序論:在您撰寫談計算機網(wǎng)絡應用層的安全技術時����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的1篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�,引導您走向新的創(chuàng)作高度����。
1引言
隨著計算機網(wǎng)絡技術的發(fā)展,網(wǎng)絡用戶與網(wǎng)絡設備的增加���,各種安全問題也越來越嚴重����,可以說只要有網(wǎng)絡的地方�,就存在安全隱患。雖然網(wǎng)絡技術本身有一定危險抵御能力����,但這些只在底層協(xié)議上進行簡單的防護,比如確認機制���,這些安全機制根本無法滿足當下的網(wǎng)絡安全需要�。由于眾多計算機應用程序的使用���,應用層安全問題難以避免���,在傳統(tǒng)的基于網(wǎng)絡層的網(wǎng)關和防火墻技術無法應對應用層的計算機病毒和系統(tǒng)漏洞的缺陷問題,這給網(wǎng)絡安全帶來巨大的壓力��,因此必須從應用層角度加以嚴密的安全防護���。本文基于對計算機網(wǎng)絡的理解����,從網(wǎng)絡參考模型角度出發(fā),分析了網(wǎng)絡各層技術和對應的安全防護措施�,并重點針對應用層存在的典型安全問題,分析對應的安全技術�,為進一步深入學習掌握計算機及網(wǎng)絡技術提供參考。
2網(wǎng)絡安全問題
2.1網(wǎng)絡參考模型
一般意義上講的網(wǎng)絡參考模型是指OSI(Open System In-terconnection)參考模型����,根據(jù)ISO/OSI的定義,網(wǎng)絡參考模型分為7層���。
(1)物理層(Physical Layer)是七層OSI模型中的第一層��,為數(shù)據(jù)傳輸提供必需的物理介質和媒介�����,為數(shù)據(jù)傳輸提供可行可靠的物理基礎�����,在需要通信的兩端計算機系統(tǒng)之間建立一條通路用于傳遞比特流�。
(2)數(shù)據(jù)鏈路層(Data Link Layer)是七層OSI模型中的第二層�,其最基本的功能為糾正物理層可能出錯的物理連接,將其改造成邏輯上無差錯的數(shù)據(jù)鏈路���,并將比特流組合����,以幀為單位進行數(shù)據(jù)傳送����,以便于修正發(fā)生傳輸錯誤的數(shù)據(jù)。
(3)網(wǎng)絡層(Network Layer)是七層OSI模型的第三層�,負責管理網(wǎng)絡中的數(shù)據(jù)通信,以實現(xiàn)兩端計算機系統(tǒng)的數(shù)據(jù)傳送���,具體而講��,其功能主要為尋找傳輸路徑����,建立連接�����。
(4)傳輸層(Transport Layer)是七層OSI模型的第四層�����,負責總體的數(shù)據(jù)傳輸以及控制,調整全球各種具有差異的通信子網(wǎng)之間在吞吐量�����、傳輸速率��、延遲等方面的差異�,為會話層提供可供使用的性能恒定的接口,為會話層提供可靠而無誤的數(shù)據(jù)傳輸��。
(5)會話層(Session Layer)是七層OSI模型的第五層��,是建立在傳輸層的基礎之上����,滿足保證通信互聯(lián)穩(wěn)定無差錯的服務要求,主要功能為利用大量的服務單元組合起來使通信過程中的數(shù)據(jù)流同步����。
(6)表示層(Presentation Layer)是七層OSI模型的第六層,主要作用是轉換不同計算機體系使用的數(shù)據(jù)表示法�����,來為不同的計算機體系提供可以通信的公共語言�����。
