時間:2024-01-23 15:08:38
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇數據通信安全范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
關鍵詞:數據通信;量子密鑰分發;量子密碼終端;密鑰中繼
量子保密通信是基于量子密鑰分發的密碼通信解決方案,量子密鑰分發不依賴于計算的復雜性來保證通信安全,而是基于量子力學基本原理。只要能夠在通信雙方成功的建立密鑰,這組建立的密鑰就是絕對安全的,并且這種密鑰是具有絕對隨機性的,從原理上無法破解。由于量子密碼系統基于的這種隨機性,其安全性不因數學水平和計算能力的提高受到威脅,所以不僅是現在,而且在未來利用量子密碼系統加密的信息都是安全的。由此,人類目前已知的唯一具有長期安全性保障的通信解決方案是量子保密通信。并且在世界范圍內已有量子通信網絡初步建成并運行。在傳統數據傳輸系統基礎上,使用量子通信保證數據傳輸的安全性,提高數據通信網絡的可靠性、安全性和穩定性,是一個值得研究和發展的方向,兩者結合能夠有效保證數據在通信過程中的安全可靠。
一、QKD系統基本結構
如圖表1.1所示,QKD系統主要由主控模塊、數據處理模塊、系統管理模塊、光電系統(光學模塊和單光子探測器)組成。該QKD系統的運行受控于密鑰生成控制系統,由密鑰生成控制系統下發QKD控制指令給終端設備的系統管理模塊,系統管理模塊將接收到的指令進行必要的協議轉換(某些關鍵指令還需要加解密處理),完成對QKD系統進行工作流程控制。系統管理模塊的主要硬件結構如圖表1.2所示:
二、QKD系統與數據通信
在當前的要求數據安全性比較高的網絡中,會采用專線進行保密的數據通信,會添加防護設備,增加一道安全措施。設備首先需要通過證書機制,完成身份認證過程,然后將一端產生的隨機數通過非對稱密碼學算法加密處理后傳輸給另一端,而另一端的防護設備將接收到數據,并把數據進行解密,由此獲得隨機數,這樣就完成了對稱密鑰的分發過程。由于目前的對稱密鑰分發機制,必須由經典密鑰學的加解密算法處理,這樣就有可能被攻破。因此,通過制定一整套完善的量子對稱密鑰傳輸、同步、中繼等協議,使得防護設備可以使用QKD系統提供的對稱量子密鑰,對目前系統網絡中的數據進行實時量子加解密處理。如圖表2.1所示:
三、多用戶應用場景下的量子密鑰分配、存儲和管理機制
如圖表3.1所示,在要求較高的專線數據傳輸系統多用戶應用場景下,可將該專線網絡分為“客戶大區”和“管理大區”兩大部分。該場景下的兩個用戶之前數據通信的安全通信可由QKD系統直接向認證設備提供的量子密鑰保證。在該網絡中,可使用一個全通型光量子交換機,掛接6臺量子網關,在密鑰生成控制服務器的調度下,實現任意兩個設備間的量子密鑰分發,并直接把生成的量子密鑰存儲在各自設備內。管理大區用戶與客戶大區用戶之間進行通信,其防護設備可以使用QKD系統提供的量子密鑰,完成數據加解密功能,達到安全的保密通信要求。多用戶應用場景量子加密數據傳輸的主要步驟如下:(1)場景內,每個用戶終端部署一臺QKD系統,由密鑰生成控制服務器定時監控每個用戶的當前量子密鑰量,根據制定的排隊策略,把各個QKD系統按照規則進行配對,啟動量子密鑰分發;(2)各個QKD系統必須由唯一的ID號標識身份,該QKD與其他的QKD系統進行量子密鑰分發,并且會使用對方ID號對生成的量子密鑰進行標識和保存。(3)通過具體的用戶通信進行演示:客戶大區的用戶2需要與用戶4進行通信,密鑰生成控制服務器會統一管理,安排用戶2與用4進行通信,用戶2的QKD系統會根據ID號與用戶4的QKD系統分發的量子密鑰進行設備認證,而用戶4的QKD系統也會根據ID號與用戶2的QKD系統分發的量子密鑰提供給認證設備;(4)認證設備采用量子密鑰,對傳輸的數據進行加解密處理,使保密通信過程完成。
四、通信網絡與量子網絡融合
(一)通信網絡中的加密認證設備部署
專線網絡要實現“分級管理”的要求,各級數據調度中心以及下屬的各個數據站點部署了加密認證設備,根據總部調度通信關系建立加密隧道(理論上只能在上級和下級之間建立加密隧道),加密隧道拓撲的結構是網狀結構。如圖表4.1、圖表4.2所示:
(二)量子通信網絡融入實例
在一級分部調度中心管理中,加密認證設備需要對相鄰的二級分部使用QKD系統提供的量子密鑰進行加解密處理。網絡拓撲如圖表4.3所示:一級分部調度中心控制二級分部1和二級分部2的通信網絡,一級分部與兩個二級分部都可以通過量子集控站,完成兩兩間的量子信道建立,在集控站的統一協調下,使其具備兩兩之間能夠分發量子密鑰的能力。由此,一級分部調度中心與兩個分部之間就可以實現兩兩加密認證設備通過使用量子密鑰進行加解密處理的保密通信。該場景下的通信數據加解密與傳輸流程如下所示:(1()這里一級分部調度中心簡稱為一級中心;二級分部1簡稱為二分1;二級分部2簡稱為二分2)。(2)一級中心的集控站與二分1的集控站、一級中心的集控站與二分2的集控站,在密鑰生成控制服務器(處于集控站中)的統一協調管理下,實現量子密鑰分發;(3)二分1需要完成與一級中心的通信數據傳輸,二分1的認證設備先用與一級中心分發的量子密鑰,對數據進行加密處理,然后由經典網絡傳給一級中心;(4)一級中心接收到二分1傳輸的加密數據,一級中心認證設備使用與二分1分發的量子密鑰進行解密,這樣就實現了二分1傳輸通信數據給一級中心的功能;(5)與此同時,一級中心下發調度指令給二分1,一級中心的認證設備使用與二分1分發的量子密鑰,對調度指令進行加密處理,然后通過經典網絡傳輸給二分1;(6)二分1接收到一級中心傳輸的加密調度指令,二分1認證設備使用與一級中心分發的量子密鑰進行解密,這樣就完成了一級中心傳輸數據給二分1的功能;(7)二分2與一級中心之間的通信數據傳輸與二分1相似。在二級分部1下,用戶1和用戶2的量子信道通過全通光量子交換機與該分部集控站連接,實現用戶1、用戶2和二級分部1兩兩之間的量子密鑰分發。