A. 求一篇3000字的關於計算機網路的論文,起末考試要用!拜託了!
【摘要】:當現代社會逐漸變為具有高度的相互依賴的巨大網路時,我們所生活的世界無法不變成一個被計算機網路緊密聯結起來的世界。計算機網路從技術角度來說,是作為一種布局,將經有關聯但相距遙遠的事物通過通信線路連接起來,但是對網路的思考決不是傳統的二維平面思維甚至三維的球面思維所能達到的。因此,計算機網路的可靠性便成為一項關鍵的技術指標。本文在介紹了網路可靠性的概況後,詳細闡述了計算機網路可靠性優化的技術分析。
【關鍵詞】:計算機網路;可靠性;實施;關於計算機網路論文
在信息時代,網路的生命在於其安全性和可靠性。計算機網路最重要的方面是它向用戶所提供的信息服務及其所擁有的信息資源,網路連接在給用戶帶來方便的同時,也給網路入侵者帶來了方便。因此,未來的計算機網路應該具有很高的安全性和可靠性,可以抵禦高智商的網路入侵者,使用戶更加可靠、更加方便地擁有大量各式各樣的個性化客戶服務。
一、計算機可靠性模型研究
計算機網路可靠性作為一門系統工程科學,經過5 0多年的發展,己經形成了較為完整和健全的體系。我們對計算機網路可靠性定義為:計算機網路在規定的條件下,規定的時間內,網路保持連通和滿足通信要求的能力,稱之為計算機網路可靠性。它反映了計算機網路拓撲結構支持計算機網路正常運行的能力。
計算機網路可靠性問題可以模型化為圖的可靠性問題。計算機網路模型採用概率圖G(V,E)來表示,其中結點集合v表示計算機網路的用戶終端,主機或伺服器等,邊集合E表示計算機網路的鏈路。計算機網路模型的概率圖,是對圖的各邊以及結點的正常運行狀態賦予一定的概率值以後所得到的圖。圖的可靠性問題包含兩個方面的內容:一是分析問題,即計算一個給定圖的可靠度;二是設計問題,即在給定所有元素後,設計具有最大可靠度的圖。圖的可靠度不方便求解時,可先求其失效度(可靠度+失效度=1),然後再求其可靠度。圖的結點和鏈路失效模型可分為鏈路失效模型、結點失效模型、結點和鏈路混合失效模型等三種類型,其中「結點和鏈路混合失效模型」最為常用。
二、計算機網路可靠性的設計原則
在計算機網路設計和建設的工程實踐中,科研人員總結了不少具體的設計經驗和原則,對計算機網路可靠性的優化設計起到了較好的規范和指導作用。在構建計算機網路時應遵循以下幾點原則:
遵循國際標准,採用開放式的計算機網路體系結構,從而能支持異構系統和異種設備的有效互連,具有較強的擴展與升級能力。
先進性與成熟性、實用性、通用性相結合,選擇先進而成熟的計算機網路技術,選擇實用和通用的計算機網路拓撲結構。計算機網路要具有較強的互聯能力,能夠支持多種通信協議。計算機網路的安全性、可靠性要高,具有較強的冗餘能力和容錯能力。計算機網路的可管理性要強,應選擇先進的網路管理軟體和支持SNMP及CMIP的網路設備。應選擇較好的計算機網路鏈路的介質,保證主幹網具有足夠的帶寬,使整個網路具有較快的響應速度。充分利用現有的計算機網路資源,合理地調配現有的硬體設施、網路布線、已經成熟的網路操作系統軟體和網路應用軟體。計算機網路可靠性設計的性價比應盡可能高。
三、計算機網路可靠性主要優化設計方法分析
提高計算機網路相關部件的可靠性與附加相應的冗餘部件是改善計算機網路可靠性的兩條主要途徑。在滿足計算機網路預期功能的前提下,採用冗餘技術(增大備用鏈路條數)一方面可以提高計算機網路的局域片斷的可靠性;另一方面也提高了計算機網路的建設成本。由於每條計算機網路鏈路均有可靠性和成本,故計算機網路中的鏈路的數目越少,相應地,計算機網路的可靠性就越高。下面我們從以下幾方面來加以論述:
(一)計算機網路的容錯性設計策略
計算機網路容錯性設計的一般指導原則為:並行主幹,雙網路中心。計算機網路容錯性設計的具體設計方案的原則,可以參照以下幾點:
採用並行計算機網路以及冗餘計算機網路中心的方法,將每個用戶終端和伺服器同時連到兩個計算機網路中心上。數據鏈路、路由器在廣域網范圍內的互聯。計算機網路中的邊界網路至網路中心採用多數據鏈路、多路由的連接方式,這樣可以保證任一數據鏈路的故障並不影響局部網路用戶的正常使用。
計算機網路設計時,應採用具有模塊化結構、熱插熱撥功能的網路設備。這不僅可以擁有靈活的組網方式,而且在不切斷電源的情況下能及時更換故障模塊,以提高計算機網路系統長時間連續工作的能力,從而可以大大提高整個計算機網路系統的容錯能力。
網路伺服器應採用新技術,如採用雙機熱備份、雙機鏡像和容錯存儲等技術來增強伺服器的容錯性、可靠性。
在進行網路管理軟體容錯設計時,應採用多處理器和特別設計的具有容錯功能的網路操作系統來實現,提供以檢查點為基本的故障恢復機能。
(二)計算機網路的雙網路冗餘設計策略
計算機網路的雙網路冗餘性設計是在單一計算機網路的基礎上再增加一種備用網路,形成雙網路結構,以計算機網路的冗餘來實現計算機網路的容錯。在計算機網路的雙網路結構中,各個網路結點之間通過雙網路相連。當某個結點需要向其它結點傳送消息時,能夠通過雙網路中的一個網路發送過去在正常情況下,雙網路可同時傳送數據,也可以採用主備用的方式來作為計算機網路系統的備份。當由於某些原因所造成一個網路斷開後,另一個計算機網路能夠迅速替代出錯網路的工作,這樣保證了數據的可靠傳輸,從而在計算機網路的物理硬體設施上保證了計算機網路整體的可靠性。
(三)採用多層網路結構體系
計算機網路的多層網路結構能夠最有效地利用網路第3層的業務功能,例如網路業務量的分段、負載分擔、故障恢復、減少因配置不當或故障設備引起的一般網路問題。另外,計算機網路的多層網路結構也能夠對網路的故障進行很好的隔離並可以支持所有常用的網路協議。計算機網路的多層模式讓計算機網路的移植變得更為簡單易行,因為它保留了基於路由器和集線器的網路定址方案,對以往的計算機網路有很好的兼容性。計算機網路的多層網路結構包含三個層次結構:
接入層:計算機網路的接入層是最終用戶被許可接入計算機網路的起點。接入層能夠通過過濾或訪問控制列表提供對用戶流量的進一步控制。在區域網絡環境中,接入層主要側重於通過低成本,高埠密度的設備提供服務功能,接入層的主要功能如下:為最終網路用戶提供計算機網路的接入埠;為計算機網路提供交換的帶寬;提供計算機網路的第二層服務,如基於介面或Mac地址的Vlan成員資格和數據流過濾。
分布層:計算機網路的分布層是計算機網路接入層和核心層之間的分界點。分布層也幫助定義和區分計算機網路的核心層。該分層提供了邊界定義,並在該處對潛在的費力的數據包操作進行預處理。在區域網環境中,分布層執行最多的功能有:V L A N的聚合;部門級或工作組在計算機網路中的接入;廣播域網或多點廣播域網在計算機網路中的聯網方式的確定;
(四)核心層
計算機核心層是計算機網路的主幹部分。核心層的主要功能是盡可能快速地交換數據。計算機網路的這個分層結構不應該被牽扯到費力的數據包操作或者任何減慢數據交換的處理。在劃分計算機網路邏輯功能時,應該避免在核心層中使用像訪問控制列表和數據包過濾這類的功能。對於計算機網路的層次結構而言,核心層主要負責以下的工作:提供交換區塊之間的連接;提供到其他區塊(如伺服器區塊)的訪問;盡可能快地交換數據幀或者數據包。
縱觀未來計算機網路的發展,人們對待網路的要求將越來越高。他們希望創造一個「點擊到一切」的世界,盡管這個簡單的想法讓它成為現實並不是一件很容易的事情,但是一旦認識到計算機網路美好的發展前景,憑借人類的智慧,我們有理由相信我們的世界將由此得到它前所未有的自由。
【參考文獻】:
[1]葉明鳳,計算機網路可靠性的研究,電腦開發與應用,2001
[2]張紅宇,計算機網路優化探討,嘉興學院學報,2006
[3]龔波,張文,楊紅霞,網路基礎,北京:電子工業出版社,2003
B. 計算機網路論文
摘要:無線區域網的覆蓋范圍為幾百米,在這樣一個范圍內,無線設備可以自由移動,其適合於低移動性的應用環境。而且無線區域網的載頻為公用頻段,無需另外付費,因而使用無線區域網的成本很低。無線區域網帶寬更會發展到上百兆的帶寬,能夠滿足絕大多數用戶的帶寬要求。基於以上原因,無線區域網在市場贏得熱烈的反響,並迅速發展成為一種重要的無線接入互聯網的技術。但由於無線區域網應用具有很大的開放性,數據傳播范圍很難控制,因此無線區域網將面臨著更嚴峻的安個問題。本文在闡述無線區域網安全發展概況的基礎上,分析了無線區域網的安全必要性,並從不同方面總結了無線區域網遇到的安全風險,同時重點分析了IEEE802. 11 b標準的安全性、影響因素及其解決方案,最後對無線區域網的安全技術發展趨勢進行了展望。
關鍵詞:無線區域網;標准;安全;趨勢
前言 無線區域網本質上是一種網路互連技術。無線區域網使用無線電波代替雙絞線、同軸電纜等設備,省去了布線的麻煩,組網靈活。無線區域網(WLAN)是計算機網路與無線通信技術相結合的產物。它既可滿足各類便攜機的入網要求,也可實現計算機區域網遠端接入、圖文傳真、電子郵件等功能。無線區域網技術作為一種網路接入手段,能迅速地應用於需要在移動中聯網和在網間漫遊的場合,並在不易架設有線的地力和遠沖離的數據處理節點提供強大的網路支持。因此,WLAN已在軍隊、石化、醫護管理、工廠車間、庫存控制、展覽和會議、金融服務、旅遊服務、移動辦公系統等行業中得到了應用,受到了廣泛的青睞,已成為無線通信與Internet技術相結合的新興發展力向之一。WLAN的最大優點就是實現了網路互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由於無線區域網應用具有很大的開放性,數據傳播范圍很難控制,因此無線區域網將面臨著更嚴峻的安全問題。
1. 無線區域網安全發展概況
無線區域網802.11b公布之後,迅速成為事實標准。遺憾的是,從它的誕生開始,其安全協議WEP就受到人們的質疑。美國加州大學伯克利分校的Borisov,Goldberg和Wagner最早發表論文指出了WEP協議中存在的設計失誤,接下來信息安全研究人員發表了大量論文詳細討論了WEP協議中的安全缺陷,並與工程技術人員協作,在實驗中破譯了經WEP協議加密的無線傳輸數據。現在,能夠截獲無線傳輸數據的硬體設備己經能夠在市場上買到,能夠對所截獲數據進行解密的黑客軟體也已經能夠在網際網路上下載。WEP不安全己經成一個廣為人知的事情,人們期待WEP在安全性方面有質的變化,新的增強的無線區域網安全標准應運而生[1]。
我國從2001年開始著手制定無線區域網安全標准,經過西安電子科技大學、西安郵電學院、西電捷通無線網路通信有限公司等院校和企業的聯合攻關,歷時兩年多制定了無線認證和保密基礎設施WAPI,並成為國家標准,於2003年12月執行。WAPI使用公鑰技術,在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書,以期完成雙向認證、接入控制、會話密鑰生成等目標,達到安全通信的目的。WAPI在基本結構上由移動終端、接入點和認證服務單元三部分組成,類似於802.11工作組制定的安全草案中的基本認證結構。同時我國的密碼演算法一般是不公開的,WAPI標准雖然是公開發布的,然而對其安全性的討論在學術界和工程界目前還沒有展開[2]。
