计算机网络通信研究论文

发布时间:2017-05-29 19:50

信息技术的快速发展,在整个社会领域都得到了更加广泛地应用,深刻影响着人类的生活和经济的发展。下面是小编跟大家分享的是计算机网络通信研究论文,欢迎大家来阅读学习~

计算机网络通信研究论文篇一

《浅谈计算机通信的网络安全问题 》

一、计算机通信安全现状

计算机网络伴随信息技术的快速发展在各个行业中得到广泛应用,但随之带来了信息安全问题的出现,这对计算机通信造成了严重威胁。据美国联邦调查局统计,美国每年因网络安全问题造成的经济损失高达70多亿美元,全球平均每20秒就出现一起计算机入侵事件,从这些入侵事件中也不难看出网络攻击所具有的显著特点:

1.社会安全威胁,有些计算机网络攻击者主要针对国家的军事、政府部门进行攻击,从而对社会及国家安全形成威胁。

2.攻击造成较大损失,由于计算机入侵主要是针对网络上的计算机,因此每次攻击如若成功都将会给计算机用户带来巨大灾难,甚至会出现系统无法运行、数据丢失或者被盗窃的现象。

3.攻击手段多样化且十分隐蔽,计算机攻击者通过非法手段窃取他人帐号及密码进入计算机,然后通过对网络监视获取机密信息。完成窃取、监听过程的时间十分短暂难以察觉,但攻击的杀伤力却十分强大。

计算机网络通信安全所涉及的方面较多,可以从不同的角度作出相应的解释,国际组织对网络通信安全是这样定义的:信息的可用性、完整性、可靠性及保密性。若从一般层次上讲,计算机网络通信的可靠性及安全性主要依靠网络自己的特性借助一些安全措施或与安全技术相互结合预防计算机在通信过程中操作系统、软件、硬件的应用能够正常运行,网络中数据的传输不受破坏及威胁,拒绝非法用户对数据或服务的窃取。即借助于安全措施,无论是通过安全软件来进行对计算机实施保护又或是通过安全硬件设备对计算机通信安全提供保障,预防计算机网络遭受非法入侵,进而实现网络通信的持久安全运行。从网络运行的具体环节来看,网络通信安全主要包含:数据信息在传输过程中的安全、硬件设备运行过程安全、用户登录信息安全识别。计算机通信过程如何实现安全传输,这涉及到较多的学科,例如,计算机科学、网络技术、通信技术、网络安全等等,它主要是以实现网络系统中的硬件、软件及系统中存放的数据进行安全保护为主。确保来自外部的不良因素无法形成对其威胁,从而使网络系统安全、持久不间断运行,形成网络服务的畅通。

二、计算机通信网络安全问题的原因分析

(一)客观原因

首先,计算机通信网络所具有联结广泛的特性决定了给网络攻击带来了必要的条件,非法入侵者依据网络存在的漏洞或存在安全缺陷对网络系统的硬件、软件进行攻击。导致系统中数据的丢失,即便有些信息在安全级别方面进行了设置但还会有漏洞的存在。其次,计算机系统与通信网络自身较脆弱,因此遭受不同程度的攻击是不可避免的,虽然,我们也可以看到当前有很多保护系统安全的软件出现,例如,微软操作系统在漏洞被发现后都会及时制定解决方案,而这些解决方案都是通过编写应用程序的方式出现,程序代码的编写不可能是完美无瑕的,安全隐患仍然会存在。最后,计算机病毒的传播也加剧了网络通信安全问题的出现,使网络系统遭受着不同程度的打击,造成数据的改动、删除最终破坏整个系统。再有,电子商务软件普遍应用到通信网络系统中,而这些电子商务软件的源代码又是公开的,这给非法入侵者寻找系统漏洞带来了便利。

(二)主观原因

计算机网络管理员往往忽视潜在的安全问题,亦有些管理员的实际操作水平不够,在操作过程中违反安全保密所制定的规则,对操作规程不够了解,例如,工作中不允许公开的机密资料却进行公开发布,而密钥又不进行及时更新,长时间使用相同密钥,使得密码被破解的几率急剧增加,最终导致网络系统在管理上没有任何规章可循。在对网络系统的管理和使用方面,人们的习惯偏移于方便操作而忽视安全保密方面的问题。

