通馋电潦敬幕 2013年7月25日第3O卷第4期 Telecom Power Technology July 25.2013,Vo1.30 N0.4 文章编号:1009—3664(2O13)04一()(】96—03 ≤德漆汹 量 信息网络安全防范技术的应用 李光明 (西安政治学院,陕西西安710068) 摘要:文中就信息网络安全内涵发生的根本变化,论述了网络防火墙安全技术的分类、主要技术特征及部署原则;并 就信息交换加密技术的分类及RSA算法进行分析。针对PKI技术这一信息安全核心技术,论述了其安全体系的构成。 其可以用于中心内部各级网络的安全防范,有效防止恶意攻击及失泄密事件的发生。 关键词:网络安全;防火墙;技术特征;PKI技术 中图分类号:TP315 文献标识码:A Application of the Information Network Security Technology LI Guang-ming (Xfan Politics Institute,Xi'an 710068,China) Abstract:The information network security has fundamental changed,this paper discussed the classification of the network firewall security technology,the main technical characteristics and the principles of deployment,and analyzed the classification of the information exchange encryption technology and RSA algorithm.PKI technology as the core of the in— formation security technology,this article discussed the composition of its security system.It can be used for the security of each 1eve1 for the centra1 internal network,to effectively prevent malicious attacks and lose or leak secret events. Key words:network security;firewall;technical characteristics;PKI technology 网络安全产品有以下几大特点:第一,网络安全来 源于安全策略与技术的多样化,如果采用一种统一的 技术和策略也就不安全了;第二,网络的安全机制与技 术要不断地变化;第三,随着网络在社会各方面的延 伸,进人网络的手段也越来越多。因此,网络安全技术 是一个十分复杂的系统工程。 法防范数据驱动型的攻击。 防火墙处于5层网络安全体系中的最底层,属于 网络层安全技术范畴。如果所有的IP都能访问到内 部网络系统,则说明该内部网络还没有在网络层采取 相应的防范措施。 作为内部网络与外部公共网络之间的第一道屏 1 防火墙 网络防火墙技术是一种用来加强网络之间访问控 制,防止外部网络用户以非法手段通过外部网络进入 内部网络,访问内部网络资源,保护内部网络操作环境 的特殊网络互联设备。它对两个或多个网络之间传输 的数据包如链接方式按照一定的安全策略来实施检 查,以决定网络之间的通信是否被允许,并监视网络运 行状态。 目前的防火墙产品主要有堡垒主机、包过滤路由 器、应用层网关(代理服务器)以及电路层网关、屏蔽主 机防火墙、双宿主机等类型。 障,防火墙是最先受到人们重视的网络安全产品之一。 虽然从理论上看,防火墙处于网络安全的最底层,负责 网络间的安全认证与传输,但随着网络安全技术的整 体发展和网络应用的不断变化,现代防火墙技术已经 逐步走向网络层之外的其他安全层次,不仅要完成传 统防火墙的过滤任务,同时还能为各种网络应用提供 相应的安全服务。另外还有多种防火墙产品正朝着数 据安全与用户认证、防止病毒与黑客侵入等方向发展。 根据防火墙所采用的技术不同,可以将它分为四 种基本类型:包过滤型、网络地址转换一NAT、代理型 和监测型。 虽然防火墙是目前保护网络免遭黑客袭击的有效 手段,但也有明显不足:无法防范通过防火墙以外的其 它途径的攻击,不能防止来自内部用户带来的威胁,也 不能完全防止传送已感染病毒的软件或文件,以及无 1.1 包过滤型 包过滤型产品是防火墙的初级产品,其技术依据 是网络中的分包传输技术。网络上的数据都是以“包” 为单位进行传输的,数据被分割成为一定大小的数据 包,每一个数据包中都会包含一些特定信息,如数据的 源地址、目标地址、TCP/UDP源端口和目标端口等。 防火墙通过读取数据包中的地址信息来判断这些“包” 是否来自可信任的安全站点?一旦发现来自危险站点 的数据包,防火墙便会将这些数据拒之门外。系统管 收稿日期:2013—03—01 作者简介:李光明(1959一),男,陕西西安人,毕业于西安电子科 技大学,现为西安政治学院网络管理中心高级工程师,研究方 向:信息网络技术。 