第一篇：IPv6對網(wǎng)絡(luò)安全的改進與挑戰(zhàn)

IPv6對網(wǎng)絡(luò)安全的改進與挑戰(zhàn)

谷 耀

摘要：本文從IPv4地址資源緊缺引發(fā)的安全問題出發(fā)，論述了IPv6協(xié)議對網(wǎng)絡(luò)安全的多項改進，以及IPv6協(xié)議引入后帶來的新的安全問題，并指出由IPv4向 IPv6轉(zhuǎn)移可能出現(xiàn)的安全漏洞及相應(yīng)對策。

關(guān)鍵詞：IPv6，網(wǎng)絡(luò)安全，IP協(xié)議

一、IPv4地址資源匱乏引發(fā)的安全問題

由于我國IPv4地址資源嚴重不足，除了采用CIDR、VLSM和DHCP技術(shù)緩解地址緊缺外，更多的是采用私有IP地址結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT/PAT）技術(shù)來解決這個問題。比如PSTN/ADSL/GPRS撥號上網(wǎng)、寬帶用戶以及很多校園網(wǎng)、企業(yè)網(wǎng)大都是采用私有的IPv4地址，通過NAT技術(shù)接入互聯(lián)網(wǎng)的。這不僅大大降低了網(wǎng)絡(luò)傳輸?shù)乃俣?，且安全性等方面也難以得到保障。1．互聯(lián)網(wǎng)可信度問題

互聯(lián)網(wǎng)不可信是有其歷史和技術(shù)原因的，互聯(lián)網(wǎng)設(shè)計者的初衷就是為了互聯(lián)和共享。TCP/IP協(xié)議不驗證源IP地址，而采用NAT則掩蓋了用戶真實的IP地址。有專家指出，現(xiàn)在匿名垃圾郵件和病毒郵件之所以能夠泛濫成災(zāi)，就是因為中國九千多萬網(wǎng)民只擁有不足4000萬IP地址。IP地址欺騙、身份難以確認、網(wǎng)絡(luò)釣魚、虛假服務(wù)請求、源路由篡改，正是這種匿名性使得黑客能夠偽造或者屏蔽IP地址實現(xiàn)對網(wǎng)絡(luò)的攻擊并逃避懲罰。2．端到端連接特性

由于NAT透明性差，不能支持那些應(yīng)用層協(xié)議中包含有IP地址、TPC/UDP協(xié)議端口等信息的應(yīng)用程序，以及需要在應(yīng)用層進行認證、加密的應(yīng)用程序。因而破壞了IP協(xié)議端到端的連接特性，使得端到端的業(yè)務(wù)無法開展，成為安全連接的技術(shù)障礙。

3．網(wǎng)絡(luò)安全性

作為Internet安全標準，IPv4并沒有強制要求實現(xiàn)IPSec。即使采用IPSec，通常也只是部署在IPv4網(wǎng)絡(luò)的邊界路由器。并且，NAT技術(shù)和IPSec會有矛盾，有的情況下無法協(xié)同工作。采用NAT技術(shù)還限制了VPN（虛擬專用網(wǎng)）的可擴展性，這些都在一定程度上限制了網(wǎng)絡(luò)加密和網(wǎng)絡(luò)安全。

二、IPv6協(xié)議在網(wǎng)絡(luò)安全方面的改進 1． IP安全協(xié)議（IPSec）

IPSec是IPv4的一個可選擴展協(xié)議，而在IPv6則是一個必備組成部分。IPSec協(xié)議可以“無縫”地為IP提供安全特性，如提供訪問控制、數(shù)據(jù)源的身份驗證、數(shù)據(jù)完整性檢查、機密性保證，以及抗重播（Replay）攻擊等。新版路由協(xié)議OSPFv3 和 RIPng采用IPSec來對路由信息進行加密和認證，提高抗路由攻擊的性能。

IPSec協(xié)議簇主要包括：AH：認證報頭（RFC1826），ESP：封裝化安全載荷（RFC1827），IKE：Internet密鑰交換（RFC2409），以及強制轉(zhuǎn)碼類型等相關(guān)組件。AH用于保證數(shù)據(jù)的一致性。它要校驗源地址和目的地址這些標明發(fā)送/接收設(shè)備的字段是否在路由過程中被改變。如果未通過校驗，數(shù)據(jù)包就會被拋棄。通過這種方式，AH為數(shù)據(jù)的完整性和原始性提供了鑒定依據(jù)。ESP用于保證數(shù)據(jù)的機密性和數(shù)據(jù)的一致性。ESP報頭提供集成功能和IP數(shù)據(jù)的可靠性。集成保證數(shù)據(jù)不被惡意破壞，可靠性保證使用密碼技術(shù)的安全。IKE采用密鑰交換協(xié)議自動實現(xiàn)通信雙方安全參數(shù)的可靠協(xié)商與獲取，進而能夠最大程度地保證網(wǎng)絡(luò)層的通信安全。

雖然IPSec能夠防止多種攻擊，但無法抵御Sniffer、DoS攻擊、洪水（Flood）攻擊和應(yīng)用層攻擊。IP Sec作為一個網(wǎng)絡(luò)層協(xié)議，只能負責(zé)其下層的網(wǎng)絡(luò)安全，不能對其上層如Web、E-mail及FTP等應(yīng)用的安全負責(zé)。2．端到端的安全保證

IPv6最大的優(yōu)勢在于保證端到端的安全,可以滿足用戶對端到端安全和移動性的要求。IPv6限制使用NAT，允許所有的網(wǎng)絡(luò)節(jié)點使用其全球惟一的地址進行通信。當建立一個IPv6的連接時，在兩端主機上對數(shù)據(jù)包進行IPSec封裝，中間路由器實現(xiàn)對有IPSec擴展頭的IPv6數(shù)據(jù)包進行透明傳輸，通過對通信端的驗證和對數(shù)據(jù)的加密保護，使得敏感數(shù)據(jù)可以在IPv6 網(wǎng)絡(luò)上安全地傳輸，因此，無需針對特別的網(wǎng)絡(luò)應(yīng)用部署ALG（應(yīng)用層網(wǎng)關(guān)），保證端到端的網(wǎng)絡(luò)透明性，有利于提高網(wǎng)絡(luò)服務(wù)速度。

3．地址分配與源地址檢查

在IPv6的地址概念中，有了本地子網(wǎng)(Link-local)地址和本地網(wǎng)絡(luò)(Site-local)地址的概念。從安全角度來說，這樣的地址分配為網(wǎng)絡(luò)管理員加強網(wǎng)絡(luò)安全管理提供了方便。若某主機僅需要和一個子網(wǎng)內(nèi)的其他主機建立聯(lián)系，網(wǎng)絡(luò)管理員可以只給該主機分配一個本地子網(wǎng)地址；若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問服務(wù)，那么就可以只給這臺服務(wù)器分配一個本地網(wǎng)絡(luò)地址，企業(yè)網(wǎng)外部的任何人都無法訪問這些主機。

由于IPv6地址構(gòu)造是可會聚的（aggregate-able）、層次化的地址結(jié)構(gòu)，因此，在IPv6接入路由器對用戶進入時進行源地址檢查，使得ISP可以驗證其客戶地址的合法性。

IPv6鄰居發(fā)現(xiàn)機制（Neighbor dicovery）動態(tài)收集相鄰網(wǎng)絡(luò)信息，包括本地網(wǎng)絡(luò)參數(shù)、IPv6地址到MAC地址的解析、路由復(fù)位及相鄰節(jié)點狀態(tài)等，替代了ARP和RARP，幫助節(jié)點從目的IP地址中確定本地節(jié)點（即鄰居）的鏈路層地址，可有效減輕“廣播風(fēng)暴”等的不利影響。