增強的安全草案也是歷經兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議,會議的文檔可以從互聯網上下載,從中可以看到一些有趣的現象,例如AES-OCB演算法,開始工作組決定使用該演算法作為無線區域網未來的安全演算法,一年後提議另外一種演算法CCMP作為候選,AES-OSB作為預設,半年後又提議CCMP作為預設,AES-OCB作為候選,又過了幾個月,乾脆把AES-OCB演算法完全刪除,只使用CCMP演算法作為預設的未來無線區域網的演算法。其它的例子還有很多。從這樣的發展過程中,我們能夠更加清楚地認識到無線區域網安全標準的方方面面,有利於無線區域網安全的研究[3][4]。
2.無線區域網的安全必要性
WLAN在為用戶帶來巨大便利的同時,也存在著許多安全上的問題。由於WLAN 通過無線電波在空中傳輸數據,不能採用類似有線網路那樣的通過保護通信線路的方式來保護通信安全,所以在數據發射機覆蓋區域內的幾乎任何一個WLAN用戶都能接觸到這些數據,要將WLAN發射的數據僅僅傳送給一名目標接收者是不可能的。而防火牆對通過無線電波進行的網路通訊起不了作用,任何人在視距范圍之內都可以截獲和插入數據。因此,雖然無線網路和WLAN的應用擴展了網路用戶的自由,它安裝時間短,增加用戶或更改網路結構時靈活、經濟,可提供無線覆蓋范圍內的全功能漫遊服務。然而,這種自由也同時帶來了新的挑戰,這些挑戰其中就包括安全性。WLAN 必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了,就不僅能保護傳輸中的信息免受危害,還能保護網路和移動設備免受危害。難就難在如何使用一個簡單易用的解決方案,同時獲得這三個安全要素。國外一些最新的技術研究報告指出,針對目前應用最廣泛的802.11bWLAN 標準的攻擊和竊聽事件正越來越頻繁[5],故對WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究,發現其可能存在的安全缺陷,研究相應的改進措施,提出新的改進方案,對 WLAN 技術的使用、研究和發展都有著深遠的影響。
同有線網路相比,無線區域網無線傳輸的天然特性使得其物理安全脆弱得多,所以首先要加強這一方面的安全性。
無線區域網中的設備在實際通信時是逐跳的方式,要麼是用戶設備發數據給接入設備,飯由接入設備轉發,要麼是兩台用戶設備直接通信,每一種通信方式都可以用鏈路層加密的方法來實現至少與有線連接同等的安全性。無線信號可能被偵聽,但是,如果把無線信號承載的數據變成密文,並且,如果加密強度夠高的話,偵聽者獲得有用數據的可能性很小。另外,無線信號可能被修改或者偽造,但是,如果對無線信號承載的數據增加一部分由該數據和用戶掌握的某種秘密生成的冗餘數據,以使得接收方可以檢測到數據是杏被更改,那麼,對於無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數據被誤認為是合法數據的可能性極小。
這樣,通過數據加密和數據完整性校驗就可以為無線區域網提供一個類似有線網的物理安全的保護。對於無線區域網中的主機,面臨病毒威脅時,可以用最先進的防毒措施和最新的殺毒工具來給系統增加安全外殼,比如安裝硬體形式的病毒卡預防病毒,或者安裝軟體用來時實檢測系統異常。PC機和筆記本電腦等設備己經和病毒進行了若千年的對抗,接下來的無線設備如何與病毒對抗還是一個待開發領域。
對於DOS攻擊或者DDOS攻擊,可以增加一個網關,使用數據包過濾或其它路由設置,將惡意數據攔截在網路外部;通過對外部網路隱藏接入設備的IP地址,可以減小風險。對於內部的惡意用戶,則要通過審計分析,網路安全檢測等手段找出惡意用戶,並輔以其它管理手段來杜絕來自內部的攻擊。硬體丟失的威脅要求必須能通過某種秘密或者生物特徵等方式來綁定硬體設備和用戶,並且對於用戶的認證也必須基於用戶的身份而不是硬體來完成。例如,用MAC地址來認證用戶是不適當的[5]。
除了以上的可能需求之外,根據不同的使用者,還會有不同的安全需求,對於安全性要求很高的用戶,可能對於傳輸的數據要求有不可抵賴性,對於進出無線區域網的數據要求有防泄密措施,要求無線區域網癱瘓後能夠迅速恢復等等。所以,無線區域網的安全系統不可能提供所有的安全保證,只能結合用戶的具體需求,結合其它的安全系統來一起提供安全服務,構建安全的網路。
當考慮與其它安全系統的合作時,無線區域網的安全將限於提供數據的機密性服務,數據的完整性服務,提供身份識別框架和接入控制框架,完成用戶的認證授權,信息的傳輸安全等安全業務。對於防病毒,防泄密,數據傳輸的不可抵賴,降低DoS攻擊的風險等都將在具體的網路配置中與其它安全系統合作來實現。
3.無線區域網安全風險
安全風險是指無線區域網中的資源面臨的威脅。無線區域網的資源,包括了在無線信道上傳輸的數據和無線區域網中的主機。
3.1 無線信道上傳輸的數據所面臨的威脅
由於無線電波可以繞過障礙物向外傳播,因此,無線區域網中的信號是可以在一定覆蓋范圍內接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣,人們在電台發射塔的覆蓋范圍內總可以用收音機收聽廣播,如果收音機的靈敏度高一些,就可以收聽到遠一些的發射台發出的信號。當然,無線區域網的無線信號的接收並不像收音機那麼簡單,但只要有相應的設備,總是可以接收到無線區域網的信號,並可以按照信號的封裝格式打開數據包,讀取數據的內容[6]。
另外,只要按照無線區域網規定的格式封裝數據包,把數據放到網路上發送時也可以被其它的設備讀取,並且,如果使用一些信號截獲技術,還可以把某個數據包攔截、修改,然後重新發送,而數據包的接收者並不能察覺。
因此,無線信道上傳輸的數據可能會被偵聽、修改、偽造,對無線網路的正常通信產生了極大的干擾,並有可能造成經濟損失。
3.2 無線區域網中主機面臨的威脅
無線區域網是用無線技術把多台主機聯系在一起構成的網路。對於主機的攻擊可能會以病毒的形式出現,除了目前有線網路上流行的病毒之外,還可能會出現專門針對無線區域網移動設備,比如手機或者PDA的無線病毒。當無線區域網與無線廣域網或者有線的國際互聯網連接之後,無線病毒的威脅可能會加劇。
對於無線區域網中的接入設備,可能會遭受來自外部網或者內部網的拒絕服務攻擊。當無線區域網和外部網接通後,如果把IP地址直接暴露給外部網,那麼針對該IP的Dog或者DDoS會使得接入設備無法完成正常服務,造成網路癱瘓。當某個惡意用戶接入網路後,通過持續的發送垃圾數據或者利用IP層協議的一些漏洞會造成接入設備工作緩慢或者因資源耗盡而崩潰,造成系統混亂。無線區域網中的用戶設備具有一定的可移動性和通常比較高的價值,這造成的一個負面影響是用戶設備容易丟失。硬體設備的丟失會使得基於硬體的身份識別失效,同時硬體設備中的所有數據都可能會泄漏。
這樣,無線區域網中主機的操作系統面臨著病毒的挑戰,接入設備面臨著拒絕服務攻擊的威脅,用戶設備則要考慮丟失的後果。
4.無線區域網安全性
無線區域網與有線區域網緊密地結合在一起,並且己經成為市場的主流產品。在無線區域網上,數據傳輸是通過無線電波在空中廣播的,因此在發射機覆蓋范圍內數據可以被任何無線區域網終端接收。安裝一套無線區域網就好象在任何地方都放置了乙太網介面。因此,無線區域網的用戶主要關心的是網路的安全性,主要包括接入控制和加密兩個方面。除非無線區域網能夠提供等同於有線區域網的安全性和管理能力,否則人們還是對使用無線區域網存在顧慮。
4.1 IEEE802. 11 b標準的安全性
IEEE 802.11b標準定義了兩種方法實現無線區域網的接入控制和加密:系統ID(SSID)和有線對等加密(WEP)[7][8]。
4.1.1認證
當一個站點與另一個站點建立網路連接之前,必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。IEEE 802.11b標准詳細定義了兩種認證服務:一開放系統認證(Open System Authentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發送一個含有發送站點身份的認證管理幀;然後,接收站發回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證(Shared Key Authentication ):這種認證先假定每個站點通過一個獨立於802.11網路的安全信道,已經接收到一個秘密共享密鑰,然後這些站點通過共享密鑰的加密認證,加密演算法是有線等價加密(WEP )。
4. 1 .2 WEP
IEEE 802.11b規定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線區域網數據流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及演算法相同。WEP的目標是:接入控制:防止未授權用戶接入網路,他們沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。
IEEE 802.11b標准提供了兩種用於無線區域網的WEP加密方案。第一種方案可提供四個預設密鑰以供所有的終端共享一包括一個子系統內的所有接入點和客戶適配器。當用戶得到預設密鑰以後,就可以與子系統內所有用戶安全地通信。預設密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全,但隨著終端數量的增加給每一個終端分配密鑰很困難。
4.2 影響安全的因素[9][10]
4. 2. 1硬體設備
在現有的WLAN產品中,常用的加密方法是給用戶靜態分配一個密鑰,該密鑰或者存儲在磁碟上或者存儲在無線區域網客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰並可用它接入到接入點。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。
當一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網路管理系統不可能檢測到這種問題,因此用戶必須立即通知網路管理員。接到通知後,網路管理員必須改變接入到MAC地址的安全表和WEP密鑰,並給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態加密密鑰。客戶端越多,重新編碼WEP密鑰的數量越大。
