序言：寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁，我們?yōu)槟x了1篇的談?dòng)?jì)算機(jī)網(wǎng)絡(luò)應(yīng)用層的安全技術(shù)樣本，期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)，請(qǐng)盡情閱讀。

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)設(shè)備的增加，各種安全問題也越來越嚴(yán)重，可以說只要有網(wǎng)絡(luò)的地方，就存在安全隱患。雖然網(wǎng)絡(luò)技術(shù)本身有一定危險(xiǎn)抵御能力，但這些只在底層協(xié)議上進(jìn)行簡(jiǎn)單的防護(hù)，比如確認(rèn)機(jī)制，這些安全機(jī)制根本無法滿足當(dāng)下的網(wǎng)絡(luò)安全需要。由于眾多計(jì)算機(jī)應(yīng)用程序的使用，應(yīng)用層安全問題難以避免，在傳統(tǒng)的基于網(wǎng)絡(luò)層的網(wǎng)關(guān)和防火墻技術(shù)無法應(yīng)對(duì)應(yīng)用層的計(jì)算機(jī)病毒和系統(tǒng)漏洞的缺陷問題，這給網(wǎng)絡(luò)安全帶來巨大的壓力，因此必須從應(yīng)用層角度加以嚴(yán)密的安全防護(hù)。本文基于對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的理解，從網(wǎng)絡(luò)參考模型角度出發(fā)，分析了網(wǎng)絡(luò)各層技術(shù)和對(duì)應(yīng)的安全防護(hù)措施，并重點(diǎn)針對(duì)應(yīng)用層存在的典型安全問題，分析對(duì)應(yīng)的安全技術(shù)，為進(jìn)一步深入學(xué)習(xí)掌握計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)提供參考。

2網(wǎng)絡(luò)安全問題

2.1網(wǎng)絡(luò)參考模型

一般意義上講的網(wǎng)絡(luò)參考模型是指OSI（Open System In-terconnection）參考模型，根據(jù)ISO/OSI的定義，網(wǎng)絡(luò)參考模型分為7層。

（1）物理層（Physical Layer）是七層OSI模型中的第一層，為數(shù)據(jù)傳輸提供必需的物理介質(zhì)和媒介，為數(shù)據(jù)傳輸提供可行可靠的物理基礎(chǔ)，在需要通信的兩端計(jì)算機(jī)系統(tǒng)之間建立一條通路用于傳遞比特流。

（2）數(shù)據(jù)鏈路層（Data Link Layer）是七層OSI模型中的第二層，其最基本的功能為糾正物理層可能出錯(cuò)的物理連接，將其改造成邏輯上無差錯(cuò)的數(shù)據(jù)鏈路，并將比特流組合，以幀為單位進(jìn)行數(shù)據(jù)傳送，以便于修正發(fā)生傳輸錯(cuò)誤的數(shù)據(jù)。

（3）網(wǎng)絡(luò)層（Network Layer）是七層OSI模型的第三層，負(fù)責(zé)管理網(wǎng)絡(luò)中的數(shù)據(jù)通信，以實(shí)現(xiàn)兩端計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)傳送，具體而講，其功能主要為尋找傳輸路徑，建立連接。

（4）傳輸層（Transport Layer）是七層OSI模型的第四層，負(fù)責(zé)總體的數(shù)據(jù)傳輸以及控制，調(diào)整全球各種具有差異的通信子網(wǎng)之間在吞吐量、傳輸速率、延遲等方面的差異，為會(huì)話層提供可供使用的性能恒定的接口，為會(huì)話層提供可靠而無誤的數(shù)據(jù)傳輸。

（5）會(huì)話層（Session Layer）是七層OSI模型的第五層，是建立在傳輸層的基礎(chǔ)之上，滿足保證通信互聯(lián)穩(wěn)定無差錯(cuò)的服務(wù)要求，主要功能為利用大量的服務(wù)單元組合起來使通信過程中的數(shù)據(jù)流同步。

（6）表示層（Presentation Layer）是七層OSI模型的第六層，主要作用是轉(zhuǎn)換不同計(jì)算機(jī)體系使用的數(shù)據(jù)表示法，來為不同的計(jì)算機(jī)體系提供可以通信的公共語言。

（7）應(yīng)用層（Application layer）是七層OSI模型的第七層，應(yīng)用層直接和應(yīng)用程序接口并提供常見的網(wǎng)絡(luò)應(yīng)用服務(wù)，應(yīng)用層也向表示層發(fā)出請(qǐng)求。

2.2安全風(fēng)險(xiǎn)分析

從2.1的分析可知，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，會(huì)按照七層邏輯關(guān)系進(jìn)行特定設(shè)計(jì)，根據(jù)每一層存在的安全風(fēng)險(xiǎn)，也都有特定的安全技術(shù)。