該場景下的通信數據加解密與傳輸流程如下所示:(1)用戶1與二級分部1、用戶2與二級分部1,在密鑰生成控制服務器(處于集控站中)的統一協調,實現量子密鑰分發;(2)用戶1需要與一級分部調度中心進行通信數據傳輸,用戶1的認證設備首先使用其與一級分部1交互分發的量子密鑰,加密通信數據,然后由經典網絡傳輸給一級分部1;(3)一級分部1收到用戶1傳輸的經過加密通信數據,一級分部1的認證設備使用與用戶1分發的量子密鑰對加密數據進行解密,這樣就實現了用戶1傳輸數據給一級分部1的功能;(4)同時,一級分部1可以下發調度指令給用戶1,一級分部1的認證設備使用與用戶1分發的量子密鑰,加密調度指令,然后經由經典網絡傳輸給用戶1;(5)用戶1接收到二級分部1傳輸的加密調度指令,其認證設備使用與二級分部1分發的量子密鑰進行解密,這樣就完成了二級分部1傳輸通信數據給用戶1的功能;(6)用戶2與二級分部1之間的通信數據傳輸與用戶1類似。如果用戶1或用戶2需要與一級分部調度中心直接傳輸通信數據,則要用到密鑰中繼功能,以用戶2上傳數據給一級分部調度中心為例,主要步驟如下所示:(1)一級分部調度中心的集控站與二級分部1下的用戶2,通過它們之間的二級分部1集控站,利用經典密鑰中繼的方式,使一級分部調度中心與用戶2之間擁有共享的量子密鑰;(2)用戶2的認證設備,需要給傳輸給一級分部調度中心的數據進行加密,加密密鑰為上述共享的量子密鑰,然后由經典網絡傳輸給一級分部調度中心;(3)一級分部調度中心的認證設備,利用對應的量子密鑰作為業務密鑰,將用戶2傳輸過來的加密數據進行解密,這樣就實現了用戶2與一級分部調度中心之間數據加解密傳輸功能。
五、結束語
關鍵詞:數據通信;網絡安全;維護策略;分析研究
1引言
隨著全球化信息的不斷發展,各種現代化技術也得到了一定的應用,客戶端—服務器技術逐漸成熟,也能夠獲得更多更加先進的技術,無論是在機關單位還是學校等機構,都能夠利用網絡的方式進行數據的傳遞,同時數據網絡在進行通信的時候,也會出現很多安全方面的問題,這是網絡安全中十分重要的部分,那么如何才能夠提高網絡的安全性與穩定性呢,本文就要對數據通信網絡安全維護的策略進行仔細的分析,希望能夠得到一定的進步。
2數據通信網絡與網絡安全的意義
所謂數據通信網絡就是利用雙絞線、光纜等進行網絡互聯的集合,用戶可以通過網絡來進行文檔、程序以及信息的共享,對數據網絡可以按照地理位置的方式進行劃分,簡單的可以分為四種類型,即局域網、廣域網、城域網以及互聯網。在這些網絡中局域網是范圍最小的,只是在一個建筑或者學校內,城域網就是指學校、單位以及小區的網絡。這里面范圍最大的是互聯網,它是連接國內以及世界范圍內的網絡類型,從目前的應用來看,局域網是最為常見的,也是比較普遍的,在任何的機構中都可以采用這種網絡,但是目前在網絡中存在很多的不足之處,網絡安全也受到了一定的影響,數據以及軟件都收到了保護,如果不是惡意的或者泄露那么就能夠確保網絡系統的安全運行,網絡安全的最主要目的是維護網絡的穩定性,這是比較簡單的技術問題,維護網絡的安全與穩定能夠給企業帶來一定的經濟效益,同時對于企業來說確保通信網絡的穩定也能夠影響到企業的發展,還會對整個的行業都產生一定的影響,所以維護網絡的安全與穩定能夠確保商業競爭的公平性,在很多單位也是利用這種方式,來解決網絡安全方面的問題,很多企業不是缺少技術方面的支持,而是在管理方面會存在一定的漏洞需要解決,只有加強在網絡方面的穩定性才能夠更好的實現網絡運行。
3數據通信網絡安全維護策略分析
3.1對網絡安全性進行評估
對網絡安全性進行評估,在數據通信網絡安全維護中占有十分重要的作用,為了進一步提高網絡的安全,同時加強對數據通信的維護,就需要從網絡方面進行入手,定期對網絡的安全性進行評估,對網絡中存在的威脅要及時的發現,并找出相應的應對策略,從而讓網絡的安全性得到提高。數據通信網絡的構建是需要相關單位將平臺進行統一,工作人員能夠通過這一平臺獲取到自己想要的數據,從而保證數據的安全性,還要按照具體的安全要求進行評價,確保整個評價足夠細致,高效。再結合相關人員對審核的考慮,依照特定的環境來進行說明,真正實現技術人員對通信網絡的全面掌握。
3.2分析網絡存在的威脅
網絡安全主要是對數據信息進行確認,在一些網絡環境中,IP地址會受到很多惡意的攻擊,為了防止這種事情發生,應該對信息的真實性進行一定的把關,對網絡中存在的風險進行提前分析與調查,并設置網關的限制避免外界的用戶參與到其中,對于系統的漏洞也要進行及時的修補,不能讓惡意的侵入者有任何的機會。對系統中的數據也要防止被竊取,不能讓任何的風險存在,也可以通過設置權限的方式來防止外界用戶的侵入,這樣才能夠將網絡存在的威脅全部消除。
3.3制定網絡風險的策略
網絡存在漏洞是很常見的問題,但是如果經常出現就會影響到網絡的安全運行,而對于外界的入侵,作為網絡來說也是要針對漏洞開展的,如果想要維護網絡的穩定,就需要制定出一定的計劃與方案,多接觸網絡中存在的問題,及時的找出相應的方案,或者從服務器方面入手,對存在的問題進行提前的預防,如果系統中有病毒的時候,應該采取多種方式對病毒進行預防,避免出現竊聽的情況,還可以以建立防火墻的方式,及時的利用網絡系統中的軟件來進行殺毒,在安裝各種軟件的時候不能只是安裝必要的部分,其余的部分也需要進行安裝,這樣就能夠做到全面不會出現安全的問題。
4結束語
綜上所述,主要對數據通信網絡安全維護策略進行分析,可以看出,在科學技術快速發展的過程中,數據通信就會成為主導的力量,通信網絡將呈現出智能化、綜合化的特點,將更多的信息資源進行鏈接,這也成為人們廣泛關注的話題,只有做好了對網絡安全方面的管理,才能夠讓數據變得更加的可靠,也能夠推動企業更好更快的發展,才能夠推動經濟的進步。
參考文獻
[1]吳明禮,陳斌.移動互聯環境下數據通信安全技術的應用研究[J].計算機技術與發展.2016,26(11):106-110.