4.2.2虛假接入點
IEEE802. 1 1b共享密鑰認證表採用單向認證,而不是互相認證。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線區域網內,它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。
因此在用戶和認證伺服器之間進行相互認證是需要的,每一方在合理的時間內證明自己是合法的。因為用戶和認證伺服器是通過接入點進行通信的,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。
4.2.3其它安全問題
標准WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流,組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。通過監測工EEE802. 11 b控制信道和數據信道,黑客可以得到如下信息:客戶端和接入點MAC地址,內部主機MAC地址,上網時間。黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動,一個終端應該使用每一個時期的WEP密鑰。
4.3 完整的安全解決方案
無線區域網完整的安全方案以IEEE802.11b比為基礎,是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理。它的核心部分是:
擴展認證協議(Extensible Authentication Protocol,EAP),是遠程認證撥入用戶服務(RADIUS)的擴展。可以使無線客戶適配器與RADIUS伺服器通信。
當無線區域網執行安全保密方案時,在一個BSS范圍內的站點只有通過認證以後才能與接入點結合。當站點在網路登錄對話框或類似的東西內輸入用戶名和密碼時,客戶端和RADIUS伺服器(或其它認證伺服器)進行雙向認證,客戶通過提供用戶名和密碼來認證。然後RADIUS伺服器和用戶伺服器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免於攻擊。
這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網路,否則接入點將禁止站點使用網路資源。用戶在網路登錄對話框和類似的結構中輸入用戶名和密碼。用IEEE802. lx協議,站點和RADIUS伺服器在有線區域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。
相互認證成功完成後,RADIUS伺服器和用戶確定一個WEP密鑰來區分用戶並提供給用戶適當等級的網路接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶載入這個密鑰並在該登錄期內使用。
RADIUS伺服器發送給用戶的WEP密鑰,稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰並把加密密鑰發送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP,在這時期剩餘的時間內用時期密鑰和廣播密鑰通信。
網路安全性指的是防止信息和資源的丟失、破壞和不適當的使用。無論有線絡還是無線網路都必須防止物理上的損害、竊聽、非法接入和各種內部(合法用戶)的攻擊。
無線網路傳播數據所覆蓋的區域可能會超出一個組織物理上控制的區域,這樣就存在電子破壞(或干擾)的可能性。無線網路具有各種內在的安全機制,其代碼清理和模式跳躍是隨機的。在整個傳輸過程中,頻率波段和調制不斷變化,計時和解碼採用不規則技術。
正是可選擇的加密運演算法則和IEEE 802.11的規定要求無線網路至少要和有線網路(不使用加密技術)一樣安全。其中,認證提供接入控制,減少網路的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機制之外,更多的安全機制正在出現和發展之中[12]。
5.無線區域網安全技術的發展趨勢
目前無線區域網的發展勢頭十分強勁,但是起真正的應用前景還不是十分的明朗。主要表現在:一是真正的安全保障;二個是將來的技術發展方向;三是WLAN有什麼比較好的應用模式;四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;五是WLAN的市場規模。看來無線區域網真正的騰飛並非一己之事[13]。
無線區域網同樣需要與其他已經成熟的網路進行互動,達到互利互惠的目的。歐洲是GSM網的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優勢互補性必將使得WLAN與廣域網的融合迅速發展。現在國內中興通訊己經實現了WLAN和CI}IVIA系統的互通,而對於使用中興設備的WLAN與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
互通中的安全問題也必然首當其沖,IEEE的無線區域網工作組己經決定將EAP-SIIVI納入無線區域網安全標准系列裡面,並且與3G互通的認證標准EAP-AID也成為討論的焦點。
無線網路的互通,現在是一個趨勢。802.11工作組新成立了WIG(Wireless lnterworking Grouq),該工作組的目的在於使現存的符合ETSI,IEEE,MMAC所制訂的標準的無線域網之間實現互通。另外3GPP也給出了無線區域網和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現有的網路基礎上,實現無線區域網和G1VIS/GPRS的互通。
不同類型無線區域網互通標準的制定,使得用戶可以使用同一設備接入無線區域網。3G和無線區域網的互通者可以使用戶在一個運營商那裡注冊,就可以在各地接入。當然,用戶享用上述方便的同時,必然會使運營商或製造商獲得利潤,而利潤的驅動,則是這個互通風潮的根本動力。為了達到互通的安全,有以下需求:支持傳統的無線區域網設備,對用戶端設備,比如客戶端軟體,影響要最小,對經營者管理和維護客戶端SW的要求要盡量少,應該支持現存的UICC卡,不應該要求該卡有任何改動,敏感數據,比如存在UICC卡中的長期密鑰不能傳輸。對於UICC卡的認證介面應該是基於該密鑰的Challenge-, Response模式。用戶對無線區域網接入的安全級別應該和3GPP接入一樣,應該支持雙向認證,所選的認證方案應該顧及到授權服務,應該支持無線區域網接入NW的密鑰分配方法,無線區域網與3GPP互通所選擇的認證機制至少要提供3 GPP系統認證的安全級別,無線區域網的重連接不應該危及3GPP系統重連接的安全,所選擇的無線區域網認證機制應該支持會話密鑰素材的協商,所選擇的無線區域網密鑰協商和密鑰分配機制應該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線區域網技術應當保證無線區域網UE和無線區域網AN的特定的認證後建立的連接可以使用生成的密鑰素材來保證完整性。所有的用於用戶和網路進行認證的長期的安全要素應該可以在一張UICC卡中存下[14]。
對於非漫遊情況的互通時,這種情況是指當用戶接入的熱點地區是在3GPP的歸屬網路范圍內。簡單地說,就是用戶在運營商那裡注冊,然後在該運營商的本地網路范圍內的熱點地區接入時的一種情況。無線區域網與3G網路安全單元功能如下:UE(用戶設備)、3G-AAA(移動網路的認證、授權和計帳伺服器)、HSS(歸屬業務伺服器)、CG/CCF(支付網關/支付採集功能)、OCS(在線計帳系統)。
對於漫遊的互通情況時,3G網路是個全域性網路藉助3G網路的全域性也可以實現無線區域網的漫遊。在漫遊情況下,一種常用的方法是將歸屬網路和訪問網路分開,歸屬網路AAA服務作為認證的代理找到用戶所注冊的歸屬網路。
在無線區域網與3G互通中有如下認證要求:該認證流程從用戶設備到無線區域網連接開始。使用EAP方法,順次封裝基於USIM的用戶ID,AKA-Challenge消息。具體的認證在用戶設備和3GPAAA伺服器之間展開。走的是AKA過程,有一點不同在於在認證伺服器要檢查用戶是否有接入無線區域網的許可權。
上述互通方案要求客戶端有能夠接入無線區域網的網卡,同時還要實現USIM或者SIM的功能。服務網路要求修改用戶許可權表,增加對於無線區域網的接入許可權的判斷。
無線區域網的崛起使得人們開始考慮無線區域網和3G的互通,兩者之間的優勢互補性必將使得無線區域網與廣域網的融合迅速發展。現在國內中興通訊已經實現了無線區域網和CDMA系統的互通,而對於使用中興設備的無線區域網與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
參考文獻:
[1] 郭峰,曾興雯,劉乃安,《無線區域網》,電子工業出版杜,1997
[2] 馮錫生,朱榮,《無線數據通信》1997
[3] 你震亞,《現代計算機網路教程》,電子工業出版社,1999
[4] 劉元安,《寬頻無線接入和無線區域網》,北京郵電大學出版社,2000
[5] 吳偉陵,《移動通信中的關鍵技術》,北京郵電大學出版社,2000
[6] 張公忠,陳錦章,《當代組網技術》,清華大學出版社,2000
[7] 牛偉,郭世澤,吳志軍等,《無線區域網》,人民郵電出版社,2003
[8] Jeffrey Wheat,《無線網路設計》,莫蓉蓉等譯,機械工業出版社,2002
[9] Gil Held,《構建無線區域網》,沈金龍等澤,人民郵電出版社,2002
[10] Christian Barnes等,《無線網路安全防護》,林生等譯,機械工業出版社.2003
[11] Juha Heiskala等,《OFDM無線區域網》,暢曉春等譯,電子工業出版社,2003
[12] Eric Ouellet等,《構建Cisco無線區域網》,張穎譯,科學出版社,2003
參考下 需要原創的找我說明
C. 以計算機網路在現實中的應用為主題,題目自擬寫兩篇論文
摘要:分析了我國現階段中小企業辦公區域網建設的現狀,對區域網組建的目的、原則及網路結構設計等做了闡述,重點對中小型企業辦公區域網組建的幾種形式進行了探討。
關鍵詞:中小企業;辦公區域網;網路建設;組網方案;網路協議;伺服器;防火牆
自己從網上找一些說計算機網路介紹替換上邊內容然後翻譯成英語!英語可以用在先翻譯翻譯過來寫到這!
