21 世 紀(jì) 即 將 到 來, 互 聯(lián) 網(wǎng) 的 熱 潮 沖 擊 著 整 個 世 界。 所 有 發(fā) 達(dá) 國 家 都 已 建 成 了 多 個、 多 種 國 家 級 的 計(jì) 算 機(jī) 網(wǎng) 絡(luò), 并 互 聯(lián) 成 覆 蓋 全 球 的 計(jì) 算 機(jī) 網(wǎng) 絡(luò)。 據(jù) 統(tǒng) 計(jì) 入 網(wǎng) 主 機(jī) 數(shù) 量 超 過4000 萬 臺, 連 入 的 計(jì) 算 機(jī) 子 網(wǎng) 已 達(dá)60 多 萬 個,Internet 迅 速 商 業(yè) 化 并 在 社 會 中 大 量 應(yīng) 用, 它 已 成 為 現(xiàn) 代 社 會 的 重 要 信 息 基 礎(chǔ) 設(shè) 施 之 一。
----隨 著Internet 技 術(shù) 的 迅 猛 發(fā) 展, 網(wǎng) 絡(luò) 規(guī) 模 不 斷 擴(kuò) 大, 網(wǎng) 絡(luò) 結(jié) 構(gòu) 更 加 復(fù) 雜。 目 前, 組 建 大 型 計(jì) 算 機(jī) 信 息 網(wǎng) 絡(luò) 的 關(guān) 鍵 技 術(shù) 是TCP/IP 網(wǎng) 絡(luò) 互 聯(lián) 和 路 由 器 技 術(shù), 特 別 是 在Internet 中, 路 由 器 起 著 重 要 的 作 用。 著 眼 于 國 家 信 息 安 全,1997 年“ 國 務(wù) 院 信 息 化 工 作 領(lǐng) 導(dǎo) 小 組 辦 公 室” 提 出 了 國 際 聯(lián) 網(wǎng) 安 全 研 究 項(xiàng) 目, 在 網(wǎng) 絡(luò) 安 全 關(guān) 鍵 設(shè) 備 和 網(wǎng) 絡(luò) 安 全 關(guān) 鍵 技 術(shù) 兩 類10 多 個 課 題 中, 就 包 括 了 國 產(chǎn) 安 全( 加 密) 路 由 器 設(shè) 備 的 研 究。
----當(dāng) 前, 國 內(nèi) 市 場 所 流 通 的( 包 括 國 產(chǎn) 的 和 國 外 的) 幾 乎 都 是“ 普 通 路 由 器” 和“ 不 具 有 加 密 功 能 的 安 全 路 由 器”。 這 些 路 由 器 有 的 只 有 路 由 功 能 而 沒 有 安 全、 加 密 功 能; 有 的 只 增 加 了 包 過 濾 功 能。 下 面 我 們 要 討 論 集 常 規(guī) 路 由 器 和 安 全、 加 密 功 能 于 一 體 的 內(nèi) 嵌 式“ 安 全( 加 密) 路 由 器”。
解 決 的 主 要 問 題
----網(wǎng) 絡(luò) 已 從 單 個 的、 封 閉 的 計(jì) 算 機(jī) 網(wǎng) 發(fā) 展 為 開 放 的 互 聯(lián) 網(wǎng)。 并 由 此 帶 來 以 下 變 化:
----封 閉 網(wǎng) 到 開 放 網(wǎng): 社 會 的 發(fā) 展 和 人 們 工 作、 生 活 的 需 求, 是 網(wǎng) 絡(luò) 技 術(shù) 發(fā) 展 的 動 力; 網(wǎng) 絡(luò) 技 術(shù) 的 發(fā) 展 又 進(jìn) 一 步 刺 激 著 人 們 工 作、 生 活 模 式 的 變 更。 單 個 的Intranet 網(wǎng) 在 很 多 情 況 下 已 不 能 滿 足( 或 不 能 很 好 地 滿 足) 人 們 工 作 和 生 活 的 需 要, 網(wǎng) 絡(luò) 由 封 閉 走 向 互 聯(lián) 和 開 放 已 成 趨 勢。