1無線通信在電力系統的應用情況
1.1衛星通信應急通道
電力系統衛星通信系統提供控制主站控制子中心站與每個端站直接通信,構成星狀衛星通信網絡,實現端站-子中心站的衛星一跳通信方式。端站的各種業務通過通訊端口(IP接口)接入端站,經衛星通道進入子中心站,子中心站再將數據通過通訊端口送入調度中心的計算機,中心根據需要對所得到的信息進行加工處理,從而構成一個完整的應急通信系統。其應急通信部分通常包含語音、視頻、數據通信等三部分,目前在實際運用的系統中存在與RTU直接相連的數據通信應用。
1.2電量采集系統無線數據通道
電能量采集系統與繼電保護及故障信息管理系統比較相似,其采集終端與主站系統通信采用網絡通道、專用通道及撥號通道,通常撥號通道是在前兩種方式不能通信時的備用數據傳輸通道。
1.3配電及用電網的通信通道
大客戶負荷管理系統將負控系統、電量計量計費、配電自動化系統及配變監測等功能合為一體的大型系統。由于該系統具有點數多、規模大、電力通信網無法覆蓋、實時性要求小及小數據量和電能量數據批量抄讀的特點。經過對230M負控專網、中壓載波、GPRS網絡的技術經濟比較,最終采用的是GPRS網絡。
1.4變電站的無線通信通道
對于部分地理位置偏遠變電站,不具備專網通信(如光纖通信、有線電纜、電力載波等)的條件,因此,不得不選擇“公網”來解決RTU與調度主站的通信問題。典型的通信流程如下:利用DTU的RS232接口和變電站RTU對接;中國移動提供VPN接入方式,為每個DTU分配一個固定的IP地址;中國移動網絡通過光纖或者2M方式專線接入調度通信機房,并在其接入路由器與調度數據網絡之間加設防火墻等安全措施;以網絡或串口方式連接到SCADA系統通信前置機進行數據通信。
2無線通信系統安全分析
公用無線通信網是為廣大市民服務的,根據用戶不同需求,制訂靈活多樣的通信應用方式,并結合通信低成本等原則設定的,因此,公用無線通信網的首要目標是盈利,其次才是通信可靠安全?,F在以應用最為廣泛的中國移動GPRS網絡,分析無線通信網絡存在的安全隱患。
2.1公網無線通信式
GPRS網絡支持無線方式的分組包交換功能,其永遠在線,快速傳輸、按流量計費的特點,很好的滿足了用戶在移動狀態下對數據業務的需求,其主要具備以下特點:實時性強、建設成本少、覆蓋范圍廣、系統的傳輸容量大、數據傳送效率高和穩定性好等。通常GPRS網絡具備一定的安全性,其采用兩個方面的防護措施:一是每個終端插有一張SIM卡(具備一定的加密認證功能)。二是在GGSN(GatewayGPRSSupportNode,網關GSN)和企業路由器之間建立GRE隧道(通用路由協議封裝)以保證網絡傳輸的安全性。
2.2無線通信網的風險分析
GPRS是基于IP模式的骨干傳輸網,現今的黑客都對基于TCP/IP的傳輸協議非常熟悉,因此GPRS網絡更加容易受到黑客攻擊。主要面臨的隱患分析如下:
1)黑客攻擊:主要是指試圖從外部網絡入侵GPRS系統的人,目的是竊取用戶信息或者破壞GPRS無線通信網絡,出賣信息來賺錢,也有的是特意顯示他們的入侵通信網絡的能力。
2)管理人員隱患:管理人員熟識網絡的設置和運行情況,對GPRS網絡的破壞能力很強,應對他們訪問內部網絡的權限要加以限制,避免管理人員對系統造成任何破壞。
3)服務提供商隱患:服務提供商提供通信網絡設備,并負責網絡的建設和調試工作,日常的軟件更新和維護如果缺乏監管,將對GPRS網絡造成嚴重的威脅,因此,必須加強對服務提供商的管理,采用足夠的安全防范措施。
4)合作者隱患:部分網絡應用合作商例如ISP,服務系統直接與GPRS網絡相連,直接深入到傳輸網絡的物理層,合作者掌握了很多網絡信息和用戶信息,如果他們將信息泄露給一些惡意第三方,將使GPRS網絡和用戶受到嚴重的安全威脅。
2.3公網無線通信網絡的安全漏洞
無線通信系統大部分采用數據終端單元DTU進行數據通信,DTU的功能是將串口數據流轉換成TCP/IP協議傳輸的數據流,工作原理如下:
1)數據上行傳輸:用戶終端設備串口上的數據通過DTU封裝成IP包,通過GPRS傳輸網絡平臺發送到傳輸服務數據中心,數據中心系統將IP包進行分包處理。
2)數據下行傳輸:數據中心系統向在線的DTU發送一個數據IP包,通過GPRS傳輸網絡平臺發送給DTU,DTU將封裝IP包數據還原處理,最終以串口數據流的形式發送給用戶設備。
由于DTU沒有采用網絡安全方面的身份認證和傳輸加密技術,存在一定的安全漏洞,特別是網絡傳輸時延較大時,往往生產很多重復數據包,出現數據堵塞和掉包現象,往往給黑客攻擊有機可乘,安全性比較脆弱。因此,公網GPRS的傳輸模式應用到電力調度的數據傳輸時存在重大的安全隱患,必須采取相應的安全防范措施。
3電力通信安全防護技術
3.1網絡隔離技術
