网络安全技术与应用

安全 应用安全
文章详细介绍了网络安全及相关技术,分析了其中的一类应用安全问题——PC机的安全问题,给出了解决这类问题的安全技术——PC防火墙技术。

1 网络安全及相关技术

自20世纪90年代以来,计算机网络技术得到了飞速发展,信息的处理和传递突破了时间和地域的限制,网络化与全球化成为不可抗拒的世界潮流,Internet已进入社会生活的各个领域和环节,并愈来愈成为人们关注的焦点。据统计,目前Internet用户数达5 000万户,到2000年底用户数将发展到2亿户。

信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好处。然而,计算机信息技术也和其他科学技术一样是一把双刃剑。当大部分人使用信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用信息技术却做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息、篡改和破坏数据,给社会造成难以估量的巨大损失。随着网络规模的扩大和网络服务的增加,网络安全需求也越来越大,需求的面也越来越广。从技术上来讲,解决安全问题有以下一些常见和用户认可的手段。

1.1 加密和解密

加解密技术是最基本的安全技术,其主要功能是提供机密性服务,但在实现其他安全服务时也会使用加密技术。目前密码学中主要有两种不同的密码体制:对称密钥体制和非对称密钥体制,又被称为私钥密码体制和公钥密码体制。到目前为止,公钥密码体制中,占主导地位的还是RSA公钥密码体制。模数为512bit的RSA已经被认为是不安全的,RSA公司推荐的最小模数为768bit,目前大部分RSA公钥体制的实际解决方案中采用了1 024bit或者2 048bit的RSA公钥体制。其它公钥体制,如DH和数字签名算法(DSA)由于其独特的安全优势在在线密钥交换和数字签名领域得到了广泛的应用实用的椭圆曲线密码系统也日臻完善,170bit的椭圆曲线密码系统被认为和1 024bit的RSA安全强度相当,而且由于其空间需求和时间需求均大大小于RSA、DSA和DH,因此近年来也受到了普遍重视。

随着1977年美国国家标准局公布了由IBM公司研制的数字加密标准(DES)加密算法,私钥密码体制也得到了很大的发展。20年来,DES一直扮演着商用保密通信和计算机通信中最常用加密算法的角色。虽然DES的安全性已经受到威胁,但是DES的思想推动了其他私钥体制的出现。RSA公司已将新一代分组加密算法RC6提交给美国国家标准与技术研究所(NIST)作为新的加密标准AES目前AES的候选加密算法(包括RC6)共有15个,AES的算法可能在2000年左右最后确定。因此对新的安全系统来说,DES已经不被认为是好的选择,在AES正式出台和确定以前,可以使用其他的加密算法作为过渡,如三重DES(3DES)、国家数据加密算法(IDEA)和RC5等分组加密算法。

1.2 电子数字签名

日常生活中时常会有报文与签名同时发送以作为日后查证的保证。在因特网环境中,这可以用电子数字签名作为模拟。电子数字签名保持了常规手写签名的本质特点,但在形式上可以完全不同。

电子数字签名也称为数字签名。数字签名首先利用一种单向函数对消息产生摘要,然后再对摘要使用只有发送者自己知道的私钥进行加密。这里使用的单向函数必须具备两个重要特点:(1)计算单向函数的值很容易,但是作逆运算却很难;(2)若给定一个函数值,要找到某个变量使得其函数值与其相等十分困难。

1.3 电子数字证书

数字证书是建立网络信任关系的关键。数字证书将用户基本信息(用户名、E-mail地址)与用户公钥有机地绑定在一起,绑定功能通过发布证书的权威机构的数字签名来完成。用户之间通过交换数字证书建立信任关系。各种网络安全服务(如HTTP、安全电子邮件)均应建立在数字证书架构或平台之上。

1.4 安全通信协议和有关标准

在网络安全技术应用领域,安全通信协议提供了一种标准,基于这些标准,企业可以很方便地建立自己的安全应用系统。目前主要的安全通信协议有SSL(TLS)、IPSec和S/MIME。SSL提供基于客户/服务器模式的安全标准,SSL(TLS)在传输层和应用层之间嵌入一个子层,主要用于实现两个应用程序之间安全通讯机制,提供面向连接的保护;IP安全协议(IPSec)提供网关到网关的安全通信标准,在网络层实现,IPSec能够保护整个网络;S/MIME在应用层提供对信息的安全保护,主要用于信息的安全存储、信息认证、传输和信息转发。三种安全通信协议虽然均提供了类似的安全服务,但是他们的具体应用范围是不同的,在实际应用中,应根据具体情况选择相应的安全通信协议。

RSA公布的公开密钥密码编码标准(PKCS)系列标准已经成为建立网络安全系统公认的国际标准,许多知名公司如VeriSign、GTE和Entrust的安全产品均采用了PKCS作为基础。在目录服务方面,由于X.500的实现复杂性,LDAP已经成为占据主流的目录访问协议。互联网工程任务组织(IETF)的RFC文档也提供了大量的信息安全的国际标准。

