牡丹江师范学院学报(自然科学版)
JournalofMudanjiangNormalUniversityNo.1,2010TotalNo70
转发给节点n1;
(5)节点n1收到后用m1进行解密,把K4=Emz(hash(m1,m2)发给节点n2,节点n2收到后,用m2解密,若解密成功,K=hash(m1,m2)作为两节点间的通信密钥,节点分别存储,并删除m1和m2;
(6)若解密不成功,n2报告给基站.
部署后,节点间将执行这些步骤后,节点将删除原来所在组的组密钥,若节点未建立起密钥,则报告给基站来处理,当所有节点与邻节点建立共享密钥后,基站也会删除每个组的初始组密钥,以保证网络的安全.1.2 组内节点的通信
2 结果分析
设网络中传感器节点个数为n文献[3]所用
到的密钥池大小为p,密钥环大小为k(k 安全性 本文假设基站是安全的,在初始部署网络时,groupleader节点未被敌方捕获,则通信密钥建立后,由于任何两个节点的密钥均不同,一个节点的破坏并不会对剩余网络产生影响,保证了剩余网络的安全. 存储量 一个节点所存储的密钥只与节点的邻节点数目有关,节点只存储与其邻节点所共享的通信密钥,解决了网络存储量大的问题,适用于大规模的网络. 设n1与n2所在组中的组密钥为m1,由于部署后节点广播了各自的ID,所以邻节点n1与n2知道彼此的ID信息,两节点建立通信密钥的过程如下: (1)当节点n1想要与节点n2建立密钥时,发信息K1=Em1(ID1|ID2)给n2; (2)节点n2收到后,进行解密,并回复信息K2=Em1[ID1|ID2|m1|hash(m1,m1)],节点n1 3 结束语在无线传感器网络中,为了得到所监测区域的准确信息,保护节点间进行安全通信至关重要.本文提出的这种组播密钥管理方案,实现了组内、组间节点通信密钥的建立.该方案解决了网络存储量大、安全性等问题,该方案网络的连通性好,克服了现有方案安全需求与可扩展性差的矛盾. 收到后,用组密钥m1解密,若成功,K=hash(m1,m1)作为二者的通信密钥,节点删除组密钥m1; (3)若解密不成功,则把K发给groupleader. 参考文献 [1]刘景卫1计算机网络性能检测方法浅析[J]1牡丹江师范学院学报:自然科学版,2008(3):222231 [2]LAIBC,KIMS,VERBAUWHEDEI.ScalableSessionKeyConstructionProtocolforWirelessSensorNetworks[C].AustinIEEE, 2002:3022305. [3]ESCHENAUERL,GLIGORVD.AKey-managementSchemeforDistributedsensorNetworks[C].Washington:Associationfor ComputingMachinery,2002:41247. 编辑:文心 基于IPv6的网络安全分析 邢 军 (牡丹江师范学院计算机科学与技术系,黑龙江 牡丹江 157012) 摘 要:IPv6的网络安全问题是当前网络安全领域的重要问题之一,为此,对其本身的安全威胁、过渡阶段 的安全问题和IPv6安全网络的架构进行了初步探讨. 关键词:IPv6;隧道技术;IPsec [中图分类法]TP4 [文献标识码]A [文章编号]100326180(2010)0120006203 从目前基于IPv4协议的互联网向基于IPv6协议的下一代互联网发展将是历史的必然.下一代互联网意味着更多的应用、更快的速度和更大 收稿日期:2009206205 的规模,与此同时,随着网络应用的增加、速度的 加快和规模的变大,必须面对更多的安全风险,因此,网络安全研究是下一代互联网研究的一个重 ・6・ 2010年第1期(总第70期) 牡丹江师范学院学报(自然科学版) JournalofMudanjiangNormalUniversityNo.1,2010TotalNo70 要的领域. 1 IPv6的网络安全威胁 网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防.尽管IPv6在设计时就充分研究了以前IPv4的各种问题,在安全性上得到了大大的提高,但是仍存在安全问题.因此,充分、全面、完整地对系统的安全威胁进行分析是设计网络安全体系结构的必要前提条件,根本目的是提高整个网络的安全性能. 