序論:在您撰寫談計算機網絡應用層的安全技術時,參考他人的優秀作品可以開闊視野����,小編為您整理的1篇范文,希望這些建議能夠激發您的創作熱情��,引導您走向新的創作高度�。
1引言
隨著計算機網絡技術的發展����,網絡用戶與網絡設備的增加�����,各種安全問題也越來越嚴重�,可以說只要有網絡的地方��,就存在安全隱患�����。雖然網絡技術本身有一定危險抵御能力��,但這些只在底層協議上進行簡單的防護���,比如確認機制,這些安全機制根本無法滿足當下的網絡安全需要���。由于眾多計算機應用程序的使用�,應用層安全問題難以避免�,在傳統的基于網絡層的網關和防火墻技術無法應對應用層的計算機病毒和系統漏洞的缺陷問題�����,這給網絡安全帶來巨大的壓力,因此必須從應用層角度加以嚴密的安全防護��。本文基于對計算機網絡的理解���,從網絡參考模型角度出發�,分析了網絡各層技術和對應的安全防護措施�,并重點針對應用層存在的典型安全問題�,分析對應的安全技術,為進一步深入學習掌握計算機及網絡技術提供參考����。
2網絡安全問題
2.1網絡參考模型
一般意義上講的網絡參考模型是指OSI(Open System In-terconnection)參考模型,根據ISO/OSI的定義�����,網絡參考模型分為7層���。
(1)物理層(Physical Layer)是七層OSI模型中的第一層,為數據傳輸提供必需的物理介質和媒介����,為數據傳輸提供可行可靠的物理基礎�����,在需要通信的兩端計算機系統之間建立一條通路用于傳遞比特流�����。
(2)數據鏈路層(Data Link Layer)是七層OSI模型中的第二層�����,其最基本的功能為糾正物理層可能出錯的物理連接,將其改造成邏輯上無差錯的數據鏈路�����,并將比特流組合���,以幀為單位進行數據傳送�,以便于修正發生傳輸錯誤的數據���。
(3)網絡層(Network Layer)是七層OSI模型的第三層�,負責管理網絡中的數據通信�,以實現兩端計算機系統的數據傳送����,具體而講,其功能主要為尋找傳輸路徑���,建立連接����。
(4)傳輸層(Transport Layer)是七層OSI模型的第四層�����,負責總體的數據傳輸以及控制���,調整全球各種具有差異的通信子網之間在吞吐量、傳輸速率���、延遲等方面的差異����,為會話層提供可供使用的性能恒定的接口,為會話層提供可靠而無誤的數據傳輸����。
(5)會話層(Session Layer)是七層OSI模型的第五層���,是建立在傳輸層的基礎之上�����,滿足保證通信互聯穩定無差錯的服務要求��,主要功能為利用大量的服務單元組合起來使通信過程中的數據流同步�����。
(6)表示層(Presentation Layer)是七層OSI模型的第六層����,主要作用是轉換不同計算機體系使用的數據表示法�����,來為不同的計算機體系提供可以通信的公共語言���。
(7)應用層(Application layer)是七層OSI模型的第七層��,應用層直接和應用程序接口并提供常見的網絡應用服務�,應用層也向表示層發出請求�。
2.2安全風險分析
從2.1的分析可知�����,在網絡設計時��,會按照七層邏輯關系進行特定設計�,根據每一層存在的安全風險�����,也都有特定的安全技術�。
(1)物理層:由于物理傳輸可以分為有線傳輸和無線傳輸,有線介質傳輸相對比較封閉��,安全性有保證��,保證介質的安全即可�。相比有線傳輸,無線傳輸更加復雜����,數據極其容易被竊聽,目前采用的技術通常是在信道加密上進行處理��,防止信息被竊聽��。
(2)數據鏈路層:是整個網絡層次中安全最為薄弱的一層����,如MAC地址攻擊�、ARP地址欺騙等問題,是一般的防病毒軟件和防火墻所無法抵御的��。MAC地址一旦被攻擊����,相應端口的數據就會被發送出去,進而被攻擊者成功監聽�����。目前主要采用動態地址監視等措施進行加以防護。
(3)網絡層:由于TCP/IP協議簡單的信任機制���,導致網絡層存在著嚴重的IP欺騙的問題,數據中心有被IP攻擊的危險���,IP欺騙已經成為黑客常用的攻擊方式����,即偽造IP地址以便冒充其他系統與另一計算機系統通信�����。
(4)傳輸層:傳輸層主要存在的問題為在數據傳輸過程中���,信息被中途截下篡改或被監聽的安全隱患。應對其可能的被竊聽的危險��,目前主要通過SSL記錄及握手協議和TLS協議保證通信穩定和安全���。
