网络安全协议的研究与部署.docx
《网络安全协议的研究与部署.docx》由会员分享,可在线阅读,更多相关《网络安全协议的研究与部署.docx(12页珍藏版)》请在冰豆网上搜索。
网络安全协议的研究与部署
目录
第一部分网络安全协议研究
1.几种常用的网络安全协议
1.1Kerboros
1.2SET
1.3SSL
1.4SHTTP
1.5S/MIME
1.6SEC
2.安全协议对比分析
2.1SSL与IPSec
2.2SSL与SET
2.3SSL与S/MIME
2.4SSL与SHTTP二
第二部分网络安全协议的部署
1.构建涵盖校园网所有入网设备的病毒防御体系
2.建立全天候监控的网络信息入侵检测系统
3.建立高效可靠的内网安全管理体系
4.建立VPN和专用通道
5.具体部署与实施
第三部分总结
引言
一般的网络协议都没考虑安全性需求。
这就带来了互联网许多的攻击行为,如窃取信息、篡改信息、假冒等,为保证网络传输和应用的安全,出现了很多运行在基础网络协议上的安全协议以增强网络协议的安全。
下面在介绍Kerberos等几种常用网络安全协议所在层次,所能承担的安全服务、加密机制、应用领域等的同时,重点对具有相似功能的协议进行比较。
1几种常用的网络安全协议
关键字:
网络认证协议Kerberos,安全电子交易协议SET(SecureElectronicTransaction),安全套接层协议SSL(SecureSocketsLayer),安全超文本传输协议SHTTP(SecureHyperTextTransferProtocol),安全电子邮件协议S/MIME(Secure/Multi—purposeIntemetMailExtensions),网络层安全协议IPSec(InternetProtocolSecurity)
1.1网络认证协议Kerberos
它足美国麻省理T学院开发的基于私钥加密算法并需可信任第三方作为认证服务器的网络认证协议。
(1)在TCP/IP协议栈中所处的层次如图1。
图1Kerberos在TCP/IP协议栈中所处的层次
(2)安全服务:
Kerberos可提供防旁听、防重放及通信数据的保密性和完整性等安全服务,但最重要的是:
认证;授权t记账与审计。
(3)加密机制:
Kerberos用DES进行加密和认证。
(4)工作原理:
Kerberos根据称为密钥分配中心KDC的第三方服务中心来验证网络中计算机相互的身份,并建立密钥以保证计算机间安全连接。
KDC由认证服务器AS和票据授权服务器TGS两部分组成。
(5)应用领域:
需解决连接窃听或需用户身份认证的领域。
(6)优点:
安全性较高,Kerberos对用户的口令加密后作为用户的私钥,使窃听者难以在网上取得相应的口令信息;用户透明性好,用户在使用过程中仅在登录时要求输入口令;扩展性较好,Kerberos为每个服务提供认证,可方便地实现用户数的动态改变。
(7)缺点:
Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,若攻击者记录申请回答报文,就易形成代码攻击,随着用户数的增加,密钥管理较复杂;AS和TGS是集中式管理,易形成瓶颈,系统的性能和安全严重依赖于AS和TGS的性能和安全;Kerbems增加了网络环境管理的复杂性,系统管理须维护Kerberos认证服务器以支持网络IKerberos中旧认证码很有可能被存储和重用;它对猜测口令攻击很脆弱,攻击者可收集票据试图破译它们lKerberos依赖于Kerberos软件都是可信的,黑客能用完成Kerberos协议和记录口令的软件来代替所有客户的Kerberos软件。
1.2安全电子交易协议SET(SecureElectronicTransaction)
网上交易时持卡人希望在交易中保密自己的账户信息,商家则希望客户的定单不可抵赖,且在交易中交易各方都希望验明他方身份以防被骗。