但是标准化是一个漫长的过程,因为一个标准的形成需要许多著名公司的支持。PKIX系列文档中目前还有许多未实现标准化,如证书管理协议,另外许多相关文档还未发布,证书和CRL的在线查询文档还不完善等。有了标准,才可能实现互操作。#p#

1.5 网络防火墙技术

防火墙技术是指这样一种技术,通过一组设备(可能包含有软件和硬件)介入被保护对象和可能的攻击者之间,对被保护者和可能的攻击者之间的网络通信进行主动的限制,达到对被保护者的保护作用。这里可能的攻击者一方面包含现实的或潜在的蓄意攻击者,另一方面也包含被保护者的合作者。

构成防火墙的可能有软件、也可能有硬件或两者都有,但是应该说防火墙最基本的构件是构造防火墙的思想。最初的防火墙不是一种产品,是构造者脑海中的一种想法,即谁和什么能被允许访问本网络,这也是传统意义防火墙的概念的出发点。相比之下,防火墙是目前所有保护网络的方法中最能普遍接受的方法,而且防火墙技术还属于新兴的技术,95%的入侵者无法突破防火墙。

网络安全问题涉及的内容十分广泛,既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。

2 PC的安全问题

从PC的现实的用途和工作环境来分析,安全问题主要有以下几个方面:

2.1 网络安全

个人电脑可以通过局域网或拨号等方式连接到Internet。人们通过主机相互间可以进行各种形式的信息交互。常见的有:HTTP、FTP、Telnet和E-mail等。在日常生活中用电话进行通信的过程中,若有恶意的电话呼叫,可以使用跟踪电话号码、阻塞特定呼叫等手段进行有效的防范。相比之下,通过主机在Internet上通信则大不相同。首先,TCP/IP协议是完全开放的,其设计之初没有考虑安全问题。其次,在Internet上传送的数据的最小单位是IP包,恶意攻击者可以很容易地窃取、更换、假冒数据包;安全协议也或多或少地存在着安全漏洞。

黑客对网络主机的攻击方式是多种多样的。一般来讲,攻击总是利用操作系统设计上的安全漏洞或者通过通信协议的安全漏洞来实现。例如,查看通信双方的数据包非法获取信息;假冒或更换IP包对通信双方进行欺骗;非法获取合法用户的帐号从而获得网络服务;大量产生IP数据包对网络主机进行轰炸攻击,达到阻断服务或造成主机崩溃的目的;更多的是利用各服务协议所固有的安全漏洞,进行着更隐蔽的破坏活动。另外在特定的环境下,网络不良信息问题也是网络安全问题的一个重要方面。

2.2 网络病毒

对PC用户来说,病毒问题是最棘手和最现实的安全问题。网络普及的同时,又为病毒蔓延提供了新的途径,网络病毒迅速成为PC安全的重要方面。

2.3 E-mail安全问题

E-mail服务是因特网上最为广泛的应用服务之一,据美国的最新统计显示,E-mail的用户数已逼近电话的用户数。因此,对PC用户而言,E-mail的安全问题尤为突出。#p#

3 PC防火墙——网络安全新概念

传统意义上的防火墙是基于网关的,主要是解决企业内部网(被认为是可信任的)与Internet(不可信的)互联时的IP地址和端口的过滤、IP地址翻译、应用服务代理和IP包的加解密问题。当然这些产品的功能是强大的,但是,他们只“防外不防内”,因此也就无法真正实现对局域网内每一台主机的保护,更不用说家庭以拨号形式上网的主机安全问题。

基于内部网的主机或其它形式上网的主机的防火墙(我们称之为PC防火墙)正是在这种意义上提出的。由于PC防火墙的对象是网络上的最终主机,所以PC防火墙的操作系统平台没有传统意义上的防火墙灵活,几乎没有选择的余地,完全由用户选择,这就决定了PC防火墙的核心技术事实上比传统防火墙难度更大。另外,相比于局域网、网关用户来说,PC用户对网络安全还会有一些特别的需求,例如对主机文件访问权限的限制等。

具体地说,PC防火墙系统有如下的功能需求:

(1)IP包过滤机制

PC防火墙系统的最终目标是保护PC机的桌面系统,所以系统必须能对进出本机的所有数据进行控制。例如对进出主机的所有IP包的IP地址和协议端口的过滤,系统应当能够对主机发送和接受的每一个IP包进行检查,获取IP源地址、目标地址和协议端口,根据事先设定的规则拒绝或允许这个IP包通过,必要的情况下,能及时反馈有关信息到上层应用程序以动态处理。在某种特定的情况下,还需要对数据的内容进行扫描,对数据包进行改装重发,以达到及时、准确处理各种信息的目的,从而实现对网络上进出本机所有数据的全面控制。

(2)网络病毒的检测机制

PC防火墙系统应当具有病毒检测功能。因用户访问的网络资源可能携带病毒源,从而对用户造成损害。

(3)用户通信的保密机制

当两个用户进行通信时,系统应当能够提供一种保密机制,实现用户之间通信的机密性。如果考虑到可能的多用户PC(比如在学校和家庭),系统还必须提供对文件基本操作进行限制和保密存储的功能。企业的内部网也存在类似的问题。

