序論:在您撰寫談計算機(jī)網(wǎng)絡(luò)應(yīng)用層的安全技術(shù)時�����,參考他人的優(yōu)秀作品可以開闊視野�����,小編為您整理的1篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導(dǎo)您走向新的創(chuàng)作高度����。
1引言
隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展�,網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)設(shè)備的增加,各種安全問題也越來越嚴(yán)重�����,可以說只要有網(wǎng)絡(luò)的地方����,就存在安全隱患。雖然網(wǎng)絡(luò)技術(shù)本身有一定危險抵御能力����,但這些只在底層協(xié)議上進(jìn)行簡單的防護(hù),比如確認(rèn)機(jī)制��,這些安全機(jī)制根本無法滿足當(dāng)下的網(wǎng)絡(luò)安全需要���。由于眾多計算機(jī)應(yīng)用程序的使用����,應(yīng)用層安全問題難以避免,在傳統(tǒng)的基于網(wǎng)絡(luò)層的網(wǎng)關(guān)和防火墻技術(shù)無法應(yīng)對應(yīng)用層的計算機(jī)病毒和系統(tǒng)漏洞的缺陷問題�,這給網(wǎng)絡(luò)安全帶來巨大的壓力,因此必須從應(yīng)用層角度加以嚴(yán)密的安全防護(hù)�。本文基于對計算機(jī)網(wǎng)絡(luò)的理解,從網(wǎng)絡(luò)參考模型角度出發(fā)�,分析了網(wǎng)絡(luò)各層技術(shù)和對應(yīng)的安全防護(hù)措施,并重點針對應(yīng)用層存在的典型安全問題�,分析對應(yīng)的安全技術(shù),為進(jìn)一步深入學(xué)習(xí)掌握計算機(jī)及網(wǎng)絡(luò)技術(shù)提供參考�����。
2網(wǎng)絡(luò)安全問題
2.1網(wǎng)絡(luò)參考模型
一般意義上講的網(wǎng)絡(luò)參考模型是指OSI(Open System In-terconnection)參考模型����,根據(jù)ISO/OSI的定義,網(wǎng)絡(luò)參考模型分為7層��。
(1)物理層(Physical Layer)是七層OSI模型中的第一層���,為數(shù)據(jù)傳輸提供必需的物理介質(zhì)和媒介,為數(shù)據(jù)傳輸提供可行可靠的物理基礎(chǔ),在需要通信的兩端計算機(jī)系統(tǒng)之間建立一條通路用于傳遞比特流��。
(2)數(shù)據(jù)鏈路層(Data Link Layer)是七層OSI模型中的第二層�����,其最基本的功能為糾正物理層可能出錯的物理連接��,將其改造成邏輯上無差錯的數(shù)據(jù)鏈路�,并將比特流組合,以幀為單位進(jìn)行數(shù)據(jù)傳送�,以便于修正發(fā)生傳輸錯誤的數(shù)據(jù)。
(3)網(wǎng)絡(luò)層(Network Layer)是七層OSI模型的第三層���,負(fù)責(zé)管理網(wǎng)絡(luò)中的數(shù)據(jù)通信��,以實現(xiàn)兩端計算機(jī)系統(tǒng)的數(shù)據(jù)傳送���,具體而講,其功能主要為尋找傳輸路徑���,建立連接��。
(4)傳輸層(Transport Layer)是七層OSI模型的第四層����,負(fù)責(zé)總體的數(shù)據(jù)傳輸以及控制,調(diào)整全球各種具有差異的通信子網(wǎng)之間在吞吐量�����、傳輸速率�����、延遲等方面的差異�,為會話層提供可供使用的性能恒定的接口,為會話層提供可靠而無誤的數(shù)據(jù)傳輸�����。
(5)會話層(Session Layer)是七層OSI模型的第五層����,是建立在傳輸層的基礎(chǔ)之上,滿足保證通信互聯(lián)穩(wěn)定無差錯的服務(wù)要求�����,主要功能為利用大量的服務(wù)單元組合起來使通信過程中的數(shù)據(jù)流同步��。
(6)表示層(Presentation Layer)是七層OSI模型的第六層,主要作用是轉(zhuǎn)換不同計算機(jī)體系使用的數(shù)據(jù)表示法�����,來為不同的計算機(jī)體系提供可以通信的公共語言�����。