为此Visa和MasterCard联合多家科研机构共同制定了应用于Interact上以银行卡为基础进行在线交易的安全标准SET。
(1)在TCP/IP协议栈中所处的层次如图2。
图2SET在TCP/IP协议栈中所处的层次
(2)安全服务:
SET提供消费者、商家和银行间多方的认证,并确保交易数据的安全性、完整可靠性和交易的不可否认性。
(3)加密机制:
SET中采用的公钥加密算法是RSA,私钥加密算法是DES。
(4)工作原理:
持卡人将消息摘要用私钥加密得到数字签名。
随机产生一对称密钥,用它对消息摘要、教字签名与证书(含客户的公钥)进行加密,组成加密信息,接着将这个对称密钥用商家的公钥加密得到数字信封;当商家收到客户传来的加密信息与数字信封后,用他的私钥解密数字信封得到对称密钥,再用它对加密信息解密,接着验证数字签名:
用客户的公钥对数字签名解密,得到消息摘要,再与消息摘要对照;认证完毕,商家与客户即可用对称密钥对信息加密传送。
(5)应用领域:
主要应用于保障网上购物信息的安全性。
(6)优点:
安全性高,因为所有参与交易的成员都必须先申请数字证书来识别身份。
通过数字签名商家可免受欺诈,消费者可确保商家的合法性,而且信用卡号不会被窃取。
(7)缺点:
SET过于复杂,使用麻烦,要进行多次加解密、数字签名、验证数字证书等,故成本高,处理效率低,商家服务器负荷重;它只支持B2C模式,不支持B2B模式,且要求客户具有。
电子钱包”;它只适应于卡支付业务;它要求客户、商家,银行都要安装相应软件。
1.3安全套接层协议SSL(SecureSocketsLayer)
它是Netscape公司提出的基于WEB应用的安全协议,它指定了一种在应用程序协议和TCPflP协议间提供数据安全性分层的机制,但常用于安全WEB应用的HTTP协议。
(1)在TCP/IP协议栈中所处的层次如图3。
图3SSL在TCP/lP协议栈中所处的层次
(2)安全服务:
SSL为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
(3)加密机制:
SSL采用RsA、DES,3DES等、密码体制以及MD系列HASH函数、Diffie-Hellman密钥交换算法。
(4)工作原理:
客户机向服务器发送SSL版本号和选定的加密算法;服务器回应相同信息外还回送一个含RSA公钥的数字证书;客户机检查收到的证书足否在可信任CA列表中,若在就用对应CA的公钥对证书解密获取服务器公钥,若不在,则断开连接终止会话。
客户机随机产生一个DES会话密钥,并用服务器公钥加密后再传给服务器t服务器用私钥解密出会话密钥后发回一个确认报文,以后双方就用会话密钥对传送的报交加密。
(5)应用领域:
主要用于WEB通信安全、电子商务,还被用在对SMTP,POP3,Telnet等应用服务的安全保障上。
(6)优点:
SSL设置简单成本低,银行和商家无须大规模系统改造;凡构建于TCP/IP协议簇上的C/S模式需进行安全通信时都可使用,持卡人想进行电于商务交易,无须在自己的电脑L安装专门软件,只要浏览器支持即可;SSL在应用层协议通信前就已完成加密算法,通信密钥的协商及服务器认证工作,此后应用层协议所传送的所有数据都会被加密,从而保证通信的安全性。
(7)缺点:
SSL除了传输过程外不能提供任何安全保证;不能提供交易的不可否认性;客户认证是可选的,所以无法保证购买者就是该信用卡合法拥有者;SSL不是专为信用卡交易而设计,在多方参与的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。
1.4安全超文本传输协议SHTTP(SecureHyperTextTransferProtocol)
它是EIT公司结合HTTP而设计的一种消息安全通信协议,是HTTP的安全增强版,SHTTP提供基于H丁rP框架的数据安全规范及完整的客户机/服务器认证机制。
