《网络安全毕业论文范文免费预览.doc》由会员分享,可在线阅读,更多相关《网络安全毕业论文范文免费预览.doc(22页珍藏版)》请在三一文库上搜索。
1、网络安全- 21 -兴义民族师范学院计算机科学系兴义民族师范学院计算机科学系(毕业设计论文)课题名称: 网络安全 专 业: 计科系现代教育技术 班 级: 计算机专科班 姓 名: 陈 进 学 号: 201030811011 指导老师: 饶 静 设计时间: 2012-2013学年第2学期 网络安全 摘要:计算机网络安全问题,直接关系到一个国家的政治、军事、经济等领域的安全和稳定。目前黑客猖獗,平均每18秒钟世界上就有一次黑客事件发生。因此,提高对网络安全重要性的认识,增强防范意识,强化防范措施,是保证信息产业持续稳定发展的重要保证和前提条件。文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国
2、发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,以及网络的安全管理。进一步阐述了网络拓扑结构的安全设计,包括对网络拓扑结构的分析和对网络安全的浅析。然后具体讲述了网络防火墙安全技术的分类及其主要技术特征,防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法作了简要的分析,论述了其安全体系的构成。最后分析网络安全技术的研究现状和动向。关键字:网络信息安全 防范技术 网络管理 目 录网络安全1目 录1第一章 引 言21.1 概述21.2 网络安全的研究目的31.3网络安全的含义4第二章 网络安全初步分析52.1 网络安全的必要
3、52.2 网络的安全管理52.2.1 安全管理原则52.2.2 安全管理的实现62.3 采用先进的技术和产品62.3.1 防火墙技术62.3.2加密技术62.3.3 认证技术72.3.4 计算机病毒的防范72.4 常见的网络攻击及防范对策72.4.1 邮件炸弹72.4.2 特洛伊木马82.4.3 过载攻击82.4.4 淹没攻击8第三章 网络结构的安全设计103.1 网络拓扑结构分析103.2 网络攻击浅析11第四章 防范技术134.1 防火墙的定义与选择134.2 对称加密技术144.3公开密钥加密144.4 RSA算法144.5 注册与认证管理154.5.1 认证机构154.5.2 注册机构
4、154.5.3 密钥备份和恢复154.5.4 证书管理与撤消系统15第五章 安全技术的研究165.1 安全技术的研究现状和方向165.1.1 包过滤型165.1.2 代理型16结束语18参 考 文 献18第一章 引 言1.1 概述21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。世界各国的竞争已成为已经济为基础、以科技(特别是高科技)为先导的综合国力的竞争。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,信息化的发展将起到非常重要的作用,我国也将要建立起一套完整的安全网
5、络安全体系。当今,信息科学技术是知识高度密集、科学高度综合、具有科学与技术融合特征的学科。他直接渗透到经济、文化和社会的各个领域,迅速改变着人们的观念、生活和社会的结构,是当代发展知识经济的支柱之一。信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我们在构建信息防卫系统时,应着力发展自己独特的安全产品,要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。网络安全产品有以下几大特点:网络的安全机制与技术要不断地变化;网络安全来源于安全策略与技术的多样化,如果采用统一的技术和策略也就不安全了;随着网络在社会各个方面的提高,进入网络的手段
6、也越来越多,因此,网络安全技术也变成复杂的系统工程。信息安全是国家发展所面临的一个重要问题。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及技术人员研究开发。安全与反安全就像矛盾的两个方面,相互促进、总是不断地向上攀升,所以网络安全将来也会变成一个随着新技术发展而不断发展的产业。1.2 网络安全的研究目的目前计算机网络面临着很大的威胁,其构成的因素是多方面的。这种威胁将不断给社会带来了巨大的损失。网络安全已被信息社会的各个领域所重视。随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势;网络安全技术的发展给政府机构、企事业单位带来了革命性的改革。通过网络,他们可以从异地取回重
7、要数据,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性、经济性等特征,致使网络易受黑客、病毒、恶意软件和其他不轨行为的攻击,因此同时他们也将面对数据安全的威胁。所以网上信息的安全和保密也成为最难最重要的问题。对于军用的自动化指挥网络(C3I系统)、银行和政府等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。综上所述:网络必须有足够强的安全措施,否则该网络将是多余的、甚至会危国家安全。无论是在局域网还是在广域网中,网络都存在着自然脆弱性和人为等诸多因素的潜在威胁。故此,网络的安全措施应能全方位地针对各种不同的威胁和网络的脆弱性,这样才能确保网络信息的保
8、密性、完整性和可用性。为了确保信息的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及其技术措施。认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用先进的技术和产品,构造全方位的防御机制,使系统在理想的状态下运行。1.3网络安全的含义信息安全是指网络系统的部件、程序、数据的安全性,他通过网络信息的存储、传输和使用过程的体现。所谓的网络安全
9、行就是保护网络程序、数据或设备,使其免受非授权使用或访问。网络安全本质上就是信息安全,广而言之,凡是涉及网络信息的保密性、完整性、可用性、真实性和可控性的相关可理论都是网络安全的研究领域。第二章 网络安全初步分析2.1 网络安全的必要随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征,人们称它为信息高速公路。网络是计算机技术和通信技术的产物,是社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。正因为