通 20 13年7月2潦曼术 竹.5日第30卷第4 期 , 李光明:信息网络安全防范技术的应用…… ………~ …一 …~ JTelecom Power Technology uly 25,2013,Vo1.30 No.4 理员也可以根据实际情况灵活制订判断规则。 经超越了最初的防火墙定义。监测型防火墙能够对各 层的数据进行主动的、实时的监测,在对这些数据加以 分析的基础上,监测型防火墙能够有效地判断出各层 中的非法侵入。同时,这种监测型防火墙产品一般还 带有分布式探测器,这些探测器安置在各种应用服务 包过滤技术的优点是简单实用,实现成本较低,在 应用环境比较简单的情况下,能够以较小的代价在一 定程度上保证系统的安全。 一但包过滤技术的缺陷也是明显的。包过滤技术是 种完全基于网络层的安全技术,只能根据数据包的 来源、目标和端口等网络信息进行判断,无法识别基于 应用层的恶意侵入,如恶意的Java小程序以及电子邮 器和其他网络的节点之中,不仅能够检测来自网络外 部的攻击,同时对来自内部的恶意破坏也有极强的防 范作用。据权威机构统计,在针对网络系统的攻击中, 件中附带的病毒。有经验的黑客很容易伪造IP地址, 骗过包过滤型防火墙。 1.2 网络地址转化一NAT 网络地址转换是一种用于把IP地址转换成临时 的、外部的、注册的IP地址标准。它允许具有私有IP 地址的内部网络访问因特网。它还意味着用户不需要 为其网络中每一台机器取得注册的IP地址。在内部 网络通过安全网卡访问外部网络时,将产生一个映射 记录。系统将外出的源地址和源端口映射为一个伪装 的地址和端口,让这个伪装的地址和端口通过非安全 网卡与外部网络连接,这样对外就隐藏了真实的内部 网络地址。在外部网络通过非安全网卡访问内部网络 时,它并不知道内部网络的连接情况,而只是通过一个 开放的IP地址和端口来请求访问。OLM防火墙根据 预先定义好的映射规则来判断这个访问是否安全。当 符合规则时,防火墙认为访问是安全的,可以接受访问 请求,也可以将连接请求映射到不同的内部计算机中。 当不符合规则时,防火墙认为该访问是不安全的,不能 被接受,防火墙将屏蔽外部的连接请求。网络地址转 换的过程对于用户来说是透明的,不需要用户进行设 置,用户只要进行常规操作即可。 1.3代理型 代理型防火墙也被称为代理服务器,它的安全性 要高于包过滤型产品,并已经开始向应用层发展。代 理服务器位于客户机与服务器之间,完全阻挡了二者 间的数据交流。从客户机来看,代理服务器相当于一 台真正的服务器;而从服务器来看,代理服务器又是一 台真正的客户机。当客户机需要使用服务器上的数据 时,首先将数据请求发给代理服务器,代理服务器再根 据这一请求向服务器索取数据,然后再由代理服务器 将数据传输给客户机。由于外部系统与内部服务器之 间没有直接的数据通道,外部的恶意侵害也就很难伤 害到内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用 层进行侦测和扫描,对付基于应用层的侵入和病毒都十 分有效。其缺点是对系统的整体性能有较大的影响,而 且代理服务器必须针对客户机可能产生的所有应用类 型逐一进行设置,大大增加了系统管理的复杂眭。 1.4监测型 监测型防火墙是新一代的产品,这一技术实际已 有相当比例的攻击来自网络内部。因此,监测型防火 墙不仅超越了传统防火墙的定义,而且在安全性上也 超越了前两代产品。 虽然监测型防火墙安全性上已超越了包过滤型和 代理服务器型防火墙,但由于监测型防火墙技术的实 现成本较高,也不易管理,所以目前在使用中的防火墙 产品仍然以第二代代理型产品为主,但在某些部门也 已经开始使用监测型防火墙。基于对系统成本与安全 技术成本的综合考虑,用户可以选择性地使用某些监 测型技术。这样既能够保证网络系统的安全性需求, 同时也能有效地控制安全系统的总拥有成本。 2加密技术 信息交换加密技术分为两类:即对称加密和非对 称加密。 2.1对称加密技术 在对称加密技术中,对信息的加密和解密都使用 相同的密钥,也就是说一把钥匙开一把锁。这种加密 方法可简化加密处理过程,信息交换双方都不必彼此 研究和交换专用的加密算法。如果在交换阶段私有密 钥未曾泄露,那么机密性和报文完整性就可以保证。 对称加密技术也存在一些不足,如果交换一方有N个 交换对象,那么它就要维护N个私有密钥,对称加密 存在的另一个问题是双方共享一把私有密钥,交换双 方的任何信息都是通过这把密钥加密后传送给对方 的。如三重DES是DES(数据加密标准)的一种变形, 这种方法使用两个的56位密钥对信息进行3次 加密,从而使有效密钥长度达到112位。 2.2非对称加密/公开密钥加密 在非对称加密体系中,密钥被分解为一对(即公开 密钥和私有密钥)。这对密钥中任何一把都可以作为 公开密钥(加密密钥)通过非保密方式向他人公开,而 另一把作为私有密钥(解密密钥)加以保存。公开密钥 用于加密,私有密钥用于解密,私有密钥只能由生成密 钥的交换方掌握,公开密钥可广泛公布,但它只对应于 生成密钥的交换方。非对称加密方式可以使通信双方 无须事先交换密钥就可以建立安全通信,广泛应用于 身份认证、数字签名等信息交换领域。