(4)透明安全E-mail的机制

E-mail的安全问题主要有两类:一是保密传输的要求?鸦一是垃圾信件的处理问题。保密传输需要对所有IP层数据进行监视,确定与E-mail相关的信息,把信件主体内容进行加密传输,因为E-mail的收发过程在底层看起来是不对称的,所以加密算法考虑使用序列密码算法;垃圾信件处理一方面需要判断E-mail的有关头信息或内容信息,另一方面还需要主动利用上层应用程序登录到服务器进行信件删除操作。上述实现方案即是对上层应用的透明,对上层透明的好处是兼容性好。

4 PC防火墙系统的一种实现方案

本文提出的PC防火墙实现方案基于Windows95 和Windows98。这里先讨论Win-dows操作系统的网络功能的机制。本方案仅包括IP包过滤和保密通信,不含病毒的检测功能和安全E-mail的详细实现机制。#p#

4.1  Windows的网络接口标准

PC防火墙系统的运行平台为Windows95和Windows98。因此,总体方案设计时的一个核心问题是如何在Windows的内核中截获所有IP包。在Windows操作系统中,网络设备接口和标准(NDIS)扮演着十分重要的角色,它担负着网络层协议与网络接口卡(NIC)之间的桥梁作用,Windows的网络接口。

NDIS是网络设备接口规范。NDIS处于Miniport驱动程序的上面,Miniport相当于IEEE802标准的数据链路层的介质访问控制(MAC)子层,而NDIS则相当于逻辑连接控制(LLC)子层。

4.2  接收数据包和发送数据包的过程

当数据到达网络适配器时,系统控制硬件去执行一个过滤操作。允许的数据包会通过适配器向上传递给Miniport Driver。 Miniport Driver再将数据向上传递给NDIS, NDIS负责合成数据,送给合适的协议栈。

通过NDIS包,可以到达网络层以及网络层以上各层运行的协议栈的接口。发送数据时,数据从应用层到网络层,最后到达NDIS,NDIS将数据向下传递给Miniport Driver, Miniport Driver 再将数据传递给网络适配器和物理网络。

4.3 虚拟设备驱动(VxD)技术

普通的win32程序开发平台不提供对网络层的直接访问,而通过NDIS的应用程序接口(API)实现对网络层的访问(如Vpacket),但是这并不能制约系统中其他绑定协议对低层数据包的访问。

VxD是Windows操作系统对各种应用共享某种同一设备而采取的手段。在保护模式下,各种进程被赋予不同的特权级,共有4级,即0、1、2、3。0级为最高特权级,又称Ring 0。 实际上,VxD相当于Ring 0上的动态链接库(DLL)。 由于VxD工作在最高特权级,因此没有它不能处理的事情。我们采用的方案是通过VxD对NDIS的功能函数进行拦截,从而实现IP数据包过滤。更由于它运行于操作系统的底层?,所以它在实现对所有IP包过滤的同时对于所有上层应用程序均是透明的。

4.4 IPSec协议

IPSec协议是由一个在IETF组织下的工作组所设计的一族协议。IPSec基于在IP层实现数据加密、信息认证和数字签名技术,从而达到保密通信的目的。

Internet网络中通信的基本单位是IP包。IPSec的思想就是对整个IP包加密,加密后的数据被封装在一个新的IP包里。IPSec主要包含两个子协议AH。ESP的封装过程。

IPSec还另外提供一种模式,即“隧道”模式,这种模式将原始IP头也封装起来,新的IP头用网关的相关信息填充,主要用于隐藏原IP地址或因原IP地址非法使数据包无法路由的情形。

5 结束语

目前,国外已出现了几个PC防火墙产品,但是无论从功能上还是从易操作性上来看,都还有待进一步完善和改进,而国内在此领域几乎还是一片空白。

网络安全问题非常复杂,牵涉的问题较多,本文提出的方案只是考虑了几种主要的安全问题。希望能起到一点抛砖引玉的作用。

 

【编辑推荐】

  1. 浅析网络安全技术
  2. 应对五大网络安全威胁,你准备好了吗?
  3. 趋势科技“中小企业安全软件包”为企业网络安全护航
  4. 网络安全好帮手:UTM知识精髓简介
  5. 7月网络安全分析之网络病毒传播恶意域名
责任编辑:Writer 来源: shop.zte.com.cn
相关推荐

2011-03-17 13:32:45

2011-11-08 11:21:00

2023-08-15 15:15:24

2016-09-22 14:09:47

2022-06-23 11:09:12

网络攻击网络安全

2011-03-09 10:30:55

2011-07-28 12:36:43

2019-07-09 10:33:14

网络安全技术通信

2018-02-24 19:56:38

区块链区块链安全网络安全

2016-01-22 12:27:15

2011-03-21 15:29:46

2014-04-30 15:56:43

2023-12-05 11:58:49

2011-03-17 11:24:18

2010-09-08 14:26:48

2022-06-14 00:11:38

网络安全等级保护

2016-08-22 12:06:11

2019-02-26 08:51:34

网络安全恶意软件网络攻击

2010-12-29 10:28:53

2011-08-01 13:15:58

点赞
收藏

51CTO技术栈公众号