-
论IP电话模型_计算机网络毕业论文
论IP电话模型_计算机网络毕业论文 [摘 要]P2P是目前流行于国际网络技术研究领域的一种新兴网络模型。作为真正的分布式计算技术,P2P技术将对Internet的发展产生重要的影响。文中首先介绍了P2P的概念,研究及其应用状况;然后分析了其三种网络模型:集中式P2P、纯分布式P2P和混合式P2P各自的特点和发现机制;最后提出了一种基于P2P的IP电话模型,并详细讨论了该模型的信息模型和搜索策略。 [关键词]P2P网络 发现机制 IP电话模型 [中图分类号]TP [文献标识码]A [文章编号]1009-5489(2008)05-0156-02 对等网络(P2P)技术是目前网络技术领域研究的一个热点,目前微软、Sun、IBM等很多著名的企业和公司都投入到P2P技术的研究之中。P2P技术出现于20世纪70年代,其典型代表是USENET和FidoNet两个分散、分布的信息交换系统,而真正地应用起源于文件交换软件Napster。P2P可以简单地定义为:通过直接交换信息,共享计算机资源和服务2P的应用研究涉及面非常广泛,主要包括网络拓扑构造、安全与可靠性、分布式数据存储和并行计算等。P2P的应用更是涵盖诸多领域,比如对等计算、协同工作、搜索引擎、文件交换和文件共享,还有很多在商务中的应用。但P2P技术在IP电话中的应用也只是在QQ等软件中的语音聊天中有所体现。鉴于此,本文通过分析比较了P2P技术现有的三种网络模型,在保证网络实时性和可靠性的基础上,构建了IP电话网络模型。 一、P2P网络拓扑结构模型分析 从技术上讲,P2P网络结构可分为:集中式P2P、纯分布式P2P和混合式P2P三种不同形式,下面分别进行分析。 1.集中式P2P 该模式中有一个中心服务器来负责记录共享信息以及反馈对这些信息的查询,每一个对等实体要对它所需共享的信息以及进行的负责。当某节点希望搜索一个不知道位置的资源时,该节点向目录服务器发送请求,目录服务器在数据库中查询到匹配的资源后将其定位信息返回该节点,然后在两个节点之间执行交互。该模型的最佳示例为Napster,它是一种用户共享MP3的软件。这种形式具有中心化的特点,但是它不同于传统意义上的Client/Server模式。因为传统意义上的Client/Server模式采用的是一种垄断的手段,所有资源都放在服务器上,客户机只能被动地从服务器上读取信息,并且客户机之间不具有交互能力;而集中式P2P模式则是所有资料都存放在提供该资料的客户机上,服务器上只保留索引信息,此外服务器与对等实体以及对等实体之间都具有交互能力。 集中式P2P可提供中心服务器目录检索,服务和标准的点到点通信,具有高效的检索和低效的交换服务的特点。但是中央服务器的瘫痪容易导致整个网络的崩溃,可靠性和安全性较低,且随着网络规模的扩大,中央服务器维护和更新的费用将急剧增加,所需过高。 2.纯分布式P2P 该模型中没有专门的服务器,整个网络是有无数节点组成,这些节点在功能上非常相似,没有一个节点知道整个网络结构或者组成网络的每一个节点的身份。相反,节点只知道直接与它们通信的节点。在进行网络资源搜索时,节点首先把包含搜索条件的请求信令发送给其邻居节点,再由邻居节点向其自身的邻居节点转发。以此类推,直到得到满足搜索条件的资源或请求信令的TTL为0;如果网络找到满足条件的资源,请求响应信令将沿着请求信令经过的路由的反向路由向回发送。此后,请求节点将建立到提供资源的节点的直接数据路由。其典型的代表就是著名的Gnutella。 这种P2P网络模型的优点在于允许用户设定自己的规则和建立自己的网络,提供近似的即插即用的特性,动态性很强。存在的问题是由于没有中心管理者,网络节点难以发现,这样形成的网络很难进行身份认证、安全管理、流量管理、计费等控制;在搜索节点时,由于每个请求广播的原因,对网络带宽要求高,容易导致网络阻塞。 3.混合式P2P 该模式结合了集中式和分布式P2P的优点,网络中有中间服务器,但文件目录是分布的。它在分布式模式的基础上,将用户节点按能力进行分类,使一些功能强的节点担任特殊的任务。这些节点共分为3种:用户节点、搜索节点和索引节点。用户节点一般不具有任何特殊的功能;搜索节点处理搜索请求,从它们的“孩子”节点(用户节点)中搜索文件列表;索引节点内存充足,连接速度快,用于保持可以利用的搜索节点信息,并收集状态信息,维护网络的拓扑结构。 二、IP电话系统组成和工作原理 IP电话系统一般有IP电话终端,网关(GATEWAY)、网守或者叫关守(GATEKEEPER)、网管系统、计费系统等几部分组成。 IP电话终端包括传统的语音电话机PC、IP电话机、也可以是集语音,数据和图像于一体的多媒体业务终端。 网关提供IP网络和电话网之间的接口,是VOIP的核心与关键设备。通过它可完成语音压缩,具有寻址和呼叫控制的功能。 关守负责用户注册与管理,它应当具有的功能为:将被叫号码的前几位数字对应网关的IP地址;对接入用户的身份认证,防止非法用户接入;做呼叫记录并有详细数据,从而保证收费正确;完成区域管理,多个网关可由一个关守进行管理。 三、IP电话网络模型的构建及其探讨 在选择P2P网络模型时主要考虑以下几个方面:首先,整个框架结构要求可运营,可管理,要求具备集中控制能力,并能提供服务质量保证;其次,要具有为用户提供安全认证管理;第三,为降低网络流量负担,节约网络资源,应减少用户访问对象的随机性,减小流量的不可预知性;此外还应该具备良好的开放性,灵活性和扩展性。因此选择混合式P2P模型来构建IP电话模型,由各个IP电话终端完成模拟信号和数字信号的转化,而且通过IP电话号码就可以找到被呼叫的IP电话终端。 当一个IP终端用户加入此网络中时,软件搜索网络提供给用户一个可用的目录节点的列表,供用户选择。用户可以选择其中多个(避免因单个目录节点出现故障或该目录节点已不再充当目录节点而造成呼叫失败)路由最短的目录节点作为其父节点,并提交相应的信息。网络中所有的IP用户因为随时会加入或者离开,IP地址与IP电话号码不完全是固定的关系,所以目录节点要定时刷新IP地址与IP电话号码的对应关系,保持IP用户节点处于一个稳定的状态。 四、 IP电话技术是一项新的技术,其发展速度非常快,最终将成为人们语音通信的重要工具。本文目的在于将P2P技术应用到IP电话中,以保证IP电话的语音数据包能够实时地、顺序地到达目的端。选择混合式P2P构建了IP电话模型,既具备快速检索的能力,降低网络流量的负担,又便于安全管理、身份认证、流量管理、计费管理等。 