谈计算机网络应用层的安全技术

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

谈计算机网络应用层的安全技术摘要:网络安全是当下信息技术的研究热点问题,本文从网络协议层的角度对计算机网络分层的概念进行了分析总结,并深入对应用层的安全问题与安全技术进行了研究,为进一步理解计算机网络提供参考。

关键词计算机网络应用层安全技术

1引言

随着计算机网络技术的发展,网络用户与网络设备的增加,各种安全问题也越来越严重,可以说只要有网络的地方,就存在安全隐患。虽然网络技术本身有一定危险抵御能力,但这些只在底层协议上进行简单的防护,比如确认机制,这些安全机制根本无法满足当下的网络安全需要。由于众多计算机应用程序的使用,应用层安全问题难以避免,在传统的基于网络层的网关和防火墙技术无法应对应用层的计算机病毒和系统漏洞的缺陷问题,这给网络安全带来巨大的压力,因此必须从应用层角度加以严密的安全防护。本文基于对计算机网络的理解,从网络参考模型角度出发,分析了网络各层技术和对应的安全防护措施,并重点针对应用层存在的典型安全问题,分析对应的安全技术,为进一步深入学习掌握计算机及网络技术提供参考。

2网络安全问题

2.1网络参考模型

一般意义上讲的网络参考模型是指OSI(Open System In-terconnection)参考模型,根据ISO/OSI的定义,网络参考模型分为7层。

(1)物理层(Physical Layer)是七层OSI模型中的第一层,为数据传输提供必需的物理介质和媒介,为数据传输提供可行可靠的物理基础,在需要通信的两端计算机系统之间建立一条通路用于传递比特流。

(2)数据链路层(Data Link Layer)是七层OSI模型中的第二层,其最基本的功能为纠正物理层可能出错的物理连接,将其改造成逻辑上无差错的数据链路,并将比特流组合,以帧为单位进行数据传送,以便于修正发生传输错误的数据。

(3)网络层(Network Layer)是七层OSI模型的第三层,负责管理网络中的数据通信,以实现两端计算机系统的数据传送,具体而讲,其功能主要为寻找传输路径,建立连接。

(4)传输层(Transport Layer)是七层OSI模型的第四层,负责总体的数据传输以及控制,调整全球各种具有差异的通信子网之间在吞吐量、传输速率、延迟等方面的差异,为会话层提供可供使用的性能恒定的接口,为会话层提供可靠而无误的数据传输。

(5)会话层(Session Layer)是七层OSI模型的第五层,是建立在传输层的基础之上,满足保证通信互联稳定无差错的服务要求,主要功能为利用大量的服务单元组合起来使通信过程中的数据流同步。

(6)表示层(Presentation Layer)是七层OSI模型的第六层,主要作用是转换不同计算机体系使用的数据表示法,来为不同的计算机体系提供可以通信的公共语言。

(7)应用层(Application layer)是七层OSI模型的第七层,应用层直接和应用程序接口并提供常见的网络应用服务,应用层也向表示层发出请求。

2.2安全风险分析

从2.1的分析可知,在网络设计时,会按照七层逻辑关系进行特定设计,根据每一层存在的安全风险,也都有特定的安全技术。

(1)物理层:由于物理传输可以分为有线传输和无线传输,有线介质传输相对比较封闭,安全性有保证,保证介质的安全即可。相比有线传输,无线传输更加复杂,数据极其容易被窃听,目前采用的技术通常是在信道加密上进行处理,防止信息被窃听。

(2)数据链路层:是整个网络层次中安全最为薄弱的一层,如MAC地址攻击、ARP地址欺骗等问题,是一般的防病毒软件和防火墙所无法抵御的。MAC地址一旦被攻击,相应端口的数据就会被发送出去,进而被攻击者成功监听。目前主要采用动态地址监视等措施进行加以防护。

(3)网络层:由于TCP/IP协议简单的信任机制,导致网络层存在着严重的IP 欺骗的问题,数据中心有被IP攻击的危险,IP欺骗已经成为黑客常用的攻击方式,即伪造IP地址以便冒充其他系统与另一计算机系统通信。

(4)传输层:传输层主要存在的问题为在数据传输过程中,信息被中途截下篡改或被监听的安全隐患。应对其可能的被窃听的危险,目前主要通过SSL记录及握手协议和TLS协议保证通信稳定和安全。

(5)会话层:由于会话层传输信息的特点,其存在着危险的会话劫持问题,在攻击者试图接管计算机之间建立的TCP会话时便会常常发生会话劫持的问题,

攻击者会寻找想要进攻的系统已创立的会话,猜出TCP握手第一阶段生成的32位序列号,迫使用户掉线,再使服务器相信攻击者是合法客户端,即接管了会话,继而攻击者就可以利用劫持的账号的某些特权以及访问权限去执行一些命令。

(6)表示层:表示层兼顾数据的保密功能,防止数据篡改、茂名搭载或利用网络软硬件功能,通常采用加密技术防止数据泄露,这种加密技术可以在物理层、传输层和表示层进行。对于应用层的安全问题及安全技术,本文将于后续进行重点阐述。

3应用层安全技术

通常所说的应用程序就是在应用层工作的,主要用于相互通信的一些软件与程序,典型的有Web浏览器、电子邮件、ftp等,正如上文所述的,由于应用层程序复杂,安全性问题也十分突出,本文主要针对几个典型的应用层问题进行安全技术分析。

3.1Web安全技术

随着Web2.0等网络应用的发展,越来越多的互联网应用程序基于Web环境建立起来。Web相关应用的飞速发展当然也引起了黑客们的关注,而由于TCP/IP

协议设计过程中对安全问题的疏忽,网络上传输的数据几乎没有协议上基础的安全防护能力,这导致Web服务器极容易遭到攻击。而由于Web业务极广泛的覆盖面,攻击方式也可以说是非常多样化的,例如SQL注入,针对Webserver 的漏洞进行攻击,缓冲区溢出等种种方式。目前对于SQL注入攻击的防护还显得非常被动,主要依靠加密用户输入使攻击者注入信息失效,用专业的漏洞扫描软件查找漏洞等方式。另外,由于Web搭建时其本身存在一些漏洞,也可能被攻击者利用。这也是最常见的攻击方式,本质上讲SQL注入也是一种漏洞攻击。漏洞攻击更加复杂多样,典型方式例如脚本攻击,即特洛伊木马型的攻击,依靠恶意的URL指向的网页中嵌入的恶意脚本对被攻击者的计算机进行盗取信息。现实中,Web应用中存在的漏洞总是不可避免的,甚至由于Web应用使用的无防御的HTTP协议导致普通的防火墙无法防御Web类攻击,这两者为大量的Web攻击方式提供了可能,目前,主要依靠H3CIPSWeb入侵防御设备实现安全防护。

3.2邮件安全技术

电子邮件传输过程中,由于其无格式保密措施明文传输的特点,电子邮件的安全得不到保证,出现了种种安全问题。其常见的安全问题主要有恶意代码,蠕虫,特洛伊木马,以及垃圾邮件。恶意代码就如同另一种形式的URL攻击,被以电子邮件的形式发出的恶意代码会破坏邮件接收者的计算机数据,甚至会通过USB 等硬件接口以及自动向外发送软件的方式进行病毒性的传输与扩散。电子邮件的

相关文档
最新文档