陈琳

（广东交通职业技术学院，广东　广州　510650）

校园网络安全技术分析

陈琳

（广东交通职业技术学院，广东广州510650）

校园网是为学校师生提供教学和科研管理的综合信息服务平台，随着计算机网络的发展和应用，校园网面临着一系列安全问题，如何应用各种安全技术和构建高校校园网安全屏障成为校园网络管理首要面对的基本问题。通过对网络安全技术进行分析，比较了数字签名、防火墙和入侵检测系统各自的优势以及应用领域，给出了相关技术方法，保证了校园网络安全、稳定和高效地运行。

校园网安全数字签名防火墙入侵检测系统

1　引言

校园网是为学校师生提供教学和科研管理的综合信息服务平台，随着计算机网络发展和应用，校园网面临着一系列安全问题，如蠕虫、病毒、木马泛滥横行黑客攻击、系统瘫痪及信息泄漏风险层出不穷。据统计，校园网中80％的攻击来自于校园内部。为保证校园网安全，通常采用的技术有数字签名、防火墙和入侵检测系统［1］。

2　数字签名技术

数字签名（Digital Signature）是对传统手写签名的电字模拟。通过计算机非对称密钥生成的一段特殊字符消息，具有与手写签名同样的效果，是可信的、不能伪造、不能重用、不能抵赖和不能修改的，称为数字签名［2,3］。数字签名与手写签名类似，应满足以下3个条件：①签名者不能否认自己的签名，其他人不能伪造其签名，即签名存在唯一性；②接收者能验证对方签名，即真实性；③当双方就签名真伪发生争执时，可以委托第三方机构协调解决，即有效性。

数字签名由签名算法和验证算法两部分组成。签名算法密钥需要保密，由签名人保管；验证算法是对所有人公开的。签名过程类似于加密过程，签名者利用私钥对签名信息进行加密，验证方利用签名者公钥解密。私钥和公钥相互匹配，公钥可以推导出私钥，私钥也可以推导出私钥。签名与加密不同点在于加密是为了保护信息不被非法访问和篡改，签名是为了让对方确认发送者身份、信息有无篡改以及是否完整。下面给出数字签名基本流程。

假设A通过数字签名发送电子合同给B，具体步骤如下：①A使用哈希函数将电子合同生成消息摘要；②A利用私钥将消息的摘要加密，形成数字签名；③A把电子合同和数字签名一起发送给B，如图1所示。

图1　数字签名过程示意图

B收到A发来的电子合同文件和数字签名后，需验证发送者的真实身份是A，具体步骤如下：①B按照A使用的哈希算法对接收到的电子合同文件重新生成消息摘要；②B使用A的公钥对A发送的消息摘要（密文）解密，恢复成明文；③B将自己重新生成的消息摘要和解密出来的消息摘要进行比较，若二者相同则表明发送者身份是A，若不一致则表明发送者身份不是A或者电子合同文件已被篡改。B验证A身份的步骤如图2所示。

图2　验证数字签名过程示意图

3　防火墙技术

防火墙原本是指古代房屋之间修葺的泥墙，用于防范火灾蔓延。在计算机网络中，网络防火墙扮演着类似角色，允许内网用户访问外网并建立连接，但禁止外网主动的访问内网，以此来阻挡来自外部网络的攻击。目前，防火墙主要采取包过滤、应用网关和状态检测3种拦截手段［4］。

⑴包过滤防火墙

包过滤防火墙分为静态包过滤防火墙和动态包过滤防火墙。静态包过滤防火墙通过分析数据包收发双方的IP地址、端口号和协议类型（如TCP包、UDP包和ICMP包等）等控制信息，依照既定规则进行放行。既定规则遵循“最小特权原则”，首先明确允许通过的数据包类型，再限制其他数据包，实现简单高效，但是不可识别来自外网的欺骗攻击，如攻击者可以通关修改端口号及IP地址等绕过防火墙检测。

动态包过滤防火墙使用动态过滤策略有效避免欺骗攻击。但是动态规则策略变化很快，并且需要分析大量异常数据包才能形成过滤规则，是一种以牺牲性能的方式换取网络的安全。包过滤防火墙工作于OSI参考模型的网络层和传输层，只检查数据报报头，实现相对简单，性能较高，但无法检查数据报内容，对于复杂网络，配置访问过滤规则工作量很大，适用于小规模网络。

