21 世 纪 即 将 到 来, 互 联 网 的 热 潮 冲 击 着 整 个 世 界。 所 有 发 达 国 家 都 已 建 成 了 多 个、 多 种 国 家 级 的 计 算 机 网 络, 并 互 联 成 覆 盖 全 球 的 计 算 机 网 络。 据 统 计 入 网 主 机 数 量 超 过4000 万 台, 连 入 的 计 算 机 子 网 已 达60 多 万 个,Internet 迅 速 商 业 化 并 在 社 会 中 大 量 应 用, 它 已 成 为 现 代 社 会 的 重 要 信 息 基 础 设 施 之 一。
----随 着Internet 技 术 的 迅 猛 发 展, 网 络 规 模 不 断 扩 大, 网 络 结 构 更 加 复 杂。 目 前, 组 建 大 型 计 算 机 信 息 网 络 的 关 键 技 术 是TCP/IP 网 络 互 联 和 路 由 器 技 术, 特 别 是 在Internet 中, 路 由 器 起 着 重 要 的 作 用。 着 眼 于 国 家 信 息 安 全,1997 年“ 国 务 院 信 息 化 工 作 领 导 小 组 办 公 室” 提 出 了 国 际 联 网 安 全 研 究 项 目, 在 网 络 安 全 关 键 设 备 和 网 络 安 全 关 键 技 术 两 类10 多 个 课 题 中, 就 包 括 了 国 产 安 全( 加 密) 路 由 器 设 备 的 研 究。
----当 前, 国 内 市 场 所 流 通 的( 包 括 国 产 的 和 国 外 的) 几 乎 都 是“ 普 通 路 由 器” 和“ 不 具 有 加 密 功 能 的 安 全 路 由 器”。 这 些 路 由 器 有 的 只 有 路 由 功 能 而 没 有 安 全、 加 密 功 能; 有 的 只 增 加 了 包 过 滤 功 能。 下 面 我 们 要 讨 论 集 常 规 路 由 器 和 安 全、 加 密 功 能 于 一 体 的 内 嵌 式“ 安 全( 加 密) 路 由 器”。
解 决 的 主 要 问 题
----网 络 已 从 单 个 的、 封 闭 的 计 算 机 网 发 展 为 开 放 的 互 联 网。 并 由 此 带 来 以 下 变 化:
----封 闭 网 到 开 放 网: 社 会 的 发 展 和 人 们 工 作、 生 活 的 需 求, 是 网 络 技 术 发 展 的 动 力; 网 络 技 术 的 发 展 又 进 一 步 刺 激 着 人 们 工 作、 生 活 模 式 的 变 更。 单 个 的Intranet 网 在 很 多 情 况 下 已 不 能 满 足( 或 不 能 很 好 地 满 足) 人 们 工 作 和 生 活 的 需 要, 网 络 由 封 闭 走 向 互 联 和 开 放 已 成 趋 势。
----集 团 通 信 到 个 人 通 信: 以 前, 计 算 机 网 络 通 信 几 乎 都 是 集 团( 部 门、 单 位、 企 业 等) 的 行 为, 个 人 行 为 是 微 乎 其 微 的。 随 着 网 络 技 术 的 发 展 和 人 们 工 作、 生 活 等 各 方 面 需 求 的 变 更, 个 人 通 信 在 增 加, 所 占 比 例 越 来 越 大。
----有 中 心 网 到 无 中 心 网: 从 网 络 体 系 来 讲, 封 闭 的Intranet 网 是 有 中 心 网( 一 级 网、 二 级 网 等); 而 互 联 网 属 无 中 心 网, 网 络 之 间 可 以 自 由 通 信、 自 由 交 互、 自 由 往 来。
----网 络 安 全 问 题 更 加 突 出: 由 于 互 联 网 是 无 中 心 网, 网 络 之 间 可 以 自 由 通 信、 自 由 交 互、 自 由 往 来, 因 此, 网 络 安 全 问 题 更 加 突 出。 如 何 保 证 网 络 设 备 自 身 的 安 全 以 及 存 储 在 其 上 或 通 过 其 传 输 的 敏 感 信 息 的 安 全, 就 成 为 必 须 解 决 的 问 题。