地址重復(fù)檢測機制（DAD：Duplicate Address Detection）檢測和確定節(jié)點想使用的IP地址是否已經(jīng)在網(wǎng)絡(luò)中配置使用，如果已被占用，則拒絕為該節(jié)點網(wǎng)絡(luò)接口賦予該地址，而另行指派地址，解決安全引導(dǎo)（boot-strap）問題。4．源路由檢查

出于安全性和多業(yè)務(wù)的考慮，許多核心路由器需要開啟反向路由檢測功能，防止源路由篡改和攻擊。5．防止未授權(quán)訪問

IPv6固有的對身份驗證的支持，以及對數(shù)據(jù)完整性和數(shù)據(jù)機密性的支持和改進，使得IPv6增強了防止未授權(quán)訪問能力，更加適合于那些對敏感信息和資源有特別處理要求的應(yīng)用。6．域名系統(tǒng)DNS 基于IPv6的DNS系統(tǒng)作為公共密鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)的基礎(chǔ)，有助于抵御網(wǎng)上的身份偽裝與偷竊。而采用可以提供認證和完整性安全特性的DNS安全擴展(DNS Security Extensions)協(xié)議，能進一步增強目前針對DNS新的攻擊方式的防護（例如：“網(wǎng)絡(luò)釣魚（Phishing）”攻擊、“DNS中毒（DNS poisoning）”攻擊）。這些攻擊會控制DNS服務(wù)器，將合法網(wǎng)站的IP地址篡改為假冒、惡意網(wǎng)站的IP地址等。此外，專家認為，如果能爭取在我國建立IPv6域名系統(tǒng)根服務(wù)器，對于我國的信息安全很有必要和十分重要。7．靈活的擴展報頭

一個完整的IPv6的數(shù)據(jù)包可包括多種擴展報頭：逐個路程段選項報頭，目的選項報頭，路由報頭，分段報頭，身份認證報頭，有效載荷安全封裝報頭，最終目的報頭。這些擴展報頭不僅為IPv6擴展應(yīng)用領(lǐng)域奠定了基礎(chǔ)，同時也為安全性提供了保障。

8．網(wǎng)絡(luò)掃描與病毒蠕蟲傳播

當病毒和蠕蟲在感染了一臺主機之后，就開始對其他主機進行隨機掃描，在掃描到其他有問題的主機后，會把病毒傳染給該主機。這種傳播方式的傳播速度在IPv4環(huán)境下非常迅速（如Nimdar病毒在4、5分鐘內(nèi)感染了上百萬臺計算機）。但這種傳播方式因為IPv6的地址空間的巨大變得不適用了，病毒及網(wǎng)絡(luò)蠕蟲在IPv6的網(wǎng)絡(luò)中傳播將會變得很困難。

9．網(wǎng)絡(luò)放大攻擊（Broadcast Amplication Attacks）

ICMPv6在設(shè)計上不會響應(yīng)組播地址和廣播地址的消息，不存在廣播，所以,只需要在網(wǎng)絡(luò)邊緣過濾組播數(shù)據(jù)包即可阻止由攻擊者向廣播網(wǎng)段發(fā)送數(shù)據(jù)包而引起的網(wǎng)絡(luò)放大攻擊。

10.碎片（Fragment）攻擊

IPv6認為MTU小于1280字節(jié)的數(shù)據(jù)包是非法的,處理時會丟棄MTU小于1280字節(jié)的數(shù)據(jù)包（除非它是最后一個包），有利于防止碎片攻擊。

由此看來，IPv6協(xié)議確實比IPv4的安全性有所改進。IPv4中常見的一些攻擊方式，將在IPv6網(wǎng)絡(luò)中失效，例如網(wǎng)絡(luò)偵察、報頭攻擊、ICMP攻擊、碎片攻擊、假冒地址、病毒及蠕蟲等。但數(shù)據(jù)包偵聽、中間人攻擊、洪水攻擊、拒絕服務(wù)攻擊、應(yīng)用層攻擊等一系列在IPv4網(wǎng)絡(luò)中的問題，在IPv6中仍會繼續(xù)繼續(xù)，只是在IPv6的網(wǎng)絡(luò)中事后追溯攻擊的源頭方面要比在IPv4中容易一些。

三、IPv6引入后帶來的新的安全問題

IPv6是新的協(xié)議，在其發(fā)展過程中必定會產(chǎn)生一些新的安全問題： 1．拒絕服務(wù)攻擊（DoS）：由于IPSec加密/解密需要大量的計算開銷，若攻擊者向目標主機發(fā)送大量隨意的加密數(shù)據(jù)包，就有可能造成被攻擊主機消耗大量的資源來檢驗這些垃圾數(shù)據(jù)包，無法響應(yīng)其他網(wǎng)絡(luò)用戶的服務(wù)請求，造成目標主機停止服務(wù)。

此外，IPv6中的組播（Multicast）地址定義方式也會給攻擊者帶來一些機會。例如，IPv6地址FF05::2是所有的路由器，F(xiàn)F05::5是所有的DHCP服務(wù)器，如果向這類地址發(fā)IPv6數(shù)據(jù)包，這個數(shù)據(jù)包就會到達網(wǎng)絡(luò)中所有的路由器或DHCP服務(wù)器，所以可能會出現(xiàn)一些專門針對這些網(wǎng)絡(luò)設(shè)備的拒絕服務(wù)攻擊。

2．包過濾式防火墻：由于IPSec實現(xiàn)端到端的加密，并能夠采用多種加密算法，且密鑰不公開，防火墻無法解密IP數(shù)據(jù)包，也就無從知道TCP/UDP協(xié)議端口號，因此導(dǎo)致包過濾式防火墻無法根據(jù)訪問控制規(guī)則ACL正常工作。

3．入侵檢測系統(tǒng)（IDS）：通過加密通道的攻擊目前尚不多見，但隨著IPv6的普及，這類問題會逐漸突出。同包過濾式防火墻一樣，采用IPsec端到端加密的IPv6 數(shù)據(jù)包使得傳統(tǒng)IDS無法識別數(shù)據(jù)包中的黑客攻擊跡象或違反安全策略的行為。并且，IDS采用的是失效開放（Fail Open）工作機制，一旦IDS遭遇拒絕服務(wù)攻擊后系統(tǒng)作用就會停止，整個網(wǎng)絡(luò)系統(tǒng)就變?yōu)殚_放，一切通行無阻。

4．IPv6中規(guī)定所有的IPv6主機都要求接受并處理IPv6的路由擴展報頭，并轉(zhuǎn)發(fā)路由擴展報頭內(nèi)的數(shù)據(jù)包。這樣就有可能被黑客修改這個路由擴展報頭來改變數(shù)據(jù)包的轉(zhuǎn)發(fā)方向，從而繞過網(wǎng)絡(luò)防火墻。5．IPv6尚待解決的問題

? IPv6的網(wǎng)絡(luò)管理：IP網(wǎng)中許多不安全問題主要是管理造成的。IPv6的管理與IPv4在思路上有可借鑒之處。但對于一些網(wǎng)管技術(shù)，如SNMP等，不管是移植還是重新另搞，其安全性都必須從本質(zhì)上有所提高。由于目前針對IPv6的網(wǎng)管設(shè)備和網(wǎng)管軟件幾乎沒有成熟產(chǎn)品出現(xiàn)，因此缺乏對IPv6網(wǎng)絡(luò)進行監(jiān)測和管理的手段，缺乏對大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段。沒有網(wǎng)管，何談保障網(wǎng)絡(luò)高效、安全運行？

