楊迎

(北京信息職業(yè)技術(shù)學(xué)院,北京 100018)

0 引言

TCP/IP協(xié)議作為時(shí)下最主流通訊協(xié)議的集合,能夠?qū)崿F(xiàn)高性能的網(wǎng)絡(luò)數(shù)據(jù)傳輸。但由于網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的頻繁發(fā)生,為TCP/IP協(xié)議執(zhí)行提出了更高的挑戰(zhàn)。在網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的干擾下,很容易導(dǎo)致TCP/IP協(xié)議指令中數(shù)據(jù)傳輸控制失效,進(jìn)而威脅網(wǎng)絡(luò)安全[1]。因此,針對(duì)TCP/IP協(xié)議執(zhí)行策略的分析是勢(shì)在必行的,也是保證TCP/IP協(xié)議安全運(yùn)行的主要途徑。在我國(guó),針對(duì)TCP/IP協(xié)議執(zhí)行策略分析中,盡管相關(guān)文獻(xiàn)并不少見,但主要是針對(duì)正常情況下的TCP/IP協(xié)議執(zhí)行策略分析,未結(jié)合網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為展開詳細(xì)分析,導(dǎo)致研究普遍存在局限性[2]。為彌補(bǔ)以往研究中,針對(duì)網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的研究空白,基于此,本文提出結(jié)合網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的TCP/IP協(xié)議執(zhí)行策略分析, 致力于通過結(jié)合網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為, 保證TCP/IP協(xié)議執(zhí)行策略能夠在網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的干擾下正常傳輸,從根本上提高TCP/IP協(xié)議執(zhí)行策略的科學(xué)性。

1 TCP/IP協(xié)議執(zhí)行及其缺陷分析

由于在網(wǎng)絡(luò)環(huán)境當(dāng)中TCP/IP協(xié)議在應(yīng)用的過程中針對(duì)性不強(qiáng),因此運(yùn)行范圍更加廣泛,但同時(shí)其自身的安全問題成為最大缺陷, 大多數(shù)的網(wǎng)絡(luò)攻擊行為均來自于TCP/IP協(xié)議。因此為探究TCP/IP協(xié)議執(zhí)行策略,首先要充分了解TCP/IP協(xié)議,并對(duì)其缺陷問題進(jìn)行全面分析。

1.1 TCP/IP協(xié)議執(zhí)行

通過T C P/I P 協(xié)議的執(zhí)行,可將不同軟硬件結(jié)構(gòu)進(jìn)行通訊和連接。TC P/I P協(xié)議執(zhí)行主要涉及到網(wǎng)絡(luò)結(jié)構(gòu)當(dāng)中的四個(gè)層次部分:(1)應(yīng)用層,例如W W W、E M AL L、FTP等;(2)傳輸層,例如TCP、UDP等;(3)網(wǎng)絡(luò)層,例如IP;(4)數(shù)據(jù)鏈路層,例如ARP、RARP、Haedware等[3]。其中數(shù)據(jù)鏈路層主要執(zhí)行的過程中通常還會(huì)涉及到以太網(wǎng)、網(wǎng)卡等相關(guān)軟硬件。同時(shí),數(shù)據(jù)鏈路層也是影響網(wǎng)絡(luò)運(yùn)行環(huán)境最關(guān)鍵的結(jié)構(gòu),因此本文主要針對(duì)下述開展TCP/IP協(xié)議執(zhí)行策略分析研究,主要針對(duì)網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為。

1.2 缺陷分析

當(dāng)前TCP/IP協(xié)議已經(jīng)得到了廣泛的應(yīng)用,但在應(yīng)用過程中仍然存在致命的安全漏洞問題,通過對(duì)當(dāng)前網(wǎng)絡(luò)運(yùn)行環(huán)境進(jìn)行分析,得出引發(fā)安全漏洞問題的最主要因素包括:主機(jī)過于依賴傳統(tǒng)IP地址認(rèn)證;缺少具有針對(duì)性的網(wǎng)絡(luò)控制機(jī)制以及協(xié)議等。

由于TCP/IP協(xié)議自身存在安全隱患,因此即使通過正確的方式實(shí)現(xiàn)對(duì)其合理應(yīng)用,也會(huì)由于TCP/IP網(wǎng)絡(luò)原因?qū)е聰?shù)據(jù)鏈路層受到嚴(yán)重攻擊[4]。而當(dāng)攻擊行為發(fā)生在數(shù)據(jù)鏈路層受時(shí),則會(huì)相應(yīng)的產(chǎn)生序號(hào)欺騙、路由攻擊、源地址欺騙以及授權(quán)欺騙等一系列行為產(chǎn)生。針對(duì)當(dāng)前TCP/IP協(xié)議在執(zhí)行過程中存在的缺陷問題,分析其產(chǎn)生原因主要包括:首先在協(xié)議執(zhí)行的過程中,過多依賴于IP地址的認(rèn)證方式;序列號(hào)當(dāng)中存在大量入侵網(wǎng)絡(luò)層數(shù)據(jù)鏈路的行為;現(xiàn)行執(zhí)行策略在實(shí)際應(yīng)用過程中存在危險(xiǎn)性,并且容易受到非法入侵者的監(jiān)聽。同時(shí),非法入侵者更容易通過更改IP地址的方式,使攻擊更難以被辨別并且更難以被解決。

圖1 認(rèn)證信息發(fā)生器、回復(fù)器、驗(yàn)證器運(yùn)行流程圖Fig.1 Operation flow chart of authentication information generator, replier and verifier

