基于編碼技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)研究

賀爭(zhēng)漢

（咸陽(yáng)職業(yè)技術(shù)學(xué)院，陜西咸陽(yáng) 712000）

在現(xiàn)代社會(huì)不斷發(fā)展的過程中，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為人們生活生產(chǎn)過程中的主要工具。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用性與完整性，成為研究人員解決網(wǎng)絡(luò)安全問題的主要參照指標(biāo)。因?yàn)榫W(wǎng)絡(luò)行動(dòng)比較隨意，并且具有較高的網(wǎng)絡(luò)自由度，功能或者管理等難度都在增加，也會(huì)受到惡意攻擊。編碼技術(shù)提高了網(wǎng)絡(luò)結(jié)構(gòu)的安全性，降低了錯(cuò)誤幾率，也對(duì)編碼技術(shù)人員專業(yè)性提出了較高的要求。編碼通過邏輯層次，使二進(jìn)制數(shù)據(jù)作為高低信號(hào)，使用光特性和電氣特性表示。提高編程水平能夠提升計(jì)算機(jī)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)的水平，促進(jìn)計(jì)算機(jī)技術(shù)的發(fā)展[1]。

1 常用編碼技術(shù)和方法

為了實(shí)現(xiàn)編碼目標(biāo)，研發(fā)了多種編碼方法，圖1為常用編碼方法。除了圖1的編碼方法之外，還包括冗余碼、281Q 電平碼、擾頻與各數(shù)據(jù)壓縮編碼方法等。在長(zhǎng)距離傳輸過程中，帶寬使用效率尤為重要，一般都使用雙極性編碼。在短距離傳輸過程中，對(duì)比每個(gè)節(jié)點(diǎn)設(shè)備價(jià)格，帶寬使用效率并不重要，所以可以使用曼徹斯特編碼，且能夠使用同步功能。對(duì)數(shù)據(jù)數(shù)字傳輸進(jìn)行模擬，使模擬數(shù)據(jù)轉(zhuǎn)換成為數(shù)字?jǐn)?shù)據(jù)，脈沖編碼調(diào)制（PCM）方法為實(shí)現(xiàn)此轉(zhuǎn)換的基本方法，通過數(shù)字-模擬轉(zhuǎn)換器與模擬-數(shù)字轉(zhuǎn)換器實(shí)現(xiàn)數(shù)字信號(hào)與模擬信號(hào)的轉(zhuǎn)換[2]。

圖1 常用編碼方法

2 計(jì)算機(jī)網(wǎng)絡(luò)安全機(jī)理

由于惡意節(jié)點(diǎn)能夠和網(wǎng)絡(luò)連接，在不能隔離惡意節(jié)點(diǎn)時(shí)，改善選擇路由路徑，降低惡意節(jié)點(diǎn)攔截次數(shù)，比如多重路徑路由協(xié)議。利用鄰近節(jié)點(diǎn)實(shí)現(xiàn)自身節(jié)點(diǎn)信任度計(jì)算和認(rèn)證，從而計(jì)算聲望值，假如發(fā)現(xiàn)比設(shè)定值要低的節(jié)點(diǎn)，表示該節(jié)點(diǎn)為惡意節(jié)點(diǎn)，立刻隔離惡意節(jié)點(diǎn)。每個(gè)節(jié)點(diǎn)能夠傳遞的數(shù)據(jù)范圍都存在一個(gè)限度，如果在固定距離下使數(shù)據(jù)傳輸?shù)竭h(yuǎn)方目的地，就要使數(shù)據(jù)利用其他節(jié)點(diǎn)通過路由的方式傳遞。高速系統(tǒng)中節(jié)點(diǎn)都要標(biāo)識(shí)區(qū)域節(jié)點(diǎn)數(shù)量，并且定期發(fā)送廣播信息，通過信息標(biāo)頭對(duì)臨近節(jié)點(diǎn)信息封裝是否接收進(jìn)行確認(rèn)，如果遺失就要重新傳遞。為了避免惡意節(jié)點(diǎn)影響，在傳遞封包信息過程中要在封包抬頭添加數(shù)字簽章，包括信息身份與節(jié)點(diǎn)身份，接收節(jié)點(diǎn)對(duì)數(shù)位簽章進(jìn)行驗(yàn)證，對(duì)封包安全性與正確性進(jìn)行確定[3]。

3 網(wǎng)絡(luò)安全結(jié)構(gòu)的設(shè)計(jì)