? 公共密鑰（PKI）管理： PKI管理在IPv6中是懸而未決的新問題。

? IPv6網(wǎng)絡(luò)同樣需要防火墻、VPN、IDS、漏洞掃描、網(wǎng)絡(luò)過濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備。事實上IPv6環(huán)境下的病毒已經(jīng)出現(xiàn)。這方面的安全技術(shù)研發(fā)還有待時日。

? IPv6協(xié)議仍需在實踐中完善。如IPv6組播功能僅僅規(guī)定了簡單的認證功能，所以還難以實現(xiàn)嚴格的用戶限制功能；而移動IPv6（Mobiel IPv6）也存在很多新的安全挑戰(zhàn)；DHCP必須經(jīng)過升級才可以支持IPv6地址，DHCPv6仍然處于研究、制定之中。

6．向 IPv6轉(zhuǎn)移可能出現(xiàn)的安全漏洞

由于IPv6與IPv4網(wǎng)絡(luò)將會長期共存，網(wǎng)絡(luò)必然會同時存在兩者的安全問題，或由此產(chǎn)生新的安全漏洞。

已經(jīng)發(fā)現(xiàn)從IPv4向 IPv6轉(zhuǎn)移出現(xiàn)的一些安全漏洞，例如：黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協(xié)議的LAN的網(wǎng)絡(luò)資源。攻擊者可以通過安裝了雙棧的使用IPv6的主機，建立由IPv6到IPv4的隧道，繞過防火墻對IPv4進行攻擊。向IPv6協(xié)議的轉(zhuǎn)移與采用其他任何一種新的網(wǎng)絡(luò)協(xié)議一樣，需要重新配置防火墻，其安全措施必須經(jīng)過慎重的考慮和測試。IPv4環(huán)境下的IDS并不能直接支持IPv6，需要重新設(shè)計。原來應(yīng)用在IPv4協(xié)議的安全策略和安全措施必須在IPv6上得到落實。

目前，IPv4向IPv6過渡有多種技術(shù)，其中基本過渡技術(shù)有：雙棧、隧道和協(xié)議轉(zhuǎn)換，但目前這幾種技術(shù)運行都不理想。有專家建議，向IPv6轉(zhuǎn)移盡量采用雙棧技術(shù)，避免采用協(xié)議轉(zhuǎn)換；盡量采用靜態(tài)隧道，避免采用動態(tài)隧道。這些都需要在廣泛實驗中加以檢驗。

結(jié)束語

與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進，在可控性和抗否認性方面有了新的保證。但IPv6不僅不可能徹底解決所有安全問題，同時還會伴隨其產(chǎn)生新的安全問題。目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來自應(yīng)用層而非IP層，因此，保護網(wǎng)絡(luò)安全與信息安全，只靠一兩項技術(shù)并不能實現(xiàn)，還需配合多種手段，諸如認證體系、加密體系、密鑰分發(fā)體系、可信計算體系等。參考文獻：

[1].Pete Ldshin，IPv6詳解，機械工業(yè)出版社；

[2].王玲等，IPv6的安全機制及其對現(xiàn)有網(wǎng)絡(luò)安全體系的影響； [3].Albert Ball, etc.Testing IPv6 Security;

[4].S.Convery, etc.IPv6 and IPv4 Threat Comparison

原載<計算機世界>2005年48期(2005-12-12)第 D09版

第二篇：IPv6的網(wǎng)絡(luò)安全改進與新問題

(IPv4地址資源的緊缺引發(fā)了一系列安全問題，盡管IPv6協(xié)議在網(wǎng)絡(luò)安全上做了多項改進，但是其引入也帶來了新的安全問題。下面這篇文章分別從 IPv6安全上的改進,引入的新問題,遷移時的漏洞三個方面概述了IPv6的安全性.)

IPv6的網(wǎng)絡(luò)安全改進與新問題

由于我國IPv4地址資源嚴重不足，除了采用CIDR、VLSM和DHCP技術(shù)緩解地址緊張問題，更多的是采用私有IP地址結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT/PAT)技術(shù)來解決這個問題。比如PSTN、ADSL、GPRS撥號上網(wǎng)、寬帶用戶以及很多校園網(wǎng)、企業(yè)網(wǎng)大都是采用私有IPv4地址，通過NAT技術(shù)接入互聯(lián)網(wǎng)，這不僅大大降低了網(wǎng)絡(luò)傳輸?shù)乃俣龋野踩缘确矫嬉搽y以得到保障。從根本上看，互聯(lián)網(wǎng)可信度問題、端到端連接特性遭受破壞、網(wǎng)絡(luò)沒有強制采用IPSec而帶來的安全性問題，使IPv4網(wǎng)絡(luò)面臨各種威脅。

IPv6協(xié)議在網(wǎng)絡(luò)安全上有改進

IP安全協(xié)議(IPSec)IPSec是IPv4的一個可選擴展協(xié)議，而在IPv6則是一個必備組成部分。IPSec協(xié)議可以“無縫”地為IP提供安全特性，如提供訪問控制、數(shù)據(jù)源的身份驗證、數(shù)據(jù)完整性檢查、機密性保證，以及抗重播(Replay)攻擊等。新版路由協(xié)議OSPFv3 和 RIPng采用IPSec來對路由信息進行加密和認證，提高抗路由攻擊的性能。

需要指出的是，雖然IPSec能夠防止多種攻擊，但無法抵御Sniffer、DoS攻擊、洪水(Flood)攻擊和應(yīng)用層攻擊。IPSec作為一個網(wǎng)絡(luò)層協(xié)議，只能負責(zé)其下層的網(wǎng)絡(luò)安全，不能對其上層如Web、E-mail及FTP等應(yīng)用的安全負責(zé)。

端到端的安全保證 IPv6最大的優(yōu)勢在于保證端到端的安全，可以滿足用戶對端到端安全和移動性的要求。IPv6限制使用NAT，允許所有的網(wǎng)絡(luò)節(jié)點使用其全球惟一的地址進行通信。每當建立一個IPv6的連接，都會在兩端主機上對數(shù)據(jù)包進行 IPSec封裝，中間路由器實現(xiàn)對有IPSec擴展頭的IPv6數(shù)據(jù)包進行透明傳輸，通過對通信端的驗證和對數(shù)據(jù)的加密保護，使得敏感數(shù)據(jù)可以在IPv6 網(wǎng)絡(luò)上安全地傳遞，因此，無需針對特別的網(wǎng)絡(luò)應(yīng)用部署ALG(應(yīng)用層網(wǎng)關(guān))，就可保證端到端的網(wǎng)絡(luò)透明性，有利于提高網(wǎng)絡(luò)服務(wù)速度。

地址分配與源地址檢查在IPv6的地址概念中，有了本地子網(wǎng)(Link-local)地址和本地網(wǎng)絡(luò)(Site-local)地址的概念。從安全角度來說，這樣的地址分配為網(wǎng)絡(luò)管理員強化網(wǎng)絡(luò)安全管理提供了方便。若某主機僅需要和一個子網(wǎng)內(nèi)的其他主機建立聯(lián)系，網(wǎng)絡(luò)管理員可以只給該主機分配一個本地子網(wǎng)地址;若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問服務(wù)，那么就可以只給這臺服務(wù)器分配一個本地網(wǎng)絡(luò)地址，而企業(yè)網(wǎng)外部的任何人都無法訪問這些主機。