（1）物理層：由于物理傳輸可以分為有線傳輸和無線傳輸，有線介質(zhì)傳輸相對(duì)比較封閉，安全性有保證，保證介質(zhì)的安全即可。相比有線傳輸，無線傳輸更加復(fù)雜，數(shù)據(jù)極其容易被竊聽，目前采用的技術(shù)通常是在信道加密上進(jìn)行處理，防止信息被竊聽。

（2）數(shù)據(jù)鏈路層：是整個(gè)網(wǎng)絡(luò)層次中安全最為薄弱的一層，如MAC地址攻擊、ARP地址欺騙等問題，是一般的防病毒軟件和防火墻所無法抵御的。MAC地址一旦被攻擊，相應(yīng)端口的數(shù)據(jù)就會(huì)被發(fā)送出去，進(jìn)而被攻擊者成功監(jiān)聽。目前主要采用動(dòng)態(tài)地址監(jiān)視等措施進(jìn)行加以防護(hù)。

（3）網(wǎng)絡(luò)層：由于TCP/IP協(xié)議簡(jiǎn)單的信任機(jī)制，導(dǎo)致網(wǎng)絡(luò)層存在著嚴(yán)重的IP欺騙的問題，數(shù)據(jù)中心有被IP攻擊的危險(xiǎn)，IP欺騙已經(jīng)成為黑客常用的攻擊方式，即偽造IP地址以便冒充其他系統(tǒng)與另一計(jì)算機(jī)系統(tǒng)通信。

（4）傳輸層：傳輸層主要存在的問題為在數(shù)據(jù)傳輸過程中，信息被中途截下篡改或被監(jiān)聽的安全隱患。應(yīng)對(duì)其可能的被竊聽的危險(xiǎn)，目前主要通過SSL記錄及握手協(xié)議和TLS協(xié)議保證通信穩(wěn)定和安全。

（5）會(huì)話層：由于會(huì)話層傳輸信息的特點(diǎn)，其存在著危險(xiǎn)的會(huì)話劫持問題，在攻擊者試圖接管計(jì)算機(jī)之間建立的TCP會(huì)話時(shí)便會(huì)常常發(fā)生會(huì)話劫持的問題，攻擊者會(huì)尋找想要進(jìn)攻的系統(tǒng)已創(chuàng)立的會(huì)話，猜出TCP握手第一階段生成的32位序列號(hào)，迫使用戶掉線，再使服務(wù)器相信攻擊者是合法客戶端，即接管了會(huì)話，繼而攻擊者就可以利用劫持的賬號(hào)的某些特權(quán)以及訪問權(quán)限去執(zhí)行一些命令。

（6）表示層：表示層兼顧數(shù)據(jù)的保密功能，防止數(shù)據(jù)篡改、茂名搭載或利用網(wǎng)絡(luò)軟硬件功能，通常采用加密技術(shù)防止數(shù)據(jù)泄露，這種加密技術(shù)可以在物理層、傳輸層和表示層進(jìn)行。對(duì)于應(yīng)用層的安全問題及安全技術(shù)，本文將于后續(xù)進(jìn)行重點(diǎn)闡述。

3應(yīng)用層安全技術(shù)

通常所說的應(yīng)用程序就是在應(yīng)用層工作的，主要用于相互通信的一些軟件與程序，典型的有Web瀏覽器、電子郵件、ftp等，正如上文所述的，由于應(yīng)用層程序復(fù)雜，安全性問題也十分突出，本文主要針對(duì)幾個(gè)典型的應(yīng)用層問題進(jìn)行安全技術(shù)分析。

3.1Web安全技術(shù)

隨著Web2.0等網(wǎng)絡(luò)應(yīng)用的發(fā)展，越來越多的互聯(lián)網(wǎng)應(yīng)用程序基于Web環(huán)境建立起來。Web相關(guān)應(yīng)用的飛速發(fā)展當(dāng)然也引起了黑客們的關(guān)注，而由于TCP/IP協(xié)議設(shè)計(jì)過程中對(duì)安全問題的疏忽，網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)幾乎沒有協(xié)議上基礎(chǔ)的安全防護(hù)能力，這導(dǎo)致Web服務(wù)器極容易遭到攻擊。而由于Web業(yè)務(wù)極廣泛的覆蓋面，攻擊方式也可以說是非常多樣化的，例如SQL注入，針對(duì)Webserver的漏洞進(jìn)行攻擊，緩沖區(qū)溢出等種種方式。目前對(duì)于SQL注入攻擊的防護(hù)還顯得非常被動(dòng)，主要依靠加密用戶輸入使攻擊者注入信息失效，用專業(yè)的漏洞掃描軟件查找漏洞等方式。另外，由于Web搭建時(shí)其本身存在一些漏洞，也可能被攻擊者利用。這也是最常見的攻擊方式，本質(zhì)上講SQL注入也是一種漏洞攻擊。漏洞攻擊更加復(fù)雜多樣，典型方式例如腳本攻擊，即特洛伊木馬型的攻擊，依靠惡意的URL指向的網(wǎng)頁中嵌入的惡意腳本對(duì)被攻擊者的計(jì)算機(jī)進(jìn)行盜取信息。現(xiàn)實(shí)中，Web應(yīng)用中存在的漏洞總是不可避免的，甚至由于Web應(yīng)用使用的無防御的HTTP協(xié)議導(dǎo)致普通的防火墻無法防御Web類攻擊，這兩者為大量的Web攻擊方式提供了可能，目前，主要依靠H3CIPSWeb入侵防御設(shè)備實(shí)現(xiàn)安全防護(hù)。