(7)應用層(Application layer)是七層OSI模型的第七層,應用層直接和應用程序接口并提供常見的網(wǎng)絡應用服務�����,應用層也向表示層發(fā)出請求�。
2.2安全風險分析
從2.1的分析可知�����,在網(wǎng)絡設計時��,會按照七層邏輯關系進行特定設計����,根據(jù)每一層存在的安全風險,也都有特定的安全技術�。
(1)物理層:由于物理傳輸可以分為有線傳輸和無線傳輸,有線介質傳輸相對比較封閉���,安全性有保證��,保證介質的安全即可�����。相比有線傳輸�,無線傳輸更加復雜,數(shù)據(jù)極其容易被竊聽��,目前采用的技術通常是在信道加密上進行處理�����,防止信息被竊聽���。
(2)數(shù)據(jù)鏈路層:是整個網(wǎng)絡層次中安全最為薄弱的一層���,如MAC地址攻擊、ARP地址欺騙等問題���,是一般的防病毒軟件和防火墻所無法抵御的���。MAC地址一旦被攻擊,相應端口的數(shù)據(jù)就會被發(fā)送出去�,進而被攻擊者成功監(jiān)聽。目前主要采用動態(tài)地址監(jiān)視等措施進行加以防護�。
(3)網(wǎng)絡層:由于TCP/IP協(xié)議簡單的信任機制�,導致網(wǎng)絡層存在著嚴重的IP欺騙的問題��,數(shù)據(jù)中心有被IP攻擊的危險����,IP欺騙已經(jīng)成為黑客常用的攻擊方式,即偽造IP地址以便冒充其他系統(tǒng)與另一計算機系統(tǒng)通信���。
(4)傳輸層:傳輸層主要存在的問題為在數(shù)據(jù)傳輸過程中���,信息被中途截下篡改或被監(jiān)聽的安全隱患。應對其可能的被竊聽的危險�����,目前主要通過SSL記錄及握手協(xié)議和TLS協(xié)議保證通信穩(wěn)定和安全���。
(5)會話層:由于會話層傳輸信息的特點,其存在著危險的會話劫持問題�,在攻擊者試圖接管計算機之間建立的TCP會話時便會常常發(fā)生會話劫持的問題,攻擊者會尋找想要進攻的系統(tǒng)已創(chuàng)立的會話���,猜出TCP握手第一階段生成的32位序列號��,迫使用戶掉線���,再使服務器相信攻擊者是合法客戶端�����,即接管了會話���,繼而攻擊者就可以利用劫持的賬號的某些特權以及訪問權限去執(zhí)行一些命令。
(6)表示層:表示層兼顧數(shù)據(jù)的保密功能��,防止數(shù)據(jù)篡改��、茂名搭載或利用網(wǎng)絡軟硬件功能���,通常采用加密技術防止數(shù)據(jù)泄露��,這種加密技術可以在物理層����、傳輸層和表示層進行��。對于應用層的安全問題及安全技術,本文將于后續(xù)進行重點闡述�。
3應用層安全技術
通常所說的應用程序就是在應用層工作的,主要用于相互通信的一些軟件與程序�����,典型的有Web瀏覽器����、電子郵件、ftp等�����,正如上文所述的���,由于應用層程序復雜�,安全性問題也十分突出�����,本文主要針對幾個典型的應用層問題進行安全技術分析�����。
3.1Web安全技術
隨著Web2.0等網(wǎng)絡應用的發(fā)展��,越來越多的互聯(lián)網(wǎng)應用程序基于Web環(huán)境建立起來�。Web相關應用的飛速發(fā)展當然也引起了黑客們的關注,而由于TCP/IP協(xié)議設計過程中對安全問題的疏忽����,網(wǎng)絡上傳輸?shù)臄?shù)據(jù)幾乎沒有協(xié)議上基礎的安全防護能力,這導致Web服務器極容易遭到攻擊�。而由于Web業(yè)務極廣泛的覆蓋面,攻擊方式也可以說是非常多樣化的��,例如SQL注入���,針對Webserver的漏洞進行攻擊��,緩沖區(qū)溢出等種種方式�����。