2 基于網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的TCP/IP協(xié)議執(zhí)行

2.1 協(xié)商TCP/IP協(xié)議隨機(jī)序列建立網(wǎng)絡(luò)通信信道

通常情況下,網(wǎng)絡(luò)協(xié)議當(dāng)中采用I P 地址作為識(shí)別的主要標(biāo)志,在實(shí)際應(yīng)用中容易被非法入侵者截獲并修改。因此針對(duì)這一問題,對(duì)T C P/I P 協(xié)議隨機(jī)序列進(jìn)行協(xié)商處理,從而建立更加安全的網(wǎng)絡(luò)通信信道[5]。在構(gòu)建過程中,保證客戶機(jī)與服務(wù)器的相互連接,并在執(zhí)行對(duì)信息的傳輸或?qū)ζ渌?qǐng)求的認(rèn)證時(shí),不直接完成傳遞。

首先,通過認(rèn)證信息發(fā)生器、回復(fù)器以及驗(yàn)證器進(jìn)行計(jì)算,對(duì)其進(jìn)行認(rèn)證,在確保對(duì)話雙方均不被替代或欺騙的條件下,完成傳遞。圖1為認(rèn)證信息發(fā)生器、回復(fù)器以及驗(yàn)證器運(yùn)行流程示意圖。

其次,通過認(rèn)證鑰匙扣組件和認(rèn)證鎖組件協(xié)商對(duì)稱加密算法,防止受到非法入侵者攻擊行為影響,利用序列生成器,在網(wǎng)絡(luò)環(huán)境當(dāng)中構(gòu)建新的通信信道傳輸環(huán)境[6]。當(dāng)完成對(duì)安全信道的建立后,此時(shí)正式開始雙方之間的消息傳遞。

2.2 基于網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的安全策略執(zhí)行

完成對(duì)網(wǎng)絡(luò)通信信道建立后,結(jié)合網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為執(zhí)行TCP/IP協(xié)議安全策略。對(duì)網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的威脅程度進(jìn)行分析,按照如下公式計(jì)算攻擊行為的威脅權(quán)值:

公式(1)中, m 表示為網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的威脅指標(biāo)賦值; j 表示為具體攻擊行為攻擊面數(shù)量; aij表示為網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為完整性威脅度量值; τ 表示為攻擊行為矢量; b 表示為保密性威脅權(quán)值。

完成對(duì)攻擊行為威脅權(quán)值獲取后,結(jié)合不可預(yù)知的序列號(hào)安全策略,并利用序列生成器設(shè)置多個(gè)算法接口,并提供多個(gè)隨機(jī)序列算法,在每次通信過程中,建立全新的安全信道,并選擇對(duì)應(yīng)的算法[7]。為方便擴(kuò)展安全機(jī)制以及提高多樣化網(wǎng)絡(luò)控制機(jī)制的合理應(yīng)用,在網(wǎng)絡(luò)層數(shù)據(jù)鏈路層當(dāng)中提供服務(wù)策略定制接口,并配置相應(yīng)的安全信道,從而達(dá)到多樣化的安全機(jī)制。

3 實(shí)驗(yàn)論證分析

為進(jìn)一步驗(yàn)證本文提出的基于網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的TCP/IP協(xié)議執(zhí)行策略的實(shí)際應(yīng)用效果,并證明其可行性,采用傳統(tǒng)執(zhí)行策略與其進(jìn)行對(duì)比實(shí)驗(yàn),將兩種執(zhí)行策略分別引入到網(wǎng)絡(luò)通信傳輸環(huán)境當(dāng)中,并引入網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為,驗(yàn)證兩種執(zhí)行策略的應(yīng)用效果。在實(shí)驗(yàn)過程中,網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為產(chǎn)生的方式由正常的公網(wǎng)訪問流量疊加內(nèi)部非法入侵者A 和入侵者B。利用完成通信的兩個(gè)系統(tǒng)狀態(tài)變化,反應(yīng)執(zhí)行策略效果進(jìn)行檢測(cè)。完成實(shí)驗(yàn)后,將實(shí)驗(yàn)結(jié)果進(jìn)行記錄,并繪制成如表1 所示的實(shí)驗(yàn)結(jié)果對(duì)比表。

表1 兩種執(zhí)行策略實(shí)驗(yàn)結(jié)果對(duì)比表Tab.1 Comparison of experimental results of two execution strategies

根據(jù)表1中的數(shù)據(jù)可以看出,在針對(duì)兩個(gè)不同的非法入侵者完成對(duì)其網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的防護(hù)后,本文執(zhí)行策略數(shù)據(jù)泄露量明顯少于傳統(tǒng)執(zhí)行策略。因此,通過對(duì)比實(shí)驗(yàn)證明,本文提出的基于網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的TCP/IP協(xié)議執(zhí)行策略在實(shí)際應(yīng)用中能夠保證對(duì)通信信道中數(shù)據(jù)泄漏的防護(hù),減少用戶隱私信息泄密問題的發(fā)生,從而保證更高質(zhì)量的信息傳輸環(huán)境。

4 結(jié)語

當(dāng)前網(wǎng)絡(luò)安全問題日益突出,通過本文對(duì)基于網(wǎng)絡(luò)層數(shù)據(jù)鏈路攻擊行為的TCP/IP協(xié)議執(zhí)行策略研究,為信息傳輸提供全新的安全保護(hù)思路。在日后的研究中還將結(jié)合其他網(wǎng)絡(luò)安全技術(shù),例如防火墻、訪問控制等,建立更加安全、穩(wěn)定的網(wǎng)絡(luò)運(yùn)行環(huán)境,從而使計(jì)算機(jī)網(wǎng)絡(luò)得到更加廣泛的應(yīng)用。