10、网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的。2.2 网络的安全管理 网络管理是指对网络运行状态进行检测和控制,使其能够有效、可靠、安全、经济地提供服服务。面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密设施外,还必须花大力气加强网络的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题。2.2.1 安全管理原则网络信息系统的安全管理主要基于3个原则:多人负责原则:每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工
11、作情况记录以证明安全工作以得到保障。与安全有关的活动有:访问控制使用证件的发放与回收;信息处理系统使用的媒介发放与回收;处理保密信息;硬件和软件的维护;系统软件的设计、实现和修改;重要程序和数据的删除和销毁等。任期有限原则:一般来讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则:除非经系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。出与对安全的考虑,下面每组内的两项信息处理工作应当
12、分开:计算机操作与计算机编程;机密资料的接收与传送;安全管理和系统管理;应用程序和系统程序的编制;访问证件的管理与其他工作;计算机操作与信息处理系统使用媒介的保管等。2.2.2 安全管理的实现信息安全实现是指为保证提供一定的安全保证所必需遵守的规则。具体工作如下:用户对自身面临的威胁进行风险评估,确定该系统的安全等级。根据确定的安全等级,确定安全管理范围。制订相应管理制度,对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。2.3 采用先进的技术和产品要保证计算机网络系统的安全性
13、,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。2.3.1 防火墙技术为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可已被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可监测、限制、更改跨越防火墙的数据流,确认其来源及去处,检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:应用层网关、数据包过滤、代理服务器等几大类型。2.3.2加密技术与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数据的安全性和保密
14、性,防止秘密数据被外部破析所采用的主要技术手段之一。原始的消息称为明文,而加密后的消息称为密文。从明文到密文的变换过程称加密,从密文到明文的变换过程称解密。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。2.3.3 认证技术认证技术是防止主动攻击的重要手段,指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接收者的身份。认证的主要目的有两个:第一,验证
15、信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被窜改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。它对于开放环境中的各种信息的安全有重作用。2.3.4 计算机病毒的防范首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:、较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有万多种,在各种操作系统中包括Windows、 UNIX都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查毒、杀毒范围广、能力强的特点。、完善的升级服务。与其它软
16、件相比,防病毒软件更需要不断地更新升级,以查杀层出不穷的计算机病毒。2.4 常见的网络攻击及防范对策2.4.1 邮件炸弹邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,防碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息,也可使自己的SMTP连接只能达成指定的服务器,从而免受外界邮件的侵袭。2.4.2 特
17、洛伊木马特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的程序中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。 防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时,对每一个文件进
18、行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。2.4.3 过载攻击过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击,它是通过大量地进行人为地增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。2.4.4 淹没攻击正常情况下,TCP连接建立要经历3次握手的过
19、程,即客户机向主机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时主机的IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断地向被攻击的主机发送SYN请求,被攻击主机就会一直处于等待状态,从而无法响应其他用户的请求
20、。对付淹没攻击的最好方法是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。第三章 网络结构的安全设计3.1 网络拓扑结构分析网络的拓扑结构首先应因地制宜,根据组网单位的实际情况按照单位的各部门安全性要求划分,尽量使同一安全级别的上网计算机处于同一网段的安全控制域中。局域网中的拓扑结构主要有总线型,星型,环形等,而目前大多数都采用载波侦听多路访问/冲突检测(Carrier Sense Multiple Access with Collision Detection ,CSMA/CD)也就是发展到现在的IEEE802.3规范,利用这一方法建成的