(1)在TCP/IP协议栈中所处的层次如图4。
图4SHTTP在TCP/IP协议栈中所处的层次
(2)安全服务:
SHTTP可提供通信保密、身份识别、可信赖的信息传输服务及数字签名等。
(3)加密机制:
SHTTP用于签名的非对称算法有RSA和DSA等,用于对称加解密的算法有DES和RC2等。
(4)工作原理:
SHrrP支持端对端安全传输。
它通过在SHTTP所交换包的特殊头标志来建立安全通讯。
(5)应用领域:
它可通过和SSL结合保护Intemet通信l另外还叮通过和SET、SSL结合保护Web事务。
(6)优点:
SHrrP为HrrrP客户机和服务器提供多种安全机制,提供安全服务选项是为适用于万维网上各类潜在用户。
SH竹P不需客户端公用密钥认证,但它支持对称密钥操作模式;SHTFP支持端对端安全事务通信并提供了完整且灵活的加密算法、模态及相关参数。
(7)缺点:
实现难,使用更难。
1.5安全电子邮件协议S/MIME(Secure/Multi—purposeIntemetMailExtensions)
由RSA公司提出,是电子邮件的安全传输标准,它是一个用于发送安全报史的IETF标准。
目前大多数电子邮件产品都包含对S/MIME的内部支持。
(1)在TCP/IP协议栈中所处的层次如图5。
图5S/MIME在TCP/IP协议栈中所处的层次
(2)安全服务:
它用PKI数字签名技术支持消息和附件的加密。
(3)加密机制:
S/MIME采用单向散列算法,如SHA-1、MD5等,也采用公钥机制的加密体系。
S/MIME的证书格式采用X.509标准。
(4)工作原理:
S/MlME的认证机制依赖于层次结构的证书认证机构,所有下一级组织和个人的证书均由上一级组织认证,而最上一级的组织(根证书)间相互认证,整个信任关系是树状结构。
另外S/MIME将信件内容加密签名后作为特殊附件传送。
(5)应用领域:
各种安全电子邮件发送的领域。
(6)优点:
与传统PEM不同,因其内部采用MIME的消息格式,所以不仅能发送文本,还可携带各种附加文档,如包含国际字符集、HTML、音频、语音邮件、图像等不同类型的数据内容。
1.6网络层安全协议IPSec(InternetProtocolSecurity)
由IETF制定,面向TCMP,它足为IPv4和IPv6协议提供基于加密安全的协议。
(1)在TCP/IP协议栈中所处的层次如图6。
图6IPSec在TOP/IP协议栈中所处的层次
(2)安全服务:
IPSec提供访问控制、无连接完整性、数据源的认证、防重放攻击、机密性(加密)、有限通信量的机密性等安全服务。
另外IPSec的DOI也支持IP压缩。
(3)加密机柳:
IPSec通过支持DES,三重DES,IDEA,AES等确保通信双方的机密性;身份认证用DSS或RSA算法;用消息鉴别算法HMAC计算MAC,以进行数据源验证服务。
(4)工作原理:
IPSec有两种工作模式(如图7)传输模式和隧道模式。
传输模式用于两台主机之间,保护传输层协议头,实现端对端的安全性。
隧道模式用于主机与路由器之间,保护整个IP数据包。
图7IPSec的两种工作模式
(5)应用领域:
IPSec可为各种分布式应用,如远程登录、客户,服务器、电了邮件、文件传输、web访问等提供安全。
可保证LAN、专用和公用WAN以及Internet的通信安全。
目前主要应用于VPN、路由器中。
(6)优点:
IPSoc可用来在多个防火墒和服务器间提供安全性,可确保运行在TCP/IP协议上的VPNs间的互操作性。
它对于最终用户和应用程序是透明的。
(7)缺点:
IPSec系统复杂,且不能保护流量的隐蔽性;除TCP/IP外,不支持其它协议;IPSec与防火墙、NAT等的安全结构也是一个复杂的问题。
2安全协议对比分析
2.1SSL与IPSec
(1)SSL保护在传输层上通信的数据的安全,IPSec除此之外还保护IP层上的教据包的安全,如UDP包。
