基于编码技术的计算机网络安全结构设计研究

贺争汉

（咸阳职业技术学院，陕西咸阳 712000）

在现代社会不断发展的过程中，计算机网络已经成为人们生活生产过程中的主要工具。计算机网络实用性与完整性，成为研究人员解决网络安全问题的主要参照指标。因为网络行动比较随意，并且具有较高的网络自由度，功能或者管理等难度都在增加，也会受到恶意攻击。编码技术提高了网络结构的安全性，降低了错误几率，也对编码技术人员专业性提出了较高的要求。编码通过逻辑层次，使二进制数据作为高低信号，使用光特性和电气特性表示。提高编程水平能够提升计算机网络安全结构设计的水平，促进计算机技术的发展[1]。

1 常用编码技术和方法

为了实现编码目标，研发了多种编码方法，图1为常用编码方法。除了图1的编码方法之外，还包括冗余码、281Q 电平码、扰频与各数据压缩编码方法等。在长距离传输过程中，带宽使用效率尤为重要，一般都使用双极性编码。在短距离传输过程中，对比每个节点设备价格，带宽使用效率并不重要，所以可以使用曼彻斯特编码，且能够使用同步功能。对数据数字传输进行模拟，使模拟数据转换成为数字数据，脉冲编码调制（PCM）方法为实现此转换的基本方法，通过数字-模拟转换器与模拟-数字转换器实现数字信号与模拟信号的转换[2]。

图1 常用编码方法

2 计算机网络安全机理

由于恶意节点能够和网络连接，在不能隔离恶意节点时，改善选择路由路径，降低恶意节点拦截次数，比如多重路径路由协议。利用邻近节点实现自身节点信任度计算和认证，从而计算声望值，假如发现比设定值要低的节点，表示该节点为恶意节点，立刻隔离恶意节点。每个节点能够传递的数据范围都存在一个限度，如果在固定距离下使数据传输到远方目的地，就要使数据利用其他节点通过路由的方式传递。高速系统中节点都要标识区域节点数量，并且定期发送广播信息，通过信息标头对临近节点信息封装是否接收进行确认，如果遗失就要重新传递。为了避免恶意节点影响，在传递封包信息过程中要在封包抬头添加数字签章，包括信息身份与节点身份，接收节点对数位签章进行验证，对封包安全性与正确性进行确定[3]。

3 网络安全结构的设计

信息网络安全结构的主要目的是使计算机网络系统正常工作，保证信息网络系统安全性，避免泄露重要信息。所以，计算机网络安全结构要实现此目标，需综合使用先进网络安全技术，保证网络安全保密与互连互通，保证信息系统正常的运行[4]。

3.1 安全体系结构

网络安全体系要对安全机制和安全对象全面考虑，安全对象包括系统安全、网络安全、设备安全、信息安全、计算机病毒防治与信息介质安全等[5]，图2为安全体系结构。

图2 安全体系结构

3.2 安全体系层次模型

根据网络OSI的7 层模型，网络安全贯穿在整个模型中。对于网络系统实际运行TCP/IP 协议，网络安全贯穿在信息系统4 个层次中，图3 为安全体系层次模型图。

图3 安全体系层次模型图

物理层信息安全的主要目的是避免物理通路损坏、物理通路攻击、物理通路窃听[6]；

链路层网络安全主要目的是避免网络链路传送数据不会被窃听，使用加密通信划分VLAN 等手段实现；

操作系统安全对操作系统访问控制与客户资料的安全性进行保证，应用到操作系统中实现审计；

网络层安全要保证网络只对客户使用授权服务，保证正确的网络路由，避免监听和拦截；

应用平台指在网络系统中创建的应用软件服务，比如电子邮件服务器、数据库服务器、Web 服务器。因为应用平台系统较为复杂，一般利用多种技术提高应用平台安全性[7]；

应用系统主要实现网络系统主要功能，也就是为用户服务。应用系统安全和系统设计、实现具有密切关系，应用系统利用应用平台的安全服务对基本安全进行保证，比如通信内容安全、双方审计、认证等[8]。

3.3 系统响应模块

响应指的是在网络安全系统检测到入侵行为时的反应动作，系统响应主要包括被动响应与主动响应。在主动响应时，系统自动或者通过用户设置方式阻断攻击。其能够阻止正在进行的攻击行为，避免攻击者访问。主动响应指的是系统在检测到攻击时反击攻击者，被动响应能够给用户提供入侵信息，通过系统管理员使用适当措施处置[9]，此响应以紧急程度对用户提交信息，虽然和主动响应相比实时性较差，但是安全性较高，便于维护数据。系统设计和被动响应、主动响应的优势结合，对模式库中常见的攻击类型预先设计动作，实现主动响应处理，利用异常算法检测模式库中是否存在攻击，系统保存连接数据并实现处理。在主动响应中，系统要自动阻塞或者影响攻击，改变攻击过程。在被动攻击中，系统只是简单地报告和记录检测问题[10]，图4 为系统分析模块的结构。