21、网络,我们称之为以太网,在以太网的通信方式中,每一个工作站都可以读取电缆上传输的所有数据,将以太网卡(支持IEEE802.3规范的网卡)设置为混杂模式,网卡便会将电缆上传输的所有的数据读入缓冲区,以供系统和程序调用.但是入侵者还是可能通过割开网线,非法接入等手段来侦听网络,截获数据,根据线路中的数据流量找到网络的信息中心,因此布线要杜绝经过不可靠的区域,以防止非法接入,在各网段的控制器上设置网段内所有主机的介质访问控制器(MAC)地址,该地址为6个字节,是用来区分网络设备的唯一标志.此外,对于每一个接入网络中的计算机都必须先登记后连线接入,网段监控程序一旦发现有陌生的MAC地址便发出警告,网管
22、人员立即查找该设备,因此在局域网中应该采用以下三种组网方式来加强安全防范.网络分段 网络分段通常被认为是控制网络广播风暴的一种基本手段,实际上也是保证网络安全的一项重要措施.其目的是将非法用户与敏感的网络资源相互隔离,从而防上可能的非法侦听.以交换式集线器代替共享式集线器 对局域网的中心计算机进行分段后,以太网的侦听的危险仍然存在.这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器.这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Nicest Packet)还是会被同一台集线器上的其他用户所侦听.因此应该以交换式集线器代
23、替共享式集线器,使单播包公在两个节点之间传送,从而防止非法侦听。VLAN(虚拟局域网)的划分 为了克服以太网的广播问题,除上述方法外,还可以运用VLAN技术,将以太网通信变为点到点通信,以防止大部分基于网络侦听的入侵。基于以上拓扑结构的连接方式,用电缆和集线器连接而成的网络始终是同一网段,在网上传播的数据可以被所有的连接设备接收,为了防止网络的入侵嗅探,可以把网络分段,隔离网络通信合用桥接器,交换器,路由器,应用网关都可以实现各网段的通信隔离,同时将多个局域网进行互联,拓展网络形成广域网,还可将本地局域网与因特网连接从而成为全球最大的广域网但对于网络拓扑结构的安全技术是加强对外界的攻击的防范和
24、应策.3.2 网络攻击浅析攻击是指非授权行为,任何危害系统信息安全的活动都是安全攻击。攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。在网络上成功实施的攻击级别以来于拥护采取的安全措施。在此先分析眼下比较流行的攻击Dodos分布式拒绝服务攻击:Does是Denial of Service的简称,即拒绝服务,造成Does的攻击行为被称为Does攻击,其目的是使计算机或网络无法提供正常的服务。最常见的Does攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击
25、计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。而分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。(见图一)而且现在没有有限的方
26、法来避免这样的攻击因为此攻击基于TCP/IP协议的漏洞,要想避免除非不使用此协议,显然这是很难做到的那我们要如何放置呢?1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。 2确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。 3确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限。 4禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为
27、机密的数据。 6限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。 8在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。 9检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了威胁。第四章 防范技术4.1 防火墙的定义与选择网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它
28、对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙可以是一台计算机系统,也可以是两台或更多的系统协同工作起到防火墙的作用。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙处于5层网络安全体系中的最底层,属于网络层安全技
29、术范畴。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。防火墙的选择:防火墙作为网络系统的安全屏障, 防火墙本身是安全的 作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其诺防线一样,正面虽然牢不可破
30、,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。 通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急
31、剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。 4.2 对称加密技术在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一
32、些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。 4.3公开密钥加密 公钥密码的发展是整个密码学发展史上最伟大的一次革命。它是基于数学函数的算法而不再是基于置换和代替技术。更重要的是,公钥密码是非对称的,公钥算法依赖于一个与之相关但不相同的解密密钥。他使用两个独立的密钥。公钥密码在保密性、密钥分配和认证领域有重要的意义。4.4 RSA算法 RSA算
33、法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。它是第一个既能用于数据加密也能用于数字签名的算法。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。4.5 注册与认证管理4.5.1 认证机构CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证
34、明证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。 4.5.2 注册机构 RA(Registration Authority)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安
