下一代網路技術論文
網路技術快速發展極大改變現有生產方式,體現了其強大的社會影響力。下面是小編精心推薦的,希望你能有所感觸!
一:淺析網路安全技術
作者:董慶初 鄭紅光 何清瑞
[摘 要] 當前 網路 安全越來越被人們所重視,特別對於 企業 網路來說,不但要使企業內部網路安全,還要防止受到外部的攻擊。本文闡述了網路安全的基本概念與分類,介紹了當前網路安全技術的主流產品,同時,著重評述了無線感測器網路安全 研究 現狀。
[關鍵詞] 網路安全 防火牆 無線感測器網路
一、 計算 機網路安全技術
隨著計算機網路技術的普及和越來越廣泛地 應用 於 工業 、農業、 交通 等國民 經濟 各個領域和國防建設和軍事領域,計算機網路時常出現的安全 問題 日益增多,存在的安全隱患,促使人們採取各種方案保護計算機網路的安全。下面介紹了電腦保安技術的解決方案。
1.物理隔離網路
所謂“物理隔離”是指內部網不直接或間接地連線公共網。實現物理隔離的 方法 有:
***1***一人雙機:在資金充足的情況下,給需要的人員配備2臺電腦, 1臺接入網際網路, 1臺只接入內部網。
***2***網路安全隔離卡:在電腦上加裝1塊網路安全隔離卡,並再配備1塊硬碟,隨時根據使用者的要求,在內外網之間進行切換。
***3***隔離計算機:例如:國內首創的神鬱3000隔離計算機,使用者可以在網路之間實時線上、自由地切換,無需重新啟動計算機。
2.防火牆
目前 ,常見的防火牆主要有三類:
***1***分組過濾型防火牆:資料分組過濾或包過濾,包過濾原理和技術可以認為是各種網路防火牆的基礎構件。
***2***應用代理型防火牆:應用代理型防火牆是內部網與外部網的隔離點,起著監視和隔絕應用層通訊流的作用。
***3***複合型防火牆:複合型防火牆將資料包過濾和代理服務結合在一起使用。
目前出現的新技術型別主要有以下幾種狀態監視技術、安全作業系統、自適應代理技術、實時侵入檢測系統等。混合使用資料包過濾技術、代理服務技術和其他一些新技術是未來防火牆的趨勢。
3.抗攻擊閘道器
抗攻擊閘道器可以避免拒絕服務攻擊***DoS***和連線耗盡攻擊等網路攻擊帶來的問題,使用者只需將抗攻擊閘道器架設在路由器之前就可以使用,通過獨立的監控系統就可以實時監控和報警,並可以給出安全事件報告。目前,抗攻擊閘道器的型別主要有入侵檢測、指紋識別、免疫型等。入侵檢測和指紋識別需要大量消耗CPU和記憶體才能計算識別出攻擊,然後,給出過濾規則,這種機制本身就容易遭受拒絕服務攻擊,因此,免疫型抗攻擊閘道器是今後 發展 的趨勢。以中網宙斯盾抗攻擊閘道器為例,它本身對攻擊是免疫的,不需要大量計算,將資料包直接轉發過去,但不能產生攻擊。
4.防病毒閘道器
防病毒閘道器放置在內部網路和網際網路連線處。當在內部網路內發現病毒時,可能已經感染了很多計算機,防病毒閘道器可以將大部分病毒隔離在外部,同時具有反垃圾郵件和反間諜軟體的能力。當出現新的病毒時,管理員只要將防病毒閘道器升級就可以抵禦新病毒的攻擊。目前,代表性的產品有億郵防病毒閘道器、中網 電子 郵件防病毒閘道器、北信源防毒閘道器等。
5.認證
目前,常用的身份識別技術主要是基於RAD IUS的鑑別、授權和管理***AAA*** 系統。RAD IUS *** remote authentica2tion dial in user service***是網路遠端接入裝置的客戶和包含使用者認證與配置資訊的伺服器之間資訊交換的標準客戶或伺服器模式。它包含有關使用者的專門簡檔,如,使用者名稱、接***令、接入許可權等。這是保持遠端接入網路的集中認證、授權、記費和審查的得到接受的標準。華為、思科等廠商都有使用RAD IUS技術的產品。
6.虛擬專用網
隨著商務的發展,辦公形式的改變, 分支機構之間的通訊有很大需求,如果使用公用的網際網路絡來進行通訊,而不是架設專用線路,這樣,就可以顯著降低使用成本。*** virtual p rivate network***即虛擬專用網是解決這一問題的方法。建立一條通過公眾網路的邏輯上的專用連線,使得使用者在異地訪問內部網路時,能夠和在本地訪問一樣的資源,同時,不用擔心洩密的問題。採用IPSec協議的產品是市場的主流和標準, 有相當多的廠商都推出了相應產品。
7.入侵檢測和集中網管