三、计算机通信网络安全问题的解决对策

计算机通信网络安全威胁可分为两类:故意(黑客入侵等)、偶然(信息去向错误的地址)。故意威胁又可分为被动威胁及主动威胁两类。被动威胁主要针对信息进行监听但不对数据内容进行改动,主动威胁则是针对信息监听但对数据进行恶意修改。从以上两种攻击不难看出,被动攻击的难度远远小于主动攻击,因此被动攻击更加容易实现。但是目前并没有一种统一的方式或方法对各种威胁进行区别或者进行分类划分,也难以判断不同的威胁之间有没有联系。威胁随时根据所存在的环境发生变化而改变。然而,人们为了解释网络安全服务所带来的作用,总结了现代计算机网络及通信过程中比较常见的一些威胁:安全威胁领域(植入威胁及渗入威胁),植入威胁比较常见的有:特洛伊木马、陷门。渗入威胁:授权侵犯、旁路控制、假冒。但我们也可以清楚的看到,在非法入侵者实施入侵时往往将几种攻击手段进行结合使用。例如,Internet蠕虫就是将旁路控制与假冒攻击进行了结合形成的威胁。

(一)加强防范措施

网络攻击是针对系统及各方面安全缺陷进行非法操作的行为,因此防范策略应针对网络中的各个层次从技术角度进行安全设计这是安全防御系统形成的首要条件。目前所采用的安全防范措施从软件、硬件、软件及硬件相结合的设备主要有以下几种:安全过滤网关、系统加密、入侵检测、身份认证、漏洞扫描、杀毒软件等。

(二)数据加密方式

数据加密在当前数字货币、电子商务、电子银行等业务中得以普及,数据加密也是数据安全得以保障的核心技术,其加密的原理是由明文向密文进行转变的过程。与加密相对应的则是解密,即将密文恢复成明文的实现的过程,这两个环节均依靠密码算法进行实现。数据加密技术在网络通信中的应用有效促进数据通信、网络平台应用的安全系数的提高,保证双方的通信在安全下进行使得数据不被盗取及破坏。同时,数据加密技术也可在软件中实现加密,当加密程序本身没有受到病毒感染时便无法检查出数据或程序中是否含有数字签名,因此应将该加密技术应用在杀毒软件或反病毒软件当中。其次对网络数据库实施加密是十分必要的,由于数据通信传输中存储系统与公用传输信道十分脆弱,因此采用数据加密技术进行保护。以前我们对数据库的保护方式多采用设定访问权限及输入密码,此类问题解决的核心在于数据本身是否进行了加密,如若是进行了加密,那么数据即便被盗取也较难被破解。因此我们也不难看出数据加密技术在针对系统内、外部的安全管理中起到举足轻重的作用。随着数据加密技术日新月异,还应将当前的VPN技术与其结合,使数据以密文形式在互联网上实现通信传送,等数据到达局域网路由器时再进行解密,进而实现局域网用户明文查收数据,这样就有效的解决了局域网与广域网连接中网络通信数据传输的安全问题。

(三)数字签名及控制策略

数字签名技术是针对网络通信信息论证的科学方式手段,依据单向函数对报文进行处理及发送,进而得到报文认证的来源并判断传输过程中是否发生变化。数字网络通信中数字签名技术是认证的关键,它对解决伪造、冒充、篡改等问题起到主要作用,有着良好的无法抵赖性。当前数字签名技术成熟,尤其在电子政务及电子商务中得到普遍应用,具有较强的可操作性,在实践中我们应采用科学化、规范化的程序方式判断签名方身份,确保通讯内容的真实性、安全性性,进而实现有效的可控管理。其次,网络通信实践运行中还应引入科学的访问控制策略,确定相应权限,保障计算机网络安全、可靠运行,建立绝对安全的操作策略及保障机制有效预防非法攻击行为。

四、结语

计算机技术的发展与日俱进致使网络安全技术不断更新,掌握必要的网络安全知识,增强网络安全防范是十分必要的。我们要时刻注意安全问题,尽量多的使用可靠、安全工具进行系统的维护,使得我们的网络安全更加稳定、持久的运行,这也是未来电子化、信息化发展的必然要求。