面對新型網絡攻擊手段的出現和電力系統對安全防護的特殊需求,出現了網絡隔離技術。網絡隔離技術的目標是確保隔離有害的攻擊,在可信網絡之外和保證可信網絡內部信息不外泄的前提下,完成網間數據的安全交換。網絡隔離技術是在原有安全技術的基礎上發展起來的,它彌補了原有安全技術的不足,突出了自己的優勢。網絡隔離,主要是指把兩個或兩個以上可路由的網絡(如:TCP/IP)通過不可路由的協議(如:IPX/SPX、NetBEUI等)進行數據交換而達到隔離目的。由于其原理主要是采用了不同的協議所以通常也叫協議隔離(ProtocolIsolation),隔離概念是在為了保護高安全度網絡環境的情況下產生的。
3.2身份認證技術
身份認證是網絡系統和計算機驗證操作者身份是否符合條件的過程。計算機網絡系統構建了一個虛擬的網絡世界,用戶的身份信息是由一組設定的數據代替,計算機系統只能夠識別用戶的數字信息,并根據用戶數字身份的分類進行不同的操作授權。操作者是否該數字身份的合法擁有者,如何確保數字身份不被非法盜用,已經成為一個越來越重要的網絡安全問題。目前主要的身份認證方式主包括:戶名加密碼方式、USBKey認證方式、數字IC卡認證方式、動態口令方式、生物特征認證方式等等。近幾年發展起來的USBKey身份認證方式是一種便捷、安全的身份認證技術。USBKey內置了先進的智能卡芯片,可以存儲用戶的數字證書和密鑰,運用USBKey的內置的密碼算法實現用戶身份驗證,解決了易用性和安全性之間的難題。因此,電力無線傳輸可以采用USBKEY身份認證方式解決公網傳輸系統安全性的問題。
3.3傳輸加密技術
數據加密又稱密碼學,它是一門歷史悠久的技術,指通過加密算法和加密密鑰將明文轉變為密文,而解密則是通過解密算法和解密密鑰將密文恢復為明文。數據加密目前仍是計算機系統對信息進行保護的一種最可靠的辦法。它利用密碼技術對信息進行加密,實現信息隱蔽,從而起到保護信息的安全的作用。傳輸密碼是通信雙方按預先設定的規則進行數據交換的一種特殊的保密手段。密碼技術早期僅對文字信息進行處理,隨著通信網絡技術的不斷發展,目前已能對數據、語音、圖像等進行加密解密。各國政府、大型的企業使用的密碼編制及解密技術越來越復雜,具有高度的機密性。密碼技術體系的主要類型分為四種:
1)錯亂:根據固定的圖形和法則,改變文件原來的數碼位置,使其成為密文。
2)代替:使用固定的代替表,將文件原來的數碼位置進行規則替代,使其成為密文。
3)密本:使用預先編制的相應字母或數字組,代替對應的詞組或單詞,使文件成為密文。
4)加亂:使用預先設定的一串數碼序列作為亂數,按一定的規則插入原文件不同位置,結合成成密文。上述四種基本的密碼技術,經常被混合使用,從而編制出復雜程度相當高的實用密碼。
3.4權限受控技術
權限受控也稱為訪問控制,是按用戶身份及其所歸屬的某預定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。訪問控制通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。
1)訪問控制的功能主要有以下:防止非法的主體進入受保護的網絡資源;允許合法用戶訪問受保護的網絡資源;防止合法的用戶對受保護的網絡資源進行非授權的訪問。
2)訪問控制實現的策略:入網訪問控制;網絡權限限制;目錄級安全控制;屬性安全控制;網絡服務器安全控制;網絡監測和鎖定控制;網絡端口和節點的安全控制;防火墻控制。
3)訪問控制的類型包括:自主訪問控制和強制訪問控制。自主訪問控制,是指由用戶有權對自身所創建的訪問對象(文件、數據表等)進行訪問,并可將對這些對象的訪問權授予其他用戶和從授予權限的用戶收回其訪問權限。強制訪問控制,是指由系統(通過專門設置的系統安全員)對用戶所創建的對象進行統一的強制性控制,按照規定的規則決定哪些用戶可以對哪些對象進行什么樣操作系統類型的訪問,即使是創建者用戶,在創建一個對象后,也可能無權訪問該對象。
關鍵詞 計算機網絡;數據通信;故障
中圖分類號TN91 文獻標識碼A 文章編號 1674-6708(2012)73-0214-02
0 引言
隨著現代化信息技術的迅猛發展,計算機網絡的應用越來越普及,已經從最初的單機應用發展為跨部門、跨地區的計算機網絡以及不同部門及地區聯合工作的網絡通訊階段。在計算機網絡通信中普遍存在著一系列的問題,筆者在此將對此進行總結,并提出相應的解決對策。
1 計算機網絡通信內容及常見問題
