【文章內(nèi)容簡介】 PF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)進行認(rèn)證，由于摘要算法是一個不可逆的過程，因此，在認(rèn)證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網(wǎng)絡(luò)上傳輸。市場上主要采用的摘要算法有MD5和SHA1。 基于PKI的認(rèn)證 使用公開密鑰體系進行認(rèn)證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效率結(jié)合起來。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問、客戶認(rèn)證、防火墻驗證等領(lǐng)域。 該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。 VPN技術(shù) 企業(yè)對VPN 技術(shù)的需求 企業(yè)總部和各分支機構(gòu)之間采用CNFN網(wǎng)絡(luò)進行連接，由于CNFN為中國金融系統(tǒng)的公用網(wǎng)絡(luò)，因此，必須保證其安全性。我們將利用公共網(wǎng)絡(luò)實現(xiàn)的私用網(wǎng)絡(luò)稱為虛擬私用網(wǎng)(VPN)。 因為VPN利用了公共網(wǎng)絡(luò)，所以其最大的弱點在于缺乏足夠的安全性。企業(yè)網(wǎng)絡(luò)接入到CNFN，暴露出兩個主要危險：(1) 來自CNFN的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。(2) 當(dāng)企業(yè)通過CNFN進行通訊時，信息可能受到竊聽和非法修改。 完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在CNFN上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。 企業(yè)網(wǎng)絡(luò)的全面安全要求保證：(1) 保密通訊過程不被竊聽。(2) 通訊主體真實性確認(rèn)網(wǎng)絡(luò)上的計算機不被假冒。 數(shù)字簽名作為驗證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)。CA使用私有密鑰計算其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數(shù)字簽名從計算能力上是不可行的。 并且，如果消息隨數(shù)字簽名一同發(fā)送，對消息的任何修改在驗證數(shù)字簽名時都將會被發(fā)現(xiàn)。 通訊雙方通過DiffieHellman密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。DiffieHellman密鑰由CA進行驗證。 類 型技 術(shù)用 途基本會話密鑰DES加密通訊加密密鑰DeffHellman生成會話密鑰認(rèn)證密鑰RSA驗證加密密鑰表1 加密模式使用的密鑰技術(shù) 基于此種加密模式，需要管理的密鑰數(shù)目與通訊者的數(shù)量為線性關(guān)系。而其它的加密模式需要管理的密鑰數(shù)目與通訊者數(shù)目的平方成正比。 IPSEC IPSec作為在IP v4及IP v6上的加密通訊框架，已為大多數(shù)廠商所支持，預(yù)計在1998年將確定為IETF標(biāo)準(zhǔn)，是VPN實現(xiàn)的Internet標(biāo)準(zhǔn)。 IPSec主要提供IP網(wǎng)絡(luò)層上的加密通訊能力。該標(biāo)準(zhǔn)為每個IP包增加了新的包頭格式，Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協(xié)商(Security Association)。 Ipsec包含兩個部分： (1) IP security Protocol proper，定義Ipsec報文格式。 (2) ISAKMP/Oakley，負(fù)責(zé)加密通訊協(xié)商。 Ipsec提供了兩種加密通訊手段： Ipsec Tunnel：整個IP封裝在Ipsec報文。提供Ipsecgateway之間的通訊。 Ipsec transport：對IP包內(nèi)的數(shù)據(jù)進行加密，使用原來的源地址和目的地址。 Ipsec Tunnel不要求修改已配備好的設(shè)備和應(yīng)用，網(wǎng)絡(luò)黑客戶不能看到實際的的通訊源地址和目的地址，并且能夠提供專用網(wǎng)絡(luò)通過Internet加密傳輸?shù)耐ǖ?，因此，絕大多數(shù)均使用該模式。 ISAKMP/，因此，使VPN能夠容易地擴大到企業(yè)級。(易于管理)。 在為遠(yuǎn)程撥號服務(wù)的Client端，也能夠?qū)崿F(xiàn)Ipsec的客戶端，為撥號用戶提供加密網(wǎng)絡(luò)通訊。 由于Ipsec即將成為Internet標(biāo)準(zhǔn)，因此不同廠家提供的防火墻(VPN)產(chǎn)品可以實現(xiàn)互通。 應(yīng)用平臺安全 由于應(yīng)用系統(tǒng)的復(fù)雜性，有關(guān)應(yīng)用平臺的安全問題是整個安全體系中最復(fù)雜的部分。