【導(dǎo)讀】網(wǎng)絡(luò)信息安全最新進(jìn)展和未來趨勢。完成時間：2020年12月。研究現(xiàn)狀與發(fā)展趨

　　

【正文】 SMTP SSLPOP3 以 SSL 協(xié)議分別對 Tel， SMTP， POP3 等應(yīng)用進(jìn)行加密。 PET Privacy Enhanced Tel 是使 Tel 具有加密功能，在遠(yuǎn)程登陸時對連接本身進(jìn)行加密的方式，由富士通和 WIDE 開發(fā)。 PEM Privacy Enhanced Mail 是由 IEEE 標(biāo)準(zhǔn)化的具有加密簽名功能的郵件系統(tǒng)（ RFC14211424）。 S/MIME Secure/Multipurpose Inter Mail Extensions， RSA Data Security PKCS MIME (RFC23112315)。 PGP Pretty Good Privacy 是具有加密及簽名功能的電子郵件協(xié)議（ RFC1991）。 傳輸層 SSL Secure Socket Layer 是基于 WWW 服務(wù)器和瀏覽器之間的具有加密、報文認(rèn)證、簽名驗證和密鑰分配的加密協(xié)議。 TLS Transport Layer Security (IEEE 標(biāo)準(zhǔn) )是將 SSL 通用化的協(xié)議 (RFC2246)。 SOCKSv5 此協(xié)議是防火墻和 VPN 用的數(shù)據(jù)加密和認(rèn)證協(xié)議（ RFC1928），由 NEC 開發(fā)為主。 網(wǎng)絡(luò)層 IPSec Inter Protocol Security (IEEE 標(biāo)準(zhǔn) )，為通信提供機密性、完整性等。 鏈路層 PPTP Point to Point Tunneling Protocol L2F Layer 2 Forwarding L2TP Layer 2 Tunneling Protocol 綜合了 PPTP 和 L2F 協(xié)議。 23 研究現(xiàn)狀 目前主要的安全通信協(xié)議有 SSL (TLS) 、 IPsec 和 S/MIME。 SSL提供基于客戶 /服務(wù)器模式的安全標(biāo)準(zhǔn) ， SSL ( TLS) 在傳輸層和應(yīng)用層之間嵌入一個子層 ， 主要用于實現(xiàn)兩個應(yīng)用程序之間安全通訊機制 ， 提供 面向連接的保護 ； IP安全協(xié)議 (IPsec)提供網(wǎng)關(guān)到網(wǎng)關(guān)的安全通信標(biāo)準(zhǔn) ， 在網(wǎng)絡(luò)層實現(xiàn) ， IPsec 能夠保護整個網(wǎng)絡(luò) ； S/MIM 在應(yīng)用層提供對信息的安全保護 ， 主要用于信息的安全存儲、信息認(rèn)證、傳輸和信息轉(zhuǎn)發(fā)。三種安全通信協(xié)議雖然均提供了類似的安全服務(wù) ， 但是他們的具體應(yīng)用范圍是不同的 ， 在實際應(yīng)用中 ， 應(yīng)根據(jù)具體情況選擇相應(yīng)的安全通信協(xié)議。 以下分別介紹幾個常見的安全協(xié)議及其研究現(xiàn)狀。 （ 1）鏈路層的 L2TP L2TP 是 由 RFC266 定義，該協(xié)議定義了在包交換網(wǎng)絡(luò) (包括 IP、 ATM、 FR等 )中封裝鏈路層點到點協(xié)議 (PPP)幀的方法。承載協(xié)議首選網(wǎng)絡(luò)層的 IP 協(xié)議，也可以采用數(shù)據(jù)鏈路層的 ATM 或 FR 協(xié)議。 L2TP 可以支持多種撥號用戶協(xié)議，如 IP、 IPX 和 AppleTalk 等。 目前， L2TP 及其相關(guān)的認(rèn)證、計費系統(tǒng)已經(jīng)比較成熟?；?L2TP 的遠(yuǎn)程接入 VPN 業(yè)務(wù)開展得也比較廣泛。該服務(wù)主要面向分散的、具有一定移動性的用戶，一般是運營商提供接入設(shè)備，客戶提供網(wǎng)關(guān)設(shè)備并進(jìn)行管理，也可以委托運營商進(jìn)行管理。 （ 2） 網(wǎng)絡(luò)層 的 IPSec IPSec 屬于第三層隧道協(xié)議，它是一組開放的網(wǎng)絡(luò)安全協(xié)議的總稱，在 IP 層提供訪問控制、無連接的完整 性、數(shù)據(jù)來源驗證、 防御包重傳攻擊 、加密以及數(shù)據(jù)流分類加密等服務(wù)。 IPSec 包括報文驗證包頭 (AH)和封裝安全載荷 (ESP)兩個安全協(xié)議。 AH 協(xié)議主要提供數(shù)據(jù)來源驗證、數(shù)據(jù)完整性驗證和防報文重放功能。ESP 協(xié)議除具有 AH 協(xié)議的功能之外還提供對 IP 報文的加密功能。 IPSec 可以單獨使用，也可以和 L2TP、 GRE 等隧道協(xié)議一起使用，為用戶提供更大的靈活性和可靠性。 （ 3）傳輸層的 SSL（ Secure socket Layer amp。 Security Socket Layer） 安全套接 層 協(xié)議 SSL 是一種安全協(xié)議， 它為網(wǎng)絡(luò)的通信提供私密性。 SSL 使 24 應(yīng)用程序在通信時不用擔(dān)心被竊聽和篡改，它 實際上是共同工作的兩個協(xié)議：“ SSL 記錄協(xié)議”（ SSL Record Protocol）和“ SSL 握手協(xié)議” （ SSL Handshake Protocol）。 SSL 記錄協(xié)議 是兩個協(xié)議中較低級別的協(xié)議，它為較高級別的協(xié)議， 例如 SSL 握手協(xié)議對數(shù)據(jù)的變長的記錄進(jìn)行加密和解密。 SSL 握手協(xié)議處理應(yīng)用程序憑證的交換和驗證。 SSL 是網(wǎng)景（ Netscape）公司提出的基于 WEB 應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、 客戶認(rèn)證（可 選）、 SSL 鏈路上的數(shù)據(jù)完整性和 SSL 鏈路上的數(shù)據(jù)保密性。對于電子商務(wù)應(yīng)用來說，使用 SSL 可保證信息的真實性、完整性和保密性。但由于 SSL 不對應(yīng)用層的消息進(jìn)行數(shù)字簽名，因此不能提供交易的不可否認(rèn)性，這是 SSL 在電子商務(wù)中使用的最大不足。有鑒于此，網(wǎng)景公司在從Communicator 版開始的所有瀏覽器中引入了一種被稱作“表單簽名（ Form Signing）”的功能，在電子商務(wù)中，可利用這一功能來對包含購買者的訂購信息和付款指令的表單進(jìn)行數(shù)字簽名，從而保證交易信息的不可否認(rèn)性。綜上所述，在電子商務(wù)中采 用單一的 SSL 協(xié)議來保證交易的安全是不夠的，但采用 SSL+表單簽名 模式能夠為電子商務(wù)提供較好的安全性保證。 （ 4） 應(yīng)用層 的 PGP 和 SSH PGP PGP 是由 Philip Zimmermann 設(shè)計的免費保密電子郵件程序，它采用 IDEA進(jìn)行數(shù)據(jù)加密，采用 RSA 進(jìn)行密鑰管理和數(shù)字簽名，采用 MD5 作為單向散列函數(shù)。 PGP 加密的消息具有層次性的安全性。 PGP 與眾不同的地方在于它密鑰管理中的分發(fā)方法，它沒有設(shè)置密鑰證書管理機關(guān)，所有的用戶產(chǎn)生并分發(fā)他們自己的公開密鑰，用戶可以通過相互對公開密鑰簽名以創(chuàng)建一個所有 PGP 用戶的互連組。它沒有說明建立信任的方法，用戶可以自由決定信任誰。 PGP 提供用公開密鑰建立相互信任的機制。 SSH 傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如： ftp、 pop 和 tel 在本質(zhì)上都是不安全的，因為它們在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且，這些服務(wù)程序的安全驗證方式也是有其弱點的，就是很容易受到“中間人”（ maninthemiddle）這種方式的攻擊。