TCP/IP網(wǎng)絡協(xié)議安全

王軍峰

摘要：隨著計算機網(wǎng)絡的發(fā)展和網(wǎng)絡共享性及互連性程度的擴大，因特網(wǎng)日益成為信息交換的主要手段。機密數(shù)據(jù)、商業(yè)數(shù)據(jù)等敏感信息對網(wǎng)絡安全提出了更高的要求。TCP/IP協(xié)議作為當前最流行的互聯(lián)網(wǎng)協(xié)議，卻在設計時并未考慮到未來的安全需要，因此協(xié)議中有諸多安全問題。而協(xié)議的安全缺陷與電腦病毒的存在，使得網(wǎng)絡環(huán)境面臨極大的危險。本文在分析了TCP/IP及其安全問題之后，從協(xié)議與應用兩個角度介紹了目前安全技術(shù)概況，最后提出了安全防范措施。

關鍵詞：TCP/IP協(xié)議;協(xié)議安全;計算機網(wǎng)絡

前言

Internet是一個基于TCP/IP協(xié)議的網(wǎng)絡，通過TCP/IP協(xié)議實現(xiàn)了不同級別、不同廠商、不同操作系統(tǒng)的計算機通信。由于TCP/IP協(xié)議一開始的實現(xiàn)主要目的是用于科學研究的，所以在安全性方面存在很大的欠缺。隨著計算機網(wǎng)絡技術(shù)的發(fā)展，信息安全問題越來越受到國家的關注，網(wǎng)絡安全也已經(jīng)成為計算機網(wǎng)絡通信領域的重點研究范圍。

協(xié)議中存在許多的安全問題，隨著應用的深入，逐漸受到人們的關注。因此，人們開始研究各種各樣的安全技術(shù)來彌補它的缺陷，堵住安全漏洞，增加網(wǎng)絡安全。目前正在制定安全協(xié)議，在互連的基礎上考慮了安全的因素，希望能對未來的信息社會中對安全網(wǎng)絡環(huán)境的形成有所幫助。

第一章 TCP/IP協(xié)議概述

目前在Internet上使用的是TCP/IP協(xié)議。TCP/IP協(xié)議叫做傳輸控制/網(wǎng)際協(xié)議，它是Internet國際互聯(lián)網(wǎng)絡的基礎。TCP/IP是網(wǎng)絡中使用的基本的通信協(xié)議。從表面名字上看TCP/IP包括兩個協(xié)議，傳輸控制協(xié)議（TCP）和互聯(lián)網(wǎng)際協(xié)議（IP）， IP協(xié)議之所以能使各種網(wǎng)絡互聯(lián)起來是由于它把各種不同的“幀”統(tǒng)一轉(zhuǎn)換成“IP數(shù)據(jù)報”格式，這種轉(zhuǎn)換是因特網(wǎng)的一個最重要的特點。所以IP協(xié)議使各種計算機網(wǎng)絡都能在因特網(wǎng)上實現(xiàn)互通，即具有“開放性”的特點。TCP/IP協(xié)議的基本傳輸單位是數(shù)據(jù)包（datagram）。TCP協(xié)議負責把數(shù)據(jù)分成若干個數(shù)據(jù)包，并給每個數(shù)據(jù)包加上包頭，包頭上有相應的編號，以保證在數(shù)據(jù)接收端能將數(shù)據(jù)還原為原來的格式，IP協(xié)議在每個包頭上還要加上接收端主機地址，這樣數(shù)據(jù)通過路由器中的MAC地址來確定數(shù)據(jù)的流向，如果傳輸過程中出現(xiàn)數(shù)據(jù)丟失，數(shù)據(jù)失真等情況，TCP協(xié)議會自動要求數(shù)據(jù)重新傳輸，并重新組。TCP/IP協(xié)議數(shù)據(jù)的傳輸基于TCP/IP協(xié)議的4層結(jié)構(gòu)，TCP/IP協(xié)議各層次的體系結(jié)構(gòu)和各層中集中的協(xié)議如下表1.1。

第二章 各協(xié)議層存在的安全漏洞

（一）、鏈路層存在的安全漏洞

我們知道，在以太網(wǎng)中，信道是共享的，任何主機發(fā)送的每一個以太網(wǎng)幀都會到達別的與該主機處于同一網(wǎng)段的所有主機的以太網(wǎng)接口，一般地，CSMA/CD協(xié)議使以太網(wǎng)接口在檢測到數(shù)據(jù)幀不屬于自己時，就把它忽略，不會把它發(fā)送到上層協(xié)議（如ARP、RARP層或IP層）。攻擊者利用數(shù)據(jù)在TCP/IP協(xié)議中的明文傳輸缺陷進行在線偵聽和業(yè)務流分析，可通過某些監(jiān)控軟件或網(wǎng)絡分析儀等進行竊聽，竊取網(wǎng)絡通信信息。