(2)对一个在用系统,SSL不需改动协议栈但需改变应用层,而IPSec却相反。
(3)SSL可单向认证(仅认证服务器),但IPSec要求双方认证。
当涉及应用层中间节点,IPSec只能提供链接保护,而SSL提供端到端保护。
(4)IPSec受NAT影响较严重,而SSL可穿过NAT而毫无影响。
(5)IPSec是端到端一次握手,开销小;而SSL/TLS每次通信都握手,开销大。
2.2SSL与SET
(1)SET仅适于信用卡支付。
而SSL是面向连接的网络安全协议。
SET允许各方的报文交换非实时,SET报文能在银行内部网或其他网上传输,而SSL上的卡支付系统只能与Web浏览器捆在一起。
(2)SSL只占电子商务体系中的一部分(传输部分)。
而SET位于应用层。
对网络上其他各层也有涉及,它规范了整个商务活动的流程。
(3)SET的安全性远比SSL高。
SET完全确保信息在网上传输时的机密性、可鉴删性、完整性和不可抵赖性。
SSL也提供信息机密性、完整性和一定程度的身份鉴别功能,但SSL不能提供完备的防抵赖功能。
因此从网上安全支付来看,SET比SSL针对性更强更安全。
(4)SET协议交易过程复杂庞大,比SSL处理速度慢,因此SET中服务器的负载较重,而基于SSL网上支付的系统负载要轻得多。
(5)SET比SSL贵,对参与各方有软件要求,且目前很少用网上支付,所以SET很少用到。
而SSL因其使用范围广、所需费用少、实现方便,所以普及率较高。
但随着网l二交易安全性需求的不断提高,SET必将是未来的发展方向。
2.3SSL与S/MIME
S/MIME是应用层专保护E-mail的加密协议。
而SMTP/SSL保护E-mail效果不是很好,因SMTP/SSL仅提供使用SMTP的链路的安全,而从邮件服务器到本地的路径是用POP/MAN协议,这无法用SMTP/SSL保护。
相反S/MIME加密整个邮件的内容后用MIME教据发送,这种发送可以是任一种方式。
它摆脱了安全链路的限制,只需收发邮件的两个终端支持S/MIME即可。
2.4SSL与SHTTP
SHITP是应用层加密协议,它能感知到应用层数据的结构,把消息当成对象进行签名或加密传输。
它不像SSL完全把消息当作流来处理。
SSL主动把数据流分帧处理。
也因此SHTTP可提供基于消息的抗抵赖性证明,而SSL不能。
所以SHTTP比SSL更灵活,功能更强,但它实现较难,而使用更难,正因如此现在使用基于SSL的HTTPS要比SHTTP更普遍。
3小结
每种网络安全协议都有各自的优缺点,实际应用中要根据不同情况选择恰当协议并注意加强协议间的互通与互补,以进一步提高网络的安全性。
另外现在的网络安全协议虽已实现了安全服务,但无论哪种安全协议建立的安全系统都不可能抵抗所有攻击,要充分利用密码技术的新成果,在分析现有安全协议的基础上不断探索安全协议的应用模式和领域。
随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,主要体现在:
网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。
因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。
方案内容
具体方案内容包括如下四个方面:
1)构建涵盖校园网所有入网设备的病毒立体防御体系
在网络中心机房建立防病毒监测与控制中心,配置防病毒管理和分发服务器;各二级网站配置最新版本防火墙,各用户终端通过与防病毒管理与分发服务器进行网络互连,由服务器统一配置最新版本的防杀病毒软件,并实现定时升级与更新。
防病毒包括四个方面:
计算机终端防病毒、文件和数据库服务器防病毒、邮件服务器防病毒和网关防病毒。
计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。