图4 系统分析模块的结构

3.4 异常流量检测

虽然使用流量对网络监控为低级方法，但是对实时通信系统与点对点传输网络使用者监控是非常有效的。比如，对计算机UDP session 进行观察。实时通信系统和点对点传输网络中有利用UDP 连接模式独特传输资料的行为，该传输模式能够在分散式网络架构中寻找到哪部计算机进行了传输，该检测只需要记录网络流量就能够对实时通信系统和点对点传输网络使用者进行判断。因为点对点传输网络成员要想保证最佳通信质量，就要不断发送封包对网络环境变化进行确认，所以要发现使用者，节点计算机在连接过程中需要发送控制数据包和分散式网络互动[11]。

全部网络利用UDP 协议传输查询Supernode 数据包，利用UDP 低成本、简单和有效的特点，不断送出控制数据包维持Supernode 数量来保证通信质量。在启用网络时会发送一个或者多个UDP sockets等待，在连接过程中利用UDP 通信端口协助实时通信系统多地址沟通。简单来说，要求计算机使用一个或者多个UDP 端口实现连接和控制。比如，在局域网安全监控系统中UDP 传输追踪显示两分钟有390 多个记录，全部输出都为UDP10810 和2787 两个端口，此系统利用端口对服务器服务状态进行查询，另外一个端口实现搜寻、连接、IP 查询和公告[12]。

3.5 系统安全处理

计算机IP 地址范围是确定的，并且具备明确闭合边界。其具备C 类IP 地址，包括FTP、WWW、DNS等服务器，能够使用以下控制策略：对于进入到主干网存取的控制局域网具备自身IP 地址，要禁止通过本路由器对外网访问；控制网络中心资源主机访问；保护网络中心服务器等主要资源；对于网络中心全部资源要禁止WWW、DNS、FTP 之外的服务[13]。

针对企业外所传播的非法信息网址进行访问控制，能够利用计费系统得到最新IP 访问信息，通过域名查询等方法确定某IP 访问是否违法。根据网络拓扑设计情况和防火墙设置安全需求在企业局域网出口位置设置过滤防火墙。此防火墙能够隔离内外网与主要服务器，阻止外网攻击局域网内部和内网服务器。

局域网防护墙隔离内外网，屏蔽内网IP 与应用服务器，还能够实现进出代理服务器数据分组动态过滤，在有异常时及时报警。针对外网来说，能够对代理服务器IP 进行访问，看不到内网中全部站点[14]。图5 为用户、防火墙和服务器的关系。

图5 用户、防火墙和服务器的关系

证书申请和发放的步骤为：

1）服务器和用户生成各自证书申请文件，并且传输到证书中心。证书申请文件主要包括网络用户签名信息、用户身份信息、公钥信息等[15]；

2）证书中心对证书合法性、正确性进行验证，并且为网络合法用户签发证书，此证书主要包括证书中心签名；

3）网络用户接收证书中心的证书，在本地安装，并且服务器也要安装相应证书[16]；

4）在网络用户登录到服务器时，先通过代理服务器验证各自的身份，假如身份验证正确，则服务器与用户接收发送的数据都通过密文方式进行传输。主机型局域网安全结构防护系统要在主机中安装Agent，其主要目的是监视主机内部程序的运行，并且监控和记录活动，所有事件都记录在日志文档中，并且与攻击特征数据库对比，对主机是否受到攻击进行判断[17]。

3.6 网页过滤

网络型局域网安全结构是通过一个或者多个检测器，由对资料进行收集和分析的主控台构成。对每个通过的网络封包进行分析，并且对比已知攻击特征，如果满足某攻击特征，系统就会启动防护措施，比如发出警告或者控制防火墙。

文中所设计的网页过滤器能够对XML 验证器和MAC 信息模块处理进行参数传递，使处理结果传递到下个网络应用程序中，从而实现原本工作，或者显示输入错误警示画面[18]，图6 为警示画面。

图6 警示画面

4 结束语

在网络应用不断普及的过程中，网络安全也越来越重要，国家与企业对于创建安全网络的要求更高。信息安全并不是市场中全部安全产品所能保证的，重点为完善计算机网络安全方案。基于编码的计算机网络安全结构能够加强计算机安全，保证检测精确度与敏感度，并且节省发送端能量。另外，计算机安全结构功能越来越多元化，降低了计算机网络对于人们生活生产造成的不安全因素，提高了网络安全系数。