引 言
目前,我國中小企業數量已超過1 000萬家。在國民經濟中,6o% 的總產值來自於中小企業,並為社會提供了7O% 以上的就業機會。然而,在中國國民經濟和社會發展中一直占據著至關重要的戰略地位的中小企業,其信息化程度卻十分落後。今後如何應對瞬息萬變、競爭激烈的國內外市場環境以及如何利用網路技術迅速提升企業核心競爭力就成為企業成敗的關鍵。
這里也自己找點內容替換上面話
第一部分 需求分析
1.1沈陽四海旅遊有限公司網路需求描述 把公司名稱自己替換掉
公司背景:公司成立與2008年2月21日,位於沈陽太原街商業區,現有員工18人,主要經營業務是省內國內游,業務范圍中國大陸、香港地區。
公司管理結構:
公司現有計算機情況:外聯客戶是本公司的主要業務部門,所有員工每人一台計算機,接待部2台,省內導游3台省外導游3台財務部每人1台。
1.2網路系統建設目標
根據對四海公司總經理及業務部門的調研,確定四海公司網路設要實現的目標如下
目標分類 目標描述 實現方法
綜合布線 綜合布線是公司計算機網路的基礎物理通信平台,應重點考慮網路帶寬,使之滿足當前文件傳輸的需要,兼顧未來開展電子商務、多媒體應用的需求。 布線系統採用國際標準的星型拓撲結構。
布線系統設計及安裝符合ISO/IEC 11801標准。
採用統一的線路規格和設備介面。
採用超五類雙絞線進行布線。
區域網絡 計算機區域網是公司辦公網路的基礎,設計時要考慮當前公司辦公網路應用最多的文件傳輸,兼顧未來開展電子商務、多媒體應用如網路會議等的需求。 伺服器採用性能穩定、I/O較好的PC級伺服器。
採用全交換網路,實現全部100M交換到桌面。
交換機、網卡採用性價比合理、兼容性好的品牌
列印服務 公司有一台列印設備HP2000C,它讓公司內的基層員工與總經理共同列印文件,但是規定要讓總經理的緊急文件能夠優先列印。
列印設備型號替換掉 利用共享列印機、列印優先順序設置來實現。
第二章 網路結構設計
2.1總體功能設計
四海旅遊有限公司的機構設計包括以下幾項:
1、 網路拓撲結構設計;
2、 系統綜合布線設計;
3、 網路設備的選擇;
2.2 網路拓撲結構設計
1、拓撲結構設計原則:
1)靈活性:當用戶需求時有變化,設計的拓撲結構應具有易於重新配置網路的特點;
2)可靠性:網路可靠性對信息系統的可靠運行至關重要,因此拓撲的設計要使網路故障的檢測和故障隔離較為方便;
3)費用低:根據管理信息系統建設的實際情況選擇相應的拓撲結構,以降低介質的安裝費用。
根據以上設計網路拓撲結構的原則及現在常用的匯流排型、星型、環型拓撲結構的特點,設計世紀紙業公司的網路結構時採用星型拓撲結構,
2、網路拓撲結構示意圖如下:
2.3 系統綜合布線設計
2.3.1 系統綜合布線的原則
依據綜合布線系統設計規范,綜合布線系統要遵循以下原則:
1、 按照綜合布線系統設計規范的有關標准進行綜合布線設計。
2、 布線要符合國際標准,充分保證計算機網路系統的高速運行和信息的可靠傳輸。
3、 布線既滿足目前的通信技術要求,又滿足未來需要,能夠實現數據通信和實時的語音通訊、圖象傳輸。
4、 布線的接插件都應是模塊化的標准件,以便於將來的發展。
5、 布線要具有高可靠性。
6、 要能滿足網路系統設計和通信系統設計的通用性和靈活性。
2.3.2、綜合布線子系統設計
四海旅行有限公司綜合布線包括工作區子系統、水平布線子系統、配線間子系統三部分。
工作區布線系統設計 工作區子系統是由終端設備連接到信息插座的連接線和信息插座組成,通過插座就可以引出數據信息介面。
信息插座分布及工作區設置完全按照用戶需求設置。
介質選型:根據各樓信息系統的情況和具體需要,選用超五類雙絞線和五類信息插座,以滿足高速傳輸數據的需要。它們可和雙孔面板一起,安裝固定在牆壁、地板或其他指定位置。
按增強型綜合布線系統標准,每個工作區設兩個雙口五類信息插座,共設計信息點44個。 在進行工作區系統的設計時,考慮到公司的實際需求,為公司選用了AMP模塊。此模塊美觀易於安裝。
水平布線系統設計 由信息插座至配線間的線纜部分稱之為水平子系統。
介質選型:為適應信息系統網路發展之需要,保證未來多媒體技術應用,線纜選用五類非屏蔽雙絞線,由放置在配線間的管理配線架引出,經牆面線槽引至用戶端的牆式信息插座。每一單孔插座拉1根五類UTP支持數據/話音傳輸。
在進行水平布線系統的設計時,考慮到公司的實際需求,為公司選用了AMP超五類雙絞線。
配線間子系統設計 每個配線間管理相應的區域,以確保每個信息點的水平線纜長度不超過90米。管理子系統由配線架、跳線組成。根據世紀紙業公司的辦公室分布情況,在會議室設一個配線間。
考慮到配線間盡量少佔用建築空間,我們用2.0米的19"機櫃作為配線櫃,櫃內可安放AMP超五類48口配線架。
2.3.3 綜合布線設計示意圖
2.3.4 綜合布線系統設備清單 把這些東西名稱修改一下
序號 設備名稱 規格 單位 數量 單價(元) 合價(元) 備注
1 機櫃 奇勝42U 個 1 2100 2100
2 雙絞線 AMP超五類 米 1500 1.6 2500
3 跳線 AMP超五類跳線 根 48 10 480
4 配線架 AMP超五類48口 個 1 1200 1200
5 RJ45頭 AMP超五類RJ45 個 100 1.5 150
6 RJ45模塊 AMP超五類模塊 個 50 23 1150
7 雙口面板 AMP雙口面板 塊 50 3 150
8 線盒 TCL 個 50 4.5 225
9 PVC線槽 根 40 15 600
總計 8555
2.4 網路設備選擇
2.4.1 網路設備選擇原則
四海旅遊有限公司的核心是計算機區域網,在計算機區域網的設計過程中我們將按如下原則進行設計。這些套話都沒有去網上找點替換下面的內容,自己找內容把下面的東西改掉!!!!!!
實用性與先進性:
在網路的設計中,首先要考慮的是實用性和易於操作性,易於管理和維護,易於用戶掌握和學習使用。採用技術成熟的網路技術和設備及通信技術,同時要考慮對現有設備和資源的充分利用。保護原有的投資。
當前網路技術發展迅速,新的設備不斷涌現並趨於成熟。在現實、實用和可行的基礎上 ,堅持高起點,盡量選用先進的網路技術及通信設施,將計算機網路應用的技術水平定位在一個較高的層次上,以適應未來發展的需要。
考慮公司的應用及滿足未來發展的需要,世紀紙業公司計算機區域網採用快速乙太網技術,實現100M全交換到桌面,能保證今後電子商務、網路會議應用帶寬。
開放性原則:
只有開放的,符合國際標準的網路才能夠實現多廠家產品的互連,也就是說,要使網路的硬體環境、通訊環境、軟體環境、操作平台之間的相互依賴減至最小,發揮各自優勢。同時,要保證網路的互聯,為信息的互通和應用的互操作創造有利的條件。快速乙太網技術已經成熟,被世界各國廣泛採用,各廠家設備(如Bay、3Com、Cisco、Intel)均能滿足設計要求,我們計劃採用Intel的網路設備來實現四海旅遊有限公司網路
可擴充性原則:
網路系統結構要能夠靈活的擴充,滿足用戶對網路需求的不斷增長。具有良好擴充性的網路系統能夠讓用戶以較小的代價,通過產品升級,採用新的技術來擴充現有網路設備的功能,有效地保護用戶的投資。
本系統採用星型的網路拓撲結構,完全可滿足擴充需求。網路中採用模塊化的交換機,便於系統升級。
可靠性原則:
對於實時性要求很嚴的用戶,網路系統必須具有一定的容錯能力,保障在意外情況下不中斷用戶的正常工作。本系統主要在網路結構上採用星型結構,保證系統的可靠性。
選擇著名廠家的產品:
選擇著名廠家的產品可以保護用戶的投資:滿足網路系統不斷擴展、升級的需求。
2.4.2 網路設備選型
根據前面網路建設原則的要求,通過綜合比較,我們認為選擇Intel的網路產品具有合理的性能價格比、技術成熟、用戶群廣泛、產品系列全面的特點,各類交換機應有盡有,能滿足各種服務需求,下面就該系統所涉及的網路設備進行逐一介紹。
1、 Intel Express 460T交換機你把所有機器設備型號和名稱全部給替換掉,要不你的論文就是抄襲過來的! 自己上網找不同的交換機廠商交換機和網卡把下面表格內容替換了!