35、全的且易于操作的RA系统。 4.5.3 密钥备份和恢复 为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。 4.5.4 证书管理与撤消系统 证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书
36、或采用在线查询机制,随时查询被撤消的证书。第五章 安全技术的研究5.1 安全技术的研究现状和方向我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。根据防火墙所采用的技术不同,我们可以将
37、它分为四种基本类型:包过滤型、网络地址转换、代理型和监测型。 5.1.1 包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证
38、系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。5.1.2 代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理
39、服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如
40、,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。结束语互联网现在已经成为了人民不可或缺的工具,其发展速度也快得惊人,以此而来的攻击破坏可谓层出不穷,为了有效的防止入侵把损失降到最低,我们必须时刻注意安全问题,使用尽量多而可靠的安全工具经常维护,让我们的网络体系完善可靠,在INTERNET为我们提供了大量的便捷的同时,也在安全性方面带给我们严峻的挑战.我们不能因为害怕挑战而拒绝它,否则会得不偿失.信息安全是一个国家发展所面临的一个重要
41、问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。网络安全是一项动态的、整体的系统工程,我们致力于结合本国家的网络特点,制定妥善的网络安全策略,将INTERNET的不安全性降至现有条件下的最低点,让它为我们的工作和现代化建设更好的服务.参 考 文 献1 教育部考试中心编 2011版 网络技术 北京 高等教育出版社2 Andrew S.Tanenbaum 计算机网络 第
42、四版 北京清华大学出版社3 远望图书部 局域网一点通 人民交通出版社4 李伟 网络安全实用技术标准教程 北京 清华大学出版社5 褚建立、刘彦舫 计算机网络技术北京清华大学出版社6 黎连业、张维、向东明 路由器及其应用技术 北京 清华大学出版社7 雷震甲 网络工程师文献 北京 清华大学出版社范文一:历时将近两个月的时间终于将这篇论文写完,在论文的写作过程中遇到了无数的困难和障碍,都在同学和老师的帮助下度过了。尤其要强烈感谢我的论文指导老师XX老师,她对我进行了无私的指导和帮助,不厌其烦的帮助进行论文的修改和改进。另外,在校图书馆查找资料的时候,图书馆的老师也给我提供了很多方面的支持与帮助。在此向
43、帮助和指导过我的各位老师表示最中心的感谢!感谢这篇论文所涉及到的各位学者。本文引用了数位学者的研究文献,如果没有各位学者的研究成果的帮助和启发,我将很难完成本篇论文的写作。感谢我的同学和朋友,在我写论文的过程中给予我了很多你问素材,还在论文的撰写和排版灯过程中提供热情的帮助。由于我的学术水平有限,所写论文难免有不足之处,恳请各位老师和学友批评和指正! 范文二:致 谢 本研究及学位论文是在我的导师*老师的亲切关怀和悉心指导下完成的。他严肃的科学态度,严谨的治学精神,精益求精的工作作风,深深地感染和激励着我。*老师不仅在学业上给我以精心指导,同时还在思想、生活上给我以无微不至的关怀,在此谨向*老师
44、致以诚挚的谢意和崇高的敬意。我还要感谢在一起愉快的度过毕业论文小组的同学们,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。 在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意!最后我还要感谢培养我长大含辛茹苦的父母,谢谢你们! 最后,再次对关心、帮助我的老师和同学表示衷心地感谢! 范文三:免费毕业论文致谢的相关文章。致 谢 四年的读书生活在这个季节即将划上一个句号,而于我的人生却只是一个逗号,我将面对又一次征程的开始。四年的求学生涯在师长、亲友的大力支持下,走得辛苦却也收获
45、满囊,在论文即将付梓之际,思绪万千,心情久久不能平静。 伟人、名人为我所崇拜,可是我更急切地要把我的敬意和赞美献给一位平凡的人,我的导师。我不是您最出色的学生,而您却是我最尊敬的老师。您治学严谨,学识渊博,思想深邃,视野雄阔,为我营造了一种良好的精神氛围。授人以鱼不如授人以渔,置身其间,耳濡目染,潜移默化,使我不仅接受了全新的思想观念,树立了宏伟的学术目标,领会了基本的思考方式,从论文题目的选定到论文写作的指导,经由您悉心的点拨,再经思考后的领悟,常常让我有“山重水复疑无路,柳暗花明又一村”。 感谢我的爸爸妈妈,焉得谖草,言树之背,养育之恩,无以回报,你们永远健康快乐是我最大的心愿。在论文即将
46、完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚谢意! 同时也感谢学院为我提供良好的做毕业设计的环境。 最后再一次感谢所有在毕业设计中曾经帮助过我的良师益友和同学,以及在设计中被我引用或参考的论著的作者。本研究及学位论文是在我的导师郑建立副教授的亲切关怀和悉心指导下完成的。他严肃的科学态度,严谨的治学精神,精益求精的工作作风,深深地感染和激励着我。从课题的选择到项目的最终完成,郑老师都始终给予我细心的指导和不懈的支持。两年多来,郑教授不仅在学业上给我以精心指导,同时还在思想、生活上给我以无微不至的关怀,在此谨向郑老师致
47、以诚挚的谢意和崇高的敬意。 在此,我还要感谢在一起愉快的度过研究生生活的电工楼105各位同门,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。特别感谢我的师妹叶秋香同学,她对本课题做了不少工作,给予我不少的帮助。 在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意!最后我还要感谢培养我长大含辛茹苦的父母,谢谢你们! 本(转载自第一范文网http:/,请保留此标记。)论文的所有研究工作从论文的选题、实现条件到论文的写作等阶段都是在简弃非副教授和张勇副教授的悉心指导下完成的。两位导师在作者研究生学习期间在学术和生活等方面的给予了无微不至的关怀和指导。两位导师严谨的治学态度、渊博的学术知识、诲人不倦的敬业精神以及宽容的待人风范使作者获益颇多。谨向两导师致以最衷心的感谢。 感谢在研究生学习期间给我上课的老师们,特别是研室的梁荣光教授、赖汉闻老师、吴坚老师、张国强老师、巫江虹老师等。