信息網(wǎng)絡(luò)安全結(jié)構(gòu)的主要目的是使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常工作，保證信息網(wǎng)絡(luò)系統(tǒng)安全性，避免泄露重要信息。所以，計(jì)算機(jī)網(wǎng)絡(luò)安全結(jié)構(gòu)要實(shí)現(xiàn)此目標(biāo)，需綜合使用先進(jìn)網(wǎng)絡(luò)安全技術(shù)，保證網(wǎng)絡(luò)安全保密與互連互通，保證信息系統(tǒng)正常的運(yùn)行[4]。

3.1 安全體系結(jié)構(gòu)

網(wǎng)絡(luò)安全體系要對(duì)安全機(jī)制和安全對(duì)象全面考慮，安全對(duì)象包括系統(tǒng)安全、網(wǎng)絡(luò)安全、設(shè)備安全、信息安全、計(jì)算機(jī)病毒防治與信息介質(zhì)安全等[5]，圖2為安全體系結(jié)構(gòu)。

圖2 安全體系結(jié)構(gòu)

3.2 安全體系層次模型

根據(jù)網(wǎng)絡(luò)OSI的7 層模型，網(wǎng)絡(luò)安全貫穿在整個(gè)模型中。對(duì)于網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行TCP/IP 協(xié)議，網(wǎng)絡(luò)安全貫穿在信息系統(tǒng)4 個(gè)層次中，圖3 為安全體系層次模型圖。

圖3 安全體系層次模型圖

物理層信息安全的主要目的是避免物理通路損壞、物理通路攻擊、物理通路竊聽[6]；

鏈路層網(wǎng)絡(luò)安全主要目的是避免網(wǎng)絡(luò)鏈路傳送數(shù)據(jù)不會(huì)被竊聽，使用加密通信劃分VLAN 等手段實(shí)現(xiàn)；

操作系統(tǒng)安全對(duì)操作系統(tǒng)訪問控制與客戶資料的安全性進(jìn)行保證，應(yīng)用到操作系統(tǒng)中實(shí)現(xiàn)審計(jì)；

網(wǎng)絡(luò)層安全要保證網(wǎng)絡(luò)只對(duì)客戶使用授權(quán)服務(wù)，保證正確的網(wǎng)絡(luò)路由，避免監(jiān)聽和攔截；

應(yīng)用平臺(tái)指在網(wǎng)絡(luò)系統(tǒng)中創(chuàng)建的應(yīng)用軟件服務(wù)，比如電子郵件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、Web 服務(wù)器。因?yàn)閼?yīng)用平臺(tái)系統(tǒng)較為復(fù)雜，一般利用多種技術(shù)提高應(yīng)用平臺(tái)安全性[7]；

應(yīng)用系統(tǒng)主要實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)主要功能，也就是為用戶服務(wù)。應(yīng)用系統(tǒng)安全和系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)具有密切關(guān)系，應(yīng)用系統(tǒng)利用應(yīng)用平臺(tái)的安全服務(wù)對(duì)基本安全進(jìn)行保證，比如通信內(nèi)容安全、雙方審計(jì)、認(rèn)證等[8]。

3.3 系統(tǒng)響應(yīng)模塊

響應(yīng)指的是在網(wǎng)絡(luò)安全系統(tǒng)檢測(cè)到入侵行為時(shí)的反應(yīng)動(dòng)作，系統(tǒng)響應(yīng)主要包括被動(dòng)響應(yīng)與主動(dòng)響應(yīng)。在主動(dòng)響應(yīng)時(shí)，系統(tǒng)自動(dòng)或者通過用戶設(shè)置方式阻斷攻擊。其能夠阻止正在進(jìn)行的攻擊行為，避免攻擊者訪問。主動(dòng)響應(yīng)指的是系統(tǒng)在檢測(cè)到攻擊時(shí)反擊攻擊者，被動(dòng)響應(yīng)能夠給用戶提供入侵信息，通過系統(tǒng)管理員使用適當(dāng)措施處置[9]，此響應(yīng)以緊急程度對(duì)用戶提交信息，雖然和主動(dòng)響應(yīng)相比實(shí)時(shí)性較差，但是安全性較高，便于維護(hù)數(shù)據(jù)。系統(tǒng)設(shè)計(jì)和被動(dòng)響應(yīng)、主動(dòng)響應(yīng)的優(yōu)勢(shì)結(jié)合，對(duì)模式庫(kù)中常見的攻擊類型預(yù)先設(shè)計(jì)動(dòng)作，實(shí)現(xiàn)主動(dòng)響應(yīng)處理，利用異常算法檢測(cè)模式庫(kù)中是否存在攻擊，系統(tǒng)保存連接數(shù)據(jù)并實(shí)現(xiàn)處理。在主動(dòng)響應(yīng)中，系統(tǒng)要自動(dòng)阻塞或者影響攻擊，改變攻擊過程。在被動(dòng)攻擊中，系統(tǒng)只是簡(jiǎn)單地報(bào)告和記錄檢測(cè)問題[10]，圖4 為系統(tǒng)分析模塊的結(jié)構(gòu)。