將快速乙太網性能擴展至桌面,利用可選模塊,該款16/24埠交換機可提供1000M的上連模塊。
特性 優勢
先進的流量控制(802.3x) 減少擁塞並防止數據包丟失
鏈路集合 集合多個埠來支持更高帶寬的連接,並提供額外的網路伸縮能力。
IP多點廣播修整 當向多個台式機廣播通信時可減少擁塞。
冗餘電源 容錯、可靠。
2、 Intel系列網卡
PILA8460C3 PRO/100桌面網卡有遠程喚醒,遠程啟動
PILA8470C3 PRO/100 伺服器網卡
性能介紹 符合PCI局部匯流排規范版本2.0或者更高
PCI 32位Bus Master體系結構提供了CPU低佔用率前提下的高吞吐量
100Mbps方式下支持5類非屏蔽雙絞線
2.4.3 網路設備清單
序號 設備名稱 規格 單位 數量 單價(元) 合價(元) 備注
1 交換機 Intel Express 460T/24 台 2 8350 16700
2 網卡 PILA8470C3 塊 1 650 650
3 網卡 PILA8460C3 塊 14 250 3500
總計 20850
2.5 網路伺服器、用戶計算機選型
2.5.1 網路伺服器選擇
目前市場上的主流PC伺服器主要有HP、IBM和COMPAQ等廠家的產品,它們均針對不同的應用規模,提供了不同系列的產品,採用了高級系統體系結構和內存子系統,能夠提供強勁卓越的性能和有最佳的I/O帶寬。在沒有明顯的技術差別的情況下,良好售後服務體系、及時全面的技術支持便成為選型的一個重要標准。
我們建議選擇IBM NF1000系列產品,因為它具有革新的可用性特點,例如:智能熱交換、內置雙工裝置,以及選用的智能冗餘電源供應,能夠最大程度地保護數據和減低停機時間,並且包括管理工具,可以簡化網路和伺服器管理工作。更重要的是,IBM能夠提供及時和全面的支持,從而保護用戶所作出的珍貴投資。同時,由於伺服器已經適應INTEL公司最新的PentiumⅢ的晶元而推出新的性能優異的Pentium Ⅲ晶元機型,所以便成為進行文件共享、高速通信和資料庫應用的理想選擇。
品牌 IBM NF5000
性能介紹 Pentium Ⅲ 550MHz處理器,512KB Catch
IBM 128MB EDO DIMM
9.2GB,熱交換SCSI磁碟模塊
3.5 inch Hard Drive 安裝托盤(一套三件,非熱交換)
32CD
2.5.2 用戶計算機選擇
用戶計算機選擇經濟實惠的兼容機。為財務部、人事部各配置一台。其他部門及員工使用已有計算機接入網路。
從網上找一個列印伺服器配置的過程加到這里!
D. 關於計算機網路的論文2000字
網路安全遭遇攻擊的手段及相應的對策
計算機網路就是利用通信設備和線路將地理位置分散、功能獨立的多個計算機互連起來,以功能完善的網路軟體(即網路通信協議、信息交換方式和網路操作系統等)實現網路中資源共享和信息傳遞的系統。
關鍵詞:計算機網路,攻擊手段,對策
一 、計算機網路及安全的概念
計算機網路就是利用通信設備和線路將地理位置分散、功能獨立的多個計算機互連起來,以功能完善的網路軟體(即網路通信協議、信息交換方式和網路操作系統等)實現網路中資源共享和信息傳遞的系統。論文參考網。
計算機網路安全主要是指網路系統的硬體、軟體、運行服務及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。論文參考網。
二、計算機網路遭攻擊的手段
(1)利用網路系統漏洞進行攻擊
許多網路系統都存在著這樣那樣的漏洞,這些漏洞有可能是系統本身所有的,如Windows NT、UNIX等都有數量不等的漏洞,也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。
(2)通過電子郵件進行攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客就是使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,還有可能使得郵件系統造成正常的計算機網路反映緩慢,甚至癱瘓。
(3)解密攻擊
在計算機網路上使用密碼是最常見並且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認「密碼」不認「人」,只要有密碼,系統就會認為你是經過授權的正常用戶,因此,取得密碼也是黑客進行攻擊的一種重要手法。取得密碼也還有好幾種方法,一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而黑客就能在兩端之間進行數據監聽。這種手法一般運用於區域網,一旦攻擊成功將會得到很大的操作權益。另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體會嘗試所有可能字元所組成的密碼,但這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如「12345」、「ABC」等那麼只需一眨眼的功夫就可解密。
(4)後門軟體攻擊
後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。這些後門軟體分為伺服器端和用戶端,當黑客准備攻擊時,會使用用戶端程序登陸已安裝好伺服器端程序的電腦,這些伺服器端程序都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時,後門軟體的伺服器端就安裝完成了,而且大部分後門軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。
(5)拒絕服務攻擊
計算機網路上許多大網站都遭受過拒絕伺服器攻擊。雖然實施拒絕服務攻擊(DOS)的難度比較小,但是它的破壞力相當很大。它的具體手法就是向目標伺服器發送大量的數據包,幾乎佔取該伺服器所有的網路寬頻,從而使伺服器無法對正常的服務請求進行處理,進而導致網站響應速度變慢、網站無法進入甚至伺服器癱瘓。現在常見的蠕蟲病毒或與者其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。論文參考網。這些病毒的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件,從而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。
三 、計算機網路安全的對策
(1) 建立入網訪問功能模塊
入網訪問控制為網路提供了第一層訪問控制。它允許哪些用戶可以登錄到網路伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。用戶的入網訪問控制可分為3個過程:用戶名的識別與驗證;用戶口令的識別與驗證;用戶帳號的檢查。在3個過程中如果其中一個不能成立,系統就視為非法用戶,則不能訪問該網路。計算機網路用戶的用戶名與口令進行驗證是防止非法訪問的第一道防線。計算機網路用戶注冊時首先輸入用戶名與口令,遠程伺服器將驗證所輸入的用戶名是否合法,如果驗證合法,才能進一步驗證口令,否則,用戶將被拒之門外。計算機網路管理員將對普通用戶的帳號使用、訪問網路時間、方式進行管理,還能控制用戶登錄入網的站點以及限制用戶入網的工作站數量。
(2)建立計算機網路的許可權控制模塊
計算機網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權,許可權控制可以根據訪問許可權將用戶分為3種類型:特殊用戶(系統管理員);一般用戶(系統管理員根據他們的實際需要為他們分配操作許可權);審計用戶(負責計算機網路的安全控制與資源使用情況的審計)。
(3)建立屬性安全服務控制模塊
屬性安全控制可以將給定的屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全控制在許可權安全的基礎上提供更進一步的安全性。計算機網路屬性控制可以控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件的查看、執行、隱含、共享及系統屬性等,還可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改、顯示等。
(4)建立計算機網路伺服器安全設置模塊
計算機網路伺服器的安全控制包括設置口令鎖定伺服器控制台;設置伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔;安裝非法防問設備等。其中安裝非法防問裝置最有效的設施是安裝防火牆。防火牆是一個用以阻止網路中非法用戶訪問某個網路的屏障,也是控制進、出兩個方向通信的門檻。目前的防火牆有3種類型:一是雙重宿主主機體系結構的防火牆;二是被屏蔽主機體系結構的防火牆;三是被屏蔽主機體系結構的防火牆。流行的軟體有:金山毒霸、KV3000+、瑞星、KILL等。
(5)建立檔案信息加密制度
保密性是計算機網路安全的一個重要方面,主要是利用密碼信息對加密數據進行處理,防止數據非法泄漏。利用計算機進行數據處理可大大提高工作效率,但在保密信息的收集、處理、使用、傳輸同時,也增加了泄密的可能性。因此對要傳輸的信息和存儲在各種介質上的數據按密級進行加密是行之有效的保護措施之一。
(6)建立網路智能型日誌系統
日誌系統具有綜合性數據記錄功能和自動分類檢索能力。在該系統中,日誌將記錄自某用戶登錄時起,到其退出系統時止,這所執行的所有操作,包括登錄失敗操作,對資料庫的操作及系統功能的使用。日誌所記錄的內容有執行某操作的用戶保執行操作的機器IP地址、操作類型、操作對象及操作執行時間等,以備日後審計核查之用。
(7)建立完善的備份及恢復機制
為了防止存儲設備的異常損壞,可採用由熱插拔SCSI硬碟所組成的磁碟容錯陣列,以RAID5的方式進行系統的實時熱備份。同時,建立強大的資料庫觸發器和恢復重要數據的操作以及更新任務,確保在任何情況下使重要數據均能最大限度地得到恢復。
三、結束語
由於計算機網路的開放性和通信協議的安全缺陷,以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點,網上傳輸的數據信息很容易泄露和被破壞,網路受到的安全攻擊非常嚴重,因此建立有效的計算機網路安全防範體系就更為迫切。實際上,保障網路安全不但需要參考網路安全的各項標准以形成合理的評估准則,更重要的是必須明確網路安全的框架體系、安全防範的層次結構和系統設計的基本原則,分析透網路系統的各個不安全環節,找到計算機網路安全漏洞,做到有的放矢。
E. 求一篇計算機網路的論文
計算機網路安全1 緒論隨著互聯網的飛速發展,網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由於有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網路安全不僅僅是使它沒有編程錯誤。它包括要防範那些聰明的,通常也是狡猾的、專業的,並且在時間和金錢上是很充足、富有的人。同時,必須清楚地認識到,能夠制止偶然實施破壞行為的敵人的方法對那些慣於作案的老手來說,收效甚微。
網路安全性可以被粗略地分為4個相互交織的部分:保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問,這是人們提到的網路安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。2 方案目標本方案主要從網路層次考慮,將網路系統設計成一個支持各級別用戶或用戶群的安全網路,該網在保證系統內部網路安全的同時,還實現與Internet或國內其它網路的安全互連。本方案在保證網路安全可以滿足各種用戶的需求,比如:可以滿足個人的通話保密性,也可以滿足企業客戶的計算機系統的安全保障,資料庫不被非法訪問和破壞,系統不被病毒侵犯,同時也可以防止諸如反動淫穢等有害信息在網上傳播等。
需要明確的是,安全技術並不能杜絕所有的對網路的侵擾和破壞,它的作用僅在於最大限度地防範,以及在受到侵擾的破壞後將損失盡旦降低。具體地說,網路安全技術主要作用有以下幾點:
1.採用多層防衛手段,將受到侵擾和破壞的概率降到最低;
2.提供迅速檢測非法使用和非法初始進入點的手段,核查跟蹤侵入者的活動;
3.提供恢復被破壞的數據和系統的手段,盡量降低損失;
