青鸟环宇VPN系列产品 技术白皮书vWord下载.docx
《青鸟环宇VPN系列产品 技术白皮书vWord下载.docx》由会员分享,可在线阅读,更多相关《青鸟环宇VPN系列产品 技术白皮书vWord下载.docx(29页珍藏版)》请在冰点文库上搜索。
现行的各类企业(政府)网络系统均有其特定的发展历史,一般而言,在其网络系统建设过程中,主要侧重信息系统的稳定、正确运行。
就网络信息系统安全而言,一般仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;
购买并部署商用的防火墙和防病毒产品等。
在应用程序的设计中,也仅考虑到了部分信息安全问题。
应该说这在系统建设初期的客观环境下是可行的,也是客观条件限制下的必然。
由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多的照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易就留下安全漏洞。
总的来说,这些系统中的大部分远没有达到能和系统中信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御。
一.2企业网络面临的威胁及安全需求
对企业(政府)网络系统的安全威胁可以说多种多样,就攻击的对象及采用的手段来加以区分,可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类,实施安全攻击的人员既可能是外部人员,也可能是内部人员。
一.2.1针对信息的攻击
对处于传输和存储形态的信息实施非法攻击,其手段包括侦听破译、篡改报文、重发(或少发)报文、改变信息的传输顺序以及流量分析等,其攻击地点既可以在局域网内,也可以在广域网上。
由于信息在局域网中多采用广播方式,因此,若在某个广播域中可以侦听到所有的信息包,攻击者就可以对信息包进行分析,那么本广播域的信息传递过程都会暴露在攻击者面前。
即使是采用交换方式的局网,由于信息的流动具有明显的集中性(如一个服务器对多个客户机),攻击者只要有机会接近信息的汇聚点(如交换机的服务器端口),即可对其实施攻击。
对广域网而言,由于广域网通常是基于公共网络连接而成,因而在广域网上进行传输时信息就更可能受到各种各样的攻击,诸如:
窃取、伪造、破坏等。
任何一个有条件接触通信结点或信道的人都可以实施上述攻击,这种形式的“攻击”是相对比较容易成功的,只要使用现在很容易得到的“包检测”软件即可。
随着网络侦听工具的隐蔽化和灵巧化,对信息攻击的可实施性正变得越来越容易实现。
以前购置一套功能强大的协议分析设备需花费十几万乃至几十万元,能掌握这些设备的人极为稀少。
而现在,协议分析工具软件随处可得,有些免费软件的协议分析能力越来越强大,试用人员队伍十分庞大,一旦得到合适的机会,即使无心之人也可能抵挡不住好奇心而铤而走险,更何况蓄意犯罪之徒。
针对信息的攻击手段的可怕之处在于其隐蔽性和突然性,攻击者可以不动声色地窃取并利用信息,而无虑被发现;
他也可以在积聚足够的信息后骤起发难,进行敲诈勒索。
此类案件见诸报端的层出不穷,而未公开与之相比会数以倍计。
一.2.2针对系统的攻击
利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管
理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其它系统。
此类攻击手段包括隐通道攻击、特络伊木马、口令猜测、缓冲区溢出等,早期的黑客多是利用这类攻击方法。
随着基础系统软件安全功能和安全管理制度的不断完善,此类攻击的成功比例正在逐步减少,但由于当今黑客组织越来越严密,攻击技巧层出不穷,攻击工具传播迅速,因此在相当长时期内,仍是主要的威胁之一。
由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台,这些软件在安装时的缺省配置往往更多的照顾方便性而忽略了安全性,如考虑不周很容易就留下安全漏洞,如果再考虑到某些软件供应商出于政治或经济目的,可能在系统中预留“后门”,因此必须要有有效的技术手段加以预防。
一.2.3针对使用者的攻击
这是一种看似困难却普遍存在的攻击途径,攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点,通过种种手段窃取系统权限,通过合法程序来达到非法目的,并在事后或嫁祸他人、或毁灭证据。
此类攻击的特点是难以取证。