计算机网络通信研究论文篇二

《 试析IPsec在计算机网络通信中的应用 》

1 IPSsec协议简介

IPsec是指IETF公布的一组以RFC形式描述的IP协议集,实在IP包级时为现有的IP业务提供的安全协议标准。IPsec的基本目的技术把安全机制和TCP/IP相结合,并且通过现代的高科技技术进行加密使其更加具有机密性和认证性。使用的用户可以通过选择来确定是使用的安全服务,并且可以达到期望的效果。IPsec协议主要是包括AH、ESP、IKE和IPsec。

IPsec的主要存在优点:IPsec定义了一整套用于认证和保护完整性、私有性的标准协议,IPsec支持一系列的加密算法例如DES、3DES、AES等,运用了IPsec技术来检查传输的包是否具有安全性和确保数据包内的数据没有被修改。IPsec被广泛的应用在许多场合,大至保护国家机关的网关机与用户之间的协议小至保护用户与用户之间传输的文件、数据。

2 IPsec和NET间的协作

与大多数的包交换网络一样,因特网也是建立在IP协议之上的传输。IP是使用一个16Byte的头校验和来确定数据是否完整,但是IP本身确实不安全的,在传输的过程中IP及其容易被捕获、拦截、重放、修改。这时IPsec就解决了IP在网络层的传输问题,IPsec的加密机制为Internet上数据的传输提供了保障。不仅如此,IPsec还可以为其IP层以上的高层协议提供安全保护,并且IPsec也是一种比较简单易懂很容易进行推广的安全网络基础方案。我们现在就以IPV4或者IPV6下的IPsec与防火墙协同问题研究为主要研究课题来进行探讨IPsec与NET之间的合作。

IPsec和防火墙是计算机通信中最常见的两种安全保护技术。IPsec主要是对特定的连接的认证机制和加密机制进行保护,在传输过程中IPsec会最大限度的屏蔽数据包的内容才能达到保护的作用防止数据包内数据被攻击。相反防火墙则是关注网络间连接种类比较多,它会根据上层的协议进行包过滤来阻止非法想要进入主机的入侵者。以上可以看出两者之间具有互补性,但是事物的好坏具有相对性,有利必有弊防火墙和IPSsec同样也存在以下几方面的不兼容问题。

(1)由于防火墙不能看到数据包的内容所以很难运行安全策略,因此防火墙对内部网络的保护能力被削弱。同时防火墙保护了主机中的配置,但却也很容易使这些中间节点与外界建立连接,从而降低了保密性和私有性使数据包的加密不再有意义。

(2)无论是防火墙与防火墙还是防火墙与主机之间的联系都能被内网的主机嗅到,这就加大了IPsec与防火墙的安全隐患。

综上所述,我们应该加强IPsec与防火墙的协同工作。

IPsec与防火墙的冲突在于防火墙要对数据包的报头部分进行检测以确保数据包的安全性,但是IPsec协议却又在保护整个数据包的安全性和保密性使得防火墙无法完成工作,从而产生冲突。所以将数据包的报头部分和数据部分分开操作是不可避免的。

接收端和发送端会对数据包的数据部分进行接收和处理,达到从一个网络到达另一个网络并且进行有利的保护的目的。而防火墙和主机之间用于对IP报文的协议头进行处理,这时由防火墙的内部主机来扮演通道这一角色,即在传输中间加入IPsec的加密步骤并且结合IDS达到不被外界攻击和修改的目的。

3 IPsec在计算机网络通信中的应用

3.1 IPsec中的SA

IPsec中的安全联盟(SA)是能够构成IPsec的主要基础。SA是两个IPsec经过协商后简历起的一种共同的协定:规定了传输的双方应该用什么IPsc来保护数据的安全性、加密、认证的密钥获取和安全认证密钥的生存周期等等的一系列问题。

一个SA主要是由安全协议标示符、安全参数索引(SPI)和目的IP地址确定的,SPI一般是一个32位的数字由目的端点来选择,安全协议标识符则是针对(50)(51)两个端口的协议号。由于SA是单工的所以想要实现两个实体对IPsec的双向使用就要两个SA,一个SA负责一个方向。SA通过一种类似于IKE的密钥管理通信协议在通信双方建立对等协议,当SA协商完成后两个对等双方都在他们各自的安全联盟数据库中存储了该SA的数据参数。