----安 全( 加 密) 路 由 器 是 保 证 互 联 网( 同 时 也 包 括Intranet 和 Extranet ) 信 息 安 全 的 关 键 设 备 之 一, 它 需 要 解 决 的 主 要 问 题 是:
----防 止 虚 假 路 由 信 息 的 接 收 和 路 由 器 的 非 法 接 入
----发 送 虚 假 路 由 信 息, 使 路 由 器 路 由 混 乱、 阻 塞, 从 而 导 致 网 络 瘫 痪 是 黑 客 可 用 的 手 段 之 一, 黑 客 也 常 常 将“ 自 制 路 由 器” 接 入 到 网 络 之 中。 安 全( 加 密) 路 由 器 应 当 对 路 由 器 具 有 鉴 别 功 能, 能 够 阻 止 路 由 器 的 非 法 接 入。 在 Intranet/Extranet 网 中 需 要 解 决 和 保 证 虚 假 路 由 信 息 的 辨 认, 对 虚 假 路 由 信 息 拒 收。
----防 止 非 授 权 人 员 的 入 侵
----非 授 权 人 员, 从 路 由 器 的 操 作 系 统 入 手, 从“ 后 门” 侵 入 路 由 器, 从 而 更 改 路 由 表 或 窃 取 有 用 信 息, 是 需 要 特 别 加 以 防 范 的。
----对 路 由 信 息 和IP 数 据 报 的 加 密 保 护
----路 由 器 是 网 络 的 转 接 设 备, 它 不 断 地 接 收 和 发 送 路 由 信 息 和IP 数 据 报。 因 此, 路 由 信 息 和 敏 感 的IP 数 据 报 的 安 全 保 护 就 成 为 极 其 重 要 的 问 题。 安 全( 加 密) 路 由 器 应 当 具 有 对 路 由 信 息 和 敏 感IP 数 据 报 的 加 密 保 护 功 能。 它 涉 及 加 密 算 法、 密 钥、 数 据 完 整 性 和 数 字 签 名 等 问 题。
----加 密 算 法 的 选 择: 出 于 对 国 家 信 息 安 全 的 考 虑 和 对 国 外 安 全 产 品 是 否 留 有“ 陷 门” 的 忧 虑, 并 遵 守 国 家 有 关 政 策、 法 规, 设 备 应 当 选 择 我 国 有 关 部 门 批 准 的 加 密 算 法。 在 进 行 加 密 作 业 时, 则 尽 量 做 到 一 次 一 密。
----密 钥 的 管 理: 密 钥 是 加 密 作 业 中 最 活 跃 的 因 素, 所 谓“ 一 次 一 密”, 简 言 而 之, 就 是 每 次 加 密 所 用 的 密 钥 互 不 相 同。 因 此, 从 某 种 意 义 上 说, 保 密 的 关 键 是 密 钥, 它 应 考 虑 以 下 几 个 方 面: 密 钥 种 子、 密 钥 的 随 机 性; 密 钥 的 种 类 和 层 次; 密 钥 长 度; 密 钥 生 成 算 法 的 复 杂 度; 密 钥( 含 密 钥 生 成 算 法 及 密 钥 自 身) 保 护; 密 钥 的 存 储、 传 输、 更 换 和 废 除 以 及 密 钥 的 管 理 方 式 等。
----数 据 完 整 性 验 证: 严 密 的 设 计 应 当 考 虑 IP 数 据 报 完 整 性 验 证, 当 然, 也 可 以 对 传 送 的 密 钥 做 完 整 性 验 证, 或 者 两 者 都 做。 在 某 些 应 用 环 境 或 考 虑 到 某 些 因 素 的 情 况 下, 也 可 以 不 进 行 数 据 完 整 性 验 证。
;QQ联络:1360095750。