4.提供查獲侵入者的手段。
網路安全技術是實現安全管理的基礎,近年來,網路安全技術得到了迅猛發展,已經產生了十分豐富的理論和實際內容。3 安全需求通過對網路系統的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網路系統的機密性、完整性、可用性、可控性與可審查性。即,
可用性: 授權實體有權訪問數據
機密性: 信息不暴露給未授權實體或進程
完整性: 保證數據不被未授權修改
可控性: 控制授權范圍內的信息流向及操作方式
可審查性:對出現的安全問題提供依據與手段
訪問控制:需要由防火牆將內部網路與外部不可信任的網路隔離,對與外部網路交換數據的內部網路及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網路,由於不同的應用業務以及不同的安全級別,也需要使用防火牆將不同的LAN或網段進行隔離,並實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計: 是識別與防止網路攻擊行為、追查網路泄密行為的重要措施之一。具體包括兩方面的內容,一是採用網路監控與入侵防範系統,識別網路各種違規操作與攻擊行為,即時響應(如報警)並進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏4 風險分析網路安全是網路正常運行的前提。網路安全不單是單點的安全,而是整個信息網的安全,需要從物理、網路、系統、應用和管理方面進行立體的防護。要知道如何防護,首先需要了解安全風險來自於何處。網路安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網路層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位,都會存在很大的安全隱患,都有可能造成網路的中斷。根據國內網路系統的網路結構和應用情況,應當從網路安全、系統安全、應用安全及管理安全等方面進行全面地分析。
風險分析是網路安全技術需要提供的一個重要功能。它要連續不斷地對網路中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網路中所有有關的成分。5 解決方案5.1 設計原則
針對網路系統實際情況,解決網路的安全保密問題是當務之急,考慮技術難度及經費等因素,設計時應遵循如下思想:
1.大幅度地提高系統的安全性和保密性;
2.保持網路原有的性能特點,即對網路的協議和傳輸具有很好的透明性;
3.易於操作、維護,並便於自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網路拓撲結構,同時便於系統及系統功能的擴展;
5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
6.安全與密碼產品具有合法性,及經過國家有關管理部門的認可或認證;
7.分步實施原則:分級管理 分步實施。
5.2 安全策略
針對上述分析,我們採取以下安全策略:
1.採用漏洞掃描技術,對重要網路設備進行風險評估,保證信息系統盡量在最優的狀況下運行。
2.採用各種安全技術,構築防禦系統,主要有:
(1) 防火牆技術:在網路的對外介面,採用防火牆技術,在網路層進行訪問控制。
(2) NAT技術:隱藏內部網路信息。
(3) VPN:虛擬專用網(VPN)是企業網在網際網路等公共網路上的延伸,通過一個私有的通道在公共網路上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務夥伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網路的存在,彷彿所有的機器都處於一個網路之中。公共網路似乎只由本網路在獨占使用,而事實上並非如此。
(4)網路加密技術(Ipsec) :採用網路加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可解決網路在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。
(5) 認證:提供基於身份的認證,並在各種認證機制中可選擇使用。
(6) 多層次多級別的企業級的防病毒系統:採用多層次多級別的企業級的防病毒系統,對病毒實現全面的防護。
(7)網路的實時監測:採用入侵檢測系統,對主機和網路進行監測和預警,進一步提高網路防禦外來攻擊的能力。
3.實時響應與恢復:制定和完善安全管理制度,提高對網路攻擊等實時響應與恢復能力。
4.建立分層管理和各級安全管理中心。
5.3 防禦系統
我們採用防火牆技術、NAT技術、VPN技術、網路加密技術(Ipsec)、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術,構成網路安全的防禦系統。
5.3.1 物理安全
物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
為保證信息網路系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。
為保證網路的正常運行,在物理安全方面應採取如下措施:
1.產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。
2.運行安全方面:網路中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。
3.防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產品,如輻射干擾機。
4.保安方面:主要是防盜、防火等,還包括網路系統所有網路設備、計算機、安全設備的安全防護。
5.3.2 防火牆技術
防火牆是一種網路安全保障手段,是網路通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網路的許可權,並迫使所有的連接都經過這樣的檢查,防止一個需要保護的網路遭外界因素的干擾和破壞。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網路和Internet之間地任何活動,保證了內部網路地安全;在物理實現上,防火牆是位於網路特殊位置地以組硬體設備――路由器、計算機或其他特製地硬體設備。防火牆可以是獨立地系統,也可以在一個進行網路互連地路由器上實現防火牆。用防火牆來實現網路安全必須考慮防火牆的網路拓撲結構:
(1)屏蔽路由器:又稱包過濾防火牆。
(2)雙穴主機:雙穴主機是包過濾網關的一種替代。
(3)主機過濾結構:這種結構實際上是包過濾和代理的結合。
(4)屏蔽子網結構:這種防火牆是雙穴主機和被屏蔽主機的變形。
根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網路地址轉換—NAT、代理型和監測型。
5.3.2.1 包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。 包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。 但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。
5.3.2.2 網路地址轉化—NAT
網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、注冊的IP地址標准。它允許具有私有IP地址的內部網路訪問網際網路。它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址。在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄。系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求。網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
5.3.2.3 代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。 代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
以上回答來自: http://www.lwtxw.com/html/96-3/3486.htm
求採納為滿意回答。
F. 有誰會寫計算機網路方面的論文
網路安全 計算機網路安全論文 1 緒論 隨著互聯網的飛速發展,網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由於有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網路安全不僅僅是使它沒有編程錯誤。它包括要防範那些聰明的,通常也是狡猾的、專業的,並且在時間和金錢上是很充足、富有的人。同時,必須清楚地認識到,能夠制止偶然實施破壞行為的敵人的方法對那些慣於作案的老手來說,收效甚微。
網路安全性可以被粗略地分為4個相互交織的部分:保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問,這是人們提到的網路安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來 2 方案目標 本方案主要從網路層次考慮,將網路系統設計成一個支持各級別用戶或用戶群的安全網路,該網在保證系統內部網路安全的同時,還實現與Internet或國內其它網路的安全互連。本方案在保證網路安全可以滿足各種用戶的需求,比如:可以滿足個人的通話保密性,也可以滿足企業客戶的計算機系統的安全保障,資料庫不被非法訪問和破壞,系統不被病毒侵犯,同時也可以防止諸如反動淫穢等有害信息在網上傳播等。
需要明確的是,安全技術並不能杜絕所有的對網路的侵擾和破壞,它的作用僅在於最大限度地防範,以及在受到侵擾的破壞後將損失盡旦降低。具體地說,網路安全技術主要作用有以下幾點:
1.採用多層防衛手段,將受到侵擾和破壞的概率降到最低;
2.提供迅速檢測非法使用和非法初始進入點的手段,核查跟蹤侵入者的活動;
3.提供恢復被破壞的數據和系統的手段,盡量降低損失;
4.提供查獲侵入者的手段。
網路安全技術是實現安全管理的基礎,近年來,網路安全技術得到了迅猛發展,已經產生了十分豐富的理論和實際內容。 3 安全需求 通過對網路系統的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網路系統的機密性、完整性、可用性、可控性與可審查性。即,
可用性: 授權實體有權訪問數據
機密性: 信息不暴露給未授權實體或進程
完整性: 保證數據不被未授權修改
可控性: 控制授權范圍內的信息流向及操作方式
可審查性:對出現的安全問題提供依據與手段 訪問控制:需要由防火牆將內部網路與外部不可信任的網路隔離,對與外部網路交換數據的內部網路及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網路,由於不同的應用業務以及不同的安全級別,也需要使用防火牆將不同的LAN或網段進行隔離,並實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計: 是識別與防止網路攻擊行為、追查網路泄密行為的重要措施之一。具體包括兩方面的內容,一是採用網路監控與入侵防範系統,識別網路各種違規操作與攻擊行為,即時響應(如報警)並進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏 4 風險分析 網路安全是網路正常運行的前提。網路安全不單是單點的安全,而是整個信息網的安全,需要從物理、網路、系統、應用和管理方面進行立體的防護。要知道如何防護,首先需要了解安全風險來自於何處。網路安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網路層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位,都會存在很大的安全隱患,都有可能造成網路的中斷。根據國內網路系統的網路結構和應用情況,應當從網路安全、系統安全、應用安全及管理安全等方面進行全面地分析。