----集 團(tuán) 通 信 到 個 人 通 信: 以 前, 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 通 信 幾 乎 都 是 集 團(tuán)( 部 門、 單 位、 企 業(yè) 等) 的 行 為, 個 人 行 為 是 微 乎 其 微 的。 隨 著 網(wǎng) 絡(luò) 技 術(shù) 的 發(fā) 展 和 人 們 工 作、 生 活 等 各 方 面 需 求 的 變 更, 個 人 通 信 在 增 加, 所 占 比 例 越 來 越 大。
----有 中 心 網(wǎng) 到 無 中 心 網(wǎng): 從 網(wǎng) 絡(luò) 體 系 來 講, 封 閉 的Intranet 網(wǎng) 是 有 中 心 網(wǎng)( 一 級 網(wǎng)、 二 級 網(wǎng) 等); 而 互 聯(lián) 網(wǎng) 屬 無 中 心 網(wǎng), 網(wǎng) 絡(luò) 之 間 可 以 自 由 通 信、 自 由 交 互、 自 由 往 來。
----網(wǎng) 絡(luò) 安 全 問 題 更 加 突 出: 由 于 互 聯(lián) 網(wǎng) 是 無 中 心 網(wǎng), 網(wǎng) 絡(luò) 之 間 可 以 自 由 通 信、 自 由 交 互、 自 由 往 來, 因 此, 網(wǎng) 絡(luò) 安 全 問 題 更 加 突 出。 如 何 保 證 網(wǎng) 絡(luò) 設(shè) 備 自 身 的 安 全 以 及 存 儲 在 其 上 或 通 過 其 傳 輸 的 敏 感 信 息 的 安 全, 就 成 為 必 須 解 決 的 問 題。
----安 全( 加 密) 路 由 器 是 保 證 互 聯(lián) 網(wǎng)( 同 時 也 包 括Intranet 和 Extranet ) 信 息 安 全 的 關(guān) 鍵 設(shè) 備 之 一, 它 需 要 解 決 的 主 要 問 題 是:
----防 止 虛 假 路 由 信 息 的 接 收 和 路 由 器 的 非 法 接 入
----發(fā) 送 虛 假 路 由 信 息, 使 路 由 器 路 由 混 亂、 阻 塞, 從 而 導(dǎo) 致 網(wǎng) 絡(luò) 癱 瘓 是 黑 客 可 用 的 手 段 之 一, 黑 客 也 常 常 將“ 自 制 路 由 器” 接 入 到 網(wǎng) 絡(luò) 之 中。 安 全( 加 密) 路 由 器 應(yīng) 當(dāng) 對 路 由 器 具 有 鑒 別 功 能, 能 夠 阻 止 路 由 器 的 非 法 接 入。 在 Intranet/Extranet 網(wǎng) 中 需 要 解 決 和 保 證 虛 假 路 由 信 息 的 辨 認(rèn), 對 虛 假 路 由 信 息 拒 收。
----防 止 非 授 權(quán) 人 員 的 入 侵
----非 授 權(quán) 人 員, 從 路 由 器 的 操 作 系 統(tǒng) 入 手, 從“ 后 門” 侵 入 路 由 器, 從 而 更 改 路 由 表 或 竊 取 有 用 信 息, 是 需 要 特 別 加 以 防 范 的。
----對 路 由 信 息 和IP 數(shù) 據(jù) 報 的 加 密 保 護(hù)
----路 由 器 是 網(wǎng) 絡(luò) 的 轉(zhuǎn) 接 設(shè) 備, 它 不 斷 地 接 收 和 發(fā) 送 路 由 信 息 和IP 數(shù) 據(jù) 報。 因 此, 路 由 信 息 和 敏 感 的IP 數(shù) 據(jù) 報 的 安 全 保 護(hù) 就 成 為 極 其 重 要 的 問 題。 安 全( 加 密) 路 由 器 應(yīng) 當(dāng) 具 有 對 路 由 信 息 和 敏 感IP 數(shù) 據(jù) 報 的 加 密 保 護(hù) 功 能。 它 涉 及 加 密 算 法、 密 鑰、 數(shù) 據(jù) 完 整 性 和 數(shù) 字 簽 名 等 問 題。
