安全加密路由器浅析
21 世 纪 即 将 到 来, 互 联 网 的 热 潮 冲 击 着 整 个 世 界。 所 有 发 达 国 家 都 已 建 成 了 多 个、 多 种 国 家 级 的 计 算 机 网 络, 并 互 联 成 覆 盖 全 球 的 计 算 机 网 络。 据 统 计 入 网 主 机 数 量 超 过4000 万 台, 连 入 的 计 算 机 子 网 已 达60 多 万 个,Internet 迅 速 商 业 化 并 在 社 会 中 大 量 应 用, 它 已 成 为 现 代 社 会 的 重 要 信 息 基 础 设 施 之 一。
----随 着Internet 技 术 的 迅 猛 发 展, 网 络 规 模 不 断 扩 大, 网 络 结 构 更 加 复 杂。 目 前, 组 建 大 型 计 算 机 信 息 网 络 的 关 键 技 术 是TCP/IP 网 络 互 联 和 路 由 器 技 术, 特 别 是 在Internet 中, 路 由 器 起 着 重 要 的 作 用。 着 眼 于 国 家 信 息 安 全,1997 年“ 国 务 院 信 息 化 工 作 领 导 小 组 办 公 室” 提 出 了 国 际 联 网 安 全 研 究 项 目, 在 网 络 安 全 关 键 设 备 和 网 络 安 全 关 键 技 术 两 类10 多 个 课 题 中, 就 包 括 了 国 产 安 全( 加 密) 路 由 器 设 备 的 研 究。
----当 前, 国 内 市 场 所 流 通 的( 包 括 国 产 的 和 国 外 的) 几 乎 都 是“ 普 通 路 由 器” 和“ 不 具 有 加 密 功 能 的 安 全 路 由 器”。 这 些 路 由 器 有 的 只 有 路 由 功 能 而 没 有 安 全、 加 密 功 能; 有 的 只 增 加 了 包 过 滤 功 能。 下 面 我 们 要 讨 论 集 常 规 路 由 器 和 安 全、 加 密 功 能 于 一 体 的 内 嵌 式“ 安 全( 加 密) 路 由 器”。
解 决 的 主 要 问 题
----网 络 已 从 单 个 的、 封 闭 的 计 算 机 网 发 展 为 开 放 的 互 联 网。 并 由 此 带 来 以 下 变 化:
----封 闭 网 到 开 放 网: 社 会 的 发 展 和 人 们 工 作、 生 活 的 需 求, 是 网 络 技 术 发 展 的 动 力; 网 络 技 术 的 发 展 又 进 一 步 刺 激 着 人 们 工 作、 生 活 模 式 的 变 更。 单 个 的Intranet 网 在 很 多 情 况 下 已 不 能 满 足( 或 不 能 很 好 地 满 足) 人 们 工 作 和 生 活 的 需 要, 网 络 由 封 闭 走 向 互 联 和 开 放 已 成 趋 势。
----集 团 通 信 到 个 人 通 信: 以 前, 计 算 机 网 络 通 信 几 乎 都 是 集 团( 部 门、 单 位、 企 业 等) 的 行 为, 个 人 行 为 是 微 乎 其 微 的。 随 着 网 络 技 术 的 发 展 和 人 们 工 作、 生 活 等 各 方 面 需 求 的 变 更, 个 人 通 信 在 增 加, 所 占 比 例 越 来 越 大。
----有 中 心 网 到 无 中 心 网: 从 网 络 体 系 来 讲, 封 闭 的Intranet 网 是 有 中 心 网( 一 级 网、 二 级 网 等); 而 互 联 网 属 无 中 心 网, 网 络 之 间 可 以 自 由 通 信、 自 由 交 互、 自 由 往 来。
----网 络 安 全 问 题 更 加 突 出: 由 于 互 联 网 是 无 中 心 网, 网 络 之 间 可 以 自 由 通 信、 自 由 交 互、 自 由 往 来, 因 此, 网 络 安 全 问 题 更 加 突 出。 如 何 保 证 网 络 设 备 自 身 的 安 全 以 及 存 储 在 其 上 或 通 过 其 传 输 的 敏 感 信 息 的 安 全, 就 成 为 必 须 解 决 的 问 题。
----安 全( 加 密) 路 由 器 是 保 证 互 联 网( 同 时 也 包 括Intranet 和 Extranet ) 信 息 安 全 的 关 键 设 备 之 一, 它 需 要 解 决 的 主 要 问 题 是:
----防 止 虚 假 路 由 信 息 的 接 收 和 路 由 器 的 非 法 接 入
----发 送 虚 假 路 由 信 息, 使 路 由 器 路 由 混 乱、 阻 塞, 从 而 导 致 网 络 瘫 痪 是 黑 客 可 用 的 手 段 之 一, 黑 客 也 常 常 将“ 自 制 路 由 器” 接 入 到 网 络 之 中。 安 全( 加 密) 路 由 器 应 当 对 路 由 器 具 有 鉴 别 功 能, 能 够 阻 止 路 由 器 的 非 法 接 入。 在 Intranet/Extranet 网 中 需 要 解 决 和 保 证 虚 假 路 由 信 息 的 辨 认, 对 虚 假 路 由 信 息 拒 收。
----防 止 非 授 权 人 员 的 入 侵
----非 授 权 人 员, 从 路 由 器 的 操 作 系 统 入 手, 从“ 后 门” 侵 入 路 由 器, 从 而 更 改 路 由 表 或 窃 取 有 用 信 息, 是 需 要 特 别 加 以 防 范 的。
----对 路 由 信 息 和IP 数 据 报 的 加 密 保 护
----路 由 器 是 网 络 的 转 接 设 备, 它 不 断 地 接 收 和 发 送 路 由 信 息 和IP 数 据 报。 因 此, 路 由 信 息 和 敏 感 的IP 数 据 报 的 安 全 保 护 就 成 为 极 其 重 要 的 问 题。 安 全( 加 密) 路 由 器 应 当 具 有 对 路 由 信 息 和 敏 感IP 数 据 报 的 加 密 保 护 功 能。 它 涉 及 加 密 算 法、 密 钥、 数 据 完 整 性 和 数 字 签 名 等 问 题。
----加 密 算 法 的 选 择: 出 于 对 国 家 信 息 安 全 的 考 虑 和 对 国 外 安 全 产 品 是 否 留 有“ 陷 门” 的 忧 虑, 并 遵 守 国 家 有 关 政 策、 法 规, 设 备 应 当 选 择 我 国 有 关 部 门 批 准 的 加 密 算 法。 在 进 行 加 密 作 业 时, 则 尽 量 做 到 一 次 一 密。
----密 钥 的 管 理: 密 钥 是 加 密 作 业 中 最 活 跃 的 因 素, 所 谓“ 一 次 一 密”, 简 言 而 之, 就 是 每 次 加 密 所 用 的 密 钥 互 不 相 同。 因 此, 从 某 种 意 义 上 说, 保 密 的 关 键 是 密 钥, 它 应 考 虑 以 下 几 个 方 面: 密 钥 种 子、 密 钥 的 随 机 性; 密 钥 的 种 类 和 层 次; 密 钥 长 度; 密 钥 生 成 算 法 的 复 杂 度; 密 钥( 含 密 钥 生 成 算 法 及 密 钥 自 身) 保 护; 密 钥 的 存 储、 传 输、 更 换 和 废 除 以 及 密 钥 的 管 理 方 式 等。
----数 据 完 整 性 验 证: 严 密 的 设 计 应 当 考 虑 IP 数 据 报 完 整 性 验 证, 当 然, 也 可 以 对 传 送 的 密 钥 做 完 整 性 验 证, 或 者 两 者 都 做。 在 某 些 应 用 环 境 或 考 虑 到 某 些 因 素 的 情 况 下, 也 可 以 不 进 行 数 据 完 整 性 验 证。
----数 字 签 名: 这 是 对 发 报 者 的 确 认, 也 是 发 报 者 自 身 严 肃 性 的 体 现。 采 用 加 密 技 术 做 数 字 签 名, 对 很 多 作 业 来 说 是 需 要 的。 但 同 数 据 完 整 性 验 证 一 样, 在 某 些 应 用 环 境 或 考 虑 到 某 些 因 素 的 情 况 下, 也 可 以 不 进 行 数 字 签 名。
----复 杂 网 络 加 密 的 正 确 性 和 系 统 的 可 用 性
----这 是 指 解 决 多 个 路 由 器、 一 次 一 密 的 情 况 下, 相 互 通 信( 一 对 多) 的 正 确 性。
----由 于 加 密 是 一 个 完 整 的 流 程, 相 对 不 加 密 来 说, 必 然 也 必 须 附 加 一 些 动 作, 因 此, 效 率 的 降 低( 甚 至 是 明 显 的 降 低) 也 是 必 然 的。 一 方 面, 要 尽 量 使 所 设 计 的 安 全( 加 密) 路 由 器 机 制 效 率 更 高; 再 者, 要 对 系 统 进 行 综 合 考 虑, 在 保 密 和 效 率 之 间 进 行 权 衡。