1.1 IPv6网络面临的安全威胁 由于采用IPv6代替IPv4,下一代互联网的网络拓扑及TCP/IP体系结构中各层协议都有不同程度的变动,这使得黑客针对网络进行的攻击也有所改变.IPv6网络面临的安全威胁有侦察、未授权访问、ND和DHCP攻击、IP分片攻击、第三层地址假冒、病毒和蠕虫攻击、路由攻击、Smurf攻击、嗅探、应用层攻击、设备欺骗、中间人攻击、洪水攻击等.其中,前8种与IPv4网络面临的安全威胁有较大差别,后5种没有本质区别.1.2 主要安全威胁简述1.2.1 侦察(reconnaissance) 这种攻击的原理是:在IP的分片包中,所有 的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息.当正分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的TCP信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过.这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,封装恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机,从而威胁网络和主机的安全. 由于IPv6是新协议,在其发展过程中必定会产生一些新的安全问题,包括应对拒绝服务攻击(DoS)乏力、包过滤式防火墙无法根据访问控制列表ACL正常工作、入侵检测系统(IDS)遭遇拒绝服务攻击后失去作用、被黑客篡改报头等问题.此外,在IPv6中还有一些问题有待解决,比如,IPv6网络的安全管理问题,PKI的管理至今没能解决,且IPv6协议尚需在实践中完善. 2 过渡机制安全问题随着IPv6过渡技术共存现状的越趋复杂,网络中的安全状况就会越趋恶化.过渡技术本身就存在着一些安全隐患,同时对过渡技术的配置应用也会出现各种各样的安全问题.2.1 双栈技术的安全 侦察是一种基础的网络攻击方式,也是很多 其他网络攻击方式的初始步骤.网络的攻击者试图获得关于被攻击网络地址、服务、应用等各个方面尽可能多的信息.IPv6巨大的地址空间使得这种攻击变得不再容易,不过攻击者还是可以通过运用一些策略,简化和加快子网扫描.由于IPv6和IPv4要共存相当长一段时间,很多网络管理员会把IPv4地址放到IPv6地址的后32位中,攻击者也可能按此方法猜测可能的在线IPv6地址.攻击者虽然无法对整个网络进行系统的侦察,但总有少数主机的IP地址或者名字能够被攻击者找到,进而实施攻击.1.2.2 未授权访问 IPv6固有的对身份验证的支持以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问的能力,更加适合于那些对敏感信息和资源有特别处理要求的应用.然而,IPv6中规定,所有的IPv6主机都要求接受并处理IPv6的选路扩展报文首部,并转发该包,这样黑客可以通过修改这个选路扩展报文首部来改变报文的转发方向,从而达到绕过防火墙的目的,所以多数防火墙策略都设置不处理带有选路扩展报文首部的包. 1.2.3 IP分片攻击 双栈技术是使IPv6节点与IPv4节点兼容的最直接的方式,一般都是与其他技术结合使用,在IPv4网络安全方面已经有很多的办法加以保护,需要在IPv6网络安全方面也达到现有IPv4的过渡水平.系统管理员往往分给IPv6一个以该地址所属的类前缀为开头的地址,这就使得需要扫描的IPv6地址范围小许多,所以一个外部用户发现一个重要服务器的IPv6地址并不十分困难.在这种情况下,如果某些基本过滤功能没有加载,恶意用户就有可能很轻易地把IPv6作为一个入口点,从入口机器上使用IPv4或者IPv6去访问私有网络,并进一步危及网络内的设备.另外,由于双栈路由器是使用隧道机制在IPv4网络中路由IPv6包,那么在成功侵入IPv4设备后,激活IPv6inIPv4隧道,就有可能成功地绕过过滤和入侵监测系统. 2.2 隧道技术的安全 隧道机制的引入会给网络安全带来更复杂的问题.