隨著經濟的高速發展和城市規模的逐漸擴大,公共汽車、長途汽車、出租車等公共客運事業得到了迅猛地發展。但是,在公共交通工具上的犯罪案件卻時有發生,給社會帶來了很大危害,直接危及到城市客運事業的健康發展。 因此,本文提出了一種新型車載報警系統的解決方案。它是以ARM9微處理器作為核心芯片,結合嵌入式Linux操作系統,利用無線移動通信網絡GPRS/CDMA和Internet網絡進行通信,實現對移動目標的遠程圖像監控和實時數據傳輸。此系統充分利用了ARM9微處理器的高速處理能力,對監控圖像進行JPEG算法壓縮處理,使得在移動網絡GPRS/CDMA帶寬有限的情況下,能夠對遠程監控圖像實現高質量、實時地傳輸?;跓o線通信的網絡體系具有分布式和集中式兩種結構形式,自組織通信系統是前者的主要代表,如自愈式雷場系統。而基站移動通信系統則為后者的主要代表,如CDMA、GSM、蜂窩移動通信系統。
計算機網絡通信所涉及的內容極為寬泛,大致可以歸結為數據通信、網絡連接以及協議三部分。其中,數據通信的主要目的是通過高效且可靠的方式對信號進行傳輸,抓喲包括信號傳輸、傳輸媒體、接口、數據鏈路控制以及信號編碼等內容;網絡連接主要指將通信設備連接起來的技術及其體系結構,電纜、雙絞線以及光纖等均可以充當連接介質;通信協議主要關注的是協議體系結構及其分析,計算機網絡就是依照網絡協議來連接分散獨立的計算機。
在計算機網絡通信中普遍存在的問題大致可以歸結為技術故障以及通信安全問題兩大類:1)技術故障。網絡故障主要是硬件連接及軟件設置方面的問題。一般情況下,網絡故障主要表現為計算機無法進行網絡連接。比較常見的網絡診斷指令主要有兩個,對這兩個指令的綜合運用可以對常見故障作出診斷。在計算機安裝系統及TCP/IP協議、以寬帶或APSL為上網方式的情況下,有時候會因設置不當導致無法進行網絡連接;借助共享電話線ADSL上網,需要將IE選項連接打開,并確保設置正確的情況下才可以聯網。對于局域網來說,文件或打印機共享可以在一定程度上提升工作效率,但也會遇到無法共享及訪問的問題,若兩臺計算機是通過主機名實現互相訪問,需要對其是否處于同一工作組進行確認;2)網絡通信安全問題。網絡通信安全問題主要指信息的非法篡改、泄露、對網絡資源的非法使用以及非法信息滲透等。隨著信息時代的到來,互聯網的影響范圍已經廣泛深入到社會生活的方方面面,與此同時,網絡安全問題也逐漸引起了社會各界的普遍關注。由于計算機網絡信息系統具有開放性,這樣決定了其脆弱性以及易被攻擊性。計算機網絡信息系統既要確保開放性,同時又要保證其安全性。從互聯網角度分析,計算機網絡威脅及不安全因素主要來源有兩個,分別是網絡硬件及軟件,一方面有非法入侵、搭線竊聽、線路干擾、電磁泄露、病毒感染、信息截獲以及各種意外原因等;另一方面就是操作系統自身各種應用服務所存在的安全問題。導致上述計算機網絡通信安全問題的主要原因有:缺乏安全防范意識,計算機網絡及軟件技術發展水平有限、運行管理機制存在漏洞等。
2解決對策
為應對計算機網絡通信中普遍存在的上述問題,需要做好網絡系統監控工作,同時借助網絡服務器對用戶進行網絡資源訪問的情況進行詳細記錄,一旦發現非法訪問,要及時向網絡管理員發出提示。隨著計算機網絡技術的發展,要及時對新發現的網絡漏洞補丁進行更新。
2.1主機安全技術
主機安全技術主要內容包括以下幾方面:第一,進一步強化計算機網絡上結點計算機安全,即科學設置并及時更新系統防火墻規則;及時升級系統的漏洞補丁;通過計算機網絡通信安全宣傳,強化民眾對計算機網絡通信風險的防范意識等;第二,身份認證技術,通過驗證身份,可以最大限度的控制或避免非法用戶登陸給系統造成的破壞。在用戶對服務器中的信息進行訪問之前,要求其提供經過認證的賬戶、用戶名以及密碼,這種標識過程就是對用戶進行身份驗證的過程。
2.2防火墻技術
當前主要的防火墻技術包括應用網關、過濾技術以及服務等,與外部網絡相連接的包過濾路由器的作用在于對外網攻擊進行預防。非法入侵者要想對內網進行非法訪問,需要經過外部路由器以及堡壘主機。
2.3訪問控制技術
訪問控制技術主要是控制信息權限,未經合法授權的用戶將會被禁止對相關信息進行訪問,從而可以有效避免非法用戶對信息進行惡意的篡改及破壞。和對象相關聯的規則就是此處所談及的權限,其主要作用在于對可以獲取對象訪問權限的賬戶進行控制。
3結論
綜上所述,隨著現代化信息技術的不斷進步,計算機網絡通信技術取得長足發展,在很大程度上對信息產業的發展起到了促進作用。我們要充分的認識到,構建計算機網絡是一項復雜性的系統性工程,前期要進行充分論證,對現實需求進行客觀分析,同時還要對今后業務發展趨勢進行綜合考量,最大限度的確保計算機網絡的安全性、穩定性、靈活性以及延續性,從而為網絡資源得以充分有效利用提供便利。
參考文獻
[1]馬明成.淺析計算機網絡通訊存在的問題及其改進策略[J].電腦知識與技術,2010(23).
[2]閔功祥.無線網絡信號監測中計算機通訊的實現[J].電腦知識與技術,2011(23).