内 嵌 式 设 计 框 架
----对 安 全( 加 密) 路 由 器 的 设 计, 这 里 不 展 开 叙 述, 只 是 讨 论 它 的 设 计 框 架。
----产 品 定 位( 功 能 设 计)
----路 由 器 和 安 全 加 密 模 件 有 机 集 成 内 嵌 式 的 安 全( 加 密) 路 由 器, 这 样 的 路 由 器 具 有 以 下 功 能 和 特 点:
----1 内 嵌 式 体 系 结 构
----将 加 密 模 件 放 在 路 由 器 里, 路 由 器 与 加 密 模 件 集 成 为 一 体, 进 行 内 部 交 互。 这 与 路 由 器 外 挂 加 密 机 的 外 挂 式 体 系 结 构 有 着 明 显 的 区 别。
----保 密 性: 一 般 来 说, 内 嵌 式 路 由 器 结 构 较 外 挂 式 好。 路 由 器 大 都 设 有 多 个( 低 端 路 由 器 为2 ~3 个) 广 域 口, 外 挂 式 解 决 多 个 广 域 口 的 保 密 问 题 比 较 复 杂, 内 嵌 式 相 对 来 说 要 简 单 一 些; 再 者, 外 挂 式 的 加 密 在 路 由 器 外 部 进 行, 内 嵌 式 的 加 密 是 在 路 由 器 内 部 进 行 的; 第 三, 内 嵌 式 比 外 挂 式 较 为 容 易 实 现 一 次 一 密。
----灵 活 性: 内 嵌 式 可 以 由 用 户 自 行 设 置 要 加 密 的 客 户 机 和( 或) 服 务 器, 而 外 嵌 式 则 对 经 过 路 由 器 的 所 有 客 户 机 和 服 务 器 的IP 数 据 报 都 要 加 密; 从 密 钥 管 理 来 看, 内 嵌 式 亦 较 外 挂 式 优 越, 在 设 置 分 布 式 密 钥 管 理 机 制 情 况 下, 可 不 专 设 密 钥 管 理 中 心。
----经 济 性: 由 于 内 嵌 式 是 将 加 密 模 件 集 成 到 路 由 器 里, 而 不 是 像 外 挂 式 那 样, 做 成 一 台 独 立 的 机 器, 因 此, 成 本 较 低; 第 二, 设 计 成 分 布 式 密 钥 管 理 时, 可 不 加 配 密 钥 管 理 中 心, 系 统 集 成 比 较 经 济。
----效 率: 内 嵌 式 安 全( 加 密) 路 由 器 的 加 密 模 件 集 成 在 安 全( 加 密) 路 由 器 里, 可 以 将 加 密 做 成 硬 件, 和 路 由 器 进 行 内 部 交 互( 这 种 交 互 是 比 较 多 的) 连 接, 加 密 速 度 较 快; 另 外, 采 用 分 布 式 密 钥 管 理 机 制, 不 用 与 密 钥 管 理 中 心 进 行 交 互。 因 此, 内 嵌 式 的 效 率 一 般 来 说 要 比 外 挂 式 高。
----2 加 密 算 法 和 密 钥
----这 是 一 个 敏 感 而 又 重 要 的 问 题, 必 须 按 国 家 的 有 关 政 策 和 法 规 办 事。
----加 密 算 法: 采 用 经 过 国 家 密 码 管 理 部 门 批 准 的 多 种 加 密 算 法。
----密 钥: 多 级、 多 种 密 钥; 主、 副 密 钥 机 制, 一 次 一 密; 分 布 式 密 钥 管 理, 不 另 设 密 钥 管 理 中 心, 具 有 密 钥 灵 活 配 置 和 自 动 更 换 功 能。
----3 加 密
----实 现 对 路 由 信 息 和IP 数 据 报 的 加 密( 具 有 节 点 加 密 机 功 能);
----具 有 路 由 器 的 身 份 鉴 别 功 能;
----用 户 自 行 配 置 要 加 密IP 数 据 报 的 客 户 机 和( 或) 服 务 器。
----4 其 他 特 点
----支 持 数 据 完 整 性 验 证 和 数 字 签 名; 支 持 通 用 的 安 全 保 密 框 架IPSec、 隧 道 技 术 和VPN( 虚 拟 专 网) 构 建。
---- 加 密 机 制 设 计