一.2.4针对资源的攻击
以各种手段耗尽系统某一资源,使之丧失继续提供服务的能力,因此又称为拒绝服务类攻击,如邮件炸弹、ping流攻击等。
拒绝服务攻击的高级形式为分布式拒绝服务攻击(DDoS),即攻击者利用其所控制的成百上千个系统同时发起攻击,迫使攻击对象瘫痪。
针对资源的攻击发起点通常来自互联网,其攻击对象多为各类网站。
分布式拒绝服务攻击通常都是经过精心策划,有组织的犯罪行为。
由于针对资源的攻击利用的是现有的网络架构,尤其是Internet以及TCP/IP协议的固有缺陷,因此在网络的基础设施没有得到大的改进前,难以彻底解决。
一.2.5企业的安全需求
网络安全包括五个基本要素:
机密性、完整性、可用性、可审查性和可控性。
机密性:
确保信息不暴露给未授权的任何其它方实体或进程。
完整性:
只有授权的实体或进程才能修改数据,并且能够判别出数据是否已被篡改。
可用性:
确保授权实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
可审查性:
对出现的网络安全问题提供调查的依据和手段。
可控性:
可以控制授权范围内的信息流向及行为方式。
目前国内企业的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题,即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。
网络系统需要解决的关键安全问题概括起来主要有:
传输信息的安全、节点身份认证、网络访问控制、操作人员的身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。
●传输信息的安全
总部和分支机构、合作伙伴之间的业务数据在网上传输时,有可能被截取、窃取、伪造、假冒、篡改,所以必须保证通信信道上的信息安全性。
通信信息的安全性包括通信数据的机密性和完整性。
通信数据的机密性可通过数据加密来实现,可防止传输信息被截取、偷看;
通信数据的完整性则依赖于MAC码(消息验证码)和数字签名来实现,可防止被假冒、篡改、重放等。
●节点身份认证
是指在进行网上业务时,系统内各节点之间要互相验证对方的身份,以防假冒。
节点身份认证对关键性的实时业务尤为重要,例如,对于金融储蓄业务,案犯可以利用PC机伪造储蓄网点,进行存钱操作,然后立即在合法的储蓄所取出现金。
●网络访问安全
关键业务网络系统的各节点之间通常是通过跨地域的公共基础网络连接,
需要有效地防止可能来自该基础网络的对系统主机和内部网络的非法访问和攻击。
●操作人员的身份认证和交易的不可抵赖性
对操作人员身份的正确而有效的认证是实现不可抵赖的前提,交易的不可抵赖性是指防止对交易行为的抵赖和否认行为,交易的不可抵赖通常通过数字签名来实现,重要的交易行为应该签名并实时验证。
●非法攻击事件的可追踪性
对重要事件应具有详细的审计纪录,以便在发生攻击时提供确凿的追究证据,从而使系统具有强大的威慑力量和有效的取证手段。
必须指出:
网络信息系统是由人参与的信息系统环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。
企业需要的是集组织、管理和技术为一体的完整的安全解决方案。
一.3网络安全基本技术与VPN技术
解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。
网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。
密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。
在多数情况下,数据加密是保证信息机密性的唯一方法。
一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护。
数据加密过程是由各种加密算法来具体实施,按照收发双方密钥是否相同来分类,可以将这些加密算法分为对称密码算法和非对称密码算法(公钥算法)。
对称密钥密码算法的收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。
最著名的对称密码算法为美国的DES算法及其各种变形。
对称密码算法的优点是有很强的保密强度和较快的运算速度,但其密钥必须通过
安全的途径传送。
因此,其密钥管理成为系统安全的重要因素。
非对称密钥(公钥)密码算法的收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥,这些特性使其成为实现数字签名的最佳选择。