由于IPv6地址構(gòu)造是可會聚的(aggregate-able)、層次化的地址結(jié)構(gòu)，因此，在IPv6接入路由器對用戶進入時進行源地址檢查，使得ISP可以驗證其客戶地址的合法性。

源路由檢查出于安全性和多業(yè)務(wù)的考慮，許多核心路由器可根據(jù)需要，開啟反向路由檢測功能，防止源路由篡改和攻擊。

防止未授權(quán)訪問 IPv6固有的對身份驗證的支持，以及對數(shù)據(jù)完整性和數(shù)據(jù)機密性的支持和改進，使得IPv6增強了防止未授權(quán)訪問的能力，更加適合于那些對敏感信息和資源有特別處理要求的應(yīng)用。

域名系統(tǒng)DNS 基于IPv6的DNS系統(tǒng)作為公共密鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)的基礎(chǔ)，有助于抵御網(wǎng)上的身份偽裝與偷竊，而采用可以提供認證和完整性安全特性的DNS安全擴展(DNS Security Extensions)協(xié)議，能進一步增強目前針對DNS新的攻擊方式的防護，例如“網(wǎng)絡(luò)釣魚(Phishing)”攻擊、“DNS中毒(DNS poisoning)”攻擊等，這些攻擊會控制DNS服務(wù)器，將合法網(wǎng)站的IP地址篡改為假冒、惡意網(wǎng)站的IP地址等。此外，專家認為，如果能爭取在我國建立IPv6域名系統(tǒng)根服務(wù)器，則對于我國的信息安全很有必要和十分重要。

靈活的擴展報頭 一個完整的IPv6的數(shù)據(jù)包可包括多種擴展報頭，例如逐個路程段選項報頭、目的選項報頭、路由報頭、分段報頭、身份認證報頭、有效載荷安全封裝報頭、最終目的報頭等。這些擴展報頭不僅為IPv6擴展應(yīng)用領(lǐng)域奠定了基礎(chǔ)，同時也為安全性提供了保障。

防止網(wǎng)絡(luò)掃描與病毒蠕蟲傳播當病毒和蠕蟲在感染了一臺主機之后，就開始對其他主機進行隨機掃描，在掃描到其他有漏洞的主機后，會把病毒傳染給該主機。這種傳播方式的傳播速度在 IPv4環(huán)境下非常迅速(如Nimdar病毒在4～5分鐘內(nèi)可以感染上百萬臺計算機)。但這種傳播方式因為IPv6的地址空間的巨大變得不適用了，病毒及網(wǎng)絡(luò)蠕蟲在IPv6的網(wǎng)絡(luò)中傳播將會變得很困難。

防止網(wǎng)絡(luò)放大攻擊(Broadcast Amplication Attacks)ICMPv6在設(shè)計上不會響應(yīng)組播地址和廣播地址的消息，不存在廣播，所以，只需要在網(wǎng)絡(luò)邊緣過濾組播數(shù)據(jù)包，即可阻止由攻擊者向廣播網(wǎng)段發(fā)送數(shù)據(jù)包而引起的網(wǎng)絡(luò)放大攻擊。

防止碎片(Fragment)攻擊 IPv6認為MTU小于1280字節(jié)的數(shù)據(jù)包是非法的，處理時會丟棄MTU小于1280字節(jié)的數(shù)據(jù)包(除非它是最后一個包)，這有助于防止碎片攻擊。

由此看來，IPv6協(xié)議確實比IPv4的安全性有所改進，IPv4中常見的一些攻擊方式，將在IPv6網(wǎng)絡(luò)中失效，例如網(wǎng)絡(luò)偵察、報頭攻擊、ICMP攻擊、碎片攻擊、假冒地址、病毒及蠕蟲等。但數(shù)據(jù)包偵聽、中間人攻擊、洪水攻擊、拒絕服務(wù)攻擊、應(yīng)用層攻擊等一系列在IPv4網(wǎng)絡(luò)中的問題，IPv6仍應(yīng)對乏力，只是在IPv6的網(wǎng)絡(luò)中事后追溯攻擊的源頭方面要比在IPv4中容易一些。

引入IPv6出現(xiàn)的安全新問題

IPv6是新的協(xié)議，在其發(fā)展過程中必定會產(chǎn)生一些新的安全問題，主要包括應(yīng)對拒絕服務(wù)攻擊(DoS)乏力、包過濾式防火墻無法根據(jù)訪問控制列表ACL正常工作、入侵檢測系統(tǒng)(IDS)遭遇拒絕服務(wù)攻擊后失去作用、被黑客篡改報頭等問題。

此外，在IPv6中還有一些問題有待解決，主要包括:

1.IP網(wǎng)中許多不安全問題主要是管理造成的。IPv6的管理與IPv4在思路上有可借鑒之處。但對于一些網(wǎng)管技術(shù)，如SNMP等，不管是移植還是重新另搞，其安全性都必須從本質(zhì)上有所提高。由于目前針對IPv6的網(wǎng)管設(shè)備和網(wǎng)管軟件幾乎沒有成熟產(chǎn)品出現(xiàn)，因此缺乏對IPv6網(wǎng)絡(luò)進行監(jiān)測和管理的手段，缺乏對大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段。沒有網(wǎng)管，何談保障網(wǎng)絡(luò)高效、安全運行?

2.PKI管理在IPv6中是懸而未決的新問題。

3.IPv6網(wǎng)絡(luò)同樣需要防火墻、VPN、IDS、漏洞掃描、網(wǎng)絡(luò)過濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備。事實上IPv6環(huán)境下的病毒已經(jīng)出現(xiàn)。這方面的安全技術(shù)研發(fā)還尚需時日。

4.IPv6協(xié)議仍需在實踐中完善，例如IPv6組播功能僅僅規(guī)定了簡單的認證功能，所以還難以實現(xiàn)嚴格的用戶限制功能，而移動IPv6(Mobiel IPv6)也存在很多新的安全挑戰(zhàn)。DHCP必須經(jīng)過升級才可以支持IPv6地址，DHCPv6仍然處于研究、制訂之中。

向IPv6遷移的可能漏洞

由于IPv6與IPv4網(wǎng)絡(luò)將會長期共存，網(wǎng)絡(luò)必然會同時存在兩者的安全問題，或由此產(chǎn)生新的安全漏洞。

已經(jīng)發(fā)現(xiàn)從IPv4向 IPv6轉(zhuǎn)移時出現(xiàn)的一些安全漏洞，例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協(xié)議的LAN的網(wǎng)絡(luò)資源，攻擊者可以通過安裝了雙棧的使用IPv6的主機，建立由IPv6到IPv4的隧道，繞過防火墻對IPv4進行攻擊。

向IPv6協(xié)議的轉(zhuǎn)移與采用其他任何一種新的網(wǎng)絡(luò)協(xié)議一樣，需要重新配置防火墻，其安全措施必須經(jīng)過慎重的考慮和測試，例如IPv4環(huán)境下的IDS并不能直接支持IPv6，需要重新設(shè)計，原來應(yīng)用在IPv4協(xié)議的安全策略和安全措施必須在IPv6上得到落實。

目前，IPv4向IPv6過渡有多種技術(shù)，其中基本過渡技術(shù)有雙棧、隧道和協(xié)議轉(zhuǎn)換，但目前這幾種技術(shù)運行都不理想。專家建議，向IPv6轉(zhuǎn)移應(yīng)盡量采用雙棧技術(shù)，避免采用協(xié)議轉(zhuǎn)換;盡量采用靜態(tài)隧道，避免采用動態(tài)隧道;這些都需要在廣泛實驗中加以檢驗。