(7)應(yīng)用層(Application layer)是七層OSI模型的第七層��,應(yīng)用層直接和應(yīng)用程序接口并提供常見的網(wǎng)絡(luò)應(yīng)用服務(wù)����,應(yīng)用層也向表示層發(fā)出請求�。
2.2安全風(fēng)險分析
從2.1的分析可知,在網(wǎng)絡(luò)設(shè)計時���,會按照七層邏輯關(guān)系進(jìn)行特定設(shè)計��,根據(jù)每一層存在的安全風(fēng)險�,也都有特定的安全技術(shù)���。
(1)物理層:由于物理傳輸可以分為有線傳輸和無線傳輸�,有線介質(zhì)傳輸相對比較封閉,安全性有保證�����,保證介質(zhì)的安全即可���。相比有線傳輸�,無線傳輸更加復(fù)雜�����,數(shù)據(jù)極其容易被竊聽�����,目前采用的技術(shù)通常是在信道加密上進(jìn)行處理�����,防止信息被竊聽�。
(2)數(shù)據(jù)鏈路層:是整個網(wǎng)絡(luò)層次中安全最為薄弱的一層,如MAC地址攻擊�、ARP地址欺騙等問題,是一般的防病毒軟件和防火墻所無法抵御的��。MAC地址一旦被攻擊,相應(yīng)端口的數(shù)據(jù)就會被發(fā)送出去�,進(jìn)而被攻擊者成功監(jiān)聽。目前主要采用動態(tài)地址監(jiān)視等措施進(jìn)行加以防護(hù)�����。
(3)網(wǎng)絡(luò)層:由于TCP/IP協(xié)議簡單的信任機(jī)制�����,導(dǎo)致網(wǎng)絡(luò)層存在著嚴(yán)重的IP欺騙的問題���,數(shù)據(jù)中心有被IP攻擊的危險,IP欺騙已經(jīng)成為黑客常用的攻擊方式�����,即偽造IP地址以便冒充其他系統(tǒng)與另一計算機(jī)系統(tǒng)通信��。
(4)傳輸層:傳輸層主要存在的問題為在數(shù)據(jù)傳輸過程中����,信息被中途截下篡改或被監(jiān)聽的安全隱患。應(yīng)對其可能的被竊聽的危險����,目前主要通過SSL記錄及握手協(xié)議和TLS協(xié)議保證通信穩(wěn)定和安全�。
(5)會話層:由于會話層傳輸信息的特點���,其存在著危險的會話劫持問題���,在攻擊者試圖接管計算機(jī)之間建立的TCP會話時便會常常發(fā)生會話劫持的問題,攻擊者會尋找想要進(jìn)攻的系統(tǒng)已創(chuàng)立的會話�����,猜出TCP握手第一階段生成的32位序列號���,迫使用戶掉線���,再使服務(wù)器相信攻擊者是合法客戶端,即接管了會話�����,繼而攻擊者就可以利用劫持的賬號的某些特權(quán)以及訪問權(quán)限去執(zhí)行一些命令�。
(6)表示層:表示層兼顧數(shù)據(jù)的保密功能,防止數(shù)據(jù)篡改�����、茂名搭載或利用網(wǎng)絡(luò)軟硬件功能,通常采用加密技術(shù)防止數(shù)據(jù)泄露��,這種加密技術(shù)可以在物理層��、傳輸層和表示層進(jìn)行����。對于應(yīng)用層的安全問題及安全技術(shù)�,本文將于后續(xù)進(jìn)行重點闡述。
3應(yīng)用層安全技術(shù)
通常所說的應(yīng)用程序就是在應(yīng)用層工作的����,主要用于相互通信的一些軟件與程序,典型的有Web瀏覽器�、電子郵件、ftp等�,正如上文所述的,由于應(yīng)用層程序復(fù)雜���,安全性問題也十分突出�,本文主要針對幾個典型的應(yīng)用層問題進(jìn)行安全技術(shù)分析���。
3.1Web安全技術(shù)
隨著Web2.0等網(wǎng)絡(luò)應(yīng)用的發(fā)展����,越來越多的互聯(lián)網(wǎng)應(yīng)用程序基于Web環(huán)境建立起來。Web相關(guān)應(yīng)用的飛速發(fā)展當(dāng)然也引起了黑客們的關(guān)注����,而由于TCP/IP協(xié)議設(shè)計過程中對安全問題的疏忽,網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)幾乎沒有協(xié)議上基礎(chǔ)的安全防護(hù)能力�,這導(dǎo)致Web服務(wù)器極容易遭到攻擊。