下面的幾個部分列出了在Internet/Intranet中主要的應(yīng)用平臺服務(wù)的安全問題及相關(guān)技術(shù)。 域名服務(wù) Internet域名服務(wù)為Internet/Intranet應(yīng)用提供了極大的靈活性。幾乎所有的網(wǎng)絡(luò)應(yīng)用均利用域名服務(wù)。 但是，域名服務(wù)通常為hacker提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。同時，新發(fā)現(xiàn)的針對BINDNDS實現(xiàn)的安全漏洞也開始發(fā)現(xiàn)，而絕大多數(shù)的域名系統(tǒng)均存在類似的問題。如由于DNS查詢使用無連接的UDP協(xié)議，利用可預(yù)測的查詢ID可欺騙域名服務(wù)器給出錯誤的主機名IP對應(yīng)關(guān)系。 因此，在利用域名服務(wù)時，應(yīng)該注意到以上的安全問題。主要的措施有： (1) 內(nèi)部網(wǎng)和外部網(wǎng)使用不同的域名服務(wù)器，隱藏內(nèi)部網(wǎng)絡(luò)信息。 (2) 域名服務(wù)器及域名查找應(yīng)用安裝相應(yīng)的安全補丁。 (3) 對付DenialofService攻擊，應(yīng)設(shè)計備份域名服務(wù)器。 病毒防護 病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。 我們將病毒的途徑分為： (1 ) 通過ftp，電子郵件傳播。 (2) 通過軟盤、光盤、磁帶傳播。 (3) 通過Web游覽傳播，主要是惡意的Java控件網(wǎng)站。 (4) 通過群件系統(tǒng)傳播。 病毒防護的主要技術(shù)如下： (1) 阻止病毒的傳播。 在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。 (2) 檢查和清除病毒。 使用防病毒軟件檢查和清除病毒。 (3) 病毒數(shù)據(jù)庫的升級。 病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。 (4) 在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。 Web Server應(yīng)用安全 Web Server是企業(yè)對外宣傳、開展業(yè)務(wù)的重要基地。由于其重要性，成為Hacker攻擊的首選目標(biāo)之一。 Web Server經(jīng)常成為Internet用戶訪問公司內(nèi)部資源的通道之一，如Web server通過中間件訪問主機系統(tǒng)，通過數(shù)據(jù)庫連接部件訪問數(shù)據(jù)庫，利用CGI訪問本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。 但Web服務(wù)器越來越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越來越多。為了防止Web服務(wù)器成為攻擊的犧牲品或成為進入內(nèi)部網(wǎng)絡(luò)的跳板，我們需要給予更多的關(guān)心： (1) Web服務(wù)器置于防火墻保護之下。 (2) 在Web服務(wù)器上安裝實時安全監(jiān)控軟件。 (3) 在通往Web服務(wù)器的網(wǎng)絡(luò)路徑上安裝基于網(wǎng)絡(luò)的實時入侵監(jiān)控系統(tǒng)。 (4) 經(jīng)常審查Web服務(wù)器配置情況及運行日志。 (5) 運行新的應(yīng)用前，先進行安全測試。如新的CGI應(yīng)用。 (6) 認(rèn)證過程采用加密通訊或使用X509證書模式。 (7) 小心設(shè)置Web服務(wù)器的訪問控制表。 電子郵件系統(tǒng)安全 電子郵件系統(tǒng)也是網(wǎng)絡(luò)與外部必須開放的服務(wù)系統(tǒng)。由于電子郵件系統(tǒng)的復(fù)雜性，其被發(fā)現(xiàn)的安全漏洞非常多，并且危害很大。 加強電子郵件系統(tǒng)的安全性，通常有如下辦法： (1) 設(shè)置一臺位于?；饏^(qū)的電子郵件服務(wù)器作為內(nèi)外電子郵件通訊的中轉(zhuǎn)站(或利用防火墻的電子郵件中轉(zhuǎn)功能)。所有出入的電子郵件均通過該中轉(zhuǎn)站中轉(zhuǎn)。 (2) 同樣為該服務(wù)器安裝實施監(jiān)控系統(tǒng)。 (3) 該郵件服務(wù)器作為專門的應(yīng)用服務(wù)器，不運行任何其它業(yè)務(wù)(切斷與內(nèi)部網(wǎng)的通訊)。 (4) 升級到最新的安全版本。 操作系統(tǒng)安全 市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。對操作系統(tǒng)的安全，除了不斷地增加安全補丁外，還需要： (1) 檢查系統(tǒng)設(shè)置(敏感數(shù)據(jù)的存放方式，訪問控制，口令選擇/更新)。 (2) 基于系統(tǒng)的安全監(jiān)控系統(tǒng)。 