探讨网络平安技术（二）

 摘要摘要：文中论述了防火墙部署原则，并从防火墙部署的位置具体阐述了防火墙的选择标准。并就信息交换加密技术的分类及RSA算法作以分析，针对PKI技术这一信息平安核心技术，论述了其平安体系的构成。

摘要：网络平安 防火墙 PKI技术

1.概述

网络防火墙技术的作为内部网络和外部网络之间的第一道平安屏障，是最先受到人们重视的网络平安技术，就其产品的主流趋向而言，大多数代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络和外部Internet的接口处,以阻挡来自外部网络的入侵;其次,假如公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部和各分支机构之间也应该设置防火墙,假如有条件,还应该同时将总部和各分支机构组成虚拟专用网(VPN)。

安装防火墙的基本原则是摘要:只要有恶意侵入的可能,无论是内部网络还是和外部公网的连接处,都应该安装防火墙。

2.防火墙的选择

选择防火墙的标准有很多,但最重要的是以下几条摘要:

2.1.总拥有成本防火墙产品作为网络系统的平安屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。假如仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。

2.2.防火墙本身是平安的

作为信息系统平安产品,防火墙本身也应该保证平安,不给外部侵入者以可乘之机。假如像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何平安性可言了。

通常,防火墙的平安性新问题来自两个方面摘要:其一是防火墙本身的设计是否合理,这类新问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,假如系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的平安漏洞。

2.3.管理和培训

管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的平安产品供给商必须为其用户提供良好的培训和售后服务。

2.4.可扩充性

在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高平安性的防火墙产品。假如早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在平安水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。

2.5.防火墙的平安性

防火墙产品最难评估的方面是防火墙的平安性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的平安性一样,普通用户通常无法判定。即使安装好了防火墙,假如没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测平安产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

3.加密技术

信息交换加密技术分为两类摘要：即对称加密和非对称加密。

3.1.对称加密技术

在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此探究和交换专用的加密算法。假如在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，假如交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个新问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加密标准）的一种变形，这种方法使用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到112位。



3.2.非对称加密/公开密钥加密

在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方把握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立平安通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

3.3.RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其平安性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实摘要：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下摘要：

公开密钥摘要：n=pq(p、q分别为两个互异的大素数，p、q必须保密)

e和（p-1）(q-1)互素

私有密钥摘要：d=e-1 {mod(p-1)(q-1)}

加密摘要：c=me(mod n),其中m为明文，c为密文。

解密摘要：m=cd(mod n)

利用目前已经把握的知识和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够平安的。

4.PKI技术

PKI（Publie Key Infrastucture）技术就是利用公钥理论和技术建立的提供平安服务的基础设施。PKI技术是信息平安技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等平安新问题。一个实用的PKI体系应该是平安的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）和证书（Certificate）管理、密钥备份和恢复、撤消系统等功能模块的有机结合。
4.1.认证机构

CA（Certification Authorty）就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证实—证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证实的该用户。CA也要采取一系列相应的办法来防止电子证书被伪造或篡改。构建一个具有较强平安性的CA是至关重要的，这不仅和密码学有关系，而且和整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。

4.2.注册机构

RA（Registration Authorty）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的平安、灵活，就必须设计和实现网络化、平安的且易于操作的RA系统。

4.3.策略管理

在PKI系统中，制定并实现科学的平安策略管理是非常重要的这些平安策略必须适应不同的需求，并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时，这些策略应该符合密码学和系统平安的要求，科学地应用密码学和网络平安的理论，并且具有良好的扩展性和互用性。

4.4.密钥备份和恢复

为了保证数据的平安性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证平安的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、平安性、可用性的重要因素。

4.5.证书管理和撤消系统

证书是用来证实证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制，随时查询被撤消的证书。



5.平安技术的探究目前状况和动向

我国信息网络平安探究历经了通信保密、数据保护两个阶段，正在进入网络信息平安探究阶段，现已开发研制出防火墙、平安路由器、平安网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络平安领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络平安的方案，目前应从平安体系结构、平安协议、现代密码理论、信息分析和监控以及信息平安系统五个方面开展探究，各部分相互协同形成有机整体。

国际上信息平安探究起步较早，力度大，积累多，应用广，在70年代美国的网络平安技术基础理论探究成果“计算机保密模型”（Beu%26 La padula模型）的基础上，指定了“可信计算机系统平安评估准则”（TCSEC），其后又制定了有关网络系统数据库方面和系列平安解释，形成了平安信息系统体系结构的准则。平安协议作为信息平安的重要内容，其形式化方法分析始于80年代初，目前有基于状态机、模态逻辑和代数工具的三种分析方法，但仍有局限性和漏洞，处于发展的提高阶段。作为信息平安关键技术密码学，近年来空前活跃，美、欧、亚各洲举行的密码学和信息平安学术会议频繁。1976年美国学者提出的公开密钥密码体制，克服了网络信息系统密钥管理的困难，同时解决了数字签名新问题，它是当前探究的热点。而电子商务的平安性已是当前人们普遍关注的焦点，目前正处于探究和发展阶段，它带动了论证理论、密钥管理等探究，由于计算机运算速度的不断提高，各种密码算法面临着新的密码体制，如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此网络平安技术在21世纪将成为信息网络发展的关键技术，21世纪人类步入信息社会后，信息这一社会发展的重要战略资源需要网络平安技术的有力保障，才能形成社会发展的推动力。在我国信息网络平安技术的探究和产品开发仍处于起步阶段，仍有大量的工作需要我们去探究、开发和探索，以走出有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保证我国信息网络的平安，推动我国国民经济的高速发展。