【導(dǎo)讀】網(wǎng)絡(luò)信息安全最新進(jìn)展和未來趨勢(shì)。完成時(shí)間：2020年12月。研究現(xiàn)狀與發(fā)展趨

　　

【正文】 SMTP SSLPOP3 以 SSL 協(xié)議分別對(duì) Tel， SMTP， POP3 等應(yīng)用進(jìn)行加密。 PET Privacy Enhanced Tel 是使 Tel 具有加密功能，在遠(yuǎn)程登陸時(shí)對(duì)連接本身進(jìn)行加密的方式，由富士通和 WIDE 開發(fā)。 PEM Privacy Enhanced Mail 是由 IEEE 標(biāo)準(zhǔn)化的具有加密簽名功能的郵件系統(tǒng)（ RFC14211424）。 S/MIME Secure/Multipurpose Inter Mail Extensions， RSA Data Security PKCS MIME (RFC23112315)。 PGP Pretty Good Privacy 是具有加密及簽名功能的電子郵件協(xié)議（ RFC1991）。 傳輸層 SSL Secure Socket Layer 是基于 WWW 服務(wù)器和瀏覽器之間的具有加密、報(bào)文認(rèn)證、簽名驗(yàn)證和密鑰分配的加密協(xié)議。 TLS Transport Layer Security (IEEE 標(biāo)準(zhǔn) )是將 SSL 通用化的協(xié)議 (RFC2246)。 SOCKSv5 此協(xié)議是防火墻和 VPN 用的數(shù)據(jù)加密和認(rèn)證協(xié)議（ RFC1928），由 NEC 開發(fā)為主。 網(wǎng)絡(luò)層 IPSec Inter Protocol Security (IEEE 標(biāo)準(zhǔn) )，為通信提供機(jī)密性、完整性等。 鏈路層 PPTP Point to Point Tunneling Protocol L2F Layer 2 Forwarding L2TP Layer 2 Tunneling Protocol 綜合了 PPTP 和 L2F 協(xié)議。 23 研究現(xiàn)狀 目前主要的安全通信協(xié)議有 SSL (TLS) 、 IPsec 和 S/MIME。 SSL提供基于客戶 /服務(wù)器模式的安全標(biāo)準(zhǔn) ， SSL ( TLS) 在傳輸層和應(yīng)用層之間嵌入一個(gè)子層 ， 主要用于實(shí)現(xiàn)兩個(gè)應(yīng)用程序之間安全通訊機(jī)制 ， 提供 面向連接的保護(hù) ； IP安全協(xié)議 (IPsec)提供網(wǎng)關(guān)到網(wǎng)關(guān)的安全通信標(biāo)準(zhǔn) ， 在網(wǎng)絡(luò)層實(shí)現(xiàn) ， IPsec 能夠保護(hù)整個(gè)網(wǎng)絡(luò) ； S/MIM 在應(yīng)用層提供對(duì)信息的安全保護(hù) ， 主要用于信息的安全存儲(chǔ)、信息認(rèn)證、傳輸和信息轉(zhuǎn)發(fā)。三種安全通信協(xié)議雖然均提供了類似的安全服務(wù) ， 但是他們的具體應(yīng)用范圍是不同的 ， 在實(shí)際應(yīng)用中 ， 應(yīng)根據(jù)具體情況選擇相應(yīng)的安全通信協(xié)議。 以下分別介紹幾個(gè)常見的安全協(xié)議及其研究現(xiàn)狀。 （ 1）鏈路層的 L2TP L2TP 是 由 RFC266 定義，該協(xié)議定義了在包交換網(wǎng)絡(luò) (包括 IP、 ATM、 FR等 )中封裝鏈路層點(diǎn)到點(diǎn)協(xié)議 (PPP)幀的方法。