----加 密 算 法 的 選 擇: 出 于 對 國 家 信 息 安 全 的 考 慮 和 對 國 外 安 全 產(chǎn) 品 是 否 留 有“ 陷 門” 的 憂 慮, 并 遵 守 國 家 有 關(guān) 政 策、 法 規(guī), 設(shè) 備 應(yīng) 當(dāng) 選 擇 我 國 有 關(guān) 部 門 批 準(zhǔn) 的 加 密 算 法。 在 進(jìn) 行 加 密 作 業(yè) 時, 則 盡 量 做 到 一 次 一 密。
----密 鑰 的 管 理: 密 鑰 是 加 密 作 業(yè) 中 最 活 躍 的 因 素, 所 謂“ 一 次 一 密”, 簡 言 而 之, 就 是 每 次 加 密 所 用 的 密 鑰 互 不 相 同。 因 此, 從 某 種 意 義 上 說, 保 密 的 關(guān) 鍵 是 密 鑰, 它 應(yīng) 考 慮 以 下 幾 個 方 面: 密 鑰 種 子、 密 鑰 的 隨 機(jī) 性; 密 鑰 的 種 類 和 層 次; 密 鑰 長 度; 密 鑰 生 成 算 法 的 復(fù) 雜 度; 密 鑰( 含 密 鑰 生 成 算 法 及 密 鑰 自 身) 保 護(hù); 密 鑰 的 存 儲、 傳 輸、 更 換 和 廢 除 以 及 密 鑰 的 管 理 方 式 等。
----數(shù) 據(jù) 完 整 性 驗(yàn) 證: 嚴(yán) 密 的 設(shè) 計(jì) 應(yīng) 當(dāng) 考 慮 IP 數(shù) 據(jù) 報 完 整 性 驗(yàn) 證, 當(dāng) 然, 也 可 以 對 傳 送 的 密 鑰 做 完 整 性 驗(yàn) 證, 或 者 兩 者 都 做。 在 某 些 應(yīng) 用 環(huán) 境 或 考 慮 到 某 些 因 素 的 情 況 下, 也 可 以 不 進(jìn) 行 數(shù) 據(jù) 完 整 性 驗(yàn) 證。 #p#分頁標(biāo)題#e#
----數(shù) 字 簽 名: 這 是 對 發(fā) 報 者 的 確 認(rèn), 也 是 發(fā) 報 者 自 身 嚴(yán) 肅 性 的 體 現(xiàn)。 采 用 加 密 技 術(shù) 做 數(shù) 字 簽 名, 對 很 多 作 業(yè) 來 說 是 需 要 的。 但 同 數(shù) 據(jù) 完 整 性 驗(yàn) 證 一 樣, 在 某 些 應(yīng) 用 環(huán) 境 或 考 慮 到 某 些 因 素 的 情 況 下, 也 可 以 不 進(jìn) 行 數(shù) 字 簽 名。
----復(fù) 雜 網(wǎng) 絡(luò) 加 密 的 正 確 性 和 系 統(tǒng) 的 可 用 性
----這 是 指 解 決 多 個 路 由 器、 一 次 一 密 的 情 況 下, 相 互 通 信( 一 對 多) 的 正 確 性。
----由 于 加 密 是 一 個 完 整 的 流 程, 相 對 不 加 密 來 說, 必 然 也 必 須 附 加 一 些 動 作, 因 此, 效 率 的 降 低( 甚 至 是 明 顯 的 降 低) 也 是 必 然 的。 一 方 面, 要 盡 量 使 所 設(shè) 計(jì) 的 安 全( 加 密) 路 由 器 機(jī) 制 效 率 更 高; 再 者, 要 對 系 統(tǒng) 進(jìn) 行 綜 合 考 慮, 在 保 密 和 效 率 之 間 進(jìn) 行 權(quán) 衡。