風險分析是網路安全技術需要提供的一個重要功能。它要連續不斷地對網路中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網路中所有有關的成分。 5 解決方案 5.1 設計原則
針對網路系統實際情況,解決網路的安全保密問題是當務之急,考慮技術難度及經費等因素,設計時應遵循如下思想:
1.大幅度地提高系統的安全性和保密性;
2.保持網路原有的性能特點,即對網路的協議和傳輸具有很好的透明性;
3.易於操作、維護,並便於自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網路拓撲結構,同時便於系統及系統功能的擴展;
5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
6.安全與密碼產品具有合法性,及經過國家有關管理部門的認可或認證;
7.分步實施原則:分級管理 分步實施。
5.2 安全策略
針對上述分析,我們採取以下安全策略:
1.採用漏洞掃描技術,對重要網路設備進行風險評估,保證信息系統盡量在最優的狀況下運行。
2.採用各種安全技術,構築防禦系統,主要有: (1) 防火牆技術:在網路的對外介面,採用防火牆技術,在網路層進行訪問控制。
(2) NAT技術:隱藏內部網路信息。
(3) VPN:虛擬專用網(VPN)是企業網在網際網路等公共網路上的延伸,通過一個私有的通道在公共網路上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務夥伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網路的存在,彷彿所有的機器都處於一個網路之中。公共網路似乎只由本網路在獨占使用,而事實上並非如此。
(4)網路加密技術(Ipsec) :採用網路加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可解決網路在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。
(5) 認證:提供基於身份的認證,並在各種認證機制中可選擇使用。
(6) 多層次多級別的企業級的防病毒系統:採用多層次多級別的企業級的防病毒系統,對病毒實現全面的防護。
(7)網路的實時監測:採用入侵檢測系統,對主機和網路進行監測和預警,進一步提高網路防禦外來攻擊的能力。
3.實時響應與恢復:制定和完善安全管理制度,提高對網路攻擊等實時響應與恢復能力。
4.建立分層管理和各級安全管理中心。
5.3 防禦系統
我們採用防火牆技術、NAT技術、VPN技術、網路加密技術(Ipsec)、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術,構成網路安全的防禦系統。
5.3.1 物理安全
物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
為保證信息網路系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。
為保證網路的正常運行,在物理安全方面應採取如下措施:
1.產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。
2.運行安全方面:網路中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。
3.防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產品,如輻射干擾機。
4.保安方面:主要是防盜、防火等,還包括網路系統所有網路設備、計算機、安全設備的安全防護。
5.3.2 防火牆技術
防火牆是一種網路安全保障手段,是網路通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網路的許可權,並迫使所有的連接都經過這樣的檢查,防止一個需要保護的網路遭外界因素的干擾和破壞。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網路和Internet之間地任何活動,保證了內部網路地安全;在物理實現上,防火牆是位於網路特殊位置地以組硬體設備――路由器、計算機或其他特製地硬體設備。防火牆可以是獨立地系統,也可以在一個進行網路互連地路由器上實現防火牆。用防火牆來實現網路安全必須考慮防火牆的網路拓撲結構: (1)屏蔽路由器:又稱包過濾防火牆。
(2)雙穴主機:雙穴主機是包過濾網關的一種替代。
(3)主機過濾結構:這種結構實際上是包過濾和代理的結合。
(4)屏蔽子網結構:這種防火牆是雙穴主機和被屏蔽主機的變形。
根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網路地址轉換—NAT、代理型和監測型。
5.3.2.1 包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。 包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。 但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。
5.3.2.2 網路地址轉化—NAT
網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、注冊的IP地址標准。它允許具有私有IP地址的內部網路訪問網際網路。它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址。在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄。系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求。網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
5.3.2.3 代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。 代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。 5.3.2.4 監測型
監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品,雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。 實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由於這種產品是基於應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄。正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。 相關性:畢業論文,免費畢業論文,大學畢業論文,畢業論文模板
5.3.3 入侵檢測
入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為
是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現:
1.監視、分析用戶及系統活動;
2.系統構造和弱點的審計;
3.識別反映已知進攻的活動模式並向相關人士報警;
4.異常行為模式的統計分析;
5.評估重要系統和數據文件的完整性; 6. 操作系統的審計跟蹤管理,並識別用戶違反安全策略的行為。
5.4 安全服務
網路是個動態的系統,它的變化包括網路設備的調整,網路配置的變化,各種操作系統、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網路結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整。針對以上問題和網管人員的不足,下面介紹一系列比較重要的網路服務。包括:
1.通信夥伴認證
通信夥伴認證服務的作用是通信夥伴之間相互確庥身份,防止他人插入通信過程。認證一般在通信之前進行。但在必要的時候也可以在通信過程中隨時進行。認證有兩種形式,一種是檢查一方標識的單方認證,一種是通信雙方相互檢查對方標識的相互認證。
通信夥伴認證服務可以通過加密機制,數字簽名機制以及認證機制實現。
2.訪問控制
訪問控制服務的作用是保證只有被授權的用戶才能訪問網路和利用資源。訪問控制的基本原理是檢查用戶標識,口令,根據授予的許可權限制其對資源的利用范圍和程度。例如是否有權利用主機CPU運行程序,是否有權對資料庫進行查詢和修改等等。
訪問控制服務通過訪問控制機制實現。
3.數據保密
數據保密服務的作用是防止數據被無權者閱讀。數據保密既包括存儲中的數據,也包括傳輸中的數據。保密查以對特定文件,通信鏈路,甚至文件中指定的欄位進行。
數據保密服務可以通過加密機制和路由控制機制實現。
4.業務流分析保護
業務流分析保護服務的作用是防止通過分析業務流,來獲取業務量特徵,信息長度以及信息源和目的地等信息。
業務流分析保護服務可以通過加密機制,偽裝業務流機制,路由控制機制實現。 5.數據完整性保護
數據完整性保護服務的作用是保護存儲和傳輸中的數據不被刪除,更改,插入和重復,必要時該服務也可以包含一定的恢復功能。
數據完整性保護服務可以通過加密機制,數字簽名機制以及數據完整性機制實現
6.簽字
簽字服務是用發送簽字的辦法來對信息的接收進行確認,以證明和承認信息是由簽字者發出或接收的。這個服務的作用在於避免通信雙方對信息的來源發生爭議。
簽字服務通過數字簽名機制及公證機制實現。
5.5 安全技術的研究現狀和動向
我國信息網路安全研究歷經了通信保密、數據保護兩個階段,正在進入網路信息安全研究階段,現已開發研製出防火牆、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟體等。但因信息網路安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網路安全的方案,目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。國際上信息安全研究起步較早,力度大,積累多,應用廣,在70年代美國的網路安全技術基礎理論研究成果「計算機保密模型」(Beu& La pala模型)的基礎上,指定了「
可信計算機系統安全評估准則」(TCSEC),其後又制定了關於網路系統資料庫方面和系列安全解釋,形成了安全信息系統體系結構的准則。
結論 隨著互聯網的飛速發展,網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
本論文從多方面描述了網路安全的解決方案,目的在於為用戶提供信息的保密,認證和完整性保護機制,使網路中的服務,數據以及系統免受侵擾和破壞。比如防火牆,認證,加密技術等都是當今常用的方法,本論文從這些方法入手深入研究各個方面的網路安全問題的解決,可以使讀者有對網路安全技術的更深刻的了解。
G. 計算機網路基礎論文怎麼寫
鍵盤論文網有很多關於計算機網路基礎的論文,這個方向很大,最好先細化出一個題目在動手
我之前找的鍵盤論文網的老師幫我指導的文章,呵呵,很快就搞好了
H. 計算機網路的畢業論文怎麼寫,