關鍵詞:艦船通信;固定密文長度;信息安全;加密控制
在現代海戰中,艦船通信的信息安全在海戰中起到非常重要的地位,甚至起到決定勝負的作用,所以保護信息安全傳輸而不泄露任何有價值的信息擺在突出的位置。又隨著大數據、人工智能、數據挖掘等技術的高速發展,當前對通信數據進行加密來保護數據本身,其中隱含的、尚未被發現的和有用的信息都有可能通過數據挖掘等技術泄露,一定程度上降低了數據通信安全[1]。為避免上述情況的發生,通過固定密文長度隱藏密文通信數據規律性信息等技術手段。本文介紹了幾種傳統數據加密技術,并在這些方案的比較下設計了一種基于固定密文加密通信方案,并介紹了該方案的原理及工作流程,對于保護艦船通信安全起到一定作用。
1數據通信加密技術的發展
針對艦船通信對信息的絕對安全保護,科技人員致力研究,目前,加密通信研究技術現狀包括:
1.1身份加密1984年由Shamir[2]提出,其核心回想是利用用戶的身份信息生成自己的公鑰,從而信息的發送方無須像傳統公鑰方案中訪問任何證書機構或可信第三方即可得到接收方的公鑰。
1.2廣播加密1994年,Fiat等人[3]提出廣播加密這一概念。廣播加密指的是通過廣播信道同時向多用戶發送消息的加密方案。方案允許廣播者設定授權用戶,并保證只有授權用戶可以利用私鑰完成對密文的解密,得到廣播消息,而非授權用戶則不能完成對密文的解密工作。
1.3屬性加密2005年由sahair提出屬性加密機制,基于屬性的加密方案可分為兩大類:密文策略屬性基加密(CP-ABE)和密鑰策略屬性基加密(ABE),基于屬性加密機制,又提出雙線性運算,分割策略等。
1.4內積加密內積加密方案中,用戶的私鑰和一個向量X相關,密文和一個向量Y相關,當X和Y之間內積為零(X·Y=0)時,用戶才能夠解密。以上工作研究較好地對通信信息進行加密,提高了通信的安全性,降低了解密的概率,提高了運行效率,但是都未把加密后的密文的模式、相關性、變化、反常等規律性信息隱藏作為重點考慮。本文提出一種基于數據補位和數據線性分割思想將數據處理成固定大小的數據塊,生成混淆數據索引向量,形成固定密文長度的加密方案,利用MD5消息摘要算法對數據進行加密。
2本文方案
2.1數據加密原理基于固定密文長度艦船通信加密,基本思想是通過對明文數據進行處理后隱藏密文之間的價值信息。
2.2方案描述本文方案基于固定密文長度的船舶通信加密控制方案,數據類型為整型或浮點型。算法方案包括以下步驟:系統建立算法:(1)發送服務器對某段n(n為正整數)個數據進行補位k,形成n+k固定數據M,其中n為明文數據、k為補位數據、M為固定長度密文。另,M的長度可以根據欺騙隱藏需求取值。(2)發送服務器隨機產生某段M的長度值。(3)發送服務器根據M產生對應k個補位數據存放。(4)發送服務器利用混沌序列加密算法對n+k數據進行隨機混淆。(5)發送服務器產生一個n+k維的不重復隨機索引向量V(向量元素0≤Vi≤n+k-1)。(6)將n+k維隨機索引向量V發送給服務器。(7)發送服務器建立大小為n+k的一維數組data[],用于隨機存放D數據。(8)發送服務器利用MD5消息摘要算法對索引向量進行加密。(9)接收服務器發送請求,要求獲得某段內的真實數據。(10)服務器驗證身份后接受請求,解密后,從文件中獲取相應某段內混淆后的數據結果n+k(m為正整數)個,存入大小為n+k的一維數組reciever[]中。(11)服務器從文件中獲取對應的數據索引n+k項,存入大小為n+k的一維數組vect_data[]中。(12)按照數據索引恢復按正解序列排列處理后的數據示數值,即生成一維數組true[]存放恢復順序后的數據示數值,true[i]=reciever[vect_data[i]]。
3安全性分析
3.1解密安全性分析本方案假設敵手截獲密文數據后多大概率解密出密文之間的模式、相關性、變化、反常等規律性信息,或是能否解密出規律信息的問題。在本方案中加入補位隱藏因子k、長度隱藏因子M、混沌隱藏因子d、存儲向量隱藏因子v,共同構成固定密文長度隱藏規律信息因子,所以,此方案在敵手截獲密文后,僅通過分析密文獲取規律性信息難度還是相當大的。那么解密概率為計算出明文的概率,即,計算得出解密概率:P(VDMK)=P(V)*P(D|V)*P(M|VD)*P(K|VDM)現假設敵手獲得1段數據,P(V)=1/v!、P(D|V)=1/d!、P(M|VD)=k/m!、P(K|VDM)=k/m,假如截獲1字節的數據,補位數據2位,概率計算為4/(8!*8!*8!*8),此概率值非常小,幾乎為零。假定固定長度的密文數據依據環境變化,截獲數據解密的概率依據上述算法將會進一步減少,并且很好隱藏了密文之間的相關性。所以依據上述隱藏因子及算法,截獲者想從混淆后數據中得到用戶的真實數據變化規律是不可能的。從而證明了算法的安全性。
3.2密文挖掘安全性分析
數據挖掘經常用分類、聚類、回歸分析、關聯規則、神經網絡、特征分析、偏差分析等進行數據挖掘。在上述密文無法破解的條件下,通過分析密文獲取價值信息是大大折扣的,因為本方案固定密文長度,規避了密文間的異常(下轉第126頁)信息、偏差信息、趨勢信息、離散信息、關聯信息、密度信息等。
4仿真實驗
