您好, 访客   登录/注册

浅析网络安全技术

来源:用户上传      作者: 董庆初 郑红光 何清瑞

  [摘 要] 当前网络安全越来越被人们所重视,特别对于企业网络来说,不但要使企业内部网络安全,还要防止受到外部的攻击。本文阐述了网络安全的基本概念与分类,介绍了当前网络安全技术的主流产品,同时,着重评述了无线传感器网络安全研究现状。
  [关键词] 网络安全 防火墙 无线传感器网络
  
  一、计算机网络安全技术
  随着计算机网络技术的普及和越来越广泛地应用于工业、农业、交通等国民经济各个领域和国防建设和军事领域,计算机网络时常出现的安全问题日益增多,存在的安全隐患,促使人们采取各种方案保护计算机网络的安全。下面介绍了计算机安全技术的解决方案。
  1.物理隔离网络
  所谓“物理隔离”是指内部网不直接或间接地连接公共网。实现物理隔离的方法有:
  (1)一人双机:在资金充足的情况下,给需要的人员配备2台电脑, 1台接入互联网, 1台只接入内部网。
  (2)网络安全隔离卡:在电脑上加装1块网络安全隔离卡,并再配备1块硬盘,随时根据使用者的要求,在内外网之间进行切换。
  (3)隔离计算机:例如:国内首创的神郁3000隔离计算机,使用者可以在网络之间实时在线、自由地切换,无需重新启动计算机。
  2.防火墙
  目前,常见的防火墙主要有三类:
  (1)分组过滤型防火墙:数据分组过滤或包过滤,包过滤原理和技术可以认为是各种网络防火墙的基础构件。
  (2)应用代理型防火墙:应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。
  (3)复合型防火墙:复合型防火墙将数据包过滤和代理服务结合在一起使用。
  目前出现的新技术类型主要有以下几种状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和其他一些新技术是未来防火墙的趋势。
  3.抗攻击网关
  抗攻击网关可以避免拒绝服务攻击(DoS)和连接耗尽攻击等网络攻击带来的问题,用户只需将抗攻击网关架设在路由器之前就可以使用,通过独立的监控系统就可以实时监控和报警,并可以给出安全事件报告。目前,抗攻击网关的类型主要有入侵检测、指纹识别、免疫型等。入侵检测和指纹识别需要大量消耗CPU和内存才能计算识别出攻击,然后,给出过滤规则,这种机制本身就容易遭受拒绝服务攻击,因此,免疫型抗攻击网关是今后发展的趋势。以中网宙斯盾抗攻击网关为例,它本身对攻击是免疫的,不需要大量计算,将数据包直接转发过去,但不能产生攻击。
  4.防病毒网关
  防病毒网关放置在内部网络和互联网连接处。当在内部网络内发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。目前,代表性的产品有亿邮防病毒网关、中网电子邮件防病毒网关、北信源防毒网关等。
  5.认证
  目前,常用的身份识别技术主要是基于RAD IUS的鉴别、授权和管理(AAA) 系统。RAD IUS ( remote authentica2tion dial in user service)是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户或服务器模式。它包含有关用户的专门简档,如,用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。华为、思科等厂商都有使用RAD IUS技术的产品。
  6.虚拟专用网
  随着商务的发展,办公形式的改变, 分支机构之间的通信有很大需求,如果使用公用的互联网络来进行通信,而不是架设专用线路,这样,就可以显著降低使用成本。VPN( virtual p rivate network)即虚拟专用网是解决这一问题的方法。VPN建立一条通过公众网络的逻辑上的专用连接,使得用户在异地访问内部网络时,能够和在本地访问一样的资源,同时,不用担心泄密的问题。采用IPSec协议的产品是市场的主流和标准, 有相当多的厂商都推出了相应产品。
  7.入侵检测和集中网管
  入侵检测( intrusion detection)是对入侵行为的发觉,是一种增强系统安全的有效方法,能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。目前,入侵检测系统的产品很多,仅国内的就有东软、海信、联想等十几种;集中网管主要体现在对网管的集中上,网管集中的实现方式主要包括存放网管系统的物理平面集中和通过综合集中网管实现对不同厂商网管系统的集中管控。大唐、朗讯、华勤等厂商各自有不同的集中网管产品上市。
