信息安全概论网络安全的发展课程设计.doc

题 目 网络安全的发展一、引言研究背景 当前流行的各大邮件客户端软件的除了最主要的收发信件之外，功能越来越复杂，但是人们平常真正用到的功能很少,很多功能尤其对于那些计算机知识相对缺乏的人来说，更加显得太过于华丽而不太实用。有鉴于此，在了解RFC底层协议的基础上，我们开发了这个各种功能相对简单实用的邮件客户端程序，简化了很多不必要的功能。开发环境及运行环境 开发环境Intel Core Duo T2050，2G内存，320G硬盘；Microsoft® Windows 2003 企业版；IIS6.0(SMTP)+POP3服务器，IP地址为192.168.1.26；Macromedia Dreamweaver 8；Apache+PHP。运行环境Intel® Pentium® 2及以上处理器，32M以上内存，4G以上硬盘；Microsoft® Windows XP/NT操作系统；800*600或以上的屏幕分辨率；IE6.0或者其他浏览器。二、安全需求系统可能受到的安全攻击无意威胁：健身房管理系统可能受到的无意威胁有软、硬件的失常，管理不善造成的信息丢失，安全设置不当而留下的安全漏洞，信息资源共享不当而被非法用户访问等。故意威胁：故意威胁也就是“人为攻击”，常见的攻击行为有：通过端口扫描来判断目标计算机哪些TCP或UDP端口是开放的；SYN和FIN同时设置，操作系统在收到这样的报文后处理方式也不同，攻击者利用这个特征来判断目标主机的操作系统类型，进行进一步的攻击；IP地址欺骗；路由协议攻击等。人为攻击：社会工程、盗窃行为 物理攻击 数据攻击：信息获取、非法获取数据、篡改数据 身份冒充： IP欺骗、会话重放、会话劫持 非法使用：利用系统、网络的漏洞 拒绝服务网络安全隐患的分析 传统的安全防护方法是：对网络进行风险分析，制订相应的安全策略，采取一种或多种安全技术作为防护措施。这种方案要取得成功主要依赖于系统正确的设置和完善的防御手段的建立，并且在很大程度上是针对固定的、静态的威胁和环境弱点。其忽略了因特网安全的重要特征，即因特网安全没有标准的过程和方法。新的安全问题的出现需要新的安全技术和手段来解决，因此，安全是一个动态的、不断完善的过程。 企业网络安全可以从以下几个方面来分析：物理网络安全、平台网络安全、系统网络安全、应用网络安全、管理网络安全等方面。 物理网络安全风险 物理网络安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故，电源故障、人为操作失误或错误，设备被盗、被毁，电磁干扰、线路截获等安全隐患；物理网络安全是整个网络系统安全的前提。 平台网络的安全风险 平台网络的安全涉及到基于ISO/OSI模型三层路由平台的安全，包括网络拓扑结构、网络路由状况及网络环境等因素；企业网内公开服务器面临的威胁、网络结构和路由状况面临的困扰是问题的主要方面。 公开服务器是信息发布平台，由于承担了为外界信息服务的责任，因此极易成为网络黑客攻击的目标；伴随企业局域网与外网连接多样性的存在，安全、策略的路由显得愈加重要。 系统网络的安全风险 系统网络安全是建立在平台网络安全基础上，涉及到网络操作系统及网络资源基础应用的安全体系。操作系统的安全设置、操作和访问的权限、共享资源的合理配置等成为主要因素。 应用网络的安全风险 应用网络系统安全具有明显的个体性和动态性，针对不同的应用环境和不断变化发展应用需求，应用网络安全的内涵在不断的变化和发展之中。其安全性涉及到信息、数据的安全性。 管理网络的安全风险 管理网络安全更多的涉及到人的因素，管理是网络中安全最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险；网络系统的实时检测、监控、报告与预警，是管理网络安全的另一方面。 通用网关接口（CGI）漏洞 有一类风险涉及通用网关接口（CGI）脚本。CGI脚本程序是搜索引擎通过超链接查找特定信息的基础，同时也使得通过修改CGI脚本执行非法任务成为可能，这就是问题之所在。 除此之外，恶意代码、网络病毒也成为网络不安全的隐患。三、系统分析与设计 1、系统原理：1. RC4加密算法原理: RC4加密算法是大名鼎鼎的RSA三人组中的头号人物Ron Rivest在1987年设计的密钥长度可变的流加密算法簇。