3.2郵件安全技術(shù)

電子郵件傳輸過程中，由于其無格式保密措施明文傳輸?shù)奶攸c(diǎn)，電子郵件的安全得不到保證，出現(xiàn)了種種安全問題。其常見的安全問題主要有惡意代碼，蠕蟲，特洛伊木馬，以及垃圾郵件。惡意代碼就如同另一種形式的URL攻擊，被以電子郵件的形式發(fā)出的惡意代碼會(huì)破壞郵件接收者的計(jì)算機(jī)數(shù)據(jù)，甚至?xí)ㄟ^USB等硬件接口以及自動(dòng)向外發(fā)送軟件的方式進(jìn)行病毒性的傳輸與擴(kuò)散。電子郵件的方便無成本為惡意代碼這種攻擊形式提供了最好的載體，使得電子郵件中惡意代碼問題非常嚴(yán)重。電子郵件除了傳播各種病毒等還有被竊取信息被截獲的風(fēng)險(xiǎn)，而應(yīng)對(duì)這些電子郵件方面的問題，手段依舊主要為加密。如應(yīng)用較為廣泛的PGP加密或MIME協(xié)議，以及用殺毒軟件進(jìn)行病毒防護(hù)。

3.3身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)是目前計(jì)算機(jī)網(wǎng)絡(luò)中以及應(yīng)用程序中確認(rèn)操作者身份有效地解決方法，因?yàn)橛?jì)算機(jī)只能識(shí)別數(shù)字身份，為了保證操作者是數(shù)字身份擁有者本人，身份認(rèn)證技術(shù)便由此產(chǎn)生?，F(xiàn)在主流的認(rèn)證技術(shù)可以分為基于信息秘密的認(rèn)證、基于信任物體的認(rèn)證和基于生物體征的認(rèn)證?；谛畔⒚孛艿恼J(rèn)證是最早應(yīng)用也是應(yīng)用最廣的身份認(rèn)證方式。電子郵件，各種社交媒體以及現(xiàn)在的智能設(shè)備使用的密碼，即靜態(tài)密碼，便是該種認(rèn)證方式的典型。通常情況下，靜態(tài)密碼還會(huì)有輔助使用的安全程序，如防止窮舉暴力破解的登錄失敗次數(shù)達(dá)到一定次數(shù)之后鎖定賬戶的程序。基于信任物體的認(rèn)證，例如動(dòng)態(tài)密碼，登錄的動(dòng)態(tài)密碼便是依托于用戶手機(jī)的身份認(rèn)證，相對(duì)于靜態(tài)密碼，信任物體通常更不容易被攻擊，且認(rèn)證使用的密碼生成與使用過程存在物理隔離，這使得動(dòng)態(tài)密碼幾乎不可能在通路上被竊取從而認(rèn)證失效。該種認(rèn)證還有動(dòng)態(tài)口令和智能卡等方式?；谏矬w征的認(rèn)證，目前正在逐漸發(fā)展的認(rèn)證方式，其具有安全方便的特點(diǎn)，是利用一些難以偽造的獨(dú)一無二的可測(cè)量的生物體征進(jìn)行認(rèn)證的身份認(rèn)證方式。主要有被廣泛使用的指紋識(shí)別技術(shù)、聲紋識(shí)別以及DNA識(shí)別和人體氣味識(shí)別等方式。

4總結(jié)

網(wǎng)絡(luò)給人們帶來方便的同時(shí)，也給應(yīng)用帶來一定的憂患，機(jī)密信息和私人信息的泄露影響后果極其嚴(yán)重。本文通過對(duì)網(wǎng)絡(luò)各層安全機(jī)制的分析可以發(fā)現(xiàn)，各層都存在相應(yīng)的安全隱患，當(dāng)然也有對(duì)應(yīng)的安全技術(shù)，尤其是應(yīng)用層問題十分明顯，更應(yīng)該加以重視。