(5)會話層:由于會話層傳輸信息的特點,其存在著危險的會話劫持問題����,在攻擊者試圖接管計算機之間建立的TCP會話時便會常常發生會話劫持的問題�,攻擊者會尋找想要進攻的系統已創立的會話����,猜出TCP握手第一階段生成的32位序列號,迫使用戶掉線�����,再使服務器相信攻擊者是合法客戶端�����,即接管了會話����,繼而攻擊者就可以利用劫持的賬號的某些特權以及訪問權限去執行一些命令����。
(6)表示層:表示層兼顧數據的保密功能,防止數據篡改��、茂名搭載或利用網絡軟硬件功能�����,通常采用加密技術防止數據泄露���,這種加密技術可以在物理層����、傳輸層和表示層進行��。對于應用層的安全問題及安全技術��,本文將于后續進行重點闡述��。
3應用層安全技術
通常所說的應用程序就是在應用層工作的��,主要用于相互通信的一些軟件與程序���,典型的有Web瀏覽器�、電子郵件、ftp等����,正如上文所述的�����,由于應用層程序復雜�����,安全性問題也十分突出��,本文主要針對幾個典型的應用層問題進行安全技術分析��。
3.1Web安全技術
隨著Web2.0等網絡應用的發展,越來越多的互聯網應用程序基于Web環境建立起來�。Web相關應用的飛速發展當然也引起了黑客們的關注,而由于TCP/IP協議設計過程中對安全問題的疏忽����,網絡上傳輸的數據幾乎沒有協議上基礎的安全防護能力,這導致Web服務器極容易遭到攻擊����。而由于Web業務極廣泛的覆蓋面,攻擊方式也可以說是非常多樣化的���,例如SQL注入���,針對Webserver的漏洞進行攻擊,緩沖區溢出等種種方式��。目前對于SQL注入攻擊的防護還顯得非常被動�,主要依靠加密用戶輸入使攻擊者注入信息失效,用專業的漏洞掃描軟件查找漏洞等方式�����。另外��,由于Web搭建時其本身存在一些漏洞���,也可能被攻擊者利用���。這也是最常見的攻擊方式����,本質上講SQL注入也是一種漏洞攻擊��。漏洞攻擊更加復雜多樣���,典型方式例如腳本攻擊����,即特洛伊木馬型的攻擊,依靠惡意的URL指向的網頁中嵌入的惡意腳本對被攻擊者的計算機進行盜取信息?�,F實中����,Web應用中存在的漏洞總是不可避免的,甚至由于Web應用使用的無防御的HTTP協議導致普通的防火墻無法防御Web類攻擊�����,這兩者為大量的Web攻擊方式提供了可能�,目前�,主要依靠H3CIPSWeb入侵防御設備實現安全防護。
3.2郵件安全技術
電子郵件傳輸過程中�����,由于其無格式保密措施明文傳輸的特點�,電子郵件的安全得不到保證,出現了種種安全問題。其常見的安全問題主要有惡意代碼���,蠕蟲,特洛伊木馬���,以及垃圾郵件����。惡意代碼就如同另一種形式的URL攻擊���,被以電子郵件的形式發出的惡意代碼會破壞郵件接收者的計算機數據�,甚至會通過USB等硬件接口以及自動向外發送軟件的方式進行病毒性的傳輸與擴散��。電子郵件的方便無成本為惡意代碼這種攻擊形式提供了最好的載體�����,使得電子郵件中惡意代碼問題非常嚴重�����。電子郵件除了傳播各種病毒等還有被竊取信息被截獲的風險,而應對這些電子郵件方面的問題,手段依舊主要為加密����。如應用較為廣泛的PGP加密或MIME協議,以及用殺毒軟件進行病毒防護���。
3.3身份認證技術
身份認證技術是目前計算機網絡中以及應用程序中確認操作者身份有效地解決方法�,因為計算機只能識別數字身份�����,為了保證操作者是數字身份擁有者本人���,身份認證技術便由此產生?,F在主流的認證技術可以分為基于信息秘密的認證�、基于信任物體的認證和基于生物體征的認證���?�;谛畔⒚孛艿恼J證是最早應用也是應用最廣的身份認證方式�。電子郵件����,各種社交媒體以及現在的智能設備使用的密碼��,即靜態密碼���,便是該種認證方式的典型。通常情況下�,靜態密碼還會有輔助使用的安全程序��,如防止窮舉暴力破解的登錄失敗次數達到一定次數之后鎖定賬戶的程序���?;谛湃挝矬w的認證���,例如動態密碼�����,登錄的動態密碼便是依托于用戶手機的身份認證���,相對于靜態密碼,信任物體通常更不容易被攻擊����,且認證使用的密碼生成與使用過程存在物理隔離��,這使得動態密碼幾乎不可能在通路上被竊取從而認證失效���。該種認證還有動態口令和智能卡等方式�����?����;谏矬w征的認證�����,目前正在逐漸發展的認證方式�,其具有安全方便的特點���,是利用一些難以偽造的獨一無二的可測量的生物體征進行認證的身份認證方式��。主要有被廣泛使用的指紋識別技術���、聲紋識別以及DNA識別和人體氣味識別等方式。
4總結
網絡給人們帶來方便的同時���,也給應用帶來一定的憂患�,機密信息和私人信息的泄露影響后果極其嚴重��。本文通過對網絡各層安全機制的分析可以發現��,各層都存在相應的安全隱患��,當然也有對應的安全技術��,尤其是應用層問題十分明顯���,更應該加以重視��。