之所以称其为簇，是由于其核心部分的S-box长度可为任意，但一般为256字节。该算法的速度可以达到DES加密的10倍左右。 RC4算法的原理很简单，包括初始化算法和伪随机子密码生成算法两大部分。假设S-box长度和密钥长度均为为n。先来看看算法的初始化部分（用类C伪代码表示）： for (i=0; i<n; i+) s=i; j=0; for (i=0; i<n; i+) j=(j+s+k)%256; swap(s, sj); 在初始化的过程中，密钥的主要功能是将S-box搅乱，i确保S-box的每个元素都得到处理，j保证S-box的搅乱是随机的。而不同的S-box在经过伪随机子密码生成算法的处理后可以得到不同的子密钥序列，并且，该序列是随机的： i=j=0; while (明文未结束) +i%=n; j=(j+s)%n; swap(s, sj); sub_k=s(s+sj)%n); 得到的子密码sub_k用以和明文进行xor运算，得到密文，解密过程也完全相同。 由于RC4算法加密是采用的xor，所以，一旦子密钥序列出现了重复，密文就有可能被破解。关于如何破解xor加密，请参看Bruce Schneier的Applied Cryptography一书的1.4节Simple XOR，在此我就不细说了。那么，RC4算法生成的子密钥序列是否会出现重复呢？经过我的测试，存在部分弱密钥，使得子密钥序列在不到100万字节内就发生了完全的重复，如果是部分重复，则可能在不到10万字节内就能发生重复，因此，推荐在使用RC4算法时，必须对加密密钥进行测试，判断其是否为弱密钥。 但在2001年就有以色列科学家指出RC4加密算法存在着漏洞，这可能对无线通信网络的安全构成威胁。 以色列魏茨曼研究所和美国思科公司的研究者发现，在使用“有线等效保密规则”（WEP）的无线网络中，在特定情况下，人们可以逆转RC4算法的加密过程，获取密钥，从而将己加密的信息解密。实现这一过程并不复杂，只需要使用一台个人电脑对加密的数据进行分析，经过几个小时的时间就可以破译出信息的全部内容。 专家说，这并不表示所有使用RC4算法的软件都容易泄密，但它意味着RC4算法并不像人们原先认为的那样安全。这一发现可能促使人们重新设计无线通信网络，并且使用新的加密算法。2、系统功能分析：图1：系统功能图图2：系统流程图3、系统详细设计：字符加解密数据流图：一层数据流图二层数据流图4、系统实现: 设计的核心部分仍是算法的核心部分，根据des算法的原理，建立相关的变量，和函数，完成对8位字符的加密，解密。而对于文件的加密与解密只需要在文件的读取时，按加密的位数读取然后调用算法，加密后保存到一个文件，一直到文件的末尾，从而实现文件的加密。而解密是加密的逆过程，只要将密钥按反顺序使用即可，算法一致，调用的函数也都一样。总结在这次的设计学习中，不仅巩固了以前学校学到的很多知识，还学到了许多新的知识。对自己所学的专业已经有了较深的认识。在设计方案中，吸取了大量书本以及网络上的知识，在大大扩展了自己知识面的同时，还认识了自己学习的专业在社会上的应用，初次把大量的知识应用到实践中去，发现了许许多多的问题，体会到了书本上学不到的东西，从实践中成长许多。真正认识到单单的理论学习是不够的，只有理论结合实践，遇到问题及时解决，吸取大量的实践经验，才对自己有莫大的帮助。计算机网络是一门很有用的学科。通过此次的设计，迫使我对网络安全方面有了更深层次的了解，设计一个全方位的安全方案是非常不容易的，涉及的方面也很多，要考虑到的东西方方面面，还需要认识到各种的配合使用与兼容性。但由于增加了自己对这方面的知识，对网络的安全方面更感兴趣了，也坚信它未来的优势，安全无止境！参考文献1 梁亚声等.计算机网络安全教程.第2版.北京：机械工业出版社，20082 Willian Stallings著，孟庆树，王丽娜等译.密码编码学与网络安全.北京：电子工业出版社，20093 刘文涛.网络安全编程技术与实例.北京：机械工业出版社20084 Michael Welschenbach编著，赵振江，连国卿等译.编码密码学加密方法的C与C+实现，电子工业出版社，2003.65 施仁，刘文江，郑辑光.自动化仪表与过程控制.第3版.北京：电子工业出版社6 廖效果，朱启逑.数字控制机床.武汉：华中科技大学出版社，2003