IP电话还涉及很多关键,如:语音编码和压缩技术、语音分组技术、语音抖动处理技术、静音检测技术、向前纠错技术、回声消除技术、QoS(Quality Of Service,即服务质量)保障技术等,由于篇幅有限,未能作详细介绍。 [参考文献] [1]糜正琨:《IP网络电话技术》,人民邮电出版社2000年版。 [2]Walter J.Goral ski Matthew C.Kolon 著,舒华英、赖平漳等译:《IP电话技术及其应用》,人民邮电出版社2000年版。 [3]HP Laboratories Palo Alto.Peer-to-Peer Computing.http://www.hpl.hp.com/techreports/2002/HPL-2002-57.pdf,2002 [4]Marc Findeli.Peer-to-Peer(P2P)Networking.http://www.onlinejunkie.de/docs/p2p.pdf,2001
-
网络攻击现象_计算机网络毕业论文
网络攻击现象_计算机网络毕业论文 摘要:网络上各种协议的制定最初的目的是为了有一个统一的标准可以使更方便和在更广泛的范围内实现互通。但就在这些协议成为标准之后,人们在研究它的过程当中发现了协议本身的一些缺陷。同时就有这样的一些恶意和善意的人们利用协议本身的缺陷并结合它们的工作原理研究出了许多对网络进行攻击的方法。本文主要介绍了在网络中存在的一些攻击现象,并分析了各种攻击现象的实现原理。 关键词:网络攻击;ARP;MAC地址;ICMP The Phenomenon of Network Attack WANG Yu-ting (Fujian Polytechnic of Information Technology, Fujian 350003, China) Abstract: Network protocols aimed at making communication more convenient on internet. However the defects of protocols give those spiteful cyber citizens some chances to develop ways to attack websites. I would introduce some possible ways to destroy websites in my thesis and analyze briefly the working principles which realize the attacks on internet. Key words: the network attacks; ARP; MAC address; ICMP 1 引言 现代的网络通信系统可以说已经遍布全世界的每个角落,尽管很多不同的用户使用着各种不同型号的并且运行的是完全不同的操作系统,但他们仍然可以通过TCP/IP协议族做到互相通信。这就是网络协议所发挥的巨大作用,但同时它也可以说是网络中的一把双刃剑。人们可以通过它实现任意形式的互通,也可以利用它破坏网络中的通信。这就是指人们通过研究各种网络协议中的缺陷和它们的工作原理来找到其中的漏洞,然后对相应的主机或网络进行攻击,最终导致被攻击主机或网络被监听、破坏甚至瘫痪以达到攻击者的目的。下文当中介绍的几种攻击现象主要是利用ARP、ICMP等协议的工作原理来进行攻击的。 2 链路层攻击 链路层也称作数据链路层或网络接口层,通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。该层中的协议主要有ARP(地址解析协议)和RARP(逆地址解析协议)两个用于某些网络接口(如以太网和令牌环网)的特殊协议,主要功能为用来转换IP层和网络接口层使用的地址。 ARP的工作原理简单概括为:在传输以太网数据包时必须知道目标主机的MAC地址。源主机在发送数据时首先检查自己的ARP列表中有没有该IP地址对应的MAC地址,有的话就直接传输。如果没有就向本地网段发起一个ARP请求的广播包,该请求数据包中包括源主机的IP地址、MAC地址以及目的主机的IP地址,网段中的所有主机收到该请求后都将目的IP与自己的IP进行比较,如果不相同就忽略此包;如果相同就将源主机的IP地址和MAC地址更新到自己的ARP表中,并发送应答数据包给源主机告诉对方自己的MAC地址,源主机接到应答包之后同样将对方的IP地址和MAC地址更新到自己的ARP表中,然后开始传输数据。 该层上的网络攻击就是利用ARP协议的工作原理来实现的,主要有以下两种类型: 2.1 ARP广播攻击 又称作ARP扫描攻击或ARP请求风暴。这种攻击表面上看起来是网络当中出现了大量ARP请求广播包,几乎是对网段内的所有主机进行扫描,最终大量的ARP请求广播可能占用掉许多网络带宽资源。实际上是由于黑客程序发送大量带假目标IP地址、假源MAC地址的ARP请求报文,产生大量广播包。这些新源MAC地址被各主机学习,造成ARP表溢出,挤掉原来合法的ARP表项,致使合法目标MAC成为新目标MAC,又使各主机产生大量ARP广播请求报文。 2.2 ARP欺骗攻击 ARP协议并不是只有发送了ARP请求才接收ARP应答,也可以直接接收ARP应答数据包。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中IP和MAC地址存储在ARP缓存中。因此在网络中,如果有人发送一个出错的或者是自己伪造的ARP应答,网络可能就会出问题。具体的实现过程可以描述为:黑客程序发送错误或者误导的ARP应答报文,使网络数据流重定向于黑客主机,使黑客主机成为网络数据流传输的中转站,导致窃取甚至篡改正常数据包。ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP和MAC间的映射对,并以此更新目标主机缓存。 具体的实现过程如下例所示:假设一个网络中,有三台主机共网段,分别为主机A、B、C。三台主机的详细信息描述如下: A的IP地址:192.168.18.1MAC地址:AA-AA-AA-11-11-11 B的IP地址:192.168.18.2MAC地址:BB-BB-BB-22-22-22 C的IP地址:192.168.18.3MAC地址:CC-CC-CC-33-33-33 假设现在A和C之间在进行通讯,此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.18.3(C的IP地址),MAC地址是BB-BB-BB-22-22-22(C的MAC地址本来应该是CC-CC-CC-33-33-33,这里被伪造了)。由于大多数的操作系统在接收到ARP应答后不考虑是否发出真实的ARP请求,当A接收到B伪造的ARP应答,就会及时更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址为192.168.18.1(A的IP地址),MAC地址是BB-BB-BB-22-22-22(A的MAC地址本来应该是AA-AA-AA-11-11-11),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。这样主机B就实现了对A和C的监听。这就是典型的ARP欺骗过程。一般情况下,ARP欺骗的某一方应该是网关,就如上面的A主机。 3 网络层攻击 一个MAC地址层范围(第二层)的攻击是最普通而且也是最不容易发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。这些攻击利用正常的协议过程来获取信息,比如通过交换机的功能来获取MAC(媒体接入控制)地址,通过ARP协议(地址解析协议)来获取终端工作站的MAC地址或者通过DHCP(动态主机配置协议)服务器来获取IP地址分配结果。 3.1 MAC地址溢出攻击(MAC/CAM攻击)
-
浅论网络环境下高校实践性课程的研究性教学策略_计算机网络毕业论文
浅论网络环境下高校实践性课程的研究性教学策略_计算机网络毕业论文 [论文关键词]网络技术;研究性学习; [论文摘要]研究性学习是倡导以学生的自主性为基础的一种新型的学习模式,基于网络技术的研究性学习是以网络技术为媒介和手段来改变传统的学习理念和学习方式,突出现代信息技术教育的作用,开展研究性学习,提高学习效率,培养学生的创新能力和实践能力.文章就网络环境下计算机组装与维护课程的研究型学习为例,提出适合于课程实践性较强的几种新的教学策略. 随着现代科技的迅猛发展,网络技术逐步渗透到人类生活的各个领域.由于网络环境自身的特点能实现学习的交互性,通过人机对话与人工智能化,进行计算机各部件工作原理的模拟和仿真,实现信息资源的共享.网络环境的开放性加深了人与人之间的交流与合作,网络的超文本链接和资源共享,有利于学生创新精神和实践能力的培养.国家教育部从2000年开始推出的各种课程教育计划中把研究性学习作为重要内容列入其中,首次成为我国基础教育课程体系的有机组成,这被公认为我国当前课程改革的一大亮点.国外自20世纪90年代以来,自主性、开放性、研究性学习的课程已构成许多国家课程改革的突出特征,如美国的自然与研究、设计学习,英国的社会研究、设计学习,法国的综合学习,日本的综合学习时间等,这类课程都注重和强调学生在学习活动过程中的科学探究和科学体验,注重培养学生的信息素养. 1网络环境下的研究性学习特征 从课程发展角度来看,研究性学习课程及信息课程的整合研究已成为当前课程改革的热点问题.网络环境拓展了学习的时间与空间,因此,倡导在网络环境下开展自主性学习,其实质就是一种以网络为背景的探究性的教与学.它是以课堂教学的过程为基础,以学生的自主学习为主,鼓励学生在学习过程中进行交流与协作.网络环境下的《计算机组装与维护》研究性学习,是指以网络为媒介,依据网络的资源共享、交互学习、超文本链接等特征,在教师或专家指导下,从理论和实践中选择和确定相应专题,以小组讨论方式,展开组装与维护综合性活动.网络环境下《计算机组装与维护》课程研究性学习具有以下几个特点: 1.1研究性学习的自主性与网络环境的交互性 研究性学习内容的具体选择与设计,可以根据学生、学校及课程的具体条件灵活地选择.网络自身的交互性特征可以不受时空的限制,采取丰富多彩的交互方式,打破地区的界限进行协作交流,如利用BBS、E-mail、网络聊天室、电子公告栏等,在学生与教师之间,学习伙伴之间,学习者与专家之间展开学习,讨论问题,从而促进信息的相互交流,这有利于提高学习者自主发现和自主探究的学习能力. 1.2研究性学习的实践性、应用性和网络环境的生成性 有效借助网络进行个性化学习,可以完善学生的智能结构,促进学生人格的健康发展.学生利用所学的理论知识与计算机模拟有效结合,可以获得实际应用的真切体验.因此,借助网络环境可以减少实验设备的投资,降低教学成本,同样使学习者的认识和体验不断加深,创造性的火花不断进发. 1.3研究性学习的灵活性、多样性和网络环境的广泛性 这门课程研究性学习正是有了内容广泛性和活动形式的多样性,所以适应了学生群体智能的多元倾向与学习方式的多样性选择.而网络环境下各种可利用的资源丰富,信息更新速度快,在教师有效组织的前提下,网络环境可以为每个学习者提供不同需要的学习内容和实践对象;而各种层次的学习者,几乎都可以在网络环境中在线点击或找到自己感兴趣的学习资源,从而产生探究欲望和积极性.网络 环境的开放性和多样性可以使学习者尽早形成合作、资源共享意识,同时,因为学习参与过程,从而使学习者获得尊重且产生成就感. 1.4研究性学习活动环境、气氛的愉悦性和网络环境的趣味性 哪里有兴趣哪里就有记忆.研究性学习应针对每一个学生的兴趣爱好和主观要求进行活动设计.研究性学习的内容安排,如果以分组竞赛的形式组织活动就能激发学生的好胜心.倘若教师安排的活动有吸引力,还能激励学生乐学、好学的志趣,同时为学生创造趣味性强、宽松活泼的学习氛围,容易形成平等、民主、合作的师生关系.因此,在网络学习过程中,可以根据学习内容特点,把学习者提出的具有价值性的问题,以多媒体的方式将问题情景化,呈现在学生面前,使学习者增强学习主动性,产生探究的欲望,进而学会创新. 2网络环境下研究性学习的组织形式和教学模式建构 2.1网络环境下教师角色的转变 研究性学习过程中学生通过直接体验和探究获得直接经验,其专题性、开放性、实践性和综合性的特点,决定了教师在研究性学习过程中的角色是充当活动的组织者、情感的支持者、学习的参与者和信息的咨询者.教学过程中的教师、学生、信息与手段等各要素的关系与功能开发,是与传统教学模式不同的另一种功能性结构模式,是一种理想化的建构主义学习模式,教师从观念到实际操作都起到了质的变化.教师角色中的知识来源作用将由部分网络替代,即技术承担教师的部分角色.信息资源获取机会的均等性使得教师不再拥有控制知识的专权,而逐步向伙伴与伙伴的关系转换.从研究性学习课题的制定和成果的发布到学习过程与学习的检测评估,每个环节都是基于网络环境进行的,要求教师具有较高的信息技术和使用水平;指导学生进行材料的搜集,要求教师具备通过网络和电子资料熟练查询和搜集的能力;指导学生进行交流和给学生提供技术材料,要求教师具备很强的文本编辑能力;协助学生进行课题成果的展示,以及利用学生网页发表学生的研究成果,要求教师具有一定的图像处理能力,多媒体制作能力以及一定的网页编辑能力.只有当教师熟悉并能熟练地运用新技术、新手段使之成为指导学生学习不可或缺的部分时,教师角色的定位才有可能科学而准确. 因此,在网络环境下对《计算机组装与维护》进行研究性学习,教师不再是学习的主宰者,而是学习的帮助者.教师不再是惟一的信息源,而是更多地注重指导学生学会学习,帮助学生如何才能更快捷的搜索到自己需要的知识,如何使自己的知识成为更适用更有效的结论并被别人接受和加以运用. 2.2网络环境下的《计算机组装与维护》研究性学习的组织形式 2.2.1个体活动型
-
论网络数据库安全性策略与应用_计算机网络毕业论文
论网络数据库安全性策略与应用_计算机网络毕业论文 [论文关键词]网络数据库 安全性 策略 [论文摘要] [论文摘要]随着因特网的扩大、数据库技术的成熟,网络数据库的安全性问题显得日益重要。从外围层的安全和核心层的安全两个方面阐述网络数据库安全性策略和应用。 现在的网络数据库更多的是互联的、多级的、不同安全级别的数据库。由此,网络数据库安全不仅涉及到数据库之间的安全,更多地涉及到了一个数据库中多级功能的安全性。理想的网络数据库安全防护应考虑两个层面:一是外围层的安全:操作系统与WEB服务器以及应用服务器的安全;二是数据库核心层的安全,即数据库本身的安全。 一、外围层的安全 外围层的安全包括系统安全和网络安全。对计算机系统和网络安全来说,最主要的安全威胁来自病毒侵犯,对此,外围层中应避免病毒利用网络平台隐藏、扩散及破坏整个系统的运行,采用防、杀、管相结合的综合治理方法,可采用VPAN技术构筑网络数据库系统的虚拟专用网,保证网络路由的接入安全及信息的传输安全,通过防火墙技术,实现网间隔离和网段间隔离,保证网络边界安全,确保系统免受病毒等非法入侵的危害。 (一)操作系统安全技术 操作系统是大型数据库系统的运行平台,为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在Windows2000和Unix,安全级别通常为C1. C2级。主要安全技术有操作系统安全策略、安全策略、数据安全等方面。操作系统安全策略用于配置本地计算机的安全设置,包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其它安全策略。具体可以体现在用户账户、口令、访问权限、等方面。 (二)SQL Server数据库通用安全模型 标准的SQL Server数据库安全模型由用户、SQL Server登录、权限和基本表组成,SQL Server的安全认证模式 安全认证是指数据库系统对用户所输入的账号和口令进行确认,它包括确认用户的账号是否有效、能否访问系统、能够访问哪些数据等。安全性认证模式是指系统确认用户的方式。SQL Server有标准安全认证模式、Windows2000安全认证模式(也称集成安全模式)以及Windows 2000和SQL Server的混合安全认证模式。 (三)数据库管理系统(DBMS)下的安全防范 数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大,则数据库系统的安全性能就较好。目前上流行的是关系式数据库管理系统,其安全性功能很弱,这就导致数据库系统的安全性存在一定的威胁。我们从提供身份认证和数据完整性认证、授权访问控制、对机密信息实施加密保护和审计追踪和攻击检测等几个方面着手,构建数据库管理系统(DBMS)下的安全防范,保证数据库的独立性和完整性。 二、核心层的安全 (一)数据库的加密 网络数据库中的数据加密是数据库安全的杨心问题。为刘抗黑客利用网络协议、操作系统安全漏洞绕过数据库的安全机制而直接访问数据库文件,对数据库文件进行加密就显得尤为重要。 数据库的加密不同于一般的文件加密,传统的加密以报文为单位,网络发送和接收的都是同一连续的比特流,传输的信息无论长短,密匙的匹配都是连续的、顺序对应的,它不受密匙长度的限制;
-
光网络技术在城域传送网中的应用_计算机网络毕业论文
光网络技术在城域传送网中的应用_计算机网络毕业论文 摘要:陈述了传送网面临着机遇和挑战,提出完善的传送网在QOS、安全、技术选择等方面需满足长远发展的要求。分别讨论了城域波分和MSTP两种技术在城域传送网中的应用。通过对这种组网方式的分析,说明了城域波分+路由器技术将逐步取代路由器光纤直驱组网方式,成为未来城域核心网的主流建网模式,而MSTP将是未来城域接入网的优选方案。 关键词:城域波分;多业务传送平台;城域核心网;城域接入网 The Application of Optical Technological in MAN Transmission Nework WU Chuo-lan (China Tietong Wuhu Branch, Wuhu 241000, China) Abstract:The presentation of the transmission network with both opportunities and challenges, to improve the transmission network in QOS, security, technology choices, and other areas need to meet the requirements of long-term development. The two technology of M-DWDM and MSTP are discussed about the application in the MAN transmission network. Networking Method Through this analysis shows that fiber straight drive routers Networking Method will be gradually replaced by D-DWDM+router technology and it become the metro core network model of mainstream network building, and MSTP will be the optimization program in the future Metro Access Network Key words:M-DWDM; MSTP; Metro core network; Metro acess network 随着技术的进步和信息需求的提高,人们越来越不仅仅满足于话音业务,移动、视频、游戏、娱乐等业务已经成为发展趋势,这些就是我们所熟悉的NGN、3G业务。 广义NGN网络架构与传统的电信网络在本质上的差别,就是传送与控制分离,无论什么业务,都通过IP统一传送,新业务开发和宣传等等可以由第三方完成,业务的种类极大丰富,网络流量也随之大增。因此业务和网络建设成为其面临的两个最主要的挑战。其中网络管理面临的挑战,就是要建立一个完善的传送网,以实现在综合业务传送、扩容、QoS、安全、技术选择等方面均能很好地满足长远发展的需要。 目前,如何确保IP传送网的安全和传送业务的高QoS,是IP传送网面临的最大问题。在IP城域核心网,依靠强大的芯片设计能力,可以制造出超能力的大型路由器,因此普遍采用这种超能力设备实现轻载传送,配合DiffServer调度机制以及MPLS端到端面向连接的处理机制,可以很好地确保核心网路由转发的性能。 在网络安全方面,随着IP技术的不断进步,基于三层的FRR快速重路由保护机制可以提供快速的网络保护,但目前尚缺乏大规模商用验证。正是基于此,大部分运营商的IP传送网都是先做干线,以典型的Router+WDM方式来构建或者是优先实现城域IP核心传送网,也是典型的Router+光纤直驱WDM方式。 在接入层目前面临的问题就相对较多。接入层可以选用的技术很多但是缺乏最佳的技术,只有选择相对较合适的技术。传统的L2对于QoS和安全性问题无能为力,光纤直连在网络安全性方面也不适合长远发展,而MSTP技术因为可以解决接入网的QoS、安全等问题,是当前比较好的选择。此外,电信级以太(CE)概念的提出,也正是为了解决传统以太传送设备的安全性、QoS和可靠性问题,使以太技术能适应城域电信业务传送的需求。 随着EOS(Ethernet Over SDH)和EOW(Ethernet Over WDM)技术的发展,在MSTP和城域波分中也逐步融入内嵌RPR和二层交换等功能,以便在实现透明传送的同时,也实现功能完善的二层交换功能,供不同场合灵活使用。 光网络中对业务的转发是透明的,无论什么样的业务都可按配置好的电路端到端透明直达,中间无需逐包处理,就能达到时延最短和QoS最高保障的效果。因此在干线上,最佳的选择是Router+DWDM,以使不同地点之间的业务经过波分传送直达。由于DWDM能提供丰富的层保护方式,可减少中间Router层层转发,因此能很好地解决网络QoS和安全性问题。 目前,在国内,由于城域内光纤管道比较丰富,因此城域核心网用Router光纤直驱的方式比较普遍。这种应用模式带来的问题是光纤和管道消耗较快,光纤管理难度大,光纤直驱将会逐步减少。部分运营商由于光纤资源不够丰富,Router互连常常选择采用城域波分(M-WDM)。当前主流的城域波分为40波容量系统,最高带宽可达40×10G网络建设具有一定的前瞻性。 另一方面,在本地网应用中,由于县到市距离远,光纤直驱无法满足跨距需求,且长途光纤资源紧张,城域波分综合传送无疑是最佳选择,因此在当前本地网建设中,40波的城域波分成为建设主流,它充分满足了IP、传统窄带、大客户以及未来3G业务的带宽需求。 随着光器件不断成熟,纯光交换机制在波分系统中逐步商用化,配合ASON功能,基于ASON的下一代城域波分系统调度和管理将越来越方便,波分设备的组网也将彻底摆脱环形结构,具备构建网状网(MESH)的能力,更适合业务传送。“Router+光纤直驱”的组网方式必将逐步被“Router+ASON WDM”取代,具备ASON功能的下一代智能城域波分系统也将迎来一个新的建设高峰。 由于传统互联网业务粗放式经营,带宽需求不仅赢利能力差,缺乏增值业务,而且对QoS和安全性要求低,因此MSTP在互联网建设中应用不多,主要是解决部分地区拉远问题。 NGN业务与互联网业务完全不同,高附加值业务对网络时延、抖动等各种QoS要求极高,采用传统的建网模式不能满足新业务需求。而MSTP传送IP业务对其时延、抖动和高QoS等需求能很好满足,且MSTP支持丰富的以太业务传送功能:透传、MAC二层交换、VLAN、Qi nQ、MPLS、内嵌RPR等等,满足各种场合下IP业务的传送需求。 对于局部带宽需求高的密集城区,MSTP可能传送能力够,可以考虑采用小容量城域密集波分或者粗波分传送业务,满足大容量业务QoS和高安全性传送需求。 作为构建城域接入网的优选方案之一,MSTP在实现IP业务接入的同时,还可以同时传送3G和大客户等多种业务接入,实现多业务综合传送,避免建设多张传送网造成的重复。 尤其值得一提的是即将来临的3G建设。3G网络的传送网也是广义城域网的一部分,因此在建设新一代城域网的时候要综合考虑进去。无论是WCDMA还是TDSCDMA,都要求传送设备提供高精度时钟。从这方面来看唯有MSTP/SDH能够满足这一条件。当前3G可商用版本的基站传输都是基于E1的ATM传送,MSTP继承了SDH的所有优势,能够有效解决3G基站的时钟和E1业务传送问题。MSTP通过板间扩容平滑升级支持以太业务处理,通过简单的网络改造即可实现未来NodeB IP化传送需求,保证运营商的前期网络投资。 另外,据,全国企业注册数量达到1500万家,但其中有专线网络的仅有10%,即使是拥有专线的企业,还面临专线网络升级、改造和补点等建设需求。通过建设专线网、提升带宽、完善专线覆盖来提升企业的信息敏感度和企业竞争力,是现代企业的。因此,面对企业信息化建设的浪潮,大客户专线建设无疑是运营商目前和未来的战略型业务之一。大客户业务类型繁多,常见的有FR、DDN、ATM、SDH和IP等类型专线,为避免建设多张网络,主流建设思路可以优先考虑MSTP网络传送所有专线,提升专线提供能力。 综上所述,“城域波分+路由器”将是未来城域核心网的主流建网模式,随着ASON城域波分的不断成熟商用,路由器光纤直驱的应用模式将逐步淡出。而在城域接入网,为了降低建网和维护成本,建设综合传送接入网是有效措施,当前MSTP更是传送多业务、确保接入网安全和可靠性的优选方案。 参考文献: [1]电信技术. 人民邮电出版社. [2]通信世界. 人民邮电出版社. [3]电信科学. 人民邮电出版社.
-
关于网络攻防实验技术的研究_计算机网络毕业论文
关于网络攻防实验技术的研究_计算机网络毕业论文 论文摘要:计算机网络入侵会给系统带来灾难性的后果,为了降低网络入侵带来的风险,可以运用网络攻防实验来模拟网络入侵。阐述了攻防实验是对系统风险评估的有效手段,是信息安全技术的重要组成部分。攻防实验在刚起步的时候仅仅是对信息安全技术的有效提升,而之后它的重要性会逐渐增加并开始成为信息系统风险评估的重要技术补充。重点从技术的角度叙述了攻防实验的主要方法,从而使攻防实验井然有序地进行。 论文关键词:攻防实验技术;风险评估;信息安全 0引言 网络的开放性、黑客的攻击和系统本身的缺陷导致网络内的计算机并不安全,网络入侵也经常发生,往往造成严重的后果,为了尽早恢复网络或系统的正常运转,降低入侵的风险成为了急待解决的问题。由于攻防实验技术以入侵技术为前提,因此防御实验存在着时间滞后性。攻防实验也成螺旋状态不断地发展变化。本文通过对攻防技术的具体剖析来对攻防实验的一般方法和过程进行详细介绍。 l攻防实验与信息安全风险评估 根据国标(GB/T209842007信息安全技术信息安全风险评估规范》,信息安全风险评估被解释为依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的西悉尼的保密性、完整性和可用性等安全屙陆进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。风险评估是对信息系统的安全属性进行评估,风险级别和评估范围决定评估的方式和方法,而评估方式和方法决定评估的手段。攻防实验技术是对风险评估工作的有效技术补充,是对系统保密性、完整性和可用性的系统评估分析手段,可降低安全事件发生的可能性,对修订安全策略、加强调整预防、监控和应急有着不可忽视的作用。 2攻防实验的目标和任务 在攻击和防御的对抗中,攻击方通常掌握着主动性,而防御方必须具备能够和攻击方相抗衡的智能。因此,攻防实验通常需要达到的目标是发现信息系统的脆弱性,提高信息系统的防御能力和信息系统的入侵响应能力,尽可能有效排除信息系统的威胁。 攻防实验的第一任务是掌握先进的入侵方法和手段,发现信息系统的潜在脆弱性,分析攻击的规律及轨迹,为反向工程提供实践依据。很多情况下,信息系统的入侵是由于管理员不知道黑客攻击的入侵手段和系统的潜在脆弱性,不能够快速反应。攻防实验的第二任务是收集积累准确的数据资料,为安全策略分析和系统改进提供依据。在攻防实验的过程中,要注意记录和保留相关的原始资料,为下一阶段的分析和总结提供良好的基础。 3攻防实验的主要技术 为了井然有序地进行攻防实验,攻防实验可以被分成人侵技术和防御技术。两者相辅相成,但防御技术比入侵技术发展滞后。入侵技术又可分为信息搜集技术和攻击技术,防御技术可分为监控技术、检测技术和蜜罐技术。通过对攻防实验的准确定位,达到让攻防实验可以较真实较全面地模拟网络人侵。同时依据信息安全风险评估规范,可以有针对性地对某类入侵进行详细的资料搜集和数据分析。 3.1入侵技术 基于对网络攻击行为过程性的认识,人侵技术以入侵目标网络为主要目的,通常以入侵为主要手段,以盗取信息或破坏系统为主要目的。对其进行分类研究,对于了解攻击的本质以更准确地对其进行检测和响应具有重要的意义。通常,入侵以信息搜集为前导,通过系统所暴露的脆弱性进行相应的入侵操作,可分为攻击技术和信息利用技术。 攻击技术包括攻击前期的信息搜集技术和后期的攻击技术。黑客的入侵过程通常在对目标主机的扫描探测后,针对系统所暴露的脆弱性和漏洞,对系统进行入侵操作。 3.1.1信息搜集技术
-
论校园网信息安全与网络管理_计算机网络毕业论文
论校园网信息安全与网络管理_计算机网络毕业论文 [论文关键词]校园网 信息安全网络 [论文摘要】由校园网运行和信息安全问题,提出加强校园网管理,提高教师和学生信息安全意识。并对具体的网络管理实施方法和信息安全保护措施进行探究和实践。 一、引言 随着校园网络建设的不断发展,学院在教学、管理、科研以及对外信息交流等多方面对校园网的依赖性日渐增强,以网络的方式来获取信息、存储信息和交流信息成为学院教师和学生使用信息的重要手段之一。然而,就目前的网络运行状况来看,校园网信息安全问题日益突出,网络的稳定性依然较差,因此,加强校园网的管理,确保校园网安全、稳定、高效地运行,使之发挥其应有的作用已成为当前校园网应用中一个亟待解决的课题。 二、校园网信息安全的研究思路 校园网是一个直接连接互联网的开放式网络,校园网用户的层次差异较大,校园网的信息安全与用户的安全意识和技能紧密相关,校园网的校园网的信息安全从总体结构上可分为,校园网主干网设备和应用的安全和校园网用户的安全应用两个部分。对具体的信息安全问题的研究,能有效的解决校园网中的信息安全隐患,从而确保校园网安全,稳定、高效地运行。 (一)校园网边界安全 校园网边界安全就是确保校园网与外界网络的信息交换安全,既能保证校园网与互联网进行正常的信息通讯,又能有效地阻止来自网络的恶意攻击,如端口扫描、非授权访问行为、病毒、不良网站等。 (二)系统漏洞的修补 校园网的网络运行较为复杂性是一个由多用户、多系统、多协议、多应用的网络,校园网中的网络设备、操作系统、数据库、应用软件都存在难以避免的安全漏洞。不及时修补这些安全漏洞,就会给病毒、木马和黑客的入侵提供方便。 (三)校园网与存储设备的安全 校园网计算机和存储设备中存储了大量的信息,如学生,教学课件、考试题库、学生作业、网站数据、办公文件等。由于设备配置、应用和管理上的问题存在较大的信息安全隐患。如设备无分级管理、使用帐户和密码、操作人员无信息安全常识等。 (四)校园网计算机病毒控制 计算机病毒是校园网安全隐患之一。必须做到有效控制。选择适合的杀毒手段和相应软件可以对服务器、接入计算机、网关等所有计算机设备进行保护,杀毒软件可以对邮件、FTP文件、网页、U盘、光盘等所有可能带来病毒的信息源进行监控、查杀和拦截。计算机病毒控制要防杀结合以防为主。
-
网络安全及网络安全评估的脆弱性分析_计算机网络毕业论文
网络安全及网络安全评估的脆弱性分析_计算机网络毕业论文 [摘要]随着网络技术的迅速发展,在共享网络信息的同时,不可避免存在着安全风险,网络安全问题已成为当前网络技术研究的重点。网络安全风险评估技术能够检测网络系统潜在的安全漏洞和脆弱性,评估网络系统的安全状况,是实现网络安全的重要技术之一。 [关键词]计算机网络 安全评估 脆弱性 中图分类号:TP3 文献标识码:A文章编号:1671-7597 (2008) 0110018-01 随着计算机网络技术的快速发展,全球信息化已成为世界发展的大趋势。在当今的信息中,计算机网络在、、军事、日常生活中发挥着日益重要的作用,从而使人们对计算机网络的依赖性大大加强。现有的计算机网络在建立之初大都忽视安全问题,而且多数都采用TCP/IP协议,TCP/IP协议在设计上具有缺陷,因为TCP/IP协议在设计上力求运行效率,其本身就是造成网络不安全的主要因素。由于计算机网络具有连接形式多样性、开放性、互联性等特点,使网络很容易受到各种各样的攻击,所以当人们充分享受网络所带来的方便和快捷的同时,也应该充分认识到网络安全所面临的严峻考验。 一、网络安全 (一)网络安全的定义 网络安全是指计算机网络系统中的硬件、数据、程序等不会因为无意或恶意的原因而遭到破坏、篡改、泄露,防止非授权的使用或访问,系统能够保持服务的连续性,以及能够可靠的运行。网络安全的具体概念会随着感兴趣角度的不同而不同。从用户的角度来说,他们希望自己的一些绝密信息在网络上传输时能够得到有效的保护,防止一些非法个人通过窃听、篡改、冒充等手段对用户的绝密信息进行破坏。 从网络安全员来说,他们希望本地网络信息的访问、读写等操作能够得到有效的保护和控制,避免出现拒绝服务、资源非法占用、非法控制等威胁,能够有效地防御黑客的攻击。对于国家的一些机密部门,他们希望能够过滤一些非法、有害的信息,同时防止机密信息外泄,从而尽可能地避免或减少对社会和国家的危害。网络安全既涉及技术,又涉及管理方面。技术方面主要针对外部非法入侵者的攻击,而管理方面主要针对内部人员的管理,这两方面相互补充、缺一不可。 (二)网络安全的基本要求 1.机密性(Confidentiality)它是指网络中的数据、程序等信息不会泄露给非授权的用户或实体。即信息只能够被授权的用户所使用,它是保护网络系统安全的重要手段。 2.完整性(Integrity)它是指网络中的数据、程序等信息未经授权保持不变的特性。即当网络中的数据、程序等信息在传输过程不会被篡改、删除、伪造、重放等破坏。 3.可用性(Availability)它是指当网络中的信息可以被授权用户或实体访问,并且可以根据需要使用的特性。即网络信息服务在需要时,准许授权用户或实体使用,或者当网络部分受到破坏需要降级使用时,仍可以为授权用户或实体提供有效的服务。 4.可靠性(Reliablity)它是指网络系统能够在特定的时间和特定的条件下完成特定功能的特性。可靠性是网络系统安全最基本的要求。 5.可控性(Controllablity)它是指对网络信息的和内容具有控制能力的特性。它可以保证对网络信息进行安全监控。 6.不可抵赖性(Non-Repudiation)它是指在网络系统的信息交互过程中,确认参与者身份的真实性。它可以保证发送方无法对他发送的信息进行否认,并且可以通过数字取证、证据保全,使方可以方便地介入,通过来管理网络。 二、网络安全评估中的脆弱性研究 脆弱性是指计算机或网络系统在硬件、软件、协议设计和实现、系统采取的安全策略存在的不足和缺陷。脆弱性存在的直接后果就是允许非法或非授权用户获取或提高访问权限,从而给攻击者以可乘之机破坏网络系统。 总的来说,计算机网络系统脆弱性主要是由程序员不安全编程和错误操作造成的,网络协议本身的缺陷以及用户的错误使用和设置所造成的。归纳起来主要有以下几个方面。 (一)设置错误 它主要是指系统管理员或用户的错误设置,这类由于错误设置导致的系统脆弱性很受攻击者喜欢,因此也是最常见的脆弱性。许多产品制造商在产品推向时为用户设置了许多默认参数,这些设置的目的主要是对用户的充分信任,方便新用户的使用,但是这些设置可能会给计算机网络系统带来很大的安全隐患。 (二)设计错误 它是指设计实现时,因为程序员由于自己的疏忽和为了自己方便而设计了一些后门,这类脆弱性很难发现,而且一旦发现也很难修补,它对网络系统的安全威胁非常大,这类脆弱性只有通过重新设计和实现。 (三)网络协议自身的缺陷 它是指网络协议自身的缺陷和不足所造成的安全隐患。网络协议是指计算机之间为了互联而共同遵守的规则,目前计算机网络大都采用TCP/IP协议,TCP/IP协议在设计之初力求开放性和运行效率,缺乏对安全性的总体构想和设计,所以存在许多脆弱性,从而留下很多安全隐患。 (四)输入验证错误 它是指对用户输入数据的合法性进行验证,导致攻击者非法进入系统。大多数缓冲区溢出脆弱性CGI类脆弱性都是由这种原因引起的。RedHat6.2的dump命令都存在这种脆弱性。 (五)访问验证错误 它是指程序的访问验证部分存在可以被利用的错误,从而有可能使非法攻击者跳过访问控制进入系统。早期AIX的rlogin就存在这种脆弱性。 (六)意外情况处理错误 它是指程序在实现逻辑中没有考虑到一些应该考虑的意外情况,从而造成运行错误。这种错误很常见,例如没有检查文件是否存在就直接打开设备文件从而导致拒绝服务。 (七)竞争条件 它是指程序在处理实体时,时序和同步方面存在问题,在处理过程中可能提供一个机会窗口给非法攻击者以可乘之机。早期的Solaris系统的ps命令就存在这种类型的脆弱性。 (八)错误 它是指一些环境变量的错误设置所形成的脆弱性。 参考文献: [1]陈晓苏,朱国胜,肖道举.TCP/IP协议族的安全架构.华中科技大学学报,2001. [2][美]Thomas A Wadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社,2000.
-
网络环境中信息安全技术讨论_计算机网络毕业论文范文
网络环境中信息安全技术讨论_计算机网络毕业论文范文 摘要:随着全球信息化进程的不断加速,国内外信息产业领域对信息安全的关注与日俱增,尤其在信息网络化如此普及的年代,网络安全与信息产业息息相关。基于网络环境中的信息安全讨论,已成为了网络安全中的一个重要研究课题。文章就信息安全的研究背景、概念及相关的技术作了全局的分析及讨论。 关键词:网络与信息安全;信息安全认识;信息安全技术 随着Internet的接人,网络已成为我们生活中必不可少的一部分。随着计算机网络的发展,其开放性、共享性、互联程度扩大,网络的重要性和对社会的影响也越来越大,但是另一方面病毒、黑客程序、邮件炸弹、远程侦听等安全问题逐渐成为当今网络社会的焦点。下面笔者就几个方面对网络环境中信息安全问题作一简单讨论。 1 网络环境下信息安全研究意义 众所周知,Internet是当今世界上最大的计算机网络通迅系统,它所提供的信息包括文字、数据、图像、声音等形式,它的应用范围已经涉及到政治、经济、科学、教育、法律、军事、物理、体育和医学等社会生活的各个领域。但是,随着微电子、光电子、计算机、通信和信息服务业的发展,尤其是以Internet为支撑平台的信息产业的发展,使得网络安全的重要性日益凸现。信息随时都可能受到非授权的访问、篡改或破坏,也可能被阻截、替换而导致无法正确读取,给网络的正常运行带来巨大的威胁,甚至造成网络瘫痪。 根据美国世界日报1993年10月报道:由于高科技犯罪,利用侦读器拦截卫星通讯用户号码,再转手拷贝出售,1992年美国就有20亿美元的国际电话费转账混乱造成有关公司严重的损失。目前,仅仅银行的密码遭他人窃取,美国银行界每年损失就达数10亿美元之巨。在1996年初,美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计显示,有53%的企业受到过计算机病毒的侵害,42%的企业的计算机系统在过去的12个月被非法使用过,而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。 中国的网络安全虽然还比较落后,但黑客们却已经和国际接轨。据公安部的资料,1998年中国共破获电脑黑客案件近百起。利用计算机网络进行的各类违法行为在中国以每年30%的速度递增。黑客的攻击方法已超过计算机病毒的种类,总数达近千种。在中国,针对银行、证券等金融领域的黑客犯罪案件总涉案金额已高达数亿元,针对其他行业的黑客犯罪案件也时有发生。 计算机网络安全性研究始于20世纪60年代末期。但由于当时计算机的速度和性能较为落后,使用的范围也不广,因此有关计算机安全的研究一直局限在较小的范围。进入20世纪80年代后,计算机的性能得到了极大的提高,应用范围也在不断扩大,计算机已遍及世界各个角落。尤其是进入20世纪90年代,计算机网络出现了爆炸式的发展,这种发展把人们带到了一个全新的时空,在人们几乎全方位地依赖计算机网络的同时,网络环境下的信息安全问题再次出现在人们面前。 2 信息安全的初步认识 2.1 定义 信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及其系统实施防护、检测和恢复的科学。 2.2 研究内容 信息安全的研究涉及数学、计算机、通信、法律等诸多学科,大致可分为基础理论与应用研究、应用技术研究以及安全管理研究3个领域。其中,基础理论与应用研究主要包括密码体制理论、身份识别、访问控制与授权、安全协议等方面的研究。 2.3 安全目标 信息安全从防护、检测和恢复体系上看,主要有6个安全目标:机密性、完整性、可用性、真实性、不可抵赖性、可控性。它们的含义解释如下: 机密性(confidentiality):指信息不被泄露或暴露给未授权的个人、组织或系统。或者说,只有经授权的用户才能获知信息的真实内容,而任何未授权者即使截获信息也无法读取信息的真实内容或使用信息。 完整性(integrity):指信息是完整的、一致的。即信息在生成、存储、传输或使用过程中未受到非授权的篡改或破坏。 不可抵赖性(non-repudiation):指合法用户事后无法否认曾发送或接收到信息,或广义地对其行为不可抵赖。 真实性(authenticity):指在信息交互过程中想过关的用户或主体是真实而非假冒或伪装的。 可控性(controllability):指主体对系统或数据的访问是按照一定规则控制的,避免出现非授权操作或使用。 可用性(availability):分为数据的可用性和系统的可用性。数据的可用性是指授权用户可根据需要随时访问其权限所允许的信息,不会受到干扰或阻碍。系统的可用性是指承载信息的系统按照其预定的规则运行,不会转移到非畅通状态,系统可用性与数据可用性具有密切的联系。 3 信息安全技术 3.1 加密技术 3.1.1 加密技术概述 加密技术能为数据或通信信息流提供机密性。同时,对其他安全机制的实现起主导作用或辅助作用。 加密算法是对消息的一种编码规则,这种规则的编码与译码依赖于称为密钥的参数。用户使用编码规则在密钥控制下把明文消息变为密文,也可以使用译码规则在密钥控制下把密文还原成明文消息。没有正确的密钥无法实现加密解密操作,从而使非授权用户无法还原机密信息。 根据密钥的特点,目前,加密技术分为两种:对称密码体制和非对称密码体制。对称密码算法有:DES(数据加密标准)及其各种变形、IDEA算法及AES、RC5等。比较著名的非对称密码算法有:RSA、背包密码、Ditter-HeUman、圆曲线算法等。 3.1.2 密码体制
-
论Linux系统的网络安全性问题分析及解决方案_计算机网络毕业论文范文
论Linux系统的网络安全性问题分析及解决方案_计算机网络毕业论文范文 [论文关键词]Linux系统 网络安全 解决方案 [论文摘要] [论文摘要]针对Linux系统由于开放其源代码而导致其系统安全性漏洞增多的现实,在分析Linux系统的不安全因素及漏洞的基础上,重点分析提高Linux系统网络安全应用的措施,同时结合商务的实际应用给出网络安全解决方案,对于Linux网络应用安全防范有参考借鉴的意义。 一、引言 Linux 是国际互联网发展的产物。由于Linux 操作系统是的,因此Linux 在我国的应用领域得到很快的发展。由于的原因,许多中小企业渐渐开始使用Linux 于中小型服务器。国际互联网的发展促进了网络资源共享,与此同时也带来了许多网络安全问题。网络安全成了网络用户关心的一个热点问题。本文讨论Linux 的网络安全问题。 二、Linux系统不安全性分析 (1)Linux可以利用启动盘来启动,或利用LILO进入单用户模式,无须使用root口令而获得root用户具有的权限。这是一个很大的安全问题,因为它使root口令失去了意义。 (2)Linux的口令问题。Linux存放的是用户口令明文的One Way Hash运算的结果,加上用户选择易记口令等因素,容易采用词典攻击,同时用户远程登录时传送的是口令明文,易于窃听。 (3)SETUID问题。SETUID是为解决某些普通用户在执行程序时须暂时获得root特权的程序执行问题,这也是一个很大的安全隐患。 (4)缓冲区溢出问题。当输入数据超出所分配存储空间而系统又没有对此作直接处理时将产生缓冲区溢出问题。 三、加强Linux系统网络安全的对策分析 (一)从系统入手 (1)口令管理。对于网络系统而言,口令是比较容易出问题的地方,作为Linux统管理员应告诉用户在设置口令时要使用安全口令并适当增加口令的长度。系统管理员要保护好/etc/shadow文件的安全,不让无关的人员获得这个文件。由于破解口令是一项很耗时间和资源的工作,所以应该使得口令文件难于破解,这样即使黑客获取了口令文件也不能轻易破解。 (2)用户帐户管理。在服务器上拥有一个普通账号都可以从服务器上获得大量的有用信息,这些信息都是分析系统漏洞的重要资料,账号的口令不应该和用户名相近,不应该太短或者太容易被猜测,尤其在使用TELNET时用的是明文,可以使用ssh来加密。尽量不要在服务器上开设过多的账号,经常对服务器上的账号进行整理更新,坚决剔除一切不必要的账号。 (二)采用防火墙技术 所谓防火墙是指一个能把内部与因特网隔开的屏障,它由计算机硬件和特殊的软件有机结合而成,使内部计算机网络与因特网之间建立起一个安全网关,从而保护内部计算机网络免受外部非法用户的入侵。