最著名也是应用最为广泛的公钥密码算法是RSA算法。
公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。
密码技术用于网络安全通常有二种形式,即面向网络或面向应用服务。
前者通常工作在网络协议栈的网络层或传输层,在网络层上实现的加密技术对于网络应用层的用户通常是透明的。
面向应用服务的加密技术发生在业务程序中,通常用于解决特定应用相关的安全问题,典型应用有用户身份验证、交易信息的签名验证和交易信息的加密等。
虚拟专用网络(VPN:
VirtualPrivateNetwork)技术就是在网络层通过数据包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在公共网络中建立起安全的“专用”网络。
利用VPN技术,企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相安全地传递信息;
另外,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全地连接进入企业网中。
综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术,并通过适当的密钥管理机制,在公用的网络基础设施上建立安全的虚拟专用网络系统,实现完整的集成化的企业范围VPN安全解决方案。
对于现行的各种业务网络应用系统,采用VPN技术可以在不影响现行业务系统正常运行的前提下,极大地提高系统的安全性能,是一种较为理想的基础解决方案。
当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、传输协议依赖性高、适应性差、无统一标准等缺陷,又避免了应用层端-端加密管理复杂、互通性差、安装和系统迁移困难等问题,使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其它安全和系统管理技术融合等优势,成为目前和今后企业安全网络发展的趋势。
从应用上看虚拟专网可以分为虚拟企业网和虚拟专用拨号网络(VPDN)。
虚拟企业网主要是使用专线上网的企业分部、合作伙伴间的虚拟专网;
虚拟专用拨号网络是指使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。
虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议应该具备以下条件:
保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。
保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密钥交换功能和集中安全管理服务。
提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
目前建造虚拟专网依据的主要国际标准有IPSec、L2TP、PPTP、L2F等。
其中L2TP是虚拟专用拨号网络协议,是IETF根据各厂家协议(包括微软公司的PPTP、Cisco的L2F)进行起草,目前尚处于草案阶段。
IPSec是由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。
L2TP协议草案中也规定它(L2TP标准)必须以IPSec为安全基础。
目前,采用IPSec标准的VPN技术正在迅速走向成熟,而且它正处于兴盛期,因此在构造VPN基础设施时应该首先考虑IPSec标准。
一.4IPSec网络安全体系
IPSec(IPSecurity)是IETFIPSec工作组为了在IP层提供通信安全而制订的一套协议标准,IPSec的结构文档RFC2401定义了IPSec的基本结构,所有具体的实施方案均建立在它的基础之上。
IPSec包括安全协议部分和密钥协商部分,安全协议部分定义了对通信的各种保护方式;
密钥协商部分定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。
IETF的IPSec工作组已经制定了12个RFC,对IPSec的方方面面都进行了定义,其中,封装安全载荷(ESP)机制为通信提供机密性、完整性保护;
验证头(AH)机制为通信提供完整性保护,这两种机制都能为通信提供抗重放攻击;
