有完全不同的内部管理和信令协议,我们可以利用这一特点,设计基于节点的入侵检测系统或设计基于网络的入侵检测系统,基于节点的工作日志或网管系统的状态搜集、安全审计数据以及对网络数据包进行过滤、解释、分析、判断来发现入侵行为。
3.4 通信网络内部协议安全
通信网络中的链路层协议、路由协议、信令协议等各个控制协议维系着网络互联、路由选择控制、连接的建立和释放、资源的分配和使用等基本的网络运行功能,它们相当于通信网络的神经系统。而恶意攻击者往往选择通过对通信网内部协议的攻击,来达到控制网络的目的,这是通信网络安全防护所需注意的特点之一。攻击网络协议的方式主要是通过对协议数据的截获、破译、分析获得网络相关资源信息,并通过重放截获的协议数据、假冒合法用户发起协议过程、直接修改或破坏协议数据等方式扰乱网络正常协议的运行,造成非法入侵、用户相互否认、服务中断、拒绝服务等恶果。通信网络内部协议的安全性主要应通过数据的认证和完整性鉴别技术实现协议的安全变异和重构。其中公钥密码算法和哈希函数是设计中的基本工具,它们用来实现对协议数据的源发起点的实体认证和抗重放的协议完整性鉴别。在安全协议的设计过程中,如果能够做到对于一个完整的信令过程一次加密,则安全性能够得到保证。
4 网络安全与网络性能的矛盾
常用的网络安全协议范文6
关键词 网络安全 入侵检测
一、网络安全现状
如今,网络技术出现了高速发展的状态,越来越多的人可以坐在办公室或是家里从全球互联网上了解到各种各样的信息资源,处理各种繁杂事务。然而,网络技术的发展在给计算机使用者带来便利的同时也带来了巨大的安全隐患,尤其是Internet和Intranet的飞速发展对网络安全提出了前所未有的挑战。技术是一把双刃剑,不法分子试图不断利用新的技术伺机攻入他人的网络系统。下面以几个实例说明网络中存在的安全隐患。
2009年新华网北京报到,7月13日韩国政府网站受到新一轮黑客攻击,暴露了韩国网络安全方面存在的问题,也使韩国作为国际“信息技术产业发电站”的形象受到影响。韩联社13日报道说,身份不明的黑客攻击了包括总统办公室网站在内的26个韩国政府网站,造成网站瘫痪或速度变慢,使合法用户无法正常登录。这些黑客摧毁了1000多台私人电脑的硬盘。韩国相关部门的报告显示,在665个政府部门机构中,每个机构只有平均0.7名专家负责网络安全。还有68%的政府部门根本就没有网络安全专。
据凤凰网报到,2007年4月26日晚上10时左右,在没有任何预兆的情况下,爱沙尼亚政府网站突然被电子信息淹没。尽管有防火墙、额外服务器和人员应付这类突发性事件,但防线还是遭攻破,攻击次数呈指数式增长。国会电邮服务器是最先遭殃的网络设施之一。被攻击的目标迅速增加到好几百个,包括政府、银行、新闻媒体和大学的网站。5月18日出现最后一波攻击后,这一场网络战才逐渐平息下来。
IBM2005年8月4日公布的全球业务安全指数(Global Business Securty Index)报告显示,今年上半年,全球针对政府部门、金融及工业领域的电子网络攻击增加了50%,共录得23700万起,其中政府部门位列“靶首”,录得5400万起,其次是工业部门3600万起,金融部门3400万起,卫生部门1700起。这些电子攻击的目的主要是为了窃取重要资料、身份证明或金钱。而美国是大部分电子网络攻击的源头。今年上半年全球遭受的电子网络攻击案中,共有1200万起源于美国,120万起源于新西兰,100万起源于中国。
不久前,根据CNCERT,就是国家计算机网络应急处理技术协调中心公布的2007年上半年的报告,其别提到“僵尸网络” 和“木马”对国家安全造成的严重危害。报告指出,今年上半年中国大陆地区的大量主机被境外黑客植入木马程序。据一位网络安全技术专家所说,“木马”不仅是一般黑客常用的工具,更是网上情报刺探活动的一种主要手段。这位专家介绍,“木马”特指计算机后门程序,它通常包括控制端和被控制端两部分,被控制端一旦植入受害者的计算机,操纵者就可以通过控制端实时监视该用户的所有操作,有目的地窃取重要信息和文件,甚至还可以远程控制受害计算机,使其对其他计算机发动攻击。