所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務(wù)器接收你的傳給服務(wù)器的數(shù)據(jù)，然后再冒充你把 25 數(shù)據(jù)傳給真正的服 務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被“中間人”一轉(zhuǎn)手做了手腳之后，就會出現(xiàn)很嚴(yán)重的問題。 SSH 的英文全稱是 Secure SHell。通過使用 SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣“中間人”這種攻擊方式就不可能實現(xiàn)了，而且也能夠防止 DNS和 IP 欺騙。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣取?SSH 有很多功能，它既可以代替 tel，又可以為 ftp、 pop、甚至ppp 提供一個安全的“通道”。 最初 SSH 是由芬蘭的一家公司開發(fā)的。但是因為受版權(quán)和加密算法的限制，現(xiàn)在很多人都轉(zhuǎn)而使 用 OpenSSH。 OpenSSH 是 SSH 的替代軟件，而且是免費的，可以預(yù)計將來會有越 來越多的人使用它而不是 SSH。 SSH 是由客戶端和服務(wù)端的軟件組成的，有兩個不兼容的版本分別是： 和 。 用 SSH 的客戶程序是不能連接到 SSH 的服務(wù)程序上去的。 OpenSSH 同時支持 SSH 和 。 SSH 的安全驗證 從客戶端來看， SSH 提供兩種級別的安全驗證。 第一種級別（基于口令的安全驗證）只要你知道自己帳號和口令，就可以登錄到遠(yuǎn)程主機。所有傳輸?shù)臄?shù)據(jù)都會被加密，但是不能保證你正 在連接的服務(wù)器就是你想連接的服務(wù)器?？赡軙袆e的服務(wù)器在冒充真正的服務(wù)器， 也就是受到“中間人”這種方式的攻擊。 第二種級別（基于密匙的安全驗證）需要依靠密匙，也就是你必須為自己創(chuàng)建一對密匙，并把公用密匙放在需要訪問的服務(wù)器上。如果你要連接到 SSH 服務(wù)器上，客戶端軟件就會向服務(wù)器發(fā)出請求，請求用你的密匙進(jìn)行安全驗證。服務(wù)器收到請求之后，先在你在該服務(wù)器的家目錄下尋找你的公用密匙，然后把它和你發(fā)送過來的公用密匙進(jìn)行比較。如果兩個密匙一致，服務(wù)器就用公用密匙加密“質(zhì)詢”（ challenge）并把它發(fā)送給客戶端軟 件。客戶端軟件收到“質(zhì)詢”之后就可以用你的私人密匙解密再把它發(fā)送給服務(wù)器。用這種方式，你必須知道自己密匙的口令。但是，與第一種級別相比，第二種級別不需要在網(wǎng)絡(luò)上傳送口令。第二種級別不僅加密所有傳送的數(shù)據(jù)，而且“中間人”這種攻擊方式也是不可能的（因為他沒有你的私人密匙）。 但是整個登錄的過程可能需要 10 秒。 26 信息對抗 簡介 信息戰(zhàn) 含義很廣， 包括指揮與控制戰(zhàn)、情報戰(zhàn)、電子戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)、心理戰(zhàn)、空間控制戰(zhàn)、虛擬戰(zhàn)、經(jīng)濟戰(zhàn)等等，其中的電子戰(zhàn)又名電磁戰(zhàn)，是利用電磁頻譜進(jìn)行的斗爭和對抗，電子戰(zhàn)部隊利用通信對抗、雷達(dá)對抗、 光電對抗、空間對抗等各種電子戰(zhàn)手段，對敵人的戰(zhàn)場指揮系統(tǒng)和武器控制系 統(tǒng)進(jìn)行強烈的干擾，從而使敵人喪失戰(zhàn)斗力。本章的主要針對網(wǎng)絡(luò)戰(zhàn) 的信息對抗技術(shù)。 計算機網(wǎng)絡(luò)是信息對抗雙方借以爭奪信息優(yōu)勢的制高點。對抗雙方均可采用多種手段闖入對方的計算機網(wǎng)絡(luò)，實現(xiàn)其攻擊目的。對于進(jìn)攻方而言，利用網(wǎng)絡(luò)進(jìn)行計算機病毒攻擊、阻塞網(wǎng)絡(luò)、拒絕服務(wù)；對于防御方而言，則有抗病毒、入侵檢測等反擊手段和措施。 