IPSec使用Internet密钥交换(IKE)协议实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等,这些安全参数的总体称之为安全关联(SA)。
为了实现VPN通信的数据机密性和完整性,VPN产品大多使用IPSec协议的封装安全载荷(ESP)机制。
ESP机制通过将整个IP包或IP包的数据部分封装到一个ESP载荷中,然后对此载荷进行相应的安全处理,如加密处理,鉴别处理等,实现对通信的机密性或/和完整性保护。
ESP在封装载荷时有两种封装模式:
一是“隧道模式”,另一是“传输模式”。
隧道模式将整个IP分组封装到ESP载荷中,传输模式是将IP的数据部分封装到ESP的载荷中。
在传输模式中,IP头与上层协议头之间需插入一个特殊的IPSec头;
而在隧道模式中,要保护的整个IP包都需封装到另一个IP数据包里,同时在外部与内部IP头之间插入一个IPSec头。
IPSec协议族使用IKE密钥交换协议来进行密钥以及其它安全参数的协商,由RFC2409文件描述的IKE协议是Oakley和安全密钥交换机制(SKEME)协议的一种混合,它综合了Oakley和SKEME的优点,使用了Internet安全关联与密钥管理协议(ISAKMP)的语言,形成了自己独一无二的验证加密材料生成技术,以协商共享的安全策略。
IKE通过两个阶段的协商来完成安全关联(SA)的建立,第一阶段,由IKE交换的发起方发起一个主模式交换或野蛮模式交换,交换的结果是建立一个名为ISAKMPSA的安全关联;
第二阶段可由通信的任何一方发起一个快捷模式的消息交换序列,完成用于保护通信数据的IPSecSA的协商。
IKE在使用预共享密钥时,只能将预共享密钥建立在对方的IP地址之上,这是使用预共享密钥时一个已被公认的局限,解决这个问题的一个显而易见的办法是使用一种建立在公开密钥基础(PKI)上的签名/验证数据加密方法。
公开密钥通常是从电子证书中取得,IKE允许证书的交换,也允许从对方那里索取证书。
目前使用最多也最为常见的公开密钥算法是RSA公开密钥算法。
一.5用SJW10IP保密机构建VPN系统
经国家商用密码主管部门认证的SJW10系列VPN产品,由SJW10高/中/低3档IP保密机、SJW10IP安全包和安全管理中心组成,利用SJW10系列VPN产品所构成的典型VPN解决方案如图1.2所示。
在图1.2中,保密机为SJW10IP保密机,具有高速网络传输数据加密/解密功能。
保密机以网桥方式接入本地局域网,用于保护一个局网、或用于保护一台或几台服务器。
保密机的安装和运行与应用软件和主机类型无关,安装灵活便利,即插即用。
安全包是SJW10IP安全包,是客户端VPN产品,它可安装于各种客户端PC平台及移动设备平台,支持各种版本的Uinx/Linux操作系统及MicrosoftWindows全线操作系统平台,用以保护单台主机设备,或保护以该主机为网关的办公室网络环境。
SJW10IP安全包由安装于上述操作系统上的软件包和硬件加密模块(加密卡、IC卡或USB加密棒)组成,它既可独立部署,构成一个松散灵活的安全广域网络,也可以与后端的各类IP保密机及安全管理中心平台配合使用,构成一个完整的企业级IP-VPN(IP虚拟专用网)解决方案。
安全管理中心是SJW10VPN环境中的管理机构,其主要功能包括:
为整个VPN环境中的SJW10设备签发电子证书;
远程管理、配置VPN环境中的SJW10IP保密机设备;
接收SJW10IP保密机的远程注册、上传日志并对日志进行分类管理。
由SJW10IP保密机和安全包构建的VPN网络安全解决方案的主要特点是:
1.整体安全性:
同时提供网络安全访问控制、数据传输加密、节点认证、用户认证及安全审计功能,同时为应用程序提供密码编程接口,和应用程序配合可实现对交易信息的签名、认证及存储加密等功能,可作为网络系统整体安全解决方案的基础框架。
2.健壮性:
IP保密机内置定制安全操作系统,具有良好的自身安全性;
3.透明性:
现有业务系统和网络结构无须做任何调整;
4.适应性:
能很好适应各种网络结构和网络路由协议;
5.标准化:
与国际标准IPsec接轨;
6.可实施性:
安装、维护简单快速,可随时进行而不影响正常业务;
图1.2VPN安全整体解决方案
第二章
青鸟环宇VPN设备−SJW10IP保密机
二.1SJW10IP保密机技术说明
二.1.1硬件平台及主要功能
SJW10IP保密机是具有高可靠、高稳定性的网络安全设备,内置性能稳定、支持连续运转的工控标准硬件和经国家密码管理机构认证的密码模块,含有2~5个10/100M自适应的以太网络接口,可方便地以网桥方式接入各种拓扑结构的以太网络线路之中。