與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進，在可控性和抗否認性方面有了新的保證，但IPv6不僅不可能徹底解決所有安全問題，同時還會伴隨其產(chǎn)生新的安全問題。目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來自應(yīng)用層而非IP層，因此，保護網(wǎng)絡(luò)安全與信息安全，只靠一兩項技術(shù)并不能實現(xiàn)，還需配合多種手段，諸如認證體系、加密體系、密鑰分發(fā)體系、可信計算體系等。

第三篇：無線網(wǎng)絡(luò)安全的相關(guān)技術(shù)與改進探討

無線網(wǎng)絡(luò)安全的相關(guān)技術(shù)與改進探討

摘 要：無線網(wǎng)絡(luò)的安全主要是用戶與用戶之間的信息往來是否能夠保證其安全性隱私性，用戶之間信息的往來包括信息的傳送和信息的接收。那么無線網(wǎng)絡(luò)的安全問題也應(yīng)從這兩個方面入手。無線網(wǎng)絡(luò)的隱患時時存在，在研究相關(guān)技術(shù)的同時，相關(guān)專家應(yīng)該加強交流，進行探討。本文通過介紹無線網(wǎng)絡(luò)的威脅，以及我國相關(guān)技術(shù)的應(yīng)用來進一步探討如何更有效地解決這一難題。

關(guān)鍵詞：無線網(wǎng)絡(luò)；非法訪問；網(wǎng)絡(luò)安全無線網(wǎng)絡(luò)的現(xiàn)狀和威脅

1.1 無線網(wǎng)絡(luò)的現(xiàn)狀

我們平時使用的無線局域網(wǎng)其實還存在著大量的安全隱患，這種隱患可能是我們遭受比較大的損失，特別對企業(yè)來說，黑客的侵入，可能會是一個企業(yè)的系統(tǒng)發(fā)生混亂和癱瘓，更可能給企業(yè)帶來慘重的損失。隨著社會的發(fā)展著中問題日益暴露出來，因為它對我們造成的影響已經(jīng)無法繼續(xù)無視下去，因此，我國對無線網(wǎng)絡(luò)的安全問題已經(jīng)開始重視，下發(fā)各種限令和規(guī)范措施來維護網(wǎng)絡(luò)的安全性。

1.2 無線網(wǎng)絡(luò)的威脅

我們都應(yīng)該知道我們使用的網(wǎng)絡(luò)分為廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)以及個人網(wǎng)絡(luò)。這幾種網(wǎng)絡(luò)的覆蓋面積依次減少。可以說我們生活處處有網(wǎng)絡(luò)，網(wǎng)絡(luò)帶給我們便利和極高的自由行。但是同時也讓我們面臨一些問題，其中安全問題是最重要的問題，因為網(wǎng)絡(luò)是由很多交錯的網(wǎng)絡(luò)線路和眾多的用戶組成的巨型網(wǎng)絡(luò)，設(shè)備儀器發(fā)出的信息和數(shù)據(jù)不可能只針對一個用戶發(fā)送或接收。只要在這個區(qū)域的覆蓋范圍內(nèi)，任何都可以自由的獲取信息或數(shù)據(jù)，當然這些都是在你根本沒有察覺的情況下，你的隱私可以說是無處藏身的，一些極重要的個人信息就隨時有被竊取的可能性。除了可以自由獲取信息和數(shù)據(jù)外，一些不法者也能夠把一些亂七八糟的信息和數(shù)據(jù)隨時插入到這些網(wǎng)絡(luò)渠道中。無線網(wǎng)絡(luò)安全的相關(guān)技術(shù)與分析

2.1 無線網(wǎng)絡(luò)安全的相關(guān)技術(shù)

現(xiàn)在為了保護無線網(wǎng)絡(luò)的安全問題，出現(xiàn)了幾種方法，第一種主要是控制他人的訪問權(quán)，這樣一來如果沒有你的認證，其它人就不能訪問，這樣就不用擔(dān)心自己的信息被隨意的截取和訪問了。訪問權(quán)是用戶設(shè)置的一張通行證，如果的不到用戶的認證，那么它只能被攔截在門外了。第二種是用戶要記住對對自己的信息進行加密措施，一旦加密，就可以有效保護自己的信息或數(shù)據(jù)不被他人獲取或攔截。當然，給自己的重要信息加密是保護我們網(wǎng)絡(luò)信息安全的基礎(chǔ)，我們每一個人都應(yīng)該有這種意識。第三種是對訪問者進行安全認證，我們可以通過安全認證來確定者是不是非法的，從而也能把它擋在門外。安全認證有實體認證和數(shù)據(jù)源認證，如果單單用其中的一種認證方式，那么安全認證效果就會大打折扣，兩者同時運用能夠有效保護我們的網(wǎng)絡(luò)安全。第四種是對數(shù)據(jù)或信息進行校驗認證，這樣可以防止不法訪問者截取和諧該用戶的重要信息和數(shù)據(jù)了。

2.2 無線網(wǎng)絡(luò)安全的相關(guān)技術(shù)分析

為了維護無線網(wǎng)絡(luò)的安全，出現(xiàn)了3A技術(shù)，這種技術(shù)是現(xiàn)在無線網(wǎng)絡(luò)最基本的保證網(wǎng)絡(luò)安全的用方法，同時也是應(yīng)用最廣泛，最基本的一種技術(shù)。另外新出現(xiàn)的WSAP技術(shù)，它其實是一種網(wǎng)絡(luò)認證的協(xié)議，但是它有一個很顯著地特點就這種認證時匿名的。相關(guān)的研究人員對這種最新的認證方法進行了多次的理論對比和比較，所以我們有信心有理由信任這種新的認證方法，它已經(jīng)可以滿足我們對私人信息和數(shù)據(jù)保密性和安全性的一般要求。探討無線網(wǎng)絡(luò)安全技術(shù)的發(fā)展

要進一步實現(xiàn)保護無線網(wǎng)絡(luò)安全的目的，除了用戶自身要做好加密的措施外，還要好好利用一些功能和性能強大的認證體系，同時我們應(yīng)加快一些更加好的協(xié)議出現(xiàn)的速度，因為網(wǎng)絡(luò)每天都發(fā)生著變化一些黑客采取的非法手段也不聽的更新著，所以無限網(wǎng)絡(luò)安全的相關(guān)技術(shù)的開發(fā)工作時沒有止境的，只有深刻的認識到無線網(wǎng)絡(luò)存在的安全隱患，同時對不同的安全技術(shù)進行不斷地研究和探討，并不斷開發(fā)新的保護技術(shù)才能使無線網(wǎng)絡(luò)環(huán)境保持健康，繼續(xù)成長。總結(jié)

近幾十年來網(wǎng)絡(luò)的普及已經(jīng)使我們每一個人都時時刻刻身處網(wǎng)絡(luò)之中，特別是無線網(wǎng)絡(luò)的興起更加的方便了人們的生活，無線網(wǎng)絡(luò)的開放性和移動性以及機動性都被我們所接受，但是隨之帶來的安全隱患也時時刻刻威脅著我們的生活。市場上已經(jīng)有的一些安全技術(shù)和安全協(xié)議基本上能夠保證我們的信息和數(shù)據(jù)不被竊取或修改。但是面對復(fù)雜的網(wǎng)絡(luò)環(huán)境，我們應(yīng)該加緊相關(guān)，安全技術(shù)開發(fā)的腳步，不僅要關(guān)注網(wǎng)絡(luò)現(xiàn)存的一些威脅和漏洞還要預(yù)防哪些網(wǎng)絡(luò)可能存在的一些漏洞，提前做好預(yù)防措施。相關(guān)研究開發(fā)人員應(yīng)該加強交流和探討，在對各種無線網(wǎng)絡(luò)安全技術(shù)進行分析比較的情況下，開發(fā)出新的更有效的保護措施。