分類 網(wǎng)絡(luò)戰(zhàn)的 信息對抗是信息安全技術(shù)的具體運用，主要包括：黑客防范體系，信息偽裝理論與技術(shù)、信息分析與監(jiān)控、入侵檢測原理與技術(shù)、反擊方 法、應(yīng)急響應(yīng)系統(tǒng)、計算機病毒、人工免疫系統(tǒng)在反病毒和抗入侵系統(tǒng)中的應(yīng)用等。發(fā)達(dá)國家目前主導(dǎo)信息對抗理論的研究，網(wǎng)絡(luò)攻擊、入侵檢測與防范、網(wǎng)絡(luò)監(jiān)聽技術(shù)、智能代理理論和技術(shù)、網(wǎng)絡(luò)安全監(jiān)控管理等是研究熱點。 網(wǎng)絡(luò) 信息對抗 技術(shù) 分類 網(wǎng)絡(luò)攻擊技術(shù)包括： 目標(biāo)偵查 、 協(xié)議攻擊 、 緩沖區(qū)溢出攻擊 、 拒絕服務(wù)攻擊 、惡意代碼 等。其中協(xié)議攻擊部分在前文有述。 攻擊技術(shù) 目標(biāo)偵查 緩沖區(qū)溢出攻擊 拒絕服務(wù)攻擊 惡意代碼 確定目標(biāo) 緩沖區(qū)溢出基礎(chǔ) Dos 攻擊的類型 計算機病毒 網(wǎng)絡(luò)掃描 緩沖區(qū)溢出漏洞的利用 通用攻擊手段 網(wǎng)絡(luò) 蠕蟲 網(wǎng)絡(luò)監(jiān)聽 SheCode 的編寫 特定攻擊手段 特洛伊木馬 社會工程 緩沖區(qū)溢出漏洞的 27 防范措施 網(wǎng)絡(luò)防御技術(shù)包括信息加密、網(wǎng)絡(luò)隔離、主動防御、取證技術(shù)、容侵技術(shù)等，主要內(nèi)容見下表。 防御技術(shù) 信息加密 網(wǎng)絡(luò)隔離 主動防御 取證技術(shù) 容侵技術(shù) 加密算法 物理隔離 入侵檢測系統(tǒng) 攻擊追蹤 入侵容忍系統(tǒng)的構(gòu)成 郵件加密 防火墻 蜜罐和迷網(wǎng)系統(tǒng) 取證的原則與步驟 入侵容忍系統(tǒng)的實現(xiàn)方式 數(shù)據(jù)庫加密 安全審計系統(tǒng) 取證工具 虛擬專用網(wǎng) 網(wǎng)絡(luò) 攻防 技術(shù) 體系 網(wǎng)絡(luò)攻擊與 防御技術(shù) /產(chǎn)品可以構(gòu)成二維的網(wǎng)絡(luò)攻防體系，如下表所示，其中 ★ 表示防御有效。 可防御 掃描 漏洞攻擊 密碼猜解 病毒 /后門 嗅探 /監(jiān)聽 欺騙 端口 漏洞 物理網(wǎng)閘 ★ ★ ★ ★ 防毒網(wǎng)關(guān) ★ ★ 抗攻擊網(wǎng)關(guān) ★ ★ ★ 防火墻 ★ ★ ★ ★ IDS/IPS ★ ★ ★ ★ ★ VPN/VLAN ★ ★ ★ ★ 電子鑰匙 ★ ★ 生物識別 ★ ★ 智能卡 ★ ★ 信息隱藏 ★ ★ 28 蜜罐 ★ 病毒查殺 ★ 脆弱性掃描 ★ ★ ★ ★ 監(jiān)控 ★ ★ 審計 ★ 常見 技術(shù)簡介 （ 1）緩沖溢出 緩沖溢出是一種非常普遍、非常危險的漏洞在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。緩沖溢出攻擊是通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容 ,造成緩沖區(qū)的溢出 ， 從而破壞程序的堆棧 ， 使程序轉(zhuǎn)而執(zhí)行其他指令 ， 以達(dá)到攻擊的目的。 （ 2） DoS 拒絕服務(wù)攻擊 (Denial of Service， DoS)。攻擊原理是通過占滿目標(biāo)系統(tǒng)的所有服務(wù)線程或者網(wǎng) 絡(luò)帶寬 ， 導(dǎo)致正常的服務(wù)請 求無法得到響應(yīng) ， 致使目標(biāo)系統(tǒng)處于癱瘓的狀態(tài)。常見的拒絕服務(wù)攻擊有 Ping of Death、 SYN Flood 等。 分布式拒絕服務(wù)攻擊 (Distributed Denial of Service， DDoS)在當(dāng)今最為突出 ，它是 DoS 攻擊的一種延伸 ， DoS 的攻擊者是單點 ， 而 DDoS 的攻擊者可以同時控制很多代理攻擊者向單點目標(biāo)發(fā)動攻擊。常見的分布式拒絕服務(wù)攻擊有Trinoo、 TFN、 TFN20 Trank 等。 （ 3）計算機病毒 計算機病毒是指為了某種目的而蓄意編制的計算機程序，它能在實際系統(tǒng)中