承載協(xié)議首選網(wǎng)絡(luò)層的 IP 協(xié)議，也可以采用數(shù)據(jù)鏈路層的 ATM 或 FR 協(xié)議。 L2TP 可以支持多種撥號(hào)用戶協(xié)議，如 IP、 IPX 和 AppleTalk 等。 目前， L2TP 及其相關(guān)的認(rèn)證、計(jì)費(fèi)系統(tǒng)已經(jīng)比較成熟。基于 L2TP 的遠(yuǎn)程接入 VPN 業(yè)務(wù)開展得也比較廣泛。該服務(wù)主要面向分散的、具有一定移動(dòng)性的用戶，一般是運(yùn)營(yíng)商提供接入設(shè)備，客戶提供網(wǎng)關(guān)設(shè)備并進(jìn)行管理，也可以委托運(yùn)營(yíng)商進(jìn)行管理。 （ 2） 網(wǎng)絡(luò)層 的 IPSec IPSec 屬于第三層隧道協(xié)議，它是一組開放的網(wǎng)絡(luò)安全協(xié)議的總稱，在 IP 層提供訪問控制、無連接的完整 性、數(shù)據(jù)來源驗(yàn)證、 防御包重傳攻擊 、加密以及數(shù)據(jù)流分類加密等服務(wù)。 IPSec 包括報(bào)文驗(yàn)證包頭 (AH)和封裝安全載荷 (ESP)兩個(gè)安全協(xié)議。 AH 協(xié)議主要提供數(shù)據(jù)來源驗(yàn)證、數(shù)據(jù)完整性驗(yàn)證和防報(bào)文重放功能。ESP 協(xié)議除具有 AH 協(xié)議的功能之外還提供對(duì) IP 報(bào)文的加密功能。 IPSec 可以單獨(dú)使用，也可以和 L2TP、 GRE 等隧道協(xié)議一起使用，為用戶提供更大的靈活性和可靠性。 （ 3）傳輸層的 SSL（ Secure socket Layer amp。 Security Socket Layer） 安全套接 層 協(xié)議 SSL 是一種安全協(xié)議， 它為網(wǎng)絡(luò)的通信提供私密性。 SSL 使 24 應(yīng)用程序在通信時(shí)不用擔(dān)心被竊聽和篡改，它 實(shí)際上是共同工作的兩個(gè)協(xié)議：“ SSL 記錄協(xié)議”（ SSL Record Protocol）和“ SSL 握手協(xié)議” （ SSL Handshake Protocol）。 SSL 記錄協(xié)議 是兩個(gè)協(xié)議中較低級(jí)別的協(xié)議，它為較高級(jí)別的協(xié)議， 例如 SSL 握手協(xié)議對(duì)數(shù)據(jù)的變長(zhǎng)的記錄進(jìn)行加密和解密。 SSL 握手協(xié)議處理應(yīng)用程序憑證的交換和驗(yàn)證。 SSL 是網(wǎng)景（ Netscape）公司提出的基于 WEB 應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、 客戶認(rèn)證（可 選）、 SSL 鏈路上的數(shù)據(jù)完整性和 SSL 鏈路上的數(shù)據(jù)保密性。對(duì)于電子商務(wù)應(yīng)用來說，使用 SSL 可保證信息的真實(shí)性、完整性和保密性。但由于 SSL 不對(duì)應(yīng)用層的消息進(jìn)行數(shù)字簽名，因此不能提供交易的不可否認(rèn)性，這是 SSL 在電子商務(wù)中使用的最大不足。有鑒于此，網(wǎng)景公司在從Communicator 版開始的所有瀏覽器中引入了一種被稱作“表單簽名（ Form Signing）”的功能，在電子商務(wù)中，可利用這一功能來對(duì)包含購(gòu)買者的訂購(gòu)信息和付款指令的表單進(jìn)行數(shù)字簽名，從而保證交易信息的不可否認(rèn)性。