（二）、網(wǎng)絡層漏洞

幾乎所有的基于TCP/IP的機器都會對ICMP echo請求進行響應。所以如果一個敵意主機同時運行很多個ping命令向一個服務器發(fā)送超過其處理能力的ICMP echo請求時，就可以淹沒該服務器使其拒絕其他的服務。另外，ping命令可以在得到允許的網(wǎng)絡中建立秘密通道從而可以在被攻擊系統(tǒng)中開后門進行方便的攻擊，如收集目標上的信息并進行秘密通信等。

（三）、IP漏洞

IP包一旦從網(wǎng)絡中發(fā)送出去，源IP地址就幾乎不用，僅在中間路由器因某種原因丟棄它或到達目標端后，才被使用。這使得一個主機可以使用別的主機的IP地址發(fā)送IP包，只要它能把這類IP包放到網(wǎng)絡上就可以。因而如果攻擊者把自己的主機偽裝成被目標主機信任的友好主機，即把發(fā)送的IP包中的源IP地址改成被信任的友好主機的IP地址，利用主機間的信任關系和這種信任關系的實際認證中存在的脆弱性，就可以對信任主機進行攻擊。

第三章 TCP/IP協(xié)議簇的改進與發(fā)展狀況

由于Internet的安全性問題日益突出，TCP/IP協(xié)議簇也在不斷地改善和發(fā)展之中。目前主要的發(fā)展和改進有以下幾個方面：

（一）IP協(xié)議的改進

IPv4協(xié)議已經(jīng)使用了20多年，在這20多年的應用中，IPv4獲得了巨大的成功，同時隨著應用范圍的擴大，它也面臨著越來越不容忽視的危機，例如地址匱乏等等。IPv6是為了解決IPv4所存在的一些問題和不足而提出的，同時它還在許多方面提出了改進，IPv6主要有如下的特點：

1.IPV6地址長度為128比特，地址空間增大了2的96次方倍;

2.靈活的IP報文頭部格式，加快了報文處理速度;

3.簡化了報文頭部格式，加快報文轉(zhuǎn)發(fā)，提高了吞吐量;

4.提高安全性。身份認證和隱私權(quán)是IPV6的關鍵特性;

5.支持更多的服務類型;

6.允許協(xié)議繼續(xù)演變，增加新的功能，使之適應未來技術(shù)的發(fā)展。

經(jīng)過一個較長的IPv4和IPv6共存的時期，IPv6最終會完全取代IPv4在互連網(wǎng)上占據(jù)統(tǒng)治地位。

（二）路由技術(shù)的改進

為保護RIP（路由選擇信息協(xié)議，Routing Information Protocol）和OSPF（開放式最短路徑優(yōu)先，Open Shortest Path First Interior Gateway Protocol）的報文安全，采用著名的MD5認證算法對發(fā)送路由報文的節(jié)點進行認證。路由器內(nèi)含認證TCP繪畫過程的機制能減少多個自治域之間通過BGP所傳路由信息遭受攻擊的危險性。由于IPv6提供AH和ESP機制，與IPv6一起使用的內(nèi)部網(wǎng)關協(xié)議也可獲得安全保護。

（三）DNS安全擴充

DNS安全擴充提供了DNS信息認證機制，并允許用戶的公開密鑰存儲與DNS中，由請求方對其進行認證，DNS安全擴充允許用戶簽名的公開密鑰與地址記錄、姓名記錄、郵箱一起進行認證分配，從而使動態(tài)密鑰管理輕易實現(xiàn)。

結(jié)束語：

隨著計算機網(wǎng)絡技術(shù)的快速發(fā)展，各種信息安全管理的問題不斷出現(xiàn)，因此網(wǎng)絡信息安全管理就要依據(jù)先進技術(shù)，結(jié)合自身情況不斷完善與加強。同時還要結(jié)合自身實況采取合理解決問題的方案，從而確保計算機及網(wǎng)絡的信息安全。

參考文獻

[1]吳鈺峰，劉泉，李方敏。網(wǎng)絡安全中的密碼技術(shù)研究及其應用[J].真空電子技術(shù)，2004

[2]楊義先.網(wǎng)絡安全理論與技術(shù)[M].北京：北京人民郵電出版社，2003

[3]李學詩.計算機系統(tǒng)安全技術(shù)[M]. 武漢：華中理工大學出版社，2003

[4]（美）凱文 R.福爾（Kevin R.Fall），（美）W.理查德·史蒂文斯（W.Richard Stevens） TCP/IP詳解 卷1：協(xié)議 ?機械工業(yè)出版社，2016.