內(nèi) 嵌 式 設(shè) 計(jì) 框 架
----對 安 全( 加 密) 路 由 器 的 設(shè) 計(jì), 這 里 不 展 開 敘 述, 只 是 討 論 它 的 設(shè) 計(jì) 框 架。
----產(chǎn) 品 定 位( 功 能 設(shè) 計(jì))
----路 由 器 和 安 全 加 密 模 件 有 機(jī) 集 成 內(nèi) 嵌 式 的 安 全( 加 密) 路 由 器, 這 樣 的 路 由 器 具 有 以 下 功 能 和 特 點(diǎn):
----1 內(nèi) 嵌 式 體 系 結(jié) 構(gòu)
----將 加 密 模 件 放 在 路 由 器 里, 路 由 器 與 加 密 模 件 集 成 為 一 體, 進(jìn) 行 內(nèi) 部 交 互。 這 與 路 由 器 外 掛 加 密 機(jī) 的 外 掛 式 體 系 結(jié) 構(gòu) 有 著 明 顯 的 區(qū) 別。
----保 密 性: 一 般 來 說, 內(nèi) 嵌 式 路 由 器 結(jié) 構(gòu) 較 外 掛 式 好。 路 由 器 大 都 設(shè) 有 多 個( 低 端 路 由 器 為2 ~3 個) 廣 域 口, 外 掛 式 解 決 多 個 廣 域 口 的 保 密 問 題 比 較 復(fù) 雜, 內(nèi) 嵌 式 相 對 來 說 要 簡 單 一 些; 再 者, 外 掛 式 的 加 密 在 路 由 器 外 部 進(jìn) 行, 內(nèi) 嵌 式 的 加 密 是 在 路 由 器 內(nèi) 部 進(jìn) 行 的; 第 三, 內(nèi) 嵌 式 比 外 掛 式 較 為 容 易 實(shí) 現(xiàn) 一 次 一 密。
----靈 活 性: 內(nèi) 嵌 式 可 以 由 用 戶 自 行 設(shè) 置 要 加 密 的 客 戶 機(jī) 和( 或) 服 務(wù) 器, 而 外 嵌 式 則 對 經(jīng) 過 路 由 器 的 所 有 客 戶 機(jī) 和 服 務(wù) 器 的IP 數(shù) 據(jù) 報 都 要 加 密; 從 密 鑰 管 理 來 看, 內(nèi) 嵌 式 亦 較 外 掛 式 優(yōu) 越, 在 設(shè) 置 分 布 式 密 鑰 管 理 機(jī) 制 情 況 下, 可 不 專 設(shè) 密 鑰 管 理 中 心。
----經(jīng) 濟(jì) 性: 由 于 內(nèi) 嵌 式 是 將 加 密 模 件 集 成 到 路 由 器 里, 而 不 是 像 外 掛 式 那 樣, 做 成 一 臺 獨(dú) 立 的 機(jī) 器, 因 此, 成 本 較 低; 第 二, 設(shè) 計(jì) 成 分 布 式 密 鑰 管 理 時, 可 不 加 配 密 鑰 管 理 中 心, 系 統(tǒng) 集 成 比 較 經(jīng) 濟(jì)。
----效 率: 內(nèi) 嵌 式 安 全( 加 密) 路 由 器 的 加 密 模 件 集 成 在 安 全( 加 密) 路 由 器 里, 可 以 將 加 密 做 成 硬 件, 和 路 由 器 進(jìn) 行 內(nèi) 部 交 互( 這 種 交 互 是 比 較 多 的) 連 接, 加 密 速 度 較 快; 另 外, 采 用 分 布 式 密 鑰 管 理 機(jī) 制, 不 用 與 密 鑰 管 理 中 心 進(jìn) 行 交 互。 因 此, 內(nèi) 嵌 式 的 效 率 一 般 來 說 要 比 外 掛 式 高。
----2 加 密 算 法 和 密 鑰
----這 是 一 個 敏 感 而 又 重 要 的 問 題, 必 須 按 國 家 的 有 關(guān) 政 策 和 法 規(guī) 辦 事。