入侵檢測*** intrusion detection***是對入侵行為的發覺,是一種增強系統安全的有效方法,能檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。目前,入侵檢測系統的產品很多,僅國內的就有東軟、海信、聯想等十幾種;集中網管主要體現在對網管的集中上,網管集中的實現方式主要包括存放網管系統的物理平面集中和通過綜合集中網管實現對不同廠商網管系統的集中管控。大唐、朗訊、華勤等廠商各自有不同的集中網管產品上市。
二、WSNs安全技術
WSNs多用於軍事,特殊現場的警戒保護、商業區域的安防,作為任務型 網路 ,不僅要進行資料傳輸,而且要進行資料採集和融合,任務的協同控制等,如何保證任務執行的機密性,資料產生的可靠性資料融合的高效性以及資料傳輸的安全性,是WSNs安全方面需要 研究 的重要 內容 。在3個重要的環節上,節點的物理分佈和資料的取樣和資料的傳輸過程,應該對無關的各方和人員保密。由於感測器網路中節點隨機部署、網路拓撲的動態性以及通道的不穩定性,使傳統的安全機制無法適用。因此,需要設計新型的網路安全機制。 目前 ,有關保證WSNs安全的方案和措施歸納起來主要有以下幾種:
1.對物理攻擊的防護
WSNs在開放的 環境中大量分佈著感測器節點,這些節點很容易被攻擊者捕獲,然後,破壞其物理結構或是從節點中提取金鑰、修改程式甚至用攻擊者自己的感測器來替代它們。
2.實現機密性
攻擊者可以以一種低風險、匿名的方式收集來自WSNs的大量可被遠端訪問的資料,同時監視多個站點。通過監聽資料,容易發現通訊的內容,即訊息擷取或通過 分析 得出與機密通訊相關的資訊,即流量分析。
3.私有性 問題
保證網路中的感測資訊只有可信實體才可以訪問是保證私有性問題的最好 方法 ,這可通過資料加密和訪問控制來實現;另外一種方法是限制網路所傳送資訊的粒度,因為資訊越詳細,越有可能洩露私有性,比如: 1個簇節點可以通過對從相鄰節點接收到的大量資訊進行彙集處理,並只傳送處理結果,從而達到資料匿名化。
4.防止DoS攻擊
有一種方法是建立基於冗餘的防護機制,這使得即使有部分節點被攻陷,也不會導致整個WSNs系統崩潰。防禦DoS攻擊的方法沒有一個固定的方法,它隨著攻擊者攻擊方法的不同而不同。一些跳頻和擴頻技術可以用來減輕網路堵塞問題。恰當的認證可以防止在網路中插入無用資訊,然而,這些協議必須十分有效,否則,它也會被用來當作DoS攻擊的手段。
5.認證和安全路由
認證是對抗假冒節點或惡意資料的有效方法。比如:鏈路層安全體系結構TinySec能發現注入網路的非授權的資料包,提供訊息認證和完整性、訊息機密性、語義安全和重放保護等基本安全屬性。最近安全路由提出的方案是入侵容忍路由協議INSENS,它允許惡意節點威脅它周圍的少量節點,但威脅被控制在一定範圍內,通過使用冗餘機制來實現這種功能。
6.據融合安全
在WSNs中,眾多的節點會產生大量的冗餘資訊,浪費十分有限的網路資源,而資料融合是節省網路通訊資源的有效方法。但是,如果融合節點遭到攻擊,那麼,得到的資料將可能無效甚至有害。目前的一種解決方法是融合——承諾——證實的安全資料融合方案。但是,總體而言,當前對於安全資料融合的研究不多,還有大量的 工作需要完成。
7.金鑰 管理
與金鑰管理協議緊密相關的WSNs 應用 層技術—內網資料處理。典型的有:
***1***資料融合技術。
***2***資料聚集技術。
***3***被動參與技術***passive participate***。
現有WSNs的金鑰管理協議大多數是基於對稱加密演算法的。因為公鑰加密演算法***如RSA***是 計算 密集型的演算法, 每執行一個安全操作都需要CPU執行幾百萬甚至更多的乘法指令操作。
三、結束語
計算機網路技術的應用促進了 社會 經濟 發展 ,特別是近年來,感測器技術、MEMS技術和通訊技術的進步推動了WSNs快速發展,WSNs已成為當今對人們生活產生重大 影響 的IT 熱點技術之一。WSNs作為一種起源於軍事領域的新型網路技術,其安全性問題具有特別重要涵義,由於和傳統網路之間存在較大的差別,WSNs的安全問題是未來面臨的新的挑戰。
參考 文獻 :
[1]***美***Ogletree TW 李之棠 李偉明 陳 琳:防火牆原理與實施[M].北京: 電子 工業 出版社, 2001
[2]***美***GoncalvesM 宋書名 朱智強 徐開勇 防火牆技術指南[M].北京: 機械工業出版社, 2000
[3]龔 儉 陸 晟 王 倩:計算機網路安全導論[M].南京:東南大學出版社, 2000
[4]戴宗坤:資訊系統安全[M].北京:金城出版社, 2000
點選下頁還有更多>>>