綜上所述，在電子商務(wù)中采 用單一的 SSL 協(xié)議來保證交易的安全是不夠的，但采用 SSL+表單簽名 模式能夠?yàn)殡娮由虅?wù)提供較好的安全性保證。 （ 4） 應(yīng)用層 的 PGP 和 SSH PGP PGP 是由 Philip Zimmermann 設(shè)計(jì)的免費(fèi)保密電子郵件程序，它采用 IDEA進(jìn)行數(shù)據(jù)加密，采用 RSA 進(jìn)行密鑰管理和數(shù)字簽名，采用 MD5 作為單向散列函數(shù)。 PGP 加密的消息具有層次性的安全性。 PGP 與眾不同的地方在于它密鑰管理中的分發(fā)方法，它沒有設(shè)置密鑰證書管理機(jī)關(guān)，所有的用戶產(chǎn)生并分發(fā)他們自己的公開密鑰，用戶可以通過相互對(duì)公開密鑰簽名以創(chuàng)建一個(gè)所有 PGP 用戶的互連組。它沒有說明建立信任的方法，用戶可以自由決定信任誰(shuí)。 PGP 提供用公開密鑰建立相互信任的機(jī)制。 SSH 傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如： ftp、 pop 和 tel 在本質(zhì)上都是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且，這些服務(wù)程序的安全驗(yàn)證方式也是有其弱點(diǎn)的，就是很容易受到“中間人”（ maninthemiddle）這種方式的攻擊。所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務(wù)器接收你的傳給服務(wù)器的數(shù)據(jù)，然后再冒充你把 25 數(shù)據(jù)傳給真正的服 務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被“中間人”一轉(zhuǎn)手做了手腳之后，就會(huì)出現(xiàn)很嚴(yán)重的問題。 SSH 的英文全稱是 Secure SHell。通過使用 SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣“中間人”這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止 DNS和 IP 欺騙。還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣取?SSH 有很多功能，它既可以代替 tel，又可以為 ftp、 pop、甚至ppp 提供一個(gè)安全的“通道”。 最初 SSH 是由芬蘭的一家公司開發(fā)的。但是因?yàn)槭馨鏅?quán)和加密算法的限制，現(xiàn)在很多人都轉(zhuǎn)而使 用 OpenSSH。 OpenSSH 是 SSH 的替代軟件，而且是免費(fèi)的，可以預(yù)計(jì)將來會(huì)有越 來越多的人使用它而不是 SSH。 SSH 是由客戶端和服務(wù)端的軟件組成的，有兩個(gè)不兼容的版本分別是： 和 。 用 SSH 的客戶程序是不能連接到 SSH 的服務(wù)程序上去的。 OpenSSH 同時(shí)支持 SSH 和 。 SSH 的安全驗(yàn)證 從客戶端來看， SSH 提供兩種級(jí)別的安全驗(yàn)證。 第一種級(jí)別（基于口令的安全驗(yàn)證）只要你知道自己帳號(hào)和口令，就可以登錄到遠(yuǎn)程主機(jī)。所有傳輸?shù)臄?shù)據(jù)都會(huì)被加密，但是不能保證你正 在連接的服務(wù)器就是你想連接的服務(wù)器?？赡軙?huì)有別的服務(wù)器在冒充真正的服務(wù)器， 也就是受到“中間人”這種方式的攻擊。 