[參考文獻]

[1]郭萍.無線網(wǎng)絡(luò)認證體系結(jié)構(gòu)及相關(guān)技術(shù)研究[D].南京理工大學(xué)，2012.[2]肖躍雷.可信網(wǎng)絡(luò)連接關(guān)鍵技術(shù)研究及其應(yīng)用[D].西安電子科技大學(xué)，2013.[3]何道敬.無線網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)研究[D].浙江大學(xué)，2012.[4]王文彬.無線網(wǎng)絡(luò)安全的相關(guān)技術(shù)研究與改進[D].山東大學(xué)，2007.[5]王雙劍，丁輝.無線網(wǎng)絡(luò)安全的機制及相關(guān)技術(shù)措施[J].科技傳播，2012，06：154+147.

第四篇：“后XP時代”,企業(yè)信息網(wǎng)絡(luò)安全市場的挑戰(zhàn)與機遇

“后XP時代”,企業(yè)信息網(wǎng)絡(luò)安全市場的挑戰(zhàn)與機遇

近期，IT業(yè)發(fā)生發(fā)生了兩件十分引人關(guān)注的大事：一件是2014年4月，服役了13年的微軟XP“退休”了；另一件是XP退役幾天后，國內(nèi)互聯(lián)網(wǎng)安全協(xié)議OpenSSL被曝存在十分嚴重的安全漏洞。

中國信息系統(tǒng)裸奔？用不用XP，都糾結(jié)

XP退役，意味著微軟公司以后對XP系統(tǒng)不再提供任何官方的升級版本與保護措施，2億仍安裝XP系統(tǒng)的中國用戶。如果再使用XP系統(tǒng)，在沒有任何安全保護的情況下，更容易遭新病毒和木馬攻擊，或?qū)⑻幱凇奥惚肌睜顟B(tài)。

“微軟停止XP補丁服務(wù)后帶來的主要風(fēng)險是漏洞得不到修復(fù)。這意味著，黑客可以利用漏洞遠程入侵和控制XP用戶電腦，盜取電腦上任意文件和賬號密碼?！敝袊鴩倚畔踩┒磶焯仄笇＜以蕪V認為，“以往安全軟件只能防木馬病毒，對漏洞缺乏抵抗力。在沖擊波蠕蟲爆發(fā)、伊朗核設(shè)施被Stuxnet（震網(wǎng)）破壞、谷歌公司遭遇極光攻擊等安全事件中，黑客攻擊都是通過漏洞發(fā)起的，諸多安全軟件所構(gòu)成的防護基本形同虛設(shè)。安全形勢嚴峻，特別是中國政府機構(gòu)和公司單位相當一部分仍在使用XP系統(tǒng)?！?/p>

國家互聯(lián)網(wǎng)信息中心公布的網(wǎng)絡(luò)安全信息與動態(tài)周報顯示，XP退役后，雖然360、金山、騰訊和瑞星等國內(nèi)廠商表示在4月8日后將出手保護XP，并針對XP新出現(xiàn)的高危漏洞提供防護措施，但國內(nèi)網(wǎng)絡(luò)安全問題仍呈現(xiàn)上升的態(tài)勢，單是4月9日這一天，境內(nèi)感染網(wǎng)絡(luò)病毒的主機數(shù)量為57.8萬臺，環(huán)比上升5.6%。

互聯(lián)網(wǎng)安全協(xié)議OpenSSL是互聯(lián)網(wǎng)存在的重要基礎(chǔ)協(xié)議之一，如果黑客利用了這次發(fā)現(xiàn)的OpenSSL上的漏洞，可以套取3成https開頭網(wǎng)址的用戶登錄賬號密碼。有消息說，這次暴露的OpenSSL漏洞可能波及到2億國內(nèi)網(wǎng)民，因此IT技術(shù)員們稱這個漏洞為“心臟失血”。業(yè)界專家稱，OpenSSL被曝存在嚴重的安全漏洞，這與XP退役、微軟不再提供防護技術(shù)大有關(guān)系。

根據(jù)《2013中國軟件盜版率調(diào)查報告》的數(shù)據(jù)，在中國的PC中，XP的市場份額占70.1%，即XP用量約為2億臺，其中84.2%用戶沒有升級到“視窗8”的計劃?，F(xiàn)在企業(yè)用戶很糾結(jié)。如果不離棄XP，不升級切換到Win7/Win8應(yīng)用環(huán)境，總有隱憂后患――企業(yè)網(wǎng)絡(luò)系統(tǒng)會不會瞬間成為黑客主要攻擊目標？而升級切換到Win7/Win8，應(yīng)用成本、業(yè)務(wù)的連續(xù)性、兼容性卻是這些企業(yè)難于承受。

青島某數(shù)據(jù)技術(shù)有限公司信息技術(shù)部CIO鄭經(jīng)理表示，“XP對我們企業(yè)而言，有時就如雞肋，棄之可惜，食之無味。作為WinXP的替代版本，Win7/Win8具有更好的安全性，這一點我們是清楚的，也是非?？粗氐摹５牵鳛橐患彝獍?wù)類企業(yè)，我們要同時面對100多家客戶的不同操作平臺。從我們現(xiàn)在測試的結(jié)果來看，Win7對于比較陳舊的一些客戶平臺（因為IE版本，第三方軟件版本等原因），依然存在著一些兼容性問題。如果兩者沒有對接兼容好，我們業(yè)務(wù)就會出現(xiàn)問題、跑單，我們客戶就會流失?！?/p>

廈門一家計算機生產(chǎn)制造商的一位研發(fā)主管對此表示贊同，“從目前的情況來看，將所有的系統(tǒng)進行升級，似乎更為合理。但事實上，升級到Win7/Win8等新系統(tǒng)將面臨很多新的問題。而企業(yè)許多應(yīng)用管理軟件使用時間較長，已形成穩(wěn)定規(guī)范。例如，外包服務(wù)類企業(yè)軟件如信息技術(shù)外包（ITO）、業(yè)務(wù)流程外包（BPO）等最初開發(fā)時是基于WindowsXP，除了底層代碼，還有后期很多升級都是在原有軟件基礎(chǔ)上修改，就像蓋房子，地基是Windows XP，磚瓦結(jié)構(gòu)（外包類應(yīng)用軟件）都是建立在此地基上，突然要升級到Win7/Win8等高版本操作系統(tǒng)上，肯定有諸多不適不配，如果沒有全面統(tǒng)籌應(yīng)對，這房子就會動搖，應(yīng)用程序運行速度會很慢，甚至宕機，影響工作。而且住戶已經(jīng)習(xí)慣了原有的門和窗戶的位置，叫他們搬家，打心底不太樂意?！?/p>

加強自主可控的核心軟硬件建設(shè)

