目的 在某企业信息安全体系项目中,企业的部分要害部门或关键系统,如财务系统、组织系统等,由于直接涉及极度敏感的商业或人事机密,应采用特别的保护措施。物理隔离或专网方式是最直接的解决办法,但他们不符合信息数字化建设和资源共享的潮流,而且投入费用也较高,显然不是长远之计。而常规联网方式又必须面对机密信息在开放环境中被窃取或篡改等安全性问题。由于TCP/IP协议固有的开放性和互联性,这种安全隐患是肯定存在的。因此,要在开放的网络环境中实现信息通信的安全,必须采用先进的技术手段来保障。虚拟专用网络VPN和桌面防火墙技术是可以实现网络数据安全传输和主机系统安全防护的最新研究成果。 VPN是Internet技术迅速发展的产物。大量Internet通信基础网络或ISP的公共骨干网的建立使人们想到,如果可以保证在低成本的公用通信网络中安全地进行数据交换,就可以使企业以更低的成本连接其办事处、流动工作人员及业务合作伙伴,显著节省使用专用网络的长途费用,降低公司建设自己的广域网(WAN)的成本,而且同时实现信息资源的充分利用。VPN技术使这种设想成为可能:通过采用隧道技术,将企业网的数据封装在隧道中进行传输。通信中双方首先要明确地确认对方的真实身份,进而在公用通信设施中建立一条私有的专用通信隧道,利用双方协商得到的通信密钥处理信息,从而实现在低成本非安全的公用网络上安全的交换信息的目的。 目前,国外已有多种VPN产品可供选择使用。但出于特殊的安全性考虑,以美国为首的西方国家对其安全技术和产品附加了明确的出口限制,以对称加密算法RC4为例,出口至我国的软件产品(如IE等)采用的密钥长度为40位,而其国内在电子商务应用中采用的密钥强度最少都为128位。由于安全加密算法本身是公开的,其安全性只能唯一由密钥长度决定,因而国内软件系统若直接采用进口安全产品,其安全性将大打折扣,在对安全性有较高要求的特殊部门,更是不能使用。鉴于此,我国政府现在一方面强制命令政府网络系统必须严格与互联网络物理隔离;另一方面,明确地要求国外安全产品在进口时必须向我国政府提供源代码,这一问题目前还在讨论中,估计短期内不会有明确进展。因此,对于国内的计算机网络用户,为维护自己的合法安全需求,在目前情况下,应尽量采用具有国内自主知识产权的技术与产品;对于不得不采用的进口基础操作系统,也应尽快寻找可以替换其安全模块的国产软件,事实上,包括格方网络安全公司在内的一些对国内网络安全应用具有强烈忧患意识的技术单位,也已经在这方面做了大量工作并取得了相应的多项成果。 需采用的技术和产品 1 概述 VPN主要采用四项技术:一、隧道技术(Tunneling);二、加解密技术(Encryption & Decryption);三、密钥管理技术(Key Management);四、使用者与设备身份认证技术(Authentication)。从1995年起,IETF陆续公布了许多网络安全相关技术标准。这些标准统称为IPSec (IP Security)。IETF工作组目前已制定的与IPsec相关的RFC文档有RFC2104、RFC2401~RFC2409和RFC2451等。 与VPN相关的诸多协议中,最引人注目的两个协议是:L2TP与IPsec。其中IPSec提供LAN或远程客户到LAN的安全隧道,并已基本完成了标准化的工作;L2TP提供远程PPP客户到LAN的安全隧道,目前还处在不停的修改和调整阶段,相应RFC文档还一直没有出台,较新的草案是1999年5月的draft-IETF-pppext-L2TP-15.txt。由于L2TP协议是由Cisco、Ascend、Microsoft及3Com、原Bay等厂商共同制定的,因此,上述厂商现有的VPN设备已具有L2TP的互操作性。 2 隧道技术 隧道技术是为了将私有数据网络的资料在公众数据网络上传输,所发展出来的一种信息封装方式(Encapsulation),亦即在公众网络上建立一条秘密通道。隧道协议中最为典型的有GRE、IPsec、L2TP、PPTP、L2F等。其中GRE、IPsec属于第三层隧道协议,L2TP、PPTP、L2F属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装不同的数据包中传输的。 IPsec为第三层的隧道技术,专门为IP 所设计,不但符合现有IPv4的环境,同时也是IPv6的标准,它也是IEIF所制定的业界标准。PPTP与L2TP均为第二层的隧道技术,适合具有IP/IPX/AppleTalk等多种协议的环境。IPsec、PPTP、L2TP三者,最大的不同在于,运用IPsec技术,使用者可以同时使用Internet与VPN的多点传输功能(包括Internet/Intranet/Extranet/Remote Access 等),而PPTP及L2TP只能执行点对点VPN的功能,无法同时执行Internet的应用,使用时较不方便。 与第二层VPN相比,第三层的IPSec从1995年以来得到了一致的支持,报文安全封装ESP和报文完整性认证AH的协议框架已趋成熟。密钥交换协议IKE已经增加了椭圆曲线密钥交换协议。由于IPSec必须在端系统OS内核的IP层或节点网络设备的IP层实现,所以IPSec的密钥管理协议,特别是与PKI的交互问题是IPSec需要进一步完善的问题。 3 加解密技术 信息加解密技术具有非常久远的历史,在需要秘密通信的地方都用得到它。