計算機網路畢業論文計算機網路在電子商務中的應用摘要:隨著計算機網路技術的飛進發展,電子商務正得到越來越廣泛的應用。由於電子商務中的交易行為大多數都是在網上完成的, 因此電子商務的安全性是影響躉易雙方成敗的一個關鍵因素。本文從電子商務系統對計算機網路安全,商務交易安全性出發,介紹利用網路安全枝術解決安全問題的方法。關鍵詞:計算機網路,電子商務安全技術一. 引言近幾年來.電子商務的發展十分迅速 電子商務可以降低成本.增加貿易機會,簡化貿易流通過程,提高生產力,改善物流和金流、商品流.信息流的環境與系統 雖然電子商務發展勢頭很強,但其貿易額所佔整個貿易額的比例仍然很低。影響其發展的首要因素是安全問題.網上的交易是一種非面對面交易,因此「交易安全「在電子商務的發展中十分重要。可以說.沒有安全就沒有電子商務。電子商務的安全從整體上可分為兩大部分.計算機網路安全和商務交易安全。計算機網路安全包括計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案.以保證計算機網路自身的安全性為目標。商務安全則緊緊圍繞傳統商務在Interne'(上應用時產生的各種安全問題.在計算機網路安全的基礎上.如何保障電子商務過程的順利進行。即實現電子商務的保密性.完整性.可鑒別性.不可偽造性和不可依賴性。二、電子商務網路的安全隱患1竊取信息:由於未採用加密措施.數據信息在網路上以明文形式傳送.入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容.造成網上傳輸信息泄密2.篡改信息:當入侵者掌握了信息的格式和規律後.通過各種技術手段和方法.將網路上傳送的信息數據在中途修改 然後再發向目的地。這種方法並不新鮮.在路由器或者網關上都可以做此類工作。3假冒由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。4惡意破壞:由於攻擊者可以接入網路.則可能對網路中的信息進行修改.掌握網上的機要信息.甚至可以潛入網路內部.其後果是非常嚴重的。三、電子商務交易中應用的網路安全技術為了提高電子商務的安全性.可以採用多種網路安全技術和協議.這些技術和協議各自有一定的使用范圍,可以給電子商務交易活動提供不同程度的安全保障。1.防火牆技術。防火牆是目前主要的網路安全設備。防火牆通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務 由於它假設了網路的邊界和服務,對內部的非法訪問難以有效地控制。因此.最適合於相對獨立的與外部網路互連途徑有限、網路服務種類相對集中的單一網路(如常見的企業專用網) 防火牆的隔離技術決定了它在電子商務安全交易中的重要作用。目前.防火牆產品主要分為兩大類基於代理服務方式的和基於狀態檢測方式的。例如Check Poim Fi rewalI-140是基於Unix、WinNT平台上的軟體防火牆.屬狀態檢測型 Cisco PIX是硬體防火牆.也屬狀態檢測型。由於它採用了專用的操作系統.因此減少了黑客利用操作系統G)H攻擊的可能性:Raptor完全是基於代理技術的軟體防火牆 由於互聯網的開放性和復雜性.防火牆也有其固有的缺點(1)防火牆不能防範不經由防火牆的攻擊。例如.如果允許從受保護網內部不受限制地向外撥號.一些用戶可以形成與Interne'(的直接連接.從而繞過防火牆:造成一個潛在的後門攻擊渠道,所以應該保證內部網與外部網之間通道的唯一性。(2)防火牆不能防止感染了病毒的軟體或文件的傳輸.這只能在每台主機上裝反病毒的實時監控軟體。(3)防火牆不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Interne'(主機上並被執行而發起攻擊時.就會發生數據驅動攻擊.所以對於來歷不明的數據要先進行殺毒或者程序編碼辨證,以防止帶有後門程序。2.數據加密技術。防火牆技術是一種被動的防衛技術.它難以對電子商務活動中不安全的因素進行有效的防衛。因此.要保障電子商務的交易安全.就應當用當代密碼技術來助陣。加密技術是電子商務中採取的主要安全措施,貿易方可根據需要在信息交換的階段使用。目前.加密技術分為兩類.即對稱加密/對稱密鑰加密/專用密鑰加密和非對稱加密/公開密鑰加密。現在許多機構運用PKI(punickey nfrastructur)的縮寫.即 公開密鑰體系」)技術實施構建完整的加密/簽名體系.更有效地解決上述難題.論文其他部分請參考下面的網址: http://wenwen.soso.com/z/q111677677.htm
I. 計算機網路技術畢業論文 5000字
計算機論文
計算機網路在電子商務中的應用
摘要:隨著計算機網路技術的飛進發展,電子商務正得到越來越廣泛的應用。由於電子商務中的交易行為大多數都是在網上完成的, 因此電子商務的安全性是影響躉易雙方成敗的一個關鍵因素。本文從電子商務系統對計算機網路安全,商務交易安全性出發,介紹利用網路安全枝術解決安全問題的方法。
關鍵詞:計算機網路,電子商務安全技術
一. 引言
近幾年來.電子商務的發展十分迅速 電子商務可以降低成本.增加貿易機會,簡化貿易流通過程,提高生產力,改善物流和金流、商品流.信息流的環境與系統 雖然電子商務發展勢頭很強,但其貿易額所佔整個貿易額的比例仍然很低。影響其發展的首要因素是安全問題.網上的交易是一種非面對面交易,因此「交易安全「在電子商務的發展中十分重要。可以說.沒有安全就沒有電子商務。電子商務的安全從整體上可分為兩大部分.計算機網路安全和商務交易安全。計算機網路安全包括計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案.以保證計算機網路自身的安全性為目標。商務安全則緊緊圍繞傳統商務在Interne'(上應用時產生的各種安全問題.在計算機網路安全的基礎上.如何保障電子商務過程的順利進行。即實現電子商務的保密性.完整性.可鑒別性.不可偽造性和不可依賴性。
二、電子商務網路的安全隱患
1竊取信息:由於未採用加密措施.數據信息在網路上以明文形式傳送.入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容.造成網上傳輸信息泄密
2.篡改信息:當入侵者掌握了信息的格式和規律後.通過各種技術手段和方法.將網路上傳送的信息數據在中途修改 然後再發向目的地。這種方法並不新鮮.在路由器或者網關上都可以做此類工作。
3假冒由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
4惡意破壞:由於攻擊者可以接入網路.則可能對網路中的信息進行修改.掌握網上的機要信息.甚至可以潛入網路內部.其後果是非常嚴重的。
三、電子商務交易中應用的網路安全技術
為了提高電子商務的安全性.可以採用多種網路安全技術和協議.這些技術和協議各自有一定的使用范圍,可以給電子商務交易活動提供不同程度的安全保障。
1.防火牆技術。防火牆是目前主要的網路安全設備。防火牆通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務 由於它假設了網路的邊界和服務,對內部的非法訪問難以有效地控制。因此.最適合於相對獨立的與外部網路互連途徑有限、網路服務種類相對集中的單一網路(如常見的企業專用網) 防火牆的隔離技術決定了它在電子商務安全交易中的重要作用。目前.防火牆產品主要分為兩大類基於代理服務方式的和基於狀態檢測方式的。例如Check Poim Fi rewalI-1 4 0是基於Unix、WinNT平台上的軟體防火牆.屬狀態檢測型 Cisco PIX是硬體防火牆.也屬狀態檢測型。由於它採用了專用的操作系統.因此減少了黑客利用操作系統G)H攻擊的可能性:Raptor完全是基於代理技術的軟體防火牆 由於互聯網的開放性和復雜性.防火牆也有其固有的缺點(1)防火牆不能防範不經由防火牆的攻擊。例如.如果允許從受保護網內部不受限制地向外撥號.一些用戶可以形成與Interne'(的直接連接.從而繞過防火牆:造成一個潛在的後門攻擊渠道,所以應該保證內部網與外部網之間通道的唯一性。(2)防火牆不能防止感染了病毒的軟體或文件的傳輸.這只能在每台主機上裝反病毒的實時監控軟體。(3)防火牆不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Interne'(主機上並被執行而發起攻擊時.就會發生數據驅動攻擊.所以對於來歷不明的數據要先進行殺毒或者程序編碼辨證,以防止帶有後門程序。
2.數據加密技術。防火牆技術是一種被動的防衛技術.它難以對電子商務活動中不安全的因素進行有效的防衛。因此.要保障電子商務的交易安全.就應當用當代密碼技術來助陣。加密技術是電子商務中採取的主要安全措施, 貿易方可根據需要在信息交換的階段使用。目前.加密技術分為兩類.即對稱加密/對稱密鑰加密/專用密鑰加密和非對稱加密/公開密鑰加密。現在許多機構運用PKI(punickey nfrastructur)的縮寫.即 公開密鑰體系」)技術實施構建完整的加密/簽名體系.更有效地解決上述難題.在充分利用互聯網實現資源共享的前提下從真正意義上確保了網上交易與信息傳遞的安全。在PKI中.密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開.而另一把則作為專用密鑰{解密密鑰)加以保存。公開密鑰用於對機密�6�11生息的加密.專用密鑰則用於對加信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握.公開密鑰可廣泛發布.但它只對應用於生成該密鑰的貿易方。貿易方利用該方案實現機密信息交換的基本過程是 貿易方甲生成一對密鑰並將其中的一把作為公開密鑰向其他貿易方公開:得到該公開密鑰的貿易方乙使用該密鑰對機密信息進行加密後再發送給貿易方甲 貿易方甲再用自己保存的另一把專用密鑰對加密後的信息進行解密。貿易方甲只能用其專用密鑰解密由其公開密鑰加密後的任何信息。
3.身份認證技術。身份認證又稱為鑒別或確認,它通過驗證被認證對象的一個或多個參數的真實性與有效性 來證實被認證對象是否符合或是否有效的一種過程,用來確保數據的真實性。防止攻擊者假冒 篡改等。一般來說。用人的生理特徵參數f如指紋識別、虹膜識別)進行認證的安全性很高。但目前這種技術存在實現困難、成本很高的缺點。目前,計算機通信中採用的參數有口令、標識符 密鑰、隨機數等。而且一般使用基於證書的公鑰密碼體制(PK I)身份認證技術。要實現基於公鑰密碼演算法的身份認證需求。就必須建立一種信任及信任驗證機制。即每個網路上的實體必須有一個可以被驗證的數字標識 這就是 數字證書(Certifi2cate)」。數字證書是各實體在網上信息交流及商務交易活動中的身份證明。具有唯一性。證書基於公鑰密碼體制.它將用戶的公開密鑰同用戶本身的屬性(例如姓名,單位等)聯系在一起。這就意味著應有一個網上各方都信任的機構 專門負責對各個實體的身份進行審核,並簽發和管理數字證書,這個機構就是證書中心(certificate authorities.簡稱CA}。CA用自己的私鑰對所有的用戶屬性、證書屬性和用戶的公鑰進行數字簽名,產生用戶的數字證書。在基於證書的安全通信中.證書是證明用戶合法身份和提供用戶合法公鑰的憑證.是建立保密通信的基礎。因此,作為網路可信機構的證書管理設施 CA主要職能就是管理和維護它所簽發的證書 提供各種證書服務,包括:證書的簽發、更新 回收、歸檔等。
4.數字簽名技術。數字簽名也稱電子簽名 在信息安全包括身份認證,數據完整性、不可否認性以及匿名性等方面有重要應用。數字簽名是非對稱加密和數字摘要技術的聯合應用。其主要方式為:報文發送方從報文文本中生成一個1 28b it的散列值(或報文摘要),並用自己的專用密鑰對這個散列值進行加密 形成發送方的數字簽名:然後 這個數字簽名將作為報文的附件和報文一起發送給報文的接收方 報文接收方首先從接收到的原始報文中計算出1 28bit位的散列值(或報文摘要).接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密 如果兩個散列值相同 那麼接收方就能確認該數字簽名是發送方的.通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。
四、結束語
電子商務安全對計算機網路安全與商務安全提出了雙重要求.其復雜程度比大多數計算機網路都高。在電子商務的建設過程中涉及到許多安全技術問題 制定安全技術規則和實施安全技術手段不僅可以推動安全技術的發展,同時也促進安全的電子商務體系的形成。當然,任何一個安全技術都不會提供永遠和絕對的安全,因為網路在變化.應用在變化,入侵和破壞的手段也在變化,只有技術的不斷進步才是真正的安全保障。
參考文獻:
[1]肖滿梅 羅蘭娥:電子商務及其安全技術問題.湖南科技學院學報,2006,27
[2]豐洪才 管華 陳珂:電子商務的關鍵技術及其安全性分析.武漢工業學院學報 2004,2
[3]閻慧 王偉:寧宇鵬等編著.防火牆原理與技術[M]北京:機械工業出版杜 2004