  二、WSNs安全技术
  WSNs多用于军事,特殊现场的警戒保护、商业区域的安防,作为任务型网络,不仅要进行数据传输,而且要进行数据采集和融合,任务的协同控制等,如何保证任务执行的机密性,数据产生的可靠性数据融合的高效性以及数据传输的安全性,是WSNs安全方面需要研究的重要内容。在3个重要的环节上,节点的物理分布和数据的采样和数据的传输过程,应该对无关的各方和人员保密。由于传感器网络中节点随机部署、网络拓扑的动态性以及信道的不稳定性,使传统的安全机制无法适用。因此,需要设计新型的网络安全机制。目前,有关保证WSNs安全的方案和措施归纳起来主要有以下几种:
  1.对物理攻击的防护
  WSNs在开放的环境中大量分布着传感器节点,这些节点很容易被攻击者捕获,然后,破坏其物理结构或是从节点中提取密钥、修改程序甚至用攻击者自己的传感器来替代它们。
  2.实现机密性
  攻击者可以以一种低风险、匿名的方式收集来自WSNs的大量可被远程访问的数据,同时监视多个站点。通过监听数据,容易发现通信的内容,即消息截取或通过分析得出与机密通信相关的信息,即流量分析。
  3.私有性问题
  保证网络中的传感信息只有可信实体才可以访问是保证私有性问题的最好方法,这可通过数据加密和访问控制来实现;另外一种方法是限制网络所发送信息的粒度,因为信息越详细,越有可能泄露私有性,比如: 1个簇节点可以通过对从相邻节点接收到的大量信息进行汇集处理,并只传送处理结果,从而达到数据匿名化。
  4.防止DoS攻击
  有一种方法是建立基于冗余的防护机制,这使得即使有部分节点被攻陷,也不会导致整个WSNs系统崩溃。防御DoS攻击的方法没有一个固定的方法,它随着攻击者攻击方法的不同而不同。一些跳频和扩频技术可以用来减轻网络堵塞问题。恰当的认证可以防止在网络中插入无用信息,然而,这些协议必须十分有效,否则,它也会被用来当作DoS攻击的手段。
  5.认证和安全路由
  认证是对抗假冒节点或恶意数据的有效方法。比如:链路层安全体系结构TinySec能发现注入网络的非授权的数据包,提供消息认证和完整性、消息机密性、语义安全和重放保护等基本安全属性。最近安全路由提出的方案是入侵容忍路由协议INSENS,它允许恶意节点威胁它周围的少量节点,但威胁被控制在一定范围内,通过使用冗余机制来实现这种功能。
  6.据融合安全
  在WSNs中,众多的节点会产生大量的冗余信息,浪费十分有限的网络资源,而数据融合是节省网络通信资源的有效方法。但是,如果融合节点遭到攻击,那么,得到的数据将可能无效甚至有害。目前的一种解决方法是融合――承诺――证实的安全数据融合方案。但是,总体而言,当前对于安全数据融合的研究不多,还有大量的工作需要完成。
  7.密钥管理
  与密钥管理协议紧密相关的WSNs应用层技术―内网数据处理。典型的有:
  (1)数据融合技术。
  (2)数据聚集技术。
  (3)被动参与技术(passive participate)。
  现有WSNs的密钥管理协议大多数是基于对称加密算法的。因为公钥加密算法(如RSA)是计算密集型的算法, 每执行一个安全操作都需要CPU执行几百万甚至更多的乘法指令操作。
  三、结束语
  计算机网络技术的应用促进了社会经济发展,特别是近年来,传感器技术、MEMS技术和通信技术的进步推动了WSNs快速发展,WSNs已成为当今对人们生活产生重大影响的IT热点技术之一。WSNs作为一种起源于军事领域的新型网络技术,其安全性问题具有特别重要涵义,由于和传统网络之间存在较大的差别,WSNs的安全问题是未来面临的新的挑战。
  参考文献:
  [1](美)Ogletree TW 李之棠 李伟明 陈 琳:防火墙原理与实施[M].北京:电子工业出版社, 2001
  [2](美)GoncalvesM 宋书名 朱智强 徐开勇 防火墙技术指南[M].北京:机械工业出版社, 2000
  [3]龚 俭 陆 晟 王 倩:计算机网络安全导论[M].南京:东南大学出版社, 2000
  [4]戴宗坤:信息系统安全[M].北京:金城出版社, 2000


转载注明来源:https://www.xzbu.com/3/view-1489019.htm