----基 于 加 密 技 术 的 路 由 器 身 份 鉴 别 机 制 的 设 计, 包 括: 消 息 密 钥 的 生 成、 工 作 密 钥 的 生 成、 密 钥 的 加 密 传 送、IP 报 加 密、 数 据 完 整 性 验 证 以 及 数 字 签 名 等。
----硬 件 接 口 设 计
----该 设 计 包 括 路 由 器 与 加 密 模 件 的 连 接 方 法、
----硬 件 连 接 信 号 及 交 互 方 式 的 确 定。
----软 件 接 口 设 计
----该 设 计 包 括 路 由 器 与 加 密 模 件 的 连 接 方 式、 连 接 函 数 的 设 计、 控 制 命 令 的 设 计 等。
----安 全 防 护 设 计
----这 主 要 指 加 密 模 件 自 身 安 全 防 护 的 设 计, 包 括: 加 密 算 法 正 确 性 验 证、 加 密 算 法 存 放 的 安 全 性、 密 钥 的 安 全 性、 异 常 情 况 处 理 以 及 物 理 防 范 措 施 等。
应 用 建 议
----本 节 主 要 讨 论 安 全( 加 密) 路 由 器 的 用 途。 通 过 下 面 的 应 用 建 议, 我 们 将 可 以 了 解 到, 安 全( 加 密) 路 由 器 不 仅 是 一 台 安 全 路 由 器, 而 且 是 一 台“ 节 点 加 密 机”, 它 支 持 隧 道 加 密 方 式, 并 可 以 方 便 地 构 建VPN( 虚 拟 专 网), 对 两 个 网 段( 可 以 跨 广 域 网/ 互 联 网) 客 户/ 服 务 器 之 间 传 输 的 敏 感 信 息 进 行 加 密 保 护。
----组 成Intranet 网
----全 部 使 用 安 全( 加 密) 路 由 器, 可 以 组 成 Intranet 网。
-与 普 通 路 由 器 互 联 组 网
----安 全( 加 密) 路 由 器 可 以 与 普 通 路 由 器 互 联 组 网, 当 与 普 通 路 由 器 通 信 时, 自 动 屏 蔽 加 密 功 能。
----对 指 定 的 服 务 器/ 客 户 机 的IP 数 据 报 加 密
----由 用 户 自 行 配 置 要 加 密 的 服 务 器/ 客 户 机, 协 议 支 持TELNET、E-mail、FTP、WWW 等。
----① Intranet
----在 安 全( 加 密) 路 由 器 的 配 置 表 上, 将S 和 W 配 置 为 加 密 状 态, 此 时,S 和W 经 过 安 全 路 由 器 传 送 出 去 的IP 数 据 报 均 被 加 密, 防 止 了 敏 感 数 据 的 泄 露。 而 未 被 配 置 成 加 密 状 态 的S/W, 经 过 安 全 路 由 器 传 送 出 去 的IP 数 据 报 均 不 做 加 密, 这 就 起 到 节 点 加 密 的 作 用。
----② 跨 普 通 路 由 器 或 广 域/ 互 联 网 到 安 全( 加 密) 路 由 器( 目 标) 的 连 接
----从 安 全( 加 密) 路 由 器 发 送 出 去 的 被 加 密 的IP 数 据 报 可 以 透 明 地 穿 过 普 通 路 由 器 和 广 域 网/Internet, 到 达 目 标 安 全( 加 密) 路 由 器 解 密 目 标 点。 此 时, 传 输 过 程 中 间 传 送 的IP 数 据 报 均 为 加 密 的, 防 止 了 敏 感 信 息 的 泄 露。
----支 持 隧 道 加 密 方 式, 隐 蔽S/W 的IP 地 址
----安 全( 加 密) 路 由 器 支 持 隧 道 加 密 方 式。 在 这 种 情 况 下, 可 对S/W 原IP 地 址 进 行 加 密, 隐 蔽S/W 的 原IP 地 址。
----构 建VPN
----VPN( 虚 拟 专 网) 实 际 上 是 跨 公 网( 例 如 Internet) 的 私 网。 加 密 技 术 和 隧 道 技 术 是 构 建VPN(IP VPN) 的 基 本 技 术 和 形 式, 加 密 技 术 提 供 了 传 送 数 据 的 安 全 保 护, 隧 道 技 术 则 可 以 在 国 际 标 准 化 组 织(ISO) 规 定 的 网 络 层 上 实 现 与 IP 协 议 兼 容, 同 时 隐 蔽Intranet 专 用 的IP 地 址。