圖4 系統(tǒng)分析模塊的結(jié)構(gòu)

3.4 異常流量檢測(cè)

雖然使用流量對(duì)網(wǎng)絡(luò)監(jiān)控為低級(jí)方法，但是對(duì)實(shí)時(shí)通信系統(tǒng)與點(diǎn)對(duì)點(diǎn)傳輸網(wǎng)絡(luò)使用者監(jiān)控是非常有效的。比如，對(duì)計(jì)算機(jī)UDP session 進(jìn)行觀察。實(shí)時(shí)通信系統(tǒng)和點(diǎn)對(duì)點(diǎn)傳輸網(wǎng)絡(luò)中有利用UDP 連接模式獨(dú)特傳輸資料的行為，該傳輸模式能夠在分散式網(wǎng)絡(luò)架構(gòu)中尋找到哪部計(jì)算機(jī)進(jìn)行了傳輸，該檢測(cè)只需要記錄網(wǎng)絡(luò)流量就能夠?qū)?shí)時(shí)通信系統(tǒng)和點(diǎn)對(duì)點(diǎn)傳輸網(wǎng)絡(luò)使用者進(jìn)行判斷。因?yàn)辄c(diǎn)對(duì)點(diǎn)傳輸網(wǎng)絡(luò)成員要想保證最佳通信質(zhì)量，就要不斷發(fā)送封包對(duì)網(wǎng)絡(luò)環(huán)境變化進(jìn)行確認(rèn)，所以要發(fā)現(xiàn)使用者，節(jié)點(diǎn)計(jì)算機(jī)在連接過程中需要發(fā)送控制數(shù)據(jù)包和分散式網(wǎng)絡(luò)互動(dòng)[11]。

全部網(wǎng)絡(luò)利用UDP 協(xié)議傳輸查詢Supernode 數(shù)據(jù)包，利用UDP 低成本、簡(jiǎn)單和有效的特點(diǎn)，不斷送出控制數(shù)據(jù)包維持Supernode 數(shù)量來保證通信質(zhì)量。在啟用網(wǎng)絡(luò)時(shí)會(huì)發(fā)送一個(gè)或者多個(gè)UDP sockets等待，在連接過程中利用UDP 通信端口協(xié)助實(shí)時(shí)通信系統(tǒng)多地址溝通。簡(jiǎn)單來說，要求計(jì)算機(jī)使用一個(gè)或者多個(gè)UDP 端口實(shí)現(xiàn)連接和控制。比如，在局域網(wǎng)安全監(jiān)控系統(tǒng)中UDP 傳輸追蹤顯示兩分鐘有390 多個(gè)記錄，全部輸出都為UDP10810 和2787 兩個(gè)端口，此系統(tǒng)利用端口對(duì)服務(wù)器服務(wù)狀態(tài)進(jìn)行查詢，另外一個(gè)端口實(shí)現(xiàn)搜尋、連接、IP 查詢和公告[12]。

3.5 系統(tǒng)安全處理

計(jì)算機(jī)IP 地址范圍是確定的，并且具備明確閉合邊界。其具備C 類IP 地址，包括FTP、WWW、DNS等服務(wù)器，能夠使用以下控制策略：對(duì)于進(jìn)入到主干網(wǎng)存取的控制局域網(wǎng)具備自身IP 地址，要禁止通過本路由器對(duì)外網(wǎng)訪問；控制網(wǎng)絡(luò)中心資源主機(jī)訪問；保護(hù)網(wǎng)絡(luò)中心服務(wù)器等主要資源；對(duì)于網(wǎng)絡(luò)中心全部資源要禁止WWW、DNS、FTP 之外的服務(wù)[13]。

針對(duì)企業(yè)外所傳播的非法信息網(wǎng)址進(jìn)行訪問控制，能夠利用計(jì)費(fèi)系統(tǒng)得到最新IP 訪問信息，通過域名查詢等方法確定某IP 訪問是否違法。根據(jù)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)情況和防火墻設(shè)置安全需求在企業(yè)局域網(wǎng)出口位置設(shè)置過濾防火墻。此防火墻能夠隔離內(nèi)外網(wǎng)與主要服務(wù)器，阻止外網(wǎng)攻擊局域網(wǎng)內(nèi)部和內(nèi)網(wǎng)服務(wù)器。