第二種級(jí)別（基于密匙的安全驗(yàn)證）需要依靠密匙，也就是你必須為自己創(chuàng)建一對(duì)密匙，并把公用密匙放在需要訪問的服務(wù)器上。如果你要連接到 SSH 服務(wù)器上，客戶端軟件就會(huì)向服務(wù)器發(fā)出請(qǐng)求，請(qǐng)求用你的密匙進(jìn)行安全驗(yàn)證。服務(wù)器收到請(qǐng)求之后，先在你在該服務(wù)器的家目錄下尋找你的公用密匙，然后把它和你發(fā)送過來的公用密匙進(jìn)行比較。如果兩個(gè)密匙一致，服務(wù)器就用公用密匙加密“質(zhì)詢”（ challenge）并把它發(fā)送給客戶端軟 件?？蛻舳塑浖盏健百|(zhì)詢”之后就可以用你的私人密匙解密再把它發(fā)送給服務(wù)器。用這種方式，你必須知道自己密匙的口令。但是，與第一種級(jí)別相比，第二種級(jí)別不需要在網(wǎng)絡(luò)上傳送口令。第二種級(jí)別不僅加密所有傳送的數(shù)據(jù)，而且“中間人”這種攻擊方式也是不可能的（因?yàn)樗麤]有你的私人密匙）。 但是整個(gè)登錄的過程可能需要 10 秒。 26 信息對(duì)抗 簡(jiǎn)介 信息戰(zhàn) 含義很廣， 包括指揮與控制戰(zhàn)、情報(bào)戰(zhàn)、電子戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)、心理戰(zhàn)、空間控制戰(zhàn)、虛擬戰(zhàn)、經(jīng)濟(jì)戰(zhàn)等等，其中的電子戰(zhàn)又名電磁戰(zhàn)，是利用電磁頻譜進(jìn)行的斗爭(zhēng)和對(duì)抗，電子戰(zhàn)部隊(duì)利用通信對(duì)抗、雷達(dá)對(duì)抗、 光電對(duì)抗、空間對(duì)抗等各種電子戰(zhàn)手段，對(duì)敵人的戰(zhàn)場(chǎng)指揮系統(tǒng)和武器控制系 統(tǒng)進(jìn)行強(qiáng)烈的干擾，從而使敵人喪失戰(zhàn)斗力。本章的主要針對(duì)網(wǎng)絡(luò)戰(zhàn) 的信息對(duì)抗技術(shù)。 計(jì)算機(jī)網(wǎng)絡(luò)是信息對(duì)抗雙方借以爭(zhēng)奪信息優(yōu)勢(shì)的制高點(diǎn)。對(duì)抗雙方均可采用多種手段闖入對(duì)方的計(jì)算機(jī)網(wǎng)絡(luò)，實(shí)現(xiàn)其攻擊目的。對(duì)于進(jìn)攻方而言，利用網(wǎng)絡(luò)進(jìn)行計(jì)算機(jī)病毒攻擊、阻塞網(wǎng)絡(luò)、拒絕服務(wù)；對(duì)于防御方而言，則有抗病毒、入侵檢測(cè)等反擊手段和措施。 分類 網(wǎng)絡(luò)戰(zhàn)的 信息對(duì)抗是信息安全技術(shù)的具體運(yùn)用，主要包括：黑客防范體系，信息偽裝理論與技術(shù)、信息分析與監(jiān)控、入侵檢測(cè)原理與技術(shù)、反擊方 法、應(yīng)急響應(yīng)系統(tǒng)、計(jì)算機(jī)病毒、人工免疫系統(tǒng)在反病毒和抗入侵系統(tǒng)中的應(yīng)用等。發(fā)達(dá)國(guó)家目前主導(dǎo)信息對(duì)抗理論的研究，網(wǎng)絡(luò)攻擊、入侵檢測(cè)與防范、網(wǎng)絡(luò)監(jiān)聽技術(shù)、智能代理理論和技術(shù)、網(wǎng)絡(luò)安全監(jiān)控管理等是研究熱點(diǎn)。 網(wǎng)絡(luò) 信息對(duì)抗 技術(shù) 分類 網(wǎng)絡(luò)攻擊技術(shù)包括： 目標(biāo)偵查 、 協(xié)議攻擊 、 緩沖區(qū)溢出攻擊 、 拒絕服務(wù)攻擊 、惡意代碼 等。