因为虚拟专用网络建筑在Internet公众数据网络上,为确保私有资料在传输过程中不被其他人浏览、窃取或篡改,所有的数据包在传输过程中均需加密,当数据包传送到专用数据网络后,再将数据包解密。加解密的作用是保证数据包在传输过程中即使被窃听,黑客只能看到一些封锁意义的乱码。如果黑客想看到数据包内的资料,他必须先破解用于加密该数据包的密钥(Encryption Key)。随着加密技术与密钥长度的不同,破解密钥所需的设备与时间有显著不同。表2.1给出了密码学专家Jalal Feghhi等人98年9月给出的DES加密密钥长度与抗攻击情况的分析报告。(详见附录一) 表2.1 密钥位数与破解时间的关系(DES算法) 密钥长度(位) 个人攻击 小组攻击 院、校网络攻击 大公司 军事情报机构 40 数周 数日 数小时 数毫秒 数微秒 56 数百年 数十年 数年 数小时 数秒钟 64 数千年 数百年 数十年 数日 数分钟 80 不可能 不可能 不可能 数百年 数百年 128 不可能 不可能 不可能 不可能 数千年 按密钥个数不同,加解密技术可概分为两大类,一为对称式密码学(Symmetric Cryptography),有时又称密钥式密码学(Secret-key Cryptography);另一种为非对称式密码学(Asymmetric Cryptography),又称公用钥匙密钥学(Public-key Cryptography)。对称式的加解密技术,加解密使用同一把密钥,大家熟知的DES,RC4,RC5等即为对称式的加密技术。非对称式的加解密技术,加解密使用不同的密钥,其中以RSA最常被采用。由于对称式密码算法的运算速度较非对称式密码演算法快约2~3个数量级,所以目前大多采用对称算法来做通信加解密,而非对称算法用于密钥管理,实现的是一种混合(Hybird)算法,如格方网络安全公司和VPN的设备厂商VPNet Technologies Inc.就都是采用采用这种方式来实现网络上密钥交换与管理。这种方式不但可提供较快的传输速度,也有更好的保密功能。 4 密钥管理技术 黑客若想解读数据包,必需先破解加解密所用的密钥(Key)。如果无法截取密钥,通常就只能使用穷举法来破解,在密钥很长时,这种破解方式基本上不会有结果。目前为安全起见,通常使用一次性密钥技术,即对于一次指定会话,通信双方需为此次会话协商加解密密钥后才能建立安全隧道。这有时就要求密钥要在网络上传输,增加了不安全因素。密钥管理(Key Management)的主要任务就是来保证在开放网络环境中安全地传输密钥而不被黑客窃取。现行常用密钥管理的技术又可分为SKIP(Simple Key Management for IP)与ISAKMP/Oakley(又称为IKE)两种。SKIP是由SUN所发展的技术,主要是利用Diffie-Hellman密钥交换算法在网络上传输密钥的一种技术。ISAKMP/Oakley亦然,并且将来ISAKMP/Oakley会整合于IPv6中,成为IPv6的标准之一。 5 身份认证技术 网络上的用户与设备都需要确定性的身份认证,这是VPN需要解决的首要问题。错误的身份认证将导致整个VPN的失效,不管其其他安全设施有多严密。辨认合法使用者的方法很多,但常规用户名密码方式(PAP)显然不能提供足够的安全保障。格方网络安全身份认证技术通过改进标准CHAP协议(ECHAP),通过强双因子方式实现更为安全的用户身份认证,仅在用户同时拥有合法的两因子(包括一个物理因子,用户的身份信息,如数字证书等,可以方便地存于其中)的情况下才可通过,同时还创造性地实现了服务器端用户秘密信息的安全保护,是拥有完全自主版权的崭新技术与产品。 对于设备的认证通常需依赖数字证书签发中心(Certificate Authority)所发出的符合X.509规范的标准数字证书(Certificate)。设备间交换资料前,须先确认彼此的身份,接着出示彼此的数字证书,双方将此证书比对,如果比对正确,双方才开始交换资料,反之,则不交换。 6 格方网络安全防护系统 --- 威赛盾(VPSec) 6.1 VPSec原理简介 按ISO OSI标准七层网络体系结构来看,对于网上信息的传输,原则上,采用越底层的加解密方式越安全。数据链路层直接位于物理媒体层之上,任何内部网络和外部网络之间传输的数据都不可能绕过这一层而进出系统,因此直接在这一层对数据包做安全处理将能够保证安全处理的完备性。同时,由于链路层处于操作系统的内核,相应安全程序模块是操作系统的一部分,在系统启动时就被加载且在系统运行过程中不能被篡改,因而可以保证程序自身的安全性与稳定性。 格方公司开发的威赛盾(VPSec)系列产品正是基于这一出发点而开展工作的。威赛盾使用内核技术开发,具体层次在网络设备卡之上,协议层之下。图2.2显示了VPSec在Windows NT网络系统结构模型中的位置。可以看到VPSec所在层面将能够保证所有网络进出数据都必须经过,因而避免了可能存在的系统安全后门,保证了安全系统的完备性。 与常规IPSec协议不同的是,VPSec更考虑我国目前的具体应用环境而做了特殊的改进。首先,VPSec支持更强的安全通信。由于完全自主开发,拥有全部源代码,VPSec可以采用任意强度的安全加密方法,引进国产加密算法、密钥甚至加解密硬件设备,充分保证通信的安全性 #p#分页标题#e#