3.2 IPsec中的安全数据库(SAD)

为了方便IPsec数据流的处理,IPsec中定义了两个数据库那就是:安全联盟数据库SAD和安全策略数据库SPD。简单地说就是SPD进行指定到达特定主机或者网络的数据策划流而SAD则是用于存储SA的相关数据。

SPD是一个用于保护IP报文安全的策略数据表,IPsec通常在数据包内提取的选择字符段有:源IP地址、目的IP地址、源或者目的端口、传输层协议、数据敏感级别。一个IP报文的传输和接收一共是有三个可以选择的操作:应用IPsec安全服务、允许IP报文通过IPsec和不允许IP报文通过IPsec协议。当在SPD中没有寻找到相匹配的条目时句选择它的默认策略:丢弃IP报文即不允许通过IPsec协议。

SAD是SA相关参数的集合,每一个SA在SAD里面都有一个条目,这个条目包含以下几个域:

安全参数索引、协议的运行模式、抗重播窗口、安全联盟的目的IP和源IP、加密算法以及加密秘钥、安全联盟的生命周期、身份验证和加密秘钥的生命周期、验证算法和验证密钥、最大传送单元路径、序列号计数器和用于安全联盟的协议。

IP报文分为出站和入站两种,入站时通过IPsec协议和IP报文内容还有SPI在SAD里面查找是否有相匹配的SA。若找到了则按照安全服务来进行处理这个报文,该报文服从SPD的规则。若没有找到则不允许入站。相反的出站时先查找SPD中有没有相匹配的策略若是有则检索SAD中是否已经建立安全联盟条目并根据该条目对其进行出站处理。若是没有则将新的SA和这个IP报文一同存入SAD中。

4 IPsec与NAT之间存在的兼容性问题

IPsec与NAT之间的不兼容性主要是表现在IKE和NAT之间的不兼容和AH及ESP和NAT之间的不兼容性。下面我们进行分别得探讨:

4.1 IKE和NAT之间的不兼容

现有的IKE不支持和NAT之间的协同 工作时是无法完成通信的,只有当双方都支持穿越NAT的功能才能进行通信。因此我们应该探测双方主机是否有NAT穿越功能。

IEK双方能否感知到NAT的存在也是一个不容忽视的问题,当传输双方其中一方不能感受到NAT那么通信双方之间是不能建立起协同工作的。只有通过更改IP数据包内的相应IP端口号来工作。具体实现方法为:利用发送方的IP地址端口号进行HASH的运算并将结果传送到对方主机,接收方也进行相同的HASH运算要是得到的结果不相同则代表有NAT相反的,若是结果不相同则代表NAT是相同的不能进行传输。

4.2 传输模式中ESP与NAT不兼容的问题

当源端口的IP地址被NAT改变了的时候同时也会改变IP头和TCP/UDP的校验和。ESP传输模式在经过NAT的时候TCP/UDP校验和还处于加密的状态,NAT不能进行新的校验和的产生,当TCP/UDP经过NAT包需要解密时由于原来的TCP/UDP已经被改变所以无法产生原有的解密密钥,这个数据包就不会通过校验也就是无法被接受。

在隧道模式中却不同,因为隧道模式只运用了内部的IP包,而内部的IP包是不会被改变的,所以不会存在这种问题。

5 结束语

根据以上论述我们可以看出IPsec在实际 应用上还是不够完善,有很大的提高空间。本文只是提供了一个大致的方向,具体的施行方法有许多,应该按照具体的状况来进行选择。时代在进步,人们越来越多的使用 网络来进行交流,这就使网络的安全性成为了人们关注的一大焦点,IPsec作为一个重要的安全通信协议在网络通信中很多产品都是以其为基础进行制造和改进的。本文主要讨论了IPsec的新的 环境下的应用,主要是从NAT网络环境下和移动IP环境下两方面进行深入的了解并对IPsec与NAT的不和谐的地方进行了仔细的分析和修改。在移动IP环境中在内核中寻找SA的条件,通过这个条件我们可使IPsec与IKE协商的次数大大减少。针对以上的两个问题我们也给出了相应的解决方案,但是这只是一个初步的解决方案仅供参考还需提高和改进。

计算机网络通信研究论文的评论条评论