TCP/IP网络协议安全

王军峰

摘要：随着计算机网络的发展和网络共享性及互连性程度的扩大，因特网日益成为信息交换的主要手段。机密数据、商业数据等敏感信息对网络安全提出了更高的要求。TCP/IP协议作为当前最流行的互联网协议，却在设计时并未考虑到未来的安全需要，因此协议中有诸多安全问题。而协议的安全缺陷与电脑病毒的存在，使得网络环境面临极大的危险。本文在分析了TCP/IP及其安全问题之后，从协议与应用两个角度介绍了目前安全技术概况，最后提出了安全防范措施。

关键词：TCP/IP协议;协议安全;计算机网络

前言

Internet是一个基于TCP/IP协议的网络，通过TCP/IP协议实现了不同级别、不同厂商、不同操作系统的计算机通信。由于TCP/IP协议一开始的实现主要目的是用于科学研究的，所以在安全性方面存在很大的欠缺。随着计算机网络技术的发展，信息安全问题越来越受到国家的关注，网络安全也已经成为计算机网络通信领域的重点研究范围。

协议中存在许多的安全问题，随着应用的深入，逐渐受到人们的关注。因此，人们开始研究各种各样的安全技术来弥补它的缺陷，堵住安全漏洞，增加网络安全。目前正在制定安全协议，在互连的基础上考虑了安全的因素，希望能对未来的信息社会中对安全网络环境的形成有所帮助。

第一章 TCP/IP协议概述

目前在Internet上使用的是TCP/IP协议。TCP/IP协议叫做传输控制/网际协议，它是Internet国际互联网络的基础。TCP/IP是网络中使用的基本的通信协议。从表面名字上看TCP/IP包括两个协议，传输控制协议（TCP）和互联网际协议（IP）， IP协议之所以能使各种网络互联起来是由于它把各种不同的“帧”统一转换成“IP数据报”格式，这种转换是因特网的一个最重要的特点。所以IP协议使各种计算机网络都能在因特网上实现互通，即具有“开放性”的特点。TCP/IP协议的基本传输单位是数据包（datagram）。TCP协议负责把数据分成若干个数据包，并给每个数据包加上包头，包头上有相应的编号，以保证在数据接收端能将数据还原为原来的格式，IP协议在每个包头上还要加上接收端主机地址，这样数据通过路由器中的MAC地址来确定数据的流向，如果传输过程中出现数据丢失，数据失真等情况，TCP协议会自动要求数据重新传输，并重新组。TCP/IP协议数据的传输基于TCP/IP协议的4层结构，TCP/IP协议各层次的体系结构和各层中集中的协议如下表1.1。

第二章 各协议层存在的安全漏洞

（一）、链路层存在的安全漏洞

我们知道，在以太网中，信道是共享的，任何主机发送的每一个以太网帧都会到达别的与该主机处于同一网段的所有主机的以太网接口，一般地，CSMA/CD协议使以太网接口在检测到数据帧不属于自己时，就把它忽略，不会把它发送到上层协议（如ARP、RARP层或IP层）。攻击者利用数据在TCP/IP协议中的明文传输缺陷进行在线侦听和业务流分析，可通过某些监控软件或网络分析仪等进行窃听，窃取网络通信信息。

（二）、网络层漏洞

几乎所有的基于TCP/IP的机器都会对ICMP echo请求进行响应。所以如果一个敌意主机同时运行很多个ping命令向一个服务器发送超过其处理能力的ICMP echo请求时，就可以淹没该服务器使其拒绝其他的服务。另外，ping命令可以在得到允许的网络中建立秘密通道从而可以在被攻击系统中开后门进行方便的攻击，如收集目标上的信息并进行秘密通信等。

（三）、IP漏洞

IP包一旦从网络中发送出去，源IP地址就几乎不用，仅在中间路由器因某种原因丢弃它或到达目标端后，才被使用。这使得一个主机可以使用别的主机的IP地址发送IP包，只要它能把这类IP包放到网络上就可以。因而如果攻击者把自己的主机伪装成被目标主机信任的友好主机，即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址，利用主机间的信任关系和这种信任关系的实际认证中存在的脆弱性，就可以对信任主机进行攻击。

第三章 TCP/IP协议簇的改进与发展状况

由于Internet的安全性问题日益突出，TCP/IP协議簇也在不断地改善和发展之中。目前主要的发展和改进有以下几个方面：

（一）IP协议的改进

IPv4协议已经使用了20多年，在这20多年的应用中，IPv4获得了巨大的成功，同时随着应用范围的扩大，它也面临着越来越不容忽视的危机，例如地址匮乏等等。IPv6是为了解决IPv4所存在的一些问题和不足而提出的，同时它还在许多方面提出了改进，IPv6主要有如下的特点：

1.IPV6地址长度为128比特，地址空间增大了2的96次方倍;

2.灵活的IP报文头部格式，加快了报文处理速度;

3.简化了报文头部格式，加快报文转发，提高了吞吐量;

4.提高安全性。身份认证和隐私权是IPV6的关键特性;

5.支持更多的服务类型;

6.允许协议继续演变，增加新的功能，使之适应未来技术的发展。

经过一个较长的IPv4和IPv6共存的时期，IPv6最终会完全取代IPv4在互连网上占据统治地位。

（二）路由技术的改进

为保护RIP（路由选择信息协议，Routing Information Protocol）和OSPF（开放式最短路径优先，Open Shortest Path First Interior Gateway Protocol）的报文安全，采用著名的MD5认证算法对发送路由报文的节点进行认证。路由器内含认证TCP绘画过程的机制能减少多个自治域之间通过BGP所传路由信息遭受攻击的危险性。由于IPv6提供AH和ESP机制，与IPv6一起使用的内部网关协议也可获得安全保护。

（三）DNS安全扩充

DNS安全扩充提供了DNS信息认证机制，并允许用户的公开密钥存储与DNS中，由请求方对其进行认证，DNS安全扩充允许用户签名的公开密钥与地址记录、姓名记录、邮箱一起进行认证分配，从而使动态密钥管理轻易实现。

结束语：

随着计算机网络技术的快速发展，各种信息安全管理的问题不断出现，因此网络信息安全管理就要依据先进技术，结合自身情况不断完善与加强。同时还要结合自身实况采取合理解决问题的方案，从而确保计算机及网络的信息安全。

参考文献

[1]吴钰峰，刘泉，李方敏。网络安全中的密码技术研究及其应用[J].真空电子技术，2004

[2]杨义先.网络安全理论与技术[M].北京：北京人民邮电出版社，2003

[3]李学诗.计算机系统安全技术[M]. 武汉：华中理工大学出版社，2003

[4]（美）凯文 R.福尔（Kevin R.Fall），（美）W.理查德·史蒂文斯（W.Richard Stevens） TCP/IP详解 卷1：协议  机械工业出版社，2016.