為了證明該控制方案的有效性,需要進行驗證性實驗。本方案的隱藏保護數據分為兩部分。第一部分是服務器初始化數據和混淆數據的部分;第二部分主要是服務器完成恢復數據順序和真實數據數值的部分。實驗采用matlab數學軟件。驗證實驗采用輸入幾組不同長度數據,測試解密概率平均結果得到大大降低。
2011年前長沙學院通信工程專業數據通信類的核心課程為兩門:數據通信和路由交換技術,其中數據通信主要講述數據通信的原理性內容;路由交換技術則對其實踐應用進行講解,共112學時;經過5年的教學實踐發現這種方式既能讓學生打下厚實的理論基礎也能讓學生較好掌握相關的應用技能,很好地實現了人才培養目的。但學校從2012年起對培養方案的總課時進行壓縮,經討論筆者將這兩門課程壓縮成一門,取名為數據通信與網絡,共80學時。造成該課程內容多且繁雜,又不能因為縮減課時而降低教學質量,教學難度進一步加大:該選用哪本教材,理論與實踐如何協調,如何有效組織教學,就成為筆者考慮的重點。為此,筆者先對教材進行了甄選,通過對多個出版社的相關教材調查發現,傳統教材理論充足,實踐內容過少,或純實踐操作,無理論支撐;如果為本門課分別選實踐與理論兩本教材的話,又不能有效組織教學。通過對華為、中興、思科等企業進行調研,筆者發現有些企業的培訓教材能很好地滿足要求,經過對比筆者最后選擇了世界500強企業思科公司的面向本科院校開發的數據通信與網絡培訓教材作為筆者的上課教材。
然后,筆者按照數據通信與網絡的理論模型和就業市場對學生能力的需求(圖1),把本課程的知識體系結構分解為以下幾大部分:數據通信的基礎知識部分:主要由數據通信的原理、數據編碼與壓縮、差錯控制和交換機術的分類與原理幾部分組成;計算機網絡的基本原理部分:OSI和TCP/IP模型與各層的原理、通信安全與QoS這兩個部分組成;實踐應用能力部分:網絡設備的安裝配置、網絡故障的分析排除、網絡規劃與設計3部分。這三大部分不但把傳統的數據通信類課程的知識點都包括進去了,還著重加強了應用型的能力的培養。通過對課程內容進行精心規劃,對課程中關鍵性的內容和實踐點進行挑選,制訂考試大綱、教學大綱和教學日歷,既保證了課程的整體性和內在的邏輯聯系,又保證能在較短的時間內有效地進行教學管理,按質按量完成教學內容。從培養目標來講,也同時兼顧了就業和考研的需求,還將原來110個課時的教學縮減為80個課時,較好達到了教學改革的目的。實驗教學是課程的重要組成部分,沒有合理的實驗實訓內容的組織,應用型人才的培養就無從談起。以就業能力體系結構(圖1)為核心,結合本課程自身的知識體系結構,筆者將實踐分為三個層次。第一層次為原理型實驗,采用sniffer等軟件從互聯網上抓包對OSI/TCPIP協議進行認知;第二層次為針對關鍵知識點的獨立應用型實驗,以交換機、路由器和操作系統的單個協議或服務的安裝配置為主;第三層次單獨安排了2周的針對整個知識體系結構的數據通信與網絡課程設計,從網絡需求分析、物理拓撲結構設計、邏輯拓撲結構設計、網絡設備操作、故障排除與文檔編寫等方面對學生能力進行綜合性訓練。如圖2所示,這三個層次是遞進的,后一目標的實現是前一目標的拓展與提高。圍繞這三個層次,筆者共設計12個分解實驗,3個綜合性的課程設計。這12個實驗項目均為當前網絡技術領域較新穎、具有較高實用價值的實驗項目,具有一定的可操作性,根據這些實驗項目編寫專門的實驗指導用書,每個實驗項目都包含必做內容和選做內容,選做內容即為拓展內容。3個綜合性的課程設計題目,每個學生要選作其中一個;根據給出的具體參數不一樣,每個題目都可以變化出多個具體的項目,相互之間有很大的差異性,排除了學生間相互抄襲的可能,提高課程設計的效果。整個實踐過程所涉及的軟硬件設備,筆者都采用現網運行的設備或軟件,很好地實現了學校和企業之間的無縫對接就業。
二、開展校企合作,加強實踐教學
培養應用型人才的核心就是培養學生的實踐動手能力。要想真正做好實踐教學,最好的方法是和企業開展校企合作,從企業獲取實驗設備、教材、教學方法、工程案例等材料。企業是工程應用的直接實踐者,也是學生的最終去處,直接從企業獲取資料,采用相關的案例教學,才能真正實現應用型人才的培養。專業數據通信與網絡方向的校企合作主要體現在以下幾方面:
1.獲得企業設備捐贈數據通信類課程的技術發展較快,對高校數據網絡實驗室的設備檔次、性能和可操作性的要求就越來越高;而且應用型的數據通信現網設備價格昂貴,對于資金不是很充足的高校來講是不可能一步建設好這樣一個實驗室的。筆者實驗室的建設就經歷了三個階段:第一階段為自籌16萬資金購買設備,這對于一個班級的學生來講是遠遠不夠的;第二個階段是與思科公司進行校企聯合獲得該公司上百萬元的軟硬件捐贈;第三個階段為2012年獲得財政部的省部共建資金,進一步充實擴大實驗規模。經過這三個階段的建設,目前實驗室的設備不管是規模還是檔次,都已經達到上課的要求。而且筆者還專門做了3套路由交換設備用于學生課外進行遠程實驗,3套安全設備和兩套無線設備為某些學有余力的學生利用來進行課外自學。
2.采用企業的最新仿真軟件進行教學和實訓對于超過10個節點的課程設計來講,實驗室的設備再多,也不可能達到它的要求。很多企業都開發出了虛擬實驗的軟件用于進行大規模部署設備的仿真實驗,筆者從思科公司那里拿到了虛擬實驗軟件,采用虛擬+實際設備的方式進行課程設計階段中的邏輯拓撲結構設計、網絡設備配置,故障排除,全網性能測試驗證等階段的工作。學生拿到仿真軟件,利用自己的電腦隨時可以動手操作,提高了他們的參與度,取得了很好的教學效果。
