Internet各层面临的安全威胁和信息加密层的选择.pdfVIP

Intcmet各层面临的安全威胁与信息加密层的选择 ‘ 徐志大南相浩 信息工程学院应用数学系信息安全实验室 摘要本文从全新的角度，详细分析Internet各层面临的安全威胁，剖析 其可能被攻击的薄弱之处。比较了在各层采用加密机制的优缺点，提出最 佳加密点是应用层的思想。 关键词加密认证保密性完整性 一、Internet TCP／IP模型 进入80年代中期以来，在计算机网络领域最引人注目的事就是美国 的Internet飞速发展。Internet的愿意是互联网，中文名称为英特网。 现在Internet已成为世界上最大的国际性计算机互联网。Internet属第 三代计算机网络，使用不同于osI参考模型的TcP／IP模型。 如下图所示，TcP／IP模型由五层组成。大致相当于08I模型的五层： 物理层、数据链路层、网络层、传输层和应用层。没有OSI模型中的会话 层和表示层，如果应用层需要这两层的廒务，可由应用层自己借助于API 实现。 应用层 物理层与数据链路层类似于OSI 传输层(TCP、UDP) 参考模型中的相应层。 网络层(IP) 网络层是整个体系结构的关键部 数据链路层 分，负责在进行通信的端结点之间 物理层 移动数据。如果发送主机与接收主杌 Internet TCP／IP模型 不在同一网络上，网络层还要进行路 由选择。其主要的协议是互联网协议IP，与其配合使用的还有Internet 】雒 控制消息协议ICMP，路由信息协议RIP，因特网组管理协议IG时．开放最 短通路优先协议OSPF及边界周关协议BGP等。 传输层为应用层提供两种类型的服务；由传输控制协议TCP提供的面 向连接、全双工服务及由用户数据报协议UDP提供的无连接、不可靠服务。 应用层协议由开发者定义，较著名的应用层协议有：文件传输协议FTP， 简单邮件传输协议sKrP，网络新闻传输协议NNTP，超文本传输协议盯rP 等。 二、基本概念 Internet安全涉及的基本概念主要有认证、访问控制、数据完整性 及数据保密性。 认证的重要性在于它建立身份证明，区分具有不同身份的主体，是进 行访问控制的基础。通常它基于如下三个方面来认证：①你是什么(如物 理特征)蝴知道什么(如用户ID、口令)?③你有什么(如^TM信用卡)? 目前，Internet上的认证机制主要涉及后两者，你知道的可能是帐户名 及口令．你有的可能是硬件认证设备。 访问控制涉及允许谁访问某个客体，这个客体可能是具体的，如磁带 驱动器，也可能是抽象的，如文件系统中的目录、远程系统中的网络服务。 显然，要实嫩基于身份的访问控制需要某种形式的认证。访问控制包括三 个任务：授权、确定访问权限和实施访问权限。Internet没有标准的访 问控制机制，根据客体的特性，实现方式变化很大。 数据完整性指数据的当前状态与其初始状态的对比情况。消息或文件 通过Internet传输，在途中有可能被添加、删除或修改。发生这三种情 况之～的数据就失掉了它的完整性。 数据保密性指数据不被未授权者访问。在Internet上传辕的绝大多 数数据没有保密性的要求，tnternet上的e_mil消息经常象明信片一样； 任何处理它们的人能阅读它们。在Internet上，你的邮件由许多中闻网 络和设备处理，任何接触的人，不管被授权或未被授权，能阅读你的消息。 保密性的缺乏不仅仅存在于e_mai l，也存于通过阿P和web传辕的大多 129 数数据．这三方面的应用近似占在Inl=eruet骨干网上倍输的数据量的一 半。尽管大多数Internet数据不需要保密．但至少有一些数据需要像密。 你可能并不在乎少数邮政