而由于Web業(yè)務(wù)極廣泛的覆蓋面���,攻擊方式也可以說是非常多樣化的�����,例如SQL注入�����,針對Webserver的漏洞進(jìn)行攻擊����,緩沖區(qū)溢出等種種方式。目前對于SQL注入攻擊的防護(hù)還顯得非常被動�,主要依靠加密用戶輸入使攻擊者注入信息失效,用專業(yè)的漏洞掃描軟件查找漏洞等方式���。另外��,由于Web搭建時其本身存在一些漏洞�����,也可能被攻擊者利用���。這也是最常見的攻擊方式,本質(zhì)上講SQL注入也是一種漏洞攻擊�����。漏洞攻擊更加復(fù)雜多樣��,典型方式例如腳本攻擊�,即特洛伊木馬型的攻擊��,依靠惡意的URL指向的網(wǎng)頁中嵌入的惡意腳本對被攻擊者的計算機(jī)進(jìn)行盜取信息?����,F(xiàn)實中,Web應(yīng)用中存在的漏洞總是不可避免的����,甚至由于Web應(yīng)用使用的無防御的HTTP協(xié)議導(dǎo)致普通的防火墻無法防御Web類攻擊,這兩者為大量的Web攻擊方式提供了可能����,目前,主要依靠H3CIPSWeb入侵防御設(shè)備實現(xiàn)安全防護(hù)�����。
3.2郵件安全技術(shù)
電子郵件傳輸過程中���,由于其無格式保密措施明文傳輸?shù)奶攸c�����,電子郵件的安全得不到保證����,出現(xiàn)了種種安全問題��。其常見的安全問題主要有惡意代碼,蠕蟲�,特洛伊木馬,以及垃圾郵件��。惡意代碼就如同另一種形式的URL攻擊���,被以電子郵件的形式發(fā)出的惡意代碼會破壞郵件接收者的計算機(jī)數(shù)據(jù)�,甚至?xí)ㄟ^USB等硬件接口以及自動向外發(fā)送軟件的方式進(jìn)行病毒性的傳輸與擴(kuò)散�。電子郵件的方便無成本為惡意代碼這種攻擊形式提供了最好的載體,使得電子郵件中惡意代碼問題非常嚴(yán)重����。電子郵件除了傳播各種病毒等還有被竊取信息被截獲的風(fēng)險,而應(yīng)對這些電子郵件方面的問題�,手段依舊主要為加密。如應(yīng)用較為廣泛的PGP加密或MIME協(xié)議�����,以及用殺毒軟件進(jìn)行病毒防護(hù)��。
3.3身份認(rèn)證技術(shù)
身份認(rèn)證技術(shù)是目前計算機(jī)網(wǎng)絡(luò)中以及應(yīng)用程序中確認(rèn)操作者身份有效地解決方法����,因為計算機(jī)只能識別數(shù)字身份,為了保證操作者是數(shù)字身份擁有者本人�,身份認(rèn)證技術(shù)便由此產(chǎn)生。現(xiàn)在主流的認(rèn)證技術(shù)可以分為基于信息秘密的認(rèn)證���、基于信任物體的認(rèn)證和基于生物體征的認(rèn)證�����?;谛畔⒚孛艿恼J(rèn)證是最早應(yīng)用也是應(yīng)用最廣的身份認(rèn)證方式��。電子郵件���,各種社交媒體以及現(xiàn)在的智能設(shè)備使用的密碼�����,即靜態(tài)密碼���,便是該種認(rèn)證方式的典型。通常情況下�����,靜態(tài)密碼還會有輔助使用的安全程序,如防止窮舉暴力破解的登錄失敗次數(shù)達(dá)到一定次數(shù)之后鎖定賬戶的程序�����?;谛湃挝矬w的認(rèn)證,例如動態(tài)密碼�����,登錄的動態(tài)密碼便是依托于用戶手機(jī)的身份認(rèn)證����,相對于靜態(tài)密碼,信任物體通常更不容易被攻擊�,且認(rèn)證使用的密碼生成與使用過程存在物理隔離,這使得動態(tài)密碼幾乎不可能在通路上被竊取從而認(rèn)證失效����。該種認(rèn)證還有動態(tài)口令和智能卡等方式?��;谏矬w征的認(rèn)證��,目前正在逐漸發(fā)展的認(rèn)證方式�,其具有安全方便的特點�,是利用一些難以偽造的獨一無二的可測量的生物體征進(jìn)行認(rèn)證的身份認(rèn)證方式。主要有被廣泛使用的指紋識別技術(shù)����、聲紋識別以及DNA識別和人體氣味識別等方式。
4總結(jié)
網(wǎng)絡(luò)給人們帶來方便的同時��,也給應(yīng)用帶來一定的憂患�,機(jī)密信息和私人信息的泄露影響后果極其嚴(yán)重。本文通過對網(wǎng)絡(luò)各層安全機(jī)制的分析可以發(fā)現(xiàn)�,各層都存在相應(yīng)的安全隱患,當(dāng)然也有對應(yīng)的安全技術(shù)�,尤其是應(yīng)用層問題十分明顯,更應(yīng)該加以重視��。