目前對于SQL注入攻擊的防護還顯得非常被動���,主要依靠加密用戶輸入使攻擊者注入信息失效,用專業(yè)的漏洞掃描軟件查找漏洞等方式����。另外���,由于Web搭建時其本身存在一些漏洞,也可能被攻擊者利用��。這也是最常見的攻擊方式����,本質上講SQL注入也是一種漏洞攻擊。漏洞攻擊更加復雜多樣�����,典型方式例如腳本攻擊�����,即特洛伊木馬型的攻擊���,依靠惡意的URL指向的網(wǎng)頁中嵌入的惡意腳本對被攻擊者的計算機進行盜取信息?��,F(xiàn)實中��,Web應用中存在的漏洞總是不可避免的,甚至由于Web應用使用的無防御的HTTP協(xié)議導致普通的防火墻無法防御Web類攻擊�,這兩者為大量的Web攻擊方式提供了可能,目前���,主要依靠H3CIPSWeb入侵防御設備實現(xiàn)安全防護�����。
3.2郵件安全技術
電子郵件傳輸過程中���,由于其無格式保密措施明文傳輸?shù)奶攸c,電子郵件的安全得不到保證����,出現(xiàn)了種種安全問題。其常見的安全問題主要有惡意代碼���,蠕蟲����,特洛伊木馬���,以及垃圾郵件����。惡意代碼就如同另一種形式的URL攻擊,被以電子郵件的形式發(fā)出的惡意代碼會破壞郵件接收者的計算機數(shù)據(jù)���,甚至會通過USB等硬件接口以及自動向外發(fā)送軟件的方式進行病毒性的傳輸與擴散��。電子郵件的方便無成本為惡意代碼這種攻擊形式提供了最好的載體����,使得電子郵件中惡意代碼問題非常嚴重���。電子郵件除了傳播各種病毒等還有被竊取信息被截獲的風險��,而應對這些電子郵件方面的問題����,手段依舊主要為加密�。如應用較為廣泛的PGP加密或MIME協(xié)議,以及用殺毒軟件進行病毒防護�����。
3.3身份認證技術
身份認證技術是目前計算機網(wǎng)絡中以及應用程序中確認操作者身份有效地解決方法��,因為計算機只能識別數(shù)字身份,為了保證操作者是數(shù)字身份擁有者本人�,身份認證技術便由此產(chǎn)生?�,F(xiàn)在主流的認證技術可以分為基于信息秘密的認證����、基于信任物體的認證和基于生物體征的認證?�;谛畔⒚孛艿恼J證是最早應用也是應用最廣的身份認證方式���。電子郵件��,各種社交媒體以及現(xiàn)在的智能設備使用的密碼���,即靜態(tài)密碼,便是該種認證方式的典型��。通常情況下�,靜態(tài)密碼還會有輔助使用的安全程序,如防止窮舉暴力破解的登錄失敗次數(shù)達到一定次數(shù)之后鎖定賬戶的程序�。基于信任物體的認證�,例如動態(tài)密碼�����,登錄的動態(tài)密碼便是依托于用戶手機的身份認證��,相對于靜態(tài)密碼�,信任物體通常更不容易被攻擊�,且認證使用的密碼生成與使用過程存在物理隔離,這使得動態(tài)密碼幾乎不可能在通路上被竊取從而認證失效�����。該種認證還有動態(tài)口令和智能卡等方式�����?����;谏矬w征的認證���,目前正在逐漸發(fā)展的認證方式����,其具有安全方便的特點,是利用一些難以偽造的獨一無二的可測量的生物體征進行認證的身份認證方式�����。主要有被廣泛使用的指紋識別技術��、聲紋識別以及DNA識別和人體氣味識別等方式�����。
4總結
網(wǎng)絡給人們帶來方便的同時�,也給應用帶來一定的憂患���,機密信息和私人信息的泄露影響后果極其嚴重�。本文通過對網(wǎng)絡各層安全機制的分析可以發(fā)現(xiàn)����,各層都存在相應的安全隱患,當然也有對應的安全技術��,尤其是應用層問題十分明顯���,更應該加以重視�����。