其中協(xié)議攻擊部分在前文有述。 攻擊技術(shù) 目標(biāo)偵查 緩沖區(qū)溢出攻擊 拒絕服務(wù)攻擊 惡意代碼 確定目標(biāo) 緩沖區(qū)溢出基礎(chǔ) Dos 攻擊的類型 計(jì)算機(jī)病毒 網(wǎng)絡(luò)掃描 緩沖區(qū)溢出漏洞的利用 通用攻擊手段 網(wǎng)絡(luò) 蠕蟲 網(wǎng)絡(luò)監(jiān)聽 SheCode 的編寫 特定攻擊手段 特洛伊木馬 社會(huì)工程 緩沖區(qū)溢出漏洞的 27 防范措施 網(wǎng)絡(luò)防御技術(shù)包括信息加密、網(wǎng)絡(luò)隔離、主動(dòng)防御、取證技術(shù)、容侵技術(shù)等，主要內(nèi)容見下表。 防御技術(shù) 信息加密 網(wǎng)絡(luò)隔離 主動(dòng)防御 取證技術(shù) 容侵技術(shù) 加密算法 物理隔離 入侵檢測(cè)系統(tǒng) 攻擊追蹤 入侵容忍系統(tǒng)的構(gòu)成 郵件加密 防火墻 蜜罐和迷網(wǎng)系統(tǒng) 取證的原則與步驟 入侵容忍系統(tǒng)的實(shí)現(xiàn)方式 數(shù)據(jù)庫(kù)加密 安全審計(jì)系統(tǒng) 取證工具 虛擬專用網(wǎng) 網(wǎng)絡(luò) 攻防 技術(shù) 體系 網(wǎng)絡(luò)攻擊與 防御技術(shù) /產(chǎn)品可以構(gòu)成二維的網(wǎng)絡(luò)攻防體系，如下表所示，其中 ★ 表示防御有效。 可防御 掃描 漏洞攻擊 密碼猜解 病毒 /后門 嗅探 /監(jiān)聽 欺騙 端口 漏洞 物理網(wǎng)閘 ★ ★ ★ ★ 防毒網(wǎng)關(guān) ★ ★ 抗攻擊網(wǎng)關(guān) ★ ★ ★ 防火墻 ★ ★ ★ ★ IDS/IPS ★ ★ ★ ★ ★ VPN/VLAN ★ ★ ★ ★ 電子鑰匙 ★ ★ 生物識(shí)別 ★ ★ 智能卡 ★ ★ 信息隱藏 ★ ★ 28 蜜罐 ★ 病毒查殺 ★ 脆弱性掃描 ★ ★ ★ ★ 監(jiān)控 ★ ★ 審計(jì) ★ 常見 技術(shù)簡(jiǎn)介 （ 1）緩沖溢出 緩沖溢出是一種非常普遍、非常危險(xiǎn)的漏洞在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。緩沖溢出攻擊是通過往程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容 ,造成緩沖區(qū)的溢出 ， 從而破壞程序的堆棧 ， 使程序轉(zhuǎn)而執(zhí)行其他指令 ， 以達(dá)到攻擊的目的。 （ 2） DoS 拒絕服務(wù)攻擊 (Denial of Service， DoS)。攻擊原理是通過占滿目標(biāo)系統(tǒng)的所有服務(wù)線程或者網(wǎng) 絡(luò)帶寬 ， 導(dǎo)致正常的服務(wù)請(qǐng) 求無法得到響應(yīng) ， 致使目標(biāo)系統(tǒng)處于癱瘓的狀態(tài)。常見的拒絕服務(wù)攻擊有 Ping of Death、 SYN Flood 等。 分布式拒絕服務(wù)攻擊 (Distributed Denial of Service， DDoS)在當(dāng)今最為突出 ，它是 DoS 攻擊的一種延伸 ， DoS 的攻擊者是單點(diǎn) ， 而 DDoS 的攻擊者可以同時(shí)控制很多代理攻擊者向單點(diǎn)目標(biāo)發(fā)動(dòng)攻擊。常見的分布式拒絕服務(wù)攻擊有Trinoo、 TFN、 TFN20 Trank 等。 （ 3）計(jì)算機(jī)病毒 計(jì)算機(jī)病毒是指為了某種目的而蓄意編制的計(jì)算機(jī)程序，它能在實(shí)際系統(tǒng)中