應(yīng)用系統(tǒng)安全 應(yīng)用系統(tǒng)建立在應(yīng)用平臺之上，應(yīng)用系統(tǒng)可利用應(yīng)用平臺提供的安全服務(wù)，增強應(yīng)用系統(tǒng)的安全。 應(yīng)用系統(tǒng)安全要求： (1) 通訊雙方的主體確認(rèn)。 (2) 通訊過程的保密、完整性。 (3) 交易過程的不可抵賴性。 應(yīng)用系統(tǒng)通常有兩種應(yīng)用模式：Client/Server及點到點通訊。Internet/Intranet上流行的SSL/。 PKI認(rèn)證和通訊原理 證書實際上是通訊主體的身份標(biāo)識，通訊雙方通過證書互相認(rèn)證，并利用證書中的信息完成電子簽名和加密協(xié)商。 (ITU)(目錄認(rèn)證框架)定義，傳輸過程中先做EDR編碼，然后Base64編碼。 ： √ 持有者的DN，如=person，ou=network，o=ccb，c=。 √ 證書簽發(fā)者的DN。 √ 版本號(由0號開始，目前支持V3，該值為2) √ 序列號，該證書在證書庫中的唯一序列號。 √ 該證書的有效起始日期，有效最后日期。 √ 持有者的public key。 √ 證書簽發(fā)者的簽名和簽名算法。 ，由于RSA PKCS在加密通訊過程中只需傳送公開密鑰，而且如果沒有Private Key，很難從加密結(jié)果中恢復(fù)原文。這種不對稱的加密算法由于可方便地交換公開密鑰，解決了對稱加密算法體系密鑰的分發(fā)難題，因而在Internet/Intranet領(lǐng)域得到廣泛應(yīng)用。 ，主要有三個基本用途： √ 數(shù)字簽名 發(fā)送方使用自身的Private key對報文的MD5 Digest加密。接收方使用發(fā)送方的Public Key還原此Digest，同時計算報文的MD5 Digest，兩者相同，則表示該報文在傳輸過程中保持完整，并且，確實是傳送方所發(fā)。 √ 認(rèn)證 ，該信息由通訊雙方均信任的第三方機構(gòu)認(rèn)可并作了簽名，同時在交換證書時，雙方均為自己的證書作了數(shù)字簽名。，首先驗證證書的數(shù)字簽名，驗證收到的是否是發(fā)送方的證書，然后使用第三方機構(gòu)(CA)的Public Key驗證是否其證書的CA數(shù)字簽名。如果這兩步都正確，通訊雙方即可建立信任關(guān)系。 √ 加密信任的通訊雙方各自使用對方的Public Key加密通訊報文，接收方使用自己的Private Key還原報文。通常，由于RSA加密算法的效率不高，RSA加密僅用于通訊雙方協(xié)商加密算法及密鑰，實際通訊時仍然使用對稱加密。 用戶名/口令模式的工作流SuiteSpotServer①User entersname and password.②Client sends name and password across network.③Server usespassword toauthenticateuser’s identity.④Serverauthorizesaccess forauthenticatedidentity. 用戶名/口令模式的工作流 證書驗證模式的工作流程：DirectoryServerSuiteSpotServer①User entersPrivatekey password.②Clientretrievesprivate keyand uses it to create “evidence”(digital signature).③Client sendscertificate andevidenceacross network.④Server usescertificate andevidence toauthenticatethe user’s identity.⑤Server checkswhether certificateis in LDAP entryfor user.⑥Serverauthorizesaccess forauthenticatedidentity. 證書驗證模式的工作流程ClientClientHelloServerHelloCertificateCertificateRequestServerhelloDoneCertificate ClientKeyExchangeCertificateVerifyFinishedFinishedApplication DataServer SSL是將以上數(shù)字簽名、認(rèn)證、加密等各種技術(shù)結(jié)合起來，在IP層上，TCP層下，提供獨立于應(yīng)用的加密層。 Secure Email與SSL不同，它不是會話過程，只是簡單地將發(fā)送的郵件內(nèi)容用接收方的公開密鑰加密，然后發(fā)送，當(dāng)然可能會用自己的私有密鑰作簽名。 認(rèn)證體系 由前述的認(rèn)證過程，需要有第三方的證書許可機構(gòu)為通訊雙方提供許可，來完成完整的認(rèn)證體系。同時，證書許可機構(gòu)(CA)需要對證書服務(wù)進行管理，如接收請求、核實請求、發(fā)布、回收、更新等任務(wù)。 由于應(yīng)用角度不同，通常在Internet/Intranet內(nèi)，有4種類型的證書： √ Sign證書：Sign證書表明CA證明該證書持有者有頒發(fā)證書的權(quán)利。 √ 服務(wù)器證書：服務(wù)器證書用于服務(wù)器與客戶通訊時的認(rèn)證和加密。 √