WindowsXP退役，再次提醒我們在自主創(chuàng)新上的短板。信息系統(tǒng)的核心軟硬件，尤其是操作系統(tǒng)（如Windows系列）和CPU芯片等與系統(tǒng)的安全關(guān)系極大，歷來我國政府和重要信息系統(tǒng)中，大量采用外國的操作系統(tǒng)和CPU等核心軟硬件，存在極大安全隱患。為了從根本上增強國內(nèi)信息安全，中國工程院院士倪光南表示：“今后我們要對智能終端操作系統(tǒng)、CPU和網(wǎng)絡(luò)架構(gòu)等這些系統(tǒng)中使用的核心軟硬件以自主可控的國產(chǎn)軟硬件進行替代，由替代XP所引發(fā)的操作系統(tǒng)國產(chǎn)化替代就是一個重要的必要環(huán)節(jié)?！?/p>

同時倪光南及國內(nèi)部分專家建議，國內(nèi)應(yīng)在信息安全領(lǐng)域權(quán)威機構(gòu)――中國國家信息安全漏洞庫的支撐下，集中我國信息安全領(lǐng)域的力量協(xié)同攻關(guān)，采用自主創(chuàng)新的可信計算技術(shù)進行安全加固，在微軟停止對“XP”支持后，推出有公信力的“安全云服務(wù)”，接管我國2億臺XP電腦用戶的服務(wù)支撐。這樣，可防止在微軟中止支持XP后繼續(xù)使用XP的電腦出現(xiàn)嚴重安全事件。

其實去年“棱鏡門”早已暴露了國內(nèi)網(wǎng)絡(luò)信息安全所存在的問題。無論是非法的政府行為還是民間黑客行為，都給嚴重依賴國外技術(shù)裝備的中國信息化特別是關(guān)鍵行業(yè)的信息安全敲響了警鐘。當前，國內(nèi)已建的重要信息系統(tǒng)幾乎均為外國品牌，基本在IBM、HP等美國企業(yè)壟斷下，而操作系統(tǒng)、數(shù)據(jù)庫、中間件也基本在Oracle、微軟和redhat等美國企業(yè)控制下。而國內(nèi)互聯(lián)網(wǎng)更是被以思科為首的美國網(wǎng)絡(luò)巨頭所把持，已經(jīng)形成了從PC網(wǎng)絡(luò)到移動網(wǎng)絡(luò)的絕對壟斷格局，國內(nèi)網(wǎng)絡(luò)廠商基本很難進入這個領(lǐng)域。

有專家認為，中國的信息安全在以思科、英特和微軟為代表的美國公司面前，簡直就是在跳裸舞，毫無秘密可言。一旦戰(zhàn)爭爆發(fā)，美國政府極有可能利用思科在全球部署的產(chǎn)品，發(fā)動網(wǎng)絡(luò)戰(zhàn)，對敵國實施致命打擊。

目前國內(nèi)政府和企業(yè)對國外電子信息產(chǎn)品過分依賴，而任何信息電子產(chǎn)品都可植入后門，成為竊取情報的工具，不知不覺中成為政府、國企的信息安全隱患。今后XP退役所引起的各種安全**（包括OpenSSL嚴重的安全漏洞）更說明了國內(nèi)信息安全的自主創(chuàng)新已經(jīng)成為事關(guān)國家安全的重大戰(zhàn)略問題，只有自主可控的國產(chǎn)產(chǎn)品才是安全可信，尤其是移動互聯(lián)網(wǎng)時代，國家、企業(yè)信息安全問題已從PC端全面轉(zhuǎn)移到各種各樣的移動終端設(shè)備上，只有國內(nèi)移動互聯(lián)網(wǎng)服務(wù)商、國產(chǎn)的移動安全市場產(chǎn)品聯(lián)合起來才能真正全面完整有效地抵御境內(nèi)外敵對黑客勢力的滲透、入侵。

賽迪智庫信息安全研究所所長劉權(quán)建議，推廣使用國產(chǎn)軟件，政府要起帶動作用，特別是在政府采購中要集中采購國產(chǎn)軟硬件產(chǎn)品，包括服務(wù)器、操作系統(tǒng)和辦公軟件等，而各IT廠商應(yīng)結(jié)成聯(lián)盟，聯(lián)合上下游資源，共同與國外企業(yè)競爭。

“后XP時代”的網(wǎng)絡(luò)安全市場盛宴開啟

不過，XP退役既是挑戰(zhàn)，也是機遇。在“后XP時代”，一個巨大的網(wǎng)絡(luò)安全市場正在開啟，國內(nèi)眾多廠商將迎來機會和競爭。

近段時間以來，國內(nèi)滬深股市，信息安全概念板塊再度全線活躍，多只個股受到市場資金的追捧。在市場人士看來，信息安全行業(yè)再度受資本熱捧的背后，是微軟XP系統(tǒng)停止服務(wù)后，給國內(nèi)軟件行業(yè)帶來的巨大想象空間。近幾年來我國信息安全行業(yè)市場規(guī)模持續(xù)高速增長。據(jù)統(tǒng)計，我國2010年信息安全產(chǎn)品和信息安全服務(wù)市場分別為6.06億和3.38億美元，2012年兩者市場規(guī)模分別為8.77億和4.61億美元。根據(jù)IDC預(yù)測，到2015年，國內(nèi)信息安全產(chǎn)品和安全服務(wù)的市場規(guī)模有望分別達到14.35億美元和6.84億美元，復(fù)合增長率分別為18.8%和15.1%，網(wǎng)絡(luò)安全、信息服務(wù)等行業(yè)有望受益。

招商證券發(fā)布的報告認為，如今網(wǎng)絡(luò)安全的外延和內(nèi)涵發(fā)生了根本性變化，行業(yè)全面打開了全新成長空間。一是IT日益滲透人類的生產(chǎn)生活成為現(xiàn)代社會的基礎(chǔ)，網(wǎng)絡(luò)安全的外延極度擴張。二是高級持續(xù)性威脅（APT）攻擊等新型攻擊技術(shù)的出現(xiàn)使得網(wǎng)絡(luò)攻擊從軟件走向硬件，國家重大基礎(chǔ)設(shè)施成為亟需保護的對象。網(wǎng)絡(luò)空間的安全與國土安全、經(jīng)濟安全、政治安全成為國家安全的基礎(chǔ)，但我國國家意義上的網(wǎng)絡(luò)空間自主可控和防護尚是一片處女地，信息安全內(nèi)涵和邊界的擴張將帶來行業(yè)市場空間的成倍擴張，從而打開了龍頭公司的市值上升空間。

國內(nèi)外在信息安全方面的差距主要是基礎(chǔ)IT軟硬件方面的技術(shù)差距和信息對抗方面的投入差距。近年美國在網(wǎng)絡(luò)安全對抗方面的國家性投入預(yù)算達到40億美金左右，中短期來看，通過加大信息對抗投入來從戰(zhàn)術(shù)上實現(xiàn)安全，成為確保網(wǎng)絡(luò)安全現(xiàn)實可行的做法。

第五篇：利用Web服務(wù)架構(gòu)對網(wǎng)絡(luò)安全支付協(xié)議的改進

利用Ｗｅｂ服務(wù)架構(gòu)對網(wǎng)絡(luò)安全支付協(xié)議的改進

【摘 要】安全電子交易協(xié)議（SET協(xié)議）其安全性和復(fù)雜性都非常高。隨著網(wǎng)絡(luò)的普及以及新一代網(wǎng)絡(luò)的出現(xiàn)，它將可能得到更大的應(yīng)用，但是它自身卻無法克服虛假交易和洗錢等網(wǎng)上支付漏洞。因而本文通過增加承運商角色提出對這個問題的解決模型。