但工作站防病毒对网络的依赖较强,必须同时有其它工具配合;文件和数据库服务器的防病毒软件同样能够及时有效地发现、抵御病毒的攻击和彻底清除病毒,尤其针对文件系统的宏病毒等。
服务器的防病毒软件还具有以下功能:
实时病毒监控功能、远程安装、远程调用、病毒代码自动更新、病毒活动日志、多种报警通知的方式;邮件服务器的防病毒软件能够对经过的邮件中的病毒进行实时查杀,确保经由邮件服务器的附件随时处于病毒的免疫状态。
针对在校园网出入口的流量,在校园网出口处设置网关防病毒系统。
对通过FTP下载文件、通过POP3接收下载外部邮件时可能携带的恶性的Java/ActiveX程序和病毒进行查杀扫描,对通过SMTP发送的外部和内部邮件的附件、消息体进行病毒的过滤。
病毒防御体系的主要功能如下:
(1)蠕虫过滤:
蠕虫可以利用电子邮件、文件传输等方式进行扩散,也可以利用系统的漏洞发起动态攻击。
病毒防御体系可以根据蠕虫的特点实行多层次处理,在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据,在应用层过滤利用正常协议(SMTP、HTTP、POP3、FTP)传输的静态蠕虫代码。
(2)病毒过滤:
对于网页浏览(HTTP协议)、文件传输(FTP协议)、邮件传输(SMTP、POP3协议)等病毒,基于专门的病毒引擎进行查杀。
对于邮件病毒,可以定义对病毒的处理方式,决定清除病毒、删除附件、丢弃等操作,发现病毒时通知管理员、收件人、发件人等操作。
(3)垃圾邮件过滤:
垃圾邮件类型大致可以分为以下四种类型:
邮件头部包含垃圾邮件特征的邮件;邮件内容包含垃圾邮件特征的邮件;使用OpenRelay主机发送的垃圾邮件(OpenRelay方式的SMTP邮件服务器被利用向任何地址发送的垃圾邮件);邮件头部和内容都无法提取特征的垃圾邮件。
病毒防御体系按照协议特征对数据包进行分析、重组及解码,按照安全规则通过智能分析对SMTP连接、IP地址、邮件地址、数据内容进行处理。
可以限制IP地址、邮件地址、邮件数量、邮件大小;对邮件标题、正文、附件、包含特定关健字的邮件进行过滤;对特定邮件头信息、邮件发送者地址、邮件接收者地址、域名等进行过滤;支持对伪装邮件过滤。
(4)内容过滤:
支持对邮件关键字、附件文件类型进行过滤,通过定义可信或不可信的URL并进行过滤,可以选择对网页脚本进行过滤、对传输的信息进行智能识别过滤,防止敏感信息的侵扰和扩散。
2)建立全天候监控的网络信息入侵检测体系
在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。
入侵检测系统(IDS)是新一代动态安全防范技术,通过对计算机网络或主机中的若干关键信息的收集和分析,从中发现是否有违反安全策略的行为和被攻击的迹象。
它是一种集检测、记录、报警和响应于一体的动态安全技术,不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动。
入侵检测系统是对防火墙的必要补充,可对网络资源进行实时检测,及时发现入侵者,预防合法用户对资源的误操作,与其它安全产品一起构筑立体的安全防御体系。
入侵检测系统的工作流程可分为数据采集、数据分析和做出响应三部分。
IDS首先采集来自网络系统不同节点携带网络入侵行为的数据,例如系统日志、网络数据包、文件与用户活动的状态和行为;接着通过模式匹配、异常检测和完整性分析等技术,对数据进行分析以寻找入侵者;最后,一旦确认存在入侵,IDS就进入响应过程,并在日志、报警和安全控制等方面做出反应。
入侵检测系统的主要功能包括:
(1)对网络入侵行为的检测:
包括普通入侵检测和服务拒绝型攻击探测引擎。
可以自动识别各种入侵模式,在对网络数据进行分析时与这些模式进行匹配,一旦发现某些入侵的企图,就会进行报警。
支持基于网络异常状况的检测方式,提供大容量的入侵检测特征库,每一个漏洞都提供了详细的说明和解决方法。