⑵代理防火墙

代理防火墙也称为应用层网关防火墙，分为代理防火墙和自适应代理防火墙两类。代理防火墙在内外网络之间充当中介角色，通过代理技术对外隐藏内网拓扑结构［5］。当代理服务器接收到外网连接请求时，替代其将请求转发至出口网关，并将外网服务器的应答消息经出口网关转发给内网客户，从而隐藏内外用户的真实信息。代理防火墙安全性能很高，但由于每个内外连接都需要代理防火墙的介入和转换，效率低下，容易成为内外网络之间的瓶颈。

自适应代理防火墙也称为动态代理防火墙，它结合包过滤防火墙和代理防火墙双方优点，既具有代理防火墙的安全性，又具有包过滤防火墙的高效性［6］。自适应代理防火墙设置简单灵活，可根据管理员制定的安全级别动态生成过滤规则，减少配置工作量。

⑶状态检测防火墙

状态检测防火墙工作于OSI参考模型中的数据链路层和网络层，通过检测引擎截获数据包状态信息，再根据安全策略决定拒绝还是接受该连接。状态检测防火墙安全性较高，具有很好的扩展性和适应性，并且对数据包的处理通过低层实现，不涉及协议栈［7］，执行效率较高，适应于动态复杂的大规模网络。

4　入侵检测系统

入侵检测系统（Intrusion Detection System，IDS）是一种主动防御体系，从计算机网络环境中采集和分析数据，通过提炼规则判断可疑攻击和异常事件，主动拦截攻击行为，并且当网络遭受入侵后，IDS还能收集入侵行为并纳入特征库，从而避免重复或类似攻击。IDS主动防御模式可以有效弥补防火墙被动检测的不足，并提供对网络攻击的实时保护。

IDS根据检测技术可以为分特征检测、异常检测和协议分析3种。

①特征检测是根据外网当前连接行为动作与攻击特征行为匹配来检测入侵，检测精度很高，对具体攻击检测结果有明确的处理参照，但是不能检测未知攻击行为；

②异常检测先建立正常行为特征库，当发现外网连接与正常行为特征库发生显著偏离时即判为攻击。异常检测方法可以检测未知攻击，但需要对正常行为进行描述并提取共性特征，处理性能缓慢，漏报误报率较高；

③协议分析IDS是基于网络协议规则检测攻击行为，避免异常检测的复杂度。但缺点是不能检测未知攻击，不能弥补本身协议漏洞，不能抵御非协议型攻击手段，加上网络协议与系统环境相关，通用性不好。

5　结束语

校园网络安全是一个系统工程，上述3种安全技术都有独特之处，在实际应用中往往需要多种技术配合使用，扬长避短，弥补各自不足，建立全网动态安全体系，才能保证校园网络的整体安全。

［1］黎明.职业院校校园网安全体系的构建与维护［J］.长春工业大学学报：自然科学版,2011,32（1）：64-67.

［2］王栋.大学校园网网络安全问题的分析与对策［J］.甘肃联合大学学报：自然科学版,2010,24（4）：64-67.

［3］刘钦创.关于高校校园网安全若干问题的思考［J］.网络安全技术与应用,2006（2）：40-42.

［4］黄春雨,杨娇寰.校园网网络安全及防范技术［J］.吉林广播电视大学学报,2010（1）：96-98.

［5］沈俊,吴佩达.校园网网络安全隐患及其对策［J］.湖州职业技术学院学报,2008（3）：15-17.

［6］许爱军,张岳.支持低延迟通信与容错的计算资源共享环境构建［J］.计算机工程与设计,2012,33（4）：1352-1356.

［7］许爱军,张文金,黄正午.单点登录在数字化校园中应用的研究与实现［J］.计算机与现代化,2010（4）：81-84,90.

Analysis on Campus Network Security Technology

CHEN Lin
（Guangdong Communication Polytechnic,Guangzhou Guangdong 510650,China）

The campus network is a local area network which provides teaching,scientific research and comprehensive information service for school teachers and students.With the development of network and application,the campus network faces a series of security problems.How to use various security technologies to constitute the campus network security barrier is a basic problem of campus network management.By analyzing current network security technologies,this paper compares digital signature,firewall and intrusion detection system's advantages and application,provides associated technical methods to ensure campus network's operation security, stability and efficiency.

campus network security；digital signature；firewall；intrusion detection system

TP393

A

1008-1739（2015）13-43-3

定稿日期：2015-06-12