非对称加密体 系一般是建立在某些已知的数学难题之上,是计算机 复杂性理论发展的必然结果。最具有代表性是RSA CiL镶电潦技术 2013年7月25日第30卷第4期 Telecom Power Technology July 25,2013,Vo1.30 No.4 公钥密码。 2.3 liSA算法 RSA算法是Rivest、Shamir和Adleman于1977 年提出的第一个完善的公钥密码,其安全性是基 于分解大整数的困难性。在RSA中使用了这样 一个基本事实:到目前为止,无法找到一个有效的算法 来分解两大素数之积。RSA算法的描述如下: 公开密钥: =Pq(P、q分别为两个互异的大素数, p、q必须保密) e与(P一1)(q一1)互素 私有密钥:d=e一1{mod( 一1)(q一1)) 加密:c=me(mod 72),其中m为明文,c为密文 解密:D,t=cd(mod ) 利用目前已经掌握的知识和理论,分解2048bit 的大整数已经超过了64位计算机的运算能力,因此在 目前和可预见的将来,它是足够安全的。 3 PKI技术 PKI(Pub1ie Key Infrastucture)技术就是利用公 钥理论和技术建立的提供安全服务的基础设施。PKI 技术是信息安全技术的核心,也是电子商务的关键和 基础技术。由于通过网络进行的电子商务、电子政务、 电子事务等活动缺少物理接触,因此使得用电子方式 验证信任关系变得至关重要。而PKI技术恰好是一 种适合电子商务、电子政务、电子事务的密码技术,他 能够有效地解决电子商务应用中的机密性、真实性、完 整性、不可否认性和存取控制等安全问题。一个实用 的PKI体系应该是安全易用、灵活经济的。它必须充 分考虑互操作性和可扩展性。它是认证机构(CA)、注 册机构(RA)、策略管理、密钥(Key)与证书(Certifi— cate)管理、密钥备份与恢复、撤消系统等功能模块的 有机结合。 3.1 认证机构 CA(Certification Authorty)就是这样一个确保信 任度的权威实体,它的主要职责是颁发证书、验证用户 身份的真实性。由CA签发的网络用户电子身份证 明一证书,任何相信该CA的人,按照第三方信任原 则,也都应当相信持有证明的该用户。CA也要采取 一系列相应的措施来防止电子证书被伪造或篡改。构 建一个具有较强安全性的CA是至关重要的,这不仅 与密码学有关系,而且与整个PKI系统的构架和模型 有关。此外,灵活也是CA能否得到市场认同的一个 关键,它不需支持各种通用的国际标准,能够很好地和 其他厂家的CA产品兼容。 3.2注册机构 RA(Registration Authorty)是用户和CA的接 口,它所获得的用户标识的准确性是CA颁发证书的 基础。RA不仅要支持面对面的登记,也必须支持远 程登记。要确保整个PKI系统的安全、灵活,就必须 设计和实现网络化、安全的且易于操作的RA系统。 3.3策略管理 在PKI系统中,制定并实现科学的安全策略管理 是非常重要的,这些安全策略必须适应不同的需求,并 且能通过CA和RA技术融人到CA和RA的系统实 现中。同时,这些策略应该符合密码学和系统安全的 要求,科学地应用密码学与网络安全的理论,并且具有 良好的扩展性和互用性。 3.4密钥备份和恢复 为了保证数据的安全性,应定期更新密钥和恢复 意外损坏的密钥,设计和实现健全的密钥管理方案,保 证安全的密钥备份、更新、恢复,也是关系到整个PKI 系统强健性、安全性、可用性的重要因素。 3.5证书管理与撤消系统 证书是用来证明证书持有者身份的电子介质,它 是用来绑定证书持有者身份和其相应公钥的。通常, 这种绑定在已颁发证书的整个生命周期里是有效的。 但是,有时也会出现一个已颁发证书不再有效的情况, 这就需要进行证书撤消,证书撤消的理由是各种各样 的,可能包括工作变动到对密钥怀疑等一系列原因。 证书撤消系统的实现是利用周期性的发布机制撤消证 书或采用在线查询机制,随时查询被撤消的证书。 4安全技术的研究现状和动向 我国信息网络安全研究历经了通信保密、数据保护 两个阶段,正在进人网络信息安全研究和使用阶段,现 已开发研制出了防火墙、安全路由器、安全网关、黑客入 侵检i贝0、系统脆弱性扫描软件等。但因信息网络安全领 域是一个综合、交叉的学科领域,它综合利用数学、物 理、生化信息技术和计算机技术的诸多学科的长期积累 和最新发展成果,提出系统的、完整的和协同的解决信 息网络安全的方案。目前应从安全体系结构、安全协 议、现代密码理论、信息分析和监控以及信息安全系统 五个方面开展研究,各部分相互协同形成有机整体。 另外,电子商务的安全性已是当前人们普遍关注 的焦点,目前正处于研究和发展阶段,它带动了论证理 论、密钥管理等研究。由于计算机运算速度的不断提 高,各种密码算法面临着新的密码,如量子密码、 DNA密码、混沌理论等密码新技术正处于探索之中。 因此网络安全技术在21世纪将成为信息网络发展的 关键技术。 参考文献: [1]张亮.现代安全防范技术与应用EM].北京:电子工业 出版社,2010. [2]付萍,刘桂芝.安全防范技术应用[M].北京:清华大学 出版社,201 1.