能够基于时间、地点、用户帐号以及协议类型、攻击类型等制定安全策略。
能够对攻击进行及时报警,并且能够主动切断攻击,由此产生的日志通过工作区切换功能进行存储和转发,支持无IP设置,使得攻击者无法访问IDS的安全工作站。
(2)对会话进行记录或拦截:
可以对所有的TCP/IP会话进行记录或拦截。
记录的数据可以以ASCII码、HEX十六进制等多种方式察看,以便用户察看细节。
对于telnet会话,提供“回放”功能,用户只要通过鼠标简单地选择回放,该telnet过程就会与实际发生时完全一样的发生重现出来;对于Web会话,可同步地显示浏览器的内容,同步监视用户的活动。
对于会话还可以定义规则进行拦截,使得会话中断,从而达到禁止某些通信实施的功能。
3)建立高效可靠的内网安全管理体系
只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。
内网安全管理体系可以实现:
(1)网络隔离度保障:
监控移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查,违规接入内部网络;监测内网计算机绕过防火墙等设备,违规接入网络的行为;监控物理隔离的网络内部设备违规接入Internet的行为;监控违反规定将专网专用的计算机带出网络进入到其它网络的行为;可提供IP和MAC地址绑定功能;
(2)客户端防病毒软件及应用软件管理:
统一监控网络内的防病毒软件安装情况和升级情况,了解网络中的病毒软件安装状况,必要时可通过此系统强制为客户端安装防病毒程序,如果需要,此系统也可监控终端软件的安装情况,并进行相应的管理(如安装软件,禁止使用特定软件,删除软件等)。
(3)病毒引入点确定:
在网络出现病毒、蠕虫攻击等安全问题时,对安全事件源的实时、快速、精确定位、并可进行远程阻断隔离操作的问题。
在大规模病毒(安全)事件发生后,帮助网管确定病毒或黑客事件源头,以做到事后分析、责任查处和加强安全预警的问题。
(4)非正常终端阻止入网:
软件阻断模式一般采用C/S模式和分布式技术进行软件阻断,可跨网段,跨VLAN,穿透防火墙进行阻断。
网络管理人员可在管理端精确定位异常终端,并通过ARP地址干扰技术进行阻断。
(5)网络资源有效管理:
统一汇总和监视网络各终端的进程,可以增量式的显示网络中新出现的进程,也可统计网络中最常运行的进程,从而统计出网络客户端软件的使用情况。
此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警,在必要时可直接阻断。
对IP地址使用情况进行监视和管理;网络管理员可精确统计网络计算机入网设备,了解当前网络IP资源使用,以取代原始的数据资料记载的手段,增强了设备管理信息的实时性、准确性。
提供入网设备精确定位功能,精确定位发生安全问题的终端设备所在地点和使用人等,以增加安全应急反应速度,简化网络管理员的工作。
(6)客户端流量分析和排序:
基于主机方式对网络中客户端流量、分支网络带宽流量进行分析,防止非法入侵、滥用网络资源。
可由网络管理人员设定流量的阈值参数,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,以便网管了解客户端流量异常,从而快速分析是否是网络安全事故。
4)建立虚拟专用网(VPN)和专用通道
使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。
VPN在网络层对数据传输进行加密,优于针对具体链路类型的链路层传输加密。
主要应用在内联网、网间网中,对专线连接使用网关对网关模式。
使用安全VPN可以有效地解决网际互联的安全传输问题。
安全VPN系统具有下述特点功能:
具有符合国家密码管理委员会规定的密码协议、密码算法和密钥管理制度;安全VPN设备能支持透明的信息加解密和认证功能;系统
升级会员 