局域網(wǎng)防護(hù)墻隔離內(nèi)外網(wǎng)，屏蔽內(nèi)網(wǎng)IP 與應(yīng)用服務(wù)器，還能夠?qū)崿F(xiàn)進(jìn)出代理服務(wù)器數(shù)據(jù)分組動(dòng)態(tài)過濾，在有異常時(shí)及時(shí)報(bào)警。針對(duì)外網(wǎng)來說，能夠?qū)Υ矸?wù)器IP 進(jìn)行訪問，看不到內(nèi)網(wǎng)中全部站點(diǎn)[14]。圖5 為用戶、防火墻和服務(wù)器的關(guān)系。

圖5 用戶、防火墻和服務(wù)器的關(guān)系

證書申請(qǐng)和發(fā)放的步驟為：

1）服務(wù)器和用戶生成各自證書申請(qǐng)文件，并且傳輸?shù)阶C書中心。證書申請(qǐng)文件主要包括網(wǎng)絡(luò)用戶簽名信息、用戶身份信息、公鑰信息等[15]；

2）證書中心對(duì)證書合法性、正確性進(jìn)行驗(yàn)證，并且為網(wǎng)絡(luò)合法用戶簽發(fā)證書，此證書主要包括證書中心簽名；

3）網(wǎng)絡(luò)用戶接收證書中心的證書，在本地安裝，并且服務(wù)器也要安裝相應(yīng)證書[16]；

4）在網(wǎng)絡(luò)用戶登錄到服務(wù)器時(shí)，先通過代理服務(wù)器驗(yàn)證各自的身份，假如身份驗(yàn)證正確，則服務(wù)器與用戶接收發(fā)送的數(shù)據(jù)都通過密文方式進(jìn)行傳輸。主機(jī)型局域網(wǎng)安全結(jié)構(gòu)防護(hù)系統(tǒng)要在主機(jī)中安裝Agent，其主要目的是監(jiān)視主機(jī)內(nèi)部程序的運(yùn)行，并且監(jiān)控和記錄活動(dòng)，所有事件都記錄在日志文檔中，并且與攻擊特征數(shù)據(jù)庫(kù)對(duì)比，對(duì)主機(jī)是否受到攻擊進(jìn)行判斷[17]。

3.6 網(wǎng)頁(yè)過濾

網(wǎng)絡(luò)型局域網(wǎng)安全結(jié)構(gòu)是通過一個(gè)或者多個(gè)檢測(cè)器，由對(duì)資料進(jìn)行收集和分析的主控臺(tái)構(gòu)成。對(duì)每個(gè)通過的網(wǎng)絡(luò)封包進(jìn)行分析，并且對(duì)比已知攻擊特征，如果滿足某攻擊特征，系統(tǒng)就會(huì)啟動(dòng)防護(hù)措施，比如發(fā)出警告或者控制防火墻。

文中所設(shè)計(jì)的網(wǎng)頁(yè)過濾器能夠?qū)ML 驗(yàn)證器和MAC 信息模塊處理進(jìn)行參數(shù)傳遞，使處理結(jié)果傳遞到下個(gè)網(wǎng)絡(luò)應(yīng)用程序中，從而實(shí)現(xiàn)原本工作，或者顯示輸入錯(cuò)誤警示畫面[18]，圖6 為警示畫面。

圖6 警示畫面

4 結(jié)束語

在網(wǎng)絡(luò)應(yīng)用不斷普及的過程中，網(wǎng)絡(luò)安全也越來越重要，國(guó)家與企業(yè)對(duì)于創(chuàng)建安全網(wǎng)絡(luò)的要求更高。信息安全并不是市場(chǎng)中全部安全產(chǎn)品所能保證的，重點(diǎn)為完善計(jì)算機(jī)網(wǎng)絡(luò)安全方案。基于編碼的計(jì)算機(jī)網(wǎng)絡(luò)安全結(jié)構(gòu)能夠加強(qiáng)計(jì)算機(jī)安全，保證檢測(cè)精確度與敏感度，并且節(jié)省發(fā)送端能量。另外，計(jì)算機(jī)安全結(jié)構(gòu)功能越來越多元化，降低了計(jì)算機(jī)網(wǎng)絡(luò)對(duì)于人們生活生產(chǎn)造成的不安全因素，提高了網(wǎng)絡(luò)安全系數(shù)。