3.從企業獲取先進的教學資料和完整的工程案例企業處在技術發展的最前沿,從企業獲取的資料往往是最新的,放入教學最能吸引學生,學生的知識結構基本與社會上正在用的一致,能取得最好教學和就業效果。數據通信與網絡課程的教學筆者分為課堂教學和課后教學兩個部分,課堂教學就是通常的實驗、理論教學和課程設計。工程案例經過一定的修改能夠很好地變成講課和課程設計的素材。課后教學筆者采用的是思科公司網絡技術學院課程,每個學期初給學生分配好賬號,組織好學習小組,并將學習計劃下發到每個學生。學生利用課后時間進行網上學習、作業、考試、虛擬實驗和遠程實驗,極大地提高了學習效果。
三、結束語
【關鍵詞】數據加密技術;計算機網絡通信安全;應用
引言:
利用計算機網絡進行數據通信與傳輸,時常會遇到資料信息被泄露的情況,從而導致人們承擔一定的安全風險。所以,如何確保計算機網絡通信安全,已經成為了網絡通信技術的研究重點。在眾多計算機網絡通信安全技術中,數據加密技術的應用范圍最廣。因此,還應加強數據加密技術的應用研究,從而為信息傳輸提供更多安全保障。
一、數據加密技術概述
在網絡通信中,數據加密需要發揮確保信息安全和私密的作用。由于信息的傳遞需要通過數據傳輸實現,所以通過使用固定算法和規律對明文數據進行處理,就能將明文轉化為密文,從而確保信息傳輸安全。而利用相對應的算法和規律對接收到的密文進行解讀,則能將密文轉化成明文,進而達到信息傳輸的目的。在網絡通信中,將明文和密文的轉換算法及規律稱之為“密鑰”,只有數據使用者才擁有,并且能夠通過輸入密鑰完成信息讀取,因此能夠避免私密數據被他人惡意破壞和竊取。就目前來看,常見的數據加密技術包含鏈路加密、節點加密和端到端加密。采用鏈路加密技術,能夠實現網絡通信鏈路的在線加密,能夠使整個鏈路數據以密文形式存在。所以,在網絡通信中采取鏈路加密技術能夠為網絡安全傳輸提供保障,但是也會導致網絡性能承受過多負擔。采用節點加密技術,就是在節點完成鏈路加密。在節點位置,數據不能以明文形式存在,但路由信息和報頭信息則能以明文形式傳輸[1]。采用端到端加密技術,則是從數據傳輸出發點到接收點進行數據加密。采取該種加密方法,數據不會因某節點遭到損壞而無法正常傳輸,因此對設備沒有過多的同步性要求。但是,采用端到端加密技術,數據信息出發點和接收點無法得到掩蓋,因此仍然有遭遇網絡攻擊的風險。
二、數據加密技術在計算機網絡通信安全中的應用
在計算機網絡通信安全中應用數據加密技術,還要根據不同加密需求和不同加密技術的優勢完成適合的加密技術選用。1、在網絡數據庫加密中的應用。目前,數據加密技術被應用在網絡數據管理系統平臺上。這些平臺多為 C1 和 C2安全級別的平臺,使用公共信道進行數據傳輸和存儲,所以數據信道較為脆弱,容易被其他類型設備完成數據信息的竊取。為確保系統數據安全,需要采用設定口令和訪問權限的方式進行數據加密,從而實現數據的安全管理。用戶在登錄平臺時,則要根據口令進行密碼輸入,才能進行數據的獲取。2、在軟件加密中的應用。在數據加密的過程中,如果出現殺毒軟件或反病毒軟件感染病毒的情況,就無法利用軟件完成數字簽名或程序的檢查,進而導致數據傳輸受到影響。所以在軟件加密中應用數據加密技術,還要做好系統檢查和加密文件的檢查,確認二者是否感染病毒[2]。但是,由于檢查文件仍然需要完成保密處理,因此還要使用數據加密技術完成反病毒軟件或病毒軟件的處理。3、在電子商務中的應用。隨著互聯網的快速發展,電子商務技術也得到了廣泛應用。而在利用電子商務平臺進行數據傳輸時,將涉及較多的商業信息和利益,所以還要利用數據加密技術完成電子商務軟件的加密處理,從而為平臺用戶個人信息提供安全保障。所以在登錄電子商務平臺時,用戶需要完成身份驗證,以獲得經濟財產安全保護力度的提高。除此以外,電子商務平臺也要進行登錄密碼的設置,并且要求用戶在購買商品時輸入支付密碼。在為個人資料提供保護時,則要完成多重標準的設置。目前,無論是電子購物平臺還是網上銀行,用戶都需要在登錄平臺時輸入密碼,從而保護個人信息,進而避免因個人信息資料泄露而出現經濟損失。4、在局域網通信中的應用。在許多公司和企業內部,都設置有局域網進行內部通信,如利用局域網開展會議或完成資料的存儲。想要避免企業的信息被泄露,則要在局域網通信中應用數據加密技術進行數據信息保護。在用戶發送數據的過程中,企業需要使用具有加密功能的路由器完成數據信息自動保存和加密,然后進行加密文件的傳輸。在路由器完成信息接收后,則能完成自動解密,從而為內部人員使用文件提供便利,并避免重要文件資料泄露。因此在局域網通信中使用數據加密技術,能夠使數據傳輸的安全性得到保證,繼而使企業的經濟利益得到提高。
三、結論
通過分析可以發現,在網絡通信中應用數據加密技術,能夠確保數據在傳輸和存儲的安全性、保密性和完整性,從而為系統通信提供安全防御保障。所以在現代網絡建設的過程中,需要使用加密技術為網絡的健康有序發展提供保障。
參考文獻
[1] 王蕾 , 孫紅江 , 趙靜 .數據加密技術在計算機網絡安全領域中的應用 [J].通信電源技術,2013,02:54-55+84.