网络的开放性决定了它的复杂性和多样性,随着技术的不断进步,各种各样高明的黑客还会不断诞生,同时,他们使用的手段也会越来越先进。因此,网络安全问题会随着网络的存在一直伴随着人类。
二、产生网络安全问题的原因
第一个方面,设计:在早期的系统设计中,由于人们认识的有限性,设计能力的局限性,导致在开发系统时就留下了漏洞,以至于使得系统在使用过程中变的脆弱,容易受到攻击。
1.协议缺陷
网络协议是计算机之间为了互联共同遵守的规则。目前的互联网络所采用的主流协议TCP/IP,由于在其设计初期人们过分强调其开发性和便利性,没有仔细考虑其安全性,因此很多的网络协议都存在严重的安全漏洞,给Internet留下了许多安全隐患。比如说应用层的Telnet协议、FTP协议、SMTP协议等都缺乏一些认证和保密措施,这就为一些不正当行为打开了一扇方便的大门,如否认和拒绝等欺瞒行为。
2.操作系统缺陷
操作系统缺陷也是目前网络存在安全隐患的一个原因。现在网络用户使用的操作系统种类繁多,但是,不同的类型和版本在运行过程中所处的状态不同,运行结果也不同,这是设计者也很难预测到的,因此会给入侵者留下漏洞。Windows系统就是这样 。
第二个方面,管理:网络管理不仅包括内网管理,也包括整个通信网络其它部分如广域网或设备等的管理。严格管理是使企业、组织及政府部门和用户免受网络安全问题威胁的重要措施。当前许多网络在建设时缺乏前瞻性,导致网络信息安全建设资金投入不够,各项基础性管理工作相对较弱。很多企业、机构及用户的网站或系统都疏于管理,没有制定严格的管理制度或执行不严。
第三个方面,信任:还有一类入侵威胁,那就是来自于网络内部。网络内部的成员一般很难确定出它的好坏,因此,这给攻击者带来了可乘之机。攻击者很可能是企业网内部的心怀不满的员工、网络黑客,甚至是竞争对手。这些人群一旦存在于网络内部,那会很容易接触到核心数据和资源,这无疑会对网络安全造成很大的隐患。此时,防火墙早已失去了它的防护意义。
三、网络安全的研究现状
什么是计算机网络安全?其实简单理解就是指网络中所保存的东西不被他人窃取。要想保证网络的安全,就要利用网络管理和控制技术,这样才能使得网络环境中的信息数据具有机密性、完整性和可用性,也能保证网上保存和流动的数据,不被他人偷看、窃取和篡改。防火墙技术、病毒软件、加密技术、用户认证、入侵检测系统等技术是当前比较常用的安全技术。其中,防火墙和入侵检测是两种重要的、可以互为补充的安全技术,两者从不同的角度、不同的层次实现了被保护的网络系统的安全。
研究者把安装在内外网络之间或者是可以限制网络与网络之间相互访问的一种安全保护措施叫做防火墙技术。防火墙把内外网络隔离开,形成了一道安全保护屏障。主要技术有:包过滤技术,应用网关技术,服务技术。
把一个信息经过密钥及加密函数转换成无意义的密文,然后接收方将此密文通过解密函数或者解密钥匙还原成明文的技术叫做网络数据加密技术。它是数据保护的最基本的方法,也是一种安全机制,它可以在网络环境中对抗被攻击的行为。但是这种方法也有弊端,它只能防止第三者获取网络中的真实数据,这只是解决了网络安全的一个方面,而且加密技术也存在漏洞。
为了保证系统的足够安全,仅仅依赖防火墙是远远不够的,因此,研究者可以用入侵检测系统来弥补防火墙的不足,作为它的合理补充,从而共同应对各种不同的网络攻击,提高系统管理员的管理能力,增强网络安全结构的完整性。入侵检测收集并分析若干关键点信息,通过分析从而检测是否有可以行迹或是否遭到袭击。入侵检测可以作为防火墙之后的第二道安全防护,它能够对网络所有的运行情况进行检测,并且不会因此影响网络的正常性能,所以,它可以提供全方位的安全保护。
现在,人们已经将免疫算法、优化理论、Agent技术和数据挖掘等许多技术应用到入侵检测领域,这无疑对入侵检测技术的研究起到了一个推动作用。基于短序列匹配算法的系统来检测异常的技术就是由新墨西哥大学Stephanie Forrest研究组研制成功的。另外,哥伦比亚大学的Wenke Lee研究小组在入侵检测技术中应用了数据挖掘的分类算法、关联数据挖掘、序列挖掘等算法,他们是在入侵检测系统中最早应用数据挖掘的研究工作小组。此外,本大学的Lenoid Portnoy数据挖掘实验室也在异常检测工作方面做出了研究,他们利用的是聚类算法进行的。
参考文献:
