计算机网络安全论文.doc

计算机网络新技术的发展一 网络安全的重要性 在信息化飞速发展的今天，计算机网络得到了广泛应用，但随着网络之间的信息传输量的急剧增长，一些机构和部门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的攻击和破坏。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。 二 网络安全应具备的功能 为了能更好地适应信息技术的发展，计算机网络应用系统必须具备以下功能：（1）访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。（2）检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。（3）攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取响应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。（4）加密通讯：主动地加密通讯，可使攻击者不能了解、修改敏感信息。（5）认证：良好的认证体系可防止攻击者假冒合法用户。（6）备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。（7）多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。（8）设立安全监控中心：为信息系统提供安全体系管理、监控、保护及紧急情况服务。 三 网络系统安全综合解决措施 要想实现网络安全功能，应对网络系统进行全方位防范，从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题，提出一些防范措施。 （一）物理安全。物理安全可以分为两个方面：一是人为对网络的损害；二是网络对使用者的危害。网络对使用者的危害主要是电缆的电击、高频信号的幅射等，这需要对网络的绝缘、接地和屏蔽工作做好。 （二）访问控制安全。访问控制识别并验证用户，将用户限制在已授权的活动和资源范围之内。网络的访问控制安全可以从以下几个方面考虑。 1口令。网络安全系统的最外层防线就是网络用户的登录，在注册过程中，系统会检查用户的登录名和口令的合法性，只有合法的用户才可以进入系统。 2网络资源属主、属性和访问权限。网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都有可以使用的资源。资源属主体现了不同用户对资源的从属关系，如建立者、修改者和同组成员等。资源属性表示了资源本身的存取特性，如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络系统的安全性。3网络安全监视。网络监视通称为“网管”，它的作用主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全问题，如定位网络故障点、捉住IP盗用者、控制网络访问范围等。4审计和跟踪。网络的审计和跟踪包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。（三）数据传输安全。传输安全要求保护网络上被传输的信息，以防止被动地和主动地侵犯。对数据传输安全可以采取如下措施： 1加密与数字签名。任何良好的安全系统必须包括加密！这已成为既定的事实。数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法，它主要通过加密算法和证实协议而实现。 2防火墙。防火墙（Firewall）是Internet上广泛应用的一种安全措施，它可以设置在不同网络或网络安全域之间的一系列部件的组合。它能通过监测、限制、更改跨越防火墙的数据流，尽可能地检测网络内外信息、结构和运行状况，以此来实现网络的安全保护。 3User Name/Password认证。该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet（远程登录）、rlogin（远程登录）等，但此种认证方式过程不加密，即password容易被监听和解密。 4使用摘要算法的认证。Radius（远程拨号认证协议）、OSPF（开放路由协议）、SNMP Security Protocol等均使用共享的Security Key（密钥），加上摘要算法（MD5）进行认证，但摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有MD5和SHA-1。 5基于PKI的认证。使用PKI（公开密钥体系）进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。 6虚拟专用网络（VPN）技术。VPN技术主要提供在公网上的安全的双向通讯，采用透明的加密方案以保证数据的完整性和保密性。 VPN技术的工作原理：VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信，它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。 综上所述，对于计算机网络传输的安全问题，我们必须要做到以下几点。第一，应严格限制上网用户所访问的系统信息和资源，这一功能可通过在访问服务器上设置NetScreen防火墙来实现。第二，应加强对上网用户的身份认证，使用RADIUS等专用身份验证服务器。一方面，可以实现对上网用户帐号的统一管理；另一方面，在身份验证过程中采用加密的手段，避免用户口令泄露的可能性。第三，在数据传输过程中采用加密技术，防止数据被非法窃取。一种方法是使用PGP for Business Security对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN技术。VPN在提供网间数据加密的同时，也提供了针对单机用户的加密客户端软件，即采用软件加密的技术来保证数据传输的安全性。 计算机网络的发展经历了面向终端的单级计算机网络、计算机网络对计算机网络和开放式标准化计算机网络三个阶段。 计算机网络通俗地讲就是由多台计算机（或其它计算机网络设备）通过传输介质和软件物理（或逻辑）连接在一起组成的。总的来说计算机网络的组成基本上包括：计算机、网络操作系统、传输介质（可以是有形的，也可以是无形的，如无线网络的传输介质就是空气）以及相应的应用软件四部分。 在定义上非常简单：网络就是一群通过一定形式连接起来的计算机。 一个网络可以由两台计算机组成，也可以拥有在同一大楼里面的上千台计算机和使用者。我们通常指这样的网络为局域网(LAN， Local Area Network)，由LAN再延伸出去更大的范围，比如整个城市甚至整个国家，这样的网络我们称为广域网(WAN， Wide Area Network)，当然您如果要再仔细划分的话，还可以有MAN(Metropolitan Area Network) 和 CAN(Citywide Area Network)，这些网络都需要有专门的管理人员进行维护。 而我们最常触的Internet则是由这些无数的LAN和WAN共同组成的。Internet仅是提供了它们之间的连接，但却没有专门的人进行管理(除了维护连接和制定使用标准外)，可以说Internet是最自由和最没王管的地方了。在Internet上面是没有国界种族之分的，只要连上去，在地球另一边的计算机和您室友的计算机其实没有什么两样的。 因为我们最常使用的还是LAN，(即使我们从家中连上Internet，其实也是先连上ISP的LAN)，所以这里我们主要讨论的还是以LAN为主。LAN可以说是众多网络里面的最基本单位了，等您对LAN有了一定的认识，再去了解WAN和Internet就比较容易入手了，只不过需要了解更多更复杂的通讯手段而已。 Internet? Intranet? Extranet? 接触过网络的朋友，或多或少都应该听过上面几个名词吧？不过，大家可知道它们之间的分别和如何定义吗？ 其实，最早出现的名词应该是 Internet，然后人民将 Internet 的概念和技巧引入到内部的私人网络，可以是独立的一个 LAN 也可以是专属的 WAN ，于是就称为 Intranet 了。它们之间的最大分别是：开放性。Internet 是开放的，不属于任何人，只要能连接得到您就属于其中一员，也就能获得上面开放的资源；相对而言，Intranet 则是专属的、非开放的，它往往存在于于私有网络之上，只是其结构和服务方式和设计，都参考 Internet 的模式而已。 至于 Extranet，算得上是针对 Intranet 而延伸出来的概念。既然 Intranet 是指内网络部而言，那么 Extranet 则指外部的网络了。Extranet 通常是企业和 Internet 连接，以向公共提供服务的网络。不过，这并非是单纯根据物理或逻辑位置来定义，主要是以连接的形式和功能来区分。例如某个外部网络，如果单纯的透过网络来连接我们的 Extranet 或 Intranet ，那它只是一个毫不相关的外部个体而已；但是，如果我们用 VPN其它信任形式将对方连接起来，那么对方也可以属于 Extranet 或 Internet 的部份。 下面分别就不同宽带接入技术的现状、发展趋势，以及接入平台综合化的历史进程和未来发展进行分析、总结，并对当前最主要的宽带综合接入平台数字用户线接入复用设备(DSLAM)的演变趋势做具体分析。 一、现有宽带接入技术及其应用情况当前纷繁的宽带接入技术可划分为有线接入技术和无线接入技术。其中，有线接入技术包括铜缆接入、光纤接入、混合接入、电力线接入;无线接入技术包括固定无线接入(FWA)和移动接入。铜缆接入主要被拥有固定市话网络的运营商，如中国电信、中国网通和中国铁通等所采用，是国内当前最主要的宽带接入方式，其中主要是ADSL;光纤混合同轴电缆 所采用。 一、宽带接入技术的演进趋势 1.技术演进的几个方面 1)向光纤化过渡 我国接入网骨干层的光纤化已经完成，而接入层(配线层和引入层)的光纤化还处于起步阶段，SDH和各类无源光网络(PON)相结合的传输技术比较经济，符合中国具体的网络情况。应当首先实现光纤到路边、光纤到小区和光纤到大楼，然后随着通信业务的发展和网络结构的不断演变，逐步推进光纤接入网的建设，扩大光纤接入网的覆盖范围，缩短光纤接入网与用户终端的距离。 2)充分利用原有线缆并适度挖潜宽带接入在追求高带宽的同时，还应重视经济性、方便性，光纤接入虽然有巨大的带宽，但目前还不具备经济性、方便性。反过来看，用户网长期以来是以金属线缆为基础的，经过多年的建设，存在大量的线缆资源，如固定电话双绞线网、有线电视的HFC网、无处不在的电力线网等，u_其带宽能够满足现有卞要业务的要求。在宽带接入网建设的初期，应充分利用基于这些线缆的接入技术，以节省投资，满足快速发展的业务需求。电力线资源巨大，其宽带应用还刚刚起步，有待进一步挖掘其潜力。C3以固定无线接入补充有线接入网固定无线接入方式提供业务快、组网灵活、易维护、初期投资少，而目_允许用户在局域范围内慢速移动，适于在农村地区为散居人口提供经济的接入和应急通信的接入，也可以作为城市改造区域的临时接入手段;与FTTX+xDSL,FTTX+LAN等配合使用可以扩大覆盖范围。3)接入平台的综合化 ADSL接入平台有其特有的优势，如基于现有的电话线并与模拟话音或ISDN共存，速率的不对称性刚好满足上网需求;与此同时，它也有很多劣势，如在距离、速率、非对称性等方而受到的限制。将ADSL与SHDSL, VDSL等不同的xDSL接入方式以及以太网接入方式纳入同一接入系统平台，能充分发挥不同技术的特点，并相互补充，这已成为当前接入技术发展的重要趋势。 2.当前接入网的发展策略 构筑未来接入网的关键在于如何合理地处理各种宽、窄带业务，宽带网络的构建必须充分利用现有的庞大网络，因而宽带接入是演进而非革命。从总的方向来看，FTTH仍然是长期目标，它卞要解决带宽问题。与此同时，接入网传输的IP化以及基于同一平台的各种业务的综合接入也是接入网发展的目标，是宽带接入网满足未来更高业务要求的技术保障。但是，当前接入网建设中摆在第一位的是如何在现有网络资源基础上启动光纤接入网，最大限度地节省投资并保证接入网能适应通信业务种类和规模剧增的需要，以及能够向未来宽带接入网顺利过渡。从技术和市场的角度来看，基于FT-TX+各类宽带接入技术的方式是目前宽带技术的卞要方式，是逐步向FTTH演进的平滑过渡方式。而其中FTTX+xDSL和FTTX+LAN是目前技术比较成熟，市场也最为成功的宽带接入方式。 由于宽带接入市场规模巨大，不同的技术都在向宽带接入渗透。卜一代网络是网络演进的总趋势，它是以IP为中心并支持话音、数据和多媒体业务的融合网络，对当前的接入网来说，可首先实现传输的IP化，并逐步向卜一代网络过渡。随着宽带化的发展和不同网络技术的相互融合，以及用户对电信综合业务的需求与日俱增，作为业务网和用户之间桥梁的接入网，其光纤化、宽带化和综合化是必然的发展趋势。综合化既可容纳具有不同特点的新技术，实现优势互补，满足不同的业务需求，又可方便地实现向卜一代网络的过渡。在宽带接入网综合化发展过程中，存在如卜几个不同的发展阶段: 1.早期的宽、窄带兼容的综合接入 以烽火通信的综合宽带接入系统IBAS为代表的综合接入方案，是以SDH等成熟的光纤传输技术为承载平台，支持以太网、数字视频广播(DVB)等宽带接入和话音、ISDN等各种Nx64 kbit/s速率的窄带接入。2.基于DSLAM的宽带综合接入基于DSLAM设备的综合化接入能力，实现ADSL,SHDSL,VDSL和LAN的综合接入，是当前宽带综合接入的卞流技术。3.新的宽、窄带兼容的综合接入以港湾网络的综合业务接入网产品IONS为代表的新一代综合接入平台，实现了窄带电路交换和宽带IP分组交换一体化的结构设计，以及宽、窄带各类业务板的同框棍插，使宽、窄带业务在卞控板上得以l聚，统一提供宽、窄带上行接口，实现各业务板交换与集中控制管理功能，不但可以提供窄带话音和传统的DDN/FR业务，还可以提供ADSL,VDSL,SHDSL,LAN,WLAN等多种宽带综合接入手段。所谓棍插即在同一背板的业务槽位上根据业务需要选择插入ADSL, VDSL等不同的业务板卡，由系统自动识别板卡类型并作相应处理。4.卜一代网络的综合接入卜一代网络具有开放、分布式的网络架构和丰富多样的综合接入承载手段，是实现话音、数据和图像综合接入的理想承载平台。就目前来说，基于软交换的卜一代网络还处于试验阶段，其综合接入设备功能还较简单，只提供Z接口和以太网接口。另一方，如果基于前而宽、窄带兼容的综合接入平台实现对软交换的支持，便可提供更丰富的接入方式。当然，目前卜一代网络的QoS , IP地址、流控/安全、协议互通、兼容性等尚不能完全满足运营要求，相关的标准正在制订、完善之中，其实用性有待规模商业试运营的考验。 ADSL诞生之初正是ATM技术被看好之时，由于ATM被认为是网络承载的理想平台，特别是在带宽受限时具有良好的性能，如可以让时延敏感业务和大传输量业务共用一条带宽受限链路，所以AD-SL在链路层也采用了ATM的信元格式。然而实际应用时，对时延敏感的话音业务仍然采用模拟信号，大量其他信急(卞要是数据, VoIP和Web视频)在用户端均以IP分组的形式存在，在ADSL线路上却要以ATM信元来承载。因此，便引发了ADSLDSLAM结构的演变:从端到端ATM模式到ATM内核IP上行，再到IP内核IP上行。与此同时，DSL技术也在不断发展，如VDSL既能支持对称业务又能支持非对称业务，目_最高卜行速率在300 m距离时可达52 Mbit/s; SHDSL则支持对称业务，并可支持多线对方式，它们与ADSL具有很好的互补特性，并可共存于同一DSLAM平台。另外，LAN的接入方式有着与用户端数据业务特有的一致性，随着技术的发展也被纳入DSLAM平台。因此，基于DSLAM的综合接入也伴随着其结构的变化而发展、变化。 1.DSLAM综合接入技术的二个发展阶段 (1l;到端ATM模式的第一代DSLAM基于当初对ATM技术的依赖，从用户驻地设备(CPE)到DSLAM的上行端口间的整个链路为端到端的ATM方式，对DSLAM来说包括它的上、卜行链路和交叉连接均基于ATM来实现。DSLAM的组网只能是基于城域ATM网络或提供ATM端口的设备来实现。由于早期的VDSL也是采用基于ATM的端到端模式，故可实现ADSL, VDSL及其他基于ATM端到端模式的DSL综合接入平台。 2 )ATM内核IP上行的第一代DSLAM 随着DSLAM的大量应用，原有ATM网络资源将很快耗尽，新建ATM网络成木高、利用率低，而IP城域网络资源丰富，端口成木低廉。为了适应这种变化，并保留原有的核心技术，人们想到使ATM信号在DSLAM的上行端口前终结，经过协议转换后直接提供IP上行端口，从而可经IP进行DSLAM组网。由于核心没有变化，此时的DSLAM不仅具有第一代的所有功能，并增加了组网的灵活性，而目_棍插技术也进一步成熟，即在单一机框的同一背板上可插入ADSL, VDSL, SHDSL等xDSL类型线路板，以满足不同业务用户的需要。 3)IP内核IP上行的第二代DSLAM 这里所说的第二代DSLAM，更多地是强调技术的差别，从当前应用的情况来看，第一代和第二代DSLAM各有千秋:第_代DSLAM技术成熟，级联方式丰富，可充分利用不同的网络资源;第二代DSLAM以IP为核心，ATM分布式地在业务板上进行终结，即在每个业务板上实现ATM信元的终结和每条永久虚连接(PVC)与虚拟局域网标识(VLANID)的一一映射，这种结构特别有利于用于承载以太网的VDSL以及LAN的接入方式。就长期的发展来看，IP内核的DSLAM与网络IP化发展的大趋势一致，其固有的优势将日益凸现。 2.DSLAM结构与综合接入技术的实现 DSLAM设备的系统结构按照所采用的芯片组的不同而有所不同，其中一种典型的结构是采用高速串行技术低压差分信号(LVDS)进行背板互联，由二类板卡分别实现上联、核心处理和用户连接，以及用各类辅助板卡实现其他连接。 3. DSLAM组网连接的综合化为了进一步合理利用城域网传输，汇聚资源，满足接入网扩容的需要，需对DSLAM设备进行合理组网。扩容后的DSLAM对ATM端口的消耗很大，而运营商目前一般不再愿意对ATM网络进行扩容。解决此问题的办法有两种:一是采用IP上联的方式;一是根据各地DSLAM的带宽需求和需级连的分支节点数，采用不同方式进行级连，如基于ATM 155 Mbit/s进行级连，也可基于ATM反向复用(IMA)的Nx2 Mbit/s进行级连，这里N根据连接需要取不同值，还可棍合ATM,IMA和IP进行组网。 (5)加速WATM的研究 无线ATM C WATM : Wireless ATM)是为那些需要带有高性能音频和视频的高速数据通信的用户而提出的一种解决方案。它可以提供高传输速率的多媒