采用稳定可靠的电子存储设备作为系统的主存储介质,所有系统软件固化在DOC(DiskOnChip)芯片中,避免了由于易损坏的磁盘介质和读写磁盘时的机械操作给系统运行带来的稳定性隐患,采用加密存贮IC卡进行用户身份认证和电子证书的管理。
保密机使用定制安全操作系统,操作系统的压缩镜像和系统配置文件存放在电子盘中,采用先进的内存文件系统技术,使系统运行时所有的文件操作都在内存中完成,既大大提高的运行效率,又避免频繁读写电子存储设备对其使用寿命造成的影响。
用户可以通过串口或通过网络接口,利用Windows风格的控制台界面对保密机进行本地或远程的设置和管理。
IP保密机的主要安全功能包括:
(1)IP报文加/解密功能,有选择地对流经保密机的IP报文实施应用透明加密解密操作并进行完整性认证;
(2)VPN环境中的节点身份认证功能,防止非法设备假冒通讯;
(3)密码服务网络调用功能,为其它主机提供密码服务调用接口,包括分组加密/解密,公钥对生成,签名/验证,MAC生成/验证等;
(4)分布式密钥协商与预共享密钥共存,密钥管理便捷、适用;
(5)网络安全审计功能,记录网络传输情况、保密机的关键操作,以备查询、分析之用;
(6)保密机之间具有双机(或多机)互为备份的功能,互为备份的保密
机之间能够实时地进行密码同步,保证网络密码通讯的畅通;
二.1.2软件系统及网络位置
保密机软件系统以定制安全操作系统为基础,整个密码机的软件系统可分为管理界面层、用户命令层、应用编程接口层和核心层(包括:
网桥转发、协议分析和设备驱动)4个层次,其软件模块结构如图2.1所示。
图2.1保密机软件模块结构
保密机软件系统的核心是协议分析模块,它完成对网络数据包的协议解析,根据系统定义的各项安全策略对数据包进行相应的处理,即:
根据加密规则对流经保密机的IP包进行密码处理;
根据审计策略的定义对网络数据进行登记。
一般情况下,在多个局网(内网)通过广域网络(外网)互联时,IP保密机用于保护各个局域网络,对出入局网的所有信息实施密码保护和网络访问控制。
此时,保密机以网桥方式接入在内部局网与外网路由器(广域网路由器)之间,如图2.2所示。
图2.2IP保密机在网络中的位置
实际上,保密机可以安放在以太网络线路的任何位置,用户需要保护哪一段网络,保密机就可以放置在这个网络的出口处,这个网络可能是由若干路由器连接的一个局部网络(如:
建筑物内、园区内);
也可能是由集线器(HUB/交换机)连接起来的几台主机;
也可能是就是一台服务器。
二.1.3功能指标及配置说明
1、密码机制
●IP数据加密/解密及报文认证
保密机截获网络上流经本机的IP数据包,根据加密规则对其进行密码处理,在进行报文加/解密的同时对报文数据进行消息认证码运算,对所传输的报文进行完整性认证。
●支持多种型号的加密卡,支持多种加密算法的混合使用
为了满足用户对密码功能的需求,保密机同时支持多种型号的加密卡设备,支持多种加密算法的混合使用,对用户提供的新的加密模块可以做到加载即可用。
●为用户主机提供网络密码调用,用户可以通过调用SJW10IP保密机提供的密码服务建立自己的安全应用系统。
●支持PKI机制的分布式密钥自动协商,同时支持预共享对称密钥管理。
密钥管理是VPN系统中核心关键部分,PKI机制利用电子证书进行电子通信的签名、认证和加密传送,通过PKI机制用户可以把密钥管理分布到各个密码机上,使需要进行密码通讯的双方自行协商出通讯加密密钥,极大地方便VPN系统的密钥管理。
●对称密码算法密钥长度为128位,非对称密码算法密钥长度为1024位。
2、安全机制
●网络节点认证
保密机在进行密码通信前需要进行节点身份认证,身份认证基于安全管理中心签发的电子证书,只有当网络节点认证合法时,保密机才可以进行通信密钥的协商。
●网络数据审计
保密机截获网络上流经本机的IP数据包,根据网络审计事件的定义,对网络数据进行审计,以备后查。
3、管理机制
●保密机支持集中式远程管理,网络安全管理员可以在安全管理中心对整个VPN环境中的密码设备进行及时的统一管理,既方便了密码机的管理工作,又提高了管理工作的效率。
●保密机进行身份认证所使用的电子证书可以由用户自行签发,也可能是由第三方权威机构签发,SJW10IP保密机支持第三方CA机构签发的符合X.509标准的电子证书,支持第三方管理中心的远程管理。
4、网络适应性
●密码机采用网桥转发机制,原理如同交换机一样,能广泛适应各种以太网络结构,保密机的密码处理发生在IP层,与网络应用系统无关,
升级会员 