因此,将给IPv6网络带来很大的安全隐患,同时也给攻击者提供更多的攻击途径.IPv6的隧道策略虽然提供了一种使IPv6的节点之间能够在过渡期间通信的方法框架,但它并不能解决IPv6节点与IPv4节点之间相互通信的问题,实现隧道的相应协议不仅增加了网络的复杂性,而 ・7・ 2010年第1期(总第70期) 牡丹江师范学院学报(自然科学版) JournalofMudanjiangNormalUniversityNo.1,2010TotalNo70 且带来了更多的安全隐患.2.3 转换技术的安全 协议转换技术是实现纯IPv6终端和纯IPv4终端之间通信方式的总称,有各种各样的具体协议支持,具体包括NAT2PT和BIS/BIA等.地址转换中所要面对的主要安全威胁是两种网络对安全性的控制不同.在IPv6网络中IPSec是强制实施的,而IPv4网络中则是可选的,这样的情况下,如何解决认证与加密等安全问题值得深入研究. 3 IPv6安全网络的架构 IPv6将网络安全协议(IPSec)集成到协议内部,作为IPv6协议固有的一部分贯穿于IPv6的各个部分.具体如下: (1)将原先独立于IPv4协议族之外的报头认证和安全信息封装作为IPv6的扩展头置于IPv6基本协议之中,为IPv6网络实现全网安全认证和加密封装提供协议上的保证. (2)地址解析放在ICMP层中,使其与ARP相比,与介质的耦合性更小,可以使用标准的IP认证等安全机制. (3)对于协议中的一些可能会给网络带来安全隐患的操作,IPv6协议本身做了较好的防护. (4)除了IPSec和IPv6本身对安全所做的措施之外,其他的安全防护机制在IPv6上仍然有效.另外,基于VPLS、VPWS的安全隧道和VPN等技术,在IPv6上也可以完全实现. IPv6网络的安全性主要体现在三个层面,即协议安全、网络安全和安全加密的硬件实现.完善的IPv6的IPSec机制提供了网络数据和信息内容的有效性、一致性以及完整性的保证,并且为网络安全提供了诸多的解决办法.为了构建安全网络,还可以结合AAA认证,NAT2PT,VPN,ACL的标 准访问列表和扩展访问列表、防分片包攻击来实现安全预防;通过路由过滤、静态路由、策略路由和路由负荷分担来实现安全路由;通过SSHv2、SNMPv3、EXC提供进程访问安全和线路访问安全;通过分级管理、定制特权级管理等手段来实现网络的安全管理;最后通过完善的警告、日志和审计功能实现网络时钟的安全,同时提供访问列表和关键事件的日志、路由协议事件和错误记录等供网络管理人员进行故障分析、定位和统计. IPSec的大规模使用不可避免地会对网络设备的转发性能产生影响,因此,需要更高性能的硬件加以保障.总的来说,IPv6极大地改善了网络安全现状. 参考文献 [1]才振鹏,张连子.基于IPv6协议的网络安全机制[J].科技创新导报,2008(29). [2]贺文华,陈志刚,胡玉平.基于IPv6的网络安全与性能分析[J].微电子学与计算机,2007(10).[3]陈璐,王亚弟,韩继红.基于IPv6的网络安全体系结构研究[J].计算机工程与设计,2007(4).[4]云晓红.面向宽带网络的通用信息侦听模型[J].牡丹江师范学院学报:自然科学版,2003(1).[5]何鹏.基于IPv6的网络安全保障方法的研究与实现[J].计算机安全,2007(3).[6]李军,龚丁海.基于IPv6协议的网络安全性研究[J].河池学院学报,2008(2). [7]刘志宇,杨柳1网络安全中的端口扫描技术[J]1牡丹江师范学院学报:自然科学版,2009(4)1[8]高忠新,战也非1浅谈高校校园建设[J]1牡丹江师范学院学报:自然科学版,2007(3)1 [9]黎孟雄1基于Internet的远程培训系统安全防范技术[J]1牡丹江师范学院学报:自然科学版,2008(1)1 编辑:文心 计算机病毒的防治策略 周 鹏 (牡丹江师范学院计算机科学与技术系,黑龙江 牡丹江 157012) 摘 要:目前计算机病毒可以渗透到信息社会的各个领域,给计算机系统带来了巨大的破坏.因此,有必要 介绍计算机病毒的特征、症状和防治策略,只有掌握了计算机病毒症状,才能采取有针对性的防护措施加以防治. 关键词:计算机病毒;恶意软件;防范 [中图分类法]TP4 [文献标识码]A [文章编号]100326180(2010)0120008203 随着计算机技术的不断发展,病毒也变得越 收稿日期:2009212230 基金项目:牡丹江师范学院科技青年一般项目(QY200906) 来越复杂和高级.现在因特网逐渐深入各个行业 ・8・ 因篇幅问题不能全部显示,请点此查看更多更全内容