【關(guān)鍵詞】SET Web服務(wù) 網(wǎng)絡(luò)支付引言

自互聯(lián)網(wǎng)誕生以來，通過網(wǎng)絡(luò)達成傳統(tǒng)商務(wù)貿(mào)易就是人類一直孜孜不倦的追求目標。而在互聯(lián)網(wǎng)發(fā)展到今天，人們對電子商務(wù)的認識早已經(jīng)遠遠超過以往僅僅代替?zhèn)鹘y(tǒng)商務(wù)業(yè)務(wù)的需要了。

本文將就在新的網(wǎng)絡(luò)條件下SET協(xié)議的應(yīng)用以及對其不足進行完善和改進，尤其針對避免網(wǎng)絡(luò)貿(mào)易上的虛假貿(mào)易提出自己的建設(shè)性意見。SET協(xié)議及不足

SET協(xié)議（Secure Electronic Transaction安全電子交易協(xié)議）最早由Visa和MasterCard提出，后來得到IBM和Microsoft支持，由幾家公司共同聯(lián)合開發(fā)。這一協(xié)議主要針對信用卡用戶而設(shè)計，它不僅制定了相應(yīng)的加解密算法、認證方法等技術(shù)手段，而且還詳細規(guī)定了客戶、商家、銀行等各方的數(shù)字證書的含義、響應(yīng)動作以及與交易相關(guān)的責(zé)任認定等。1 SET協(xié)議模型

SET協(xié)議的支付模型如圖1所示，交易的每個階段包括了身份認證、信息的加解密、數(shù)字簽名/驗證、數(shù)字信封、消息摘要生成/驗證等過程。

2SET協(xié)議的不足

因為具有高安全復(fù)雜性，造成了SET協(xié)議在應(yīng)用上的較高成本代價，以及完成一個交易的較高時間代價。這就使其普及應(yīng)用受到了很大的影響。隨著計算機成本的降低和計算機網(wǎng)絡(luò)的普及，相信SET協(xié)議在互聯(lián)網(wǎng)上的應(yīng)用又將活躍起來。

不過，當前SET協(xié)議，就如何在支付的時候更大的保護交易雙方的利益，防止虛假交易和洗錢活動在網(wǎng)絡(luò)的掩護下肆虐進行，還是無法解決這樣的問題。而就虛假交易來說，現(xiàn)在各國銀行也無法判斷，僅僅是通過限制網(wǎng)上貿(mào)易的額度對這些問題進行象征性的管制。這些都是現(xiàn)有SET協(xié)議本身所無法克服的問題。

我們將在接下來的部分討論利用當前的流行技術(shù)Web Services來融入第三方物流信息，以彌補對以上SET協(xié)議在這些方面的不足之處。Web服務(wù)

Web服務(wù)模型

Web服務(wù)體系結(jié)構(gòu)基于三種角色（服務(wù)提供者、服務(wù)注冊中心和服務(wù)請求者）之間的交互。圖 2顯示了這些操作、提供這些操作的組件及它們之間的交互。改進后的模型設(shè)計

僅僅通過對SET協(xié)議本身加解密算法或者認證手段等等技術(shù)條件進行增減或效率改進是很難針對防范虛假交易和洗錢活動的。我們在這里提出一種將可信賴的第三方物流承運商加入到整個交易流程中來的辦法，不但可以達到比設(shè)定交易資金限額方法更有效的結(jié)果，而且還能更大的保護交易各方的利益，盡量避免交易中產(chǎn)生的不必要糾紛。本文設(shè)計的改進后的模型具體如圖3所示。

其中客戶與商家進行訂單協(xié)商的過程因與圖1重復(fù)，故這里就直接從商家向客戶發(fā)出購物響應(yīng)后開始描述，主要過程

（1）商家向客戶發(fā)出購物響應(yīng)后，客戶的購物行動基本完成，商家按照客戶訂單信息備貨，并通知承運商到商家倉庫收貨；

（2）承運商到商家確認收貨，并將貨物的物流信息以Web Service的方式提供給商家服務(wù)器，以便商家和客戶實時跟蹤自己的貨物狀態(tài)，以及有利于客戶安排接貨；

（3）承運商將貨物運送到客戶地址，通知客戶準備接貨；

（4）客戶驗貨并確認收貨，承運商通過移動商務(wù)系統(tǒng)或本地網(wǎng)絡(luò)實時地將信息傳送回承運商服務(wù)器；

（5）承運商將客戶確認收貨信息（包括承運商的證書）通過Web Service的方式實時回送給商家，以便商家在第一時間向支付網(wǎng)關(guān)發(fā)出獲款請求；

（6）商家向支付網(wǎng)關(guān)發(fā)出獲款請求，其中包括承運商的證書和承運商發(fā)送貨物的track number，支付網(wǎng)關(guān)檢查商家和承運商的證書，并以調(diào)用承運商服務(wù)器提供的Web服務(wù)驗證貨物發(fā)送情況；

（7）承運商服務(wù)器提供相應(yīng)的貨物狀態(tài)信息查詢服務(wù)，支付網(wǎng)關(guān)獲得相關(guān)確認后判斷這是一次真實的交易，然后向銀行發(fā)出放款請求，得到響應(yīng)后支付網(wǎng)關(guān)立即向商家作出獲款響應(yīng)。

這樣，整個交易至此就完全結(jié)束了。

而在這個模型中，承運商并不需要像SET協(xié)議里那樣提供完整的加解密、數(shù)字信封、數(shù)字摘要、雙重簽名等操作，而只需通過注冊相應(yīng)的Web服務(wù)，然后向支付網(wǎng)關(guān)提供自己的數(shù)字證書就可以了。所以其帶來的系統(tǒng)開銷和網(wǎng)絡(luò)開銷并不太大。

最重要的一點是，有這樣的一個可信賴的第三方承運商的參與，我們就可以大大提高防范虛假交易和洗錢活動的效率。尤其針對SET協(xié)議有相當大的意義，因為信用卡網(wǎng)上支付是SET協(xié)議的最大支持對象，而通過虛假網(wǎng)上實現(xiàn)信用卡套現(xiàn)或洗錢的活動確實有些防不勝防，如果采用本文的模型那么實現(xiàn)這樣的防范將相對容易得多。結(jié)束語

電子商務(wù)安全涉及到方方面面，而其中支付的安全（包括技術(shù)安全和社會安全）是一個非常重要的課題。本文僅就SET協(xié)議在提供更好的交易各方利益保護方面和防范虛假交易方面提出了相應(yīng)的改進模式，而其中主要涉及到對Web Services的應(yīng)用。相信利用Web服務(wù)和分布式網(wǎng)絡(luò)架構(gòu)提出電子商務(wù)新的支付模式和開發(fā)新支付平臺在不遠的將來就會出現(xiàn)，這也將推動整個電子商務(wù)走向新的高潮。

參考文獻：

[1]柯新生.網(wǎng)絡(luò)支付與結(jié)算.北京：電子工業(yè)出版社，2004，182-194.International Technical Support Organization，Secure Electronic Transactions：Credit Card Payment on the Web in Theory and Practice，IBM Corporation，1997，17-49.蘇成，胡慶鋒，趙飛芙.SET協(xié)議的分析與改進.計算機時代，2004，（3）：20-21.陳炎，楊庚.基于Web Services的電子錢包系統(tǒng)的分布式解決方案研究.南京郵電學(xué)院學(xué)報，2005，（1）：42-45.馬強，李燕軍.網(wǎng)絡(luò)安全之GAP技術(shù)研究.林楓.電子商務(wù)安全理論與實務(wù).北京航天航空大學(xué)出版社.信息安全與技術(shù).中國信息安全測試認證中心.