网络安全体系
ISO 的 OSI/RM 是著名的网络架构模型,但是,OSI/RM 并没有在安全性方面作专门的设计,因此该模型本身的安全性是很弱的。为了改善网络的安全状况,提高网络安全强度,ISO 又在 OSI/RM 的基础上提出了一套 OSI 安全架构,用以强化网络的安全性。
1 OSI 安全架构
OSI 安全架构是一个面向对象的、多层次的结构,它认为安全的网络应用是由安全的服务实现的,而安全服务又是由安全机制来实现的。
1.OSI 安全服务
针对网络系统的技术和环境,OSI 安全架构中对网络安全提出了 5 类安全服务,即对象认证服务、访问控制服务、数据保密性服务、数据完整性服务、禁止否认服务。
(1)对象认证服务。对象认证服务又可分为对等实体认证和信源认证,用于识别对等实体或信源的身份,并对身份的真实性、有效性进行证实。其中,对等实体认证用来验证在某一通信过程中的一对关联实体中双方的声称是一致的,确认对等实体中没有假冒的身份。信源认证可以验证所接收到的信息是否确实具有它所声称的来源。
(2)访问控制服务。访问控制服务防止越权使用通信网络中的资源。访问控制服务可以分为自主访问控制、强制访问控制、基于角色的访问控制。由于 DAC、MAC 固有的弱点,以及 RBAC 的突出优势,所以 RBAC 一出现就成为在设计中最受欢迎的一种访问控制方法。访问控制的具体内容前面已有讲述,此处不再赘述。
(3)数据保密性服务。数据保密性服务是针对信息泄漏而采取的防御措施,包括信息保密、选择段保密、业务流保密等内容。数据保密性服务是通过对网络中传输的数据进行加密来实现的。
(4)数据完整性服务。数据完整性服务包括防止非法篡改信息,如修改、删除、插入、复制等。
(5)禁止否认服务。禁止否认服务可以防止信息的发送者在事后否认自己曾经进行过的操作,即通过证实所有发生过的操作防止抵赖。具体的可以分为防止发送抵赖、防止递交抵赖和进行公证等几个方面。
2.OSI 安全机制
为了实现前面所述的 OSI 5 种安全服务,OSI 安全架构建议采用如下 8 种安全机制:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、流量填充机制、路由验证机制、公正机制。
(1)加密机制。加密机制即通过各种加密算法对网络中传输的信息进行加密,它是对信息进行保护的最常用措施。加密算法有许多种,大致分为对称密钥加密与公开密钥加密两大类,其中有些(例如,DES 等)加密算法已经可以通过硬件实现,具有很高的效率。
(2)数字签名机制。数字签名机制是采用私钥进行数字签名,同时采用公开密钥加密算法对数字签名进行验证的方法。用来帮助信息的接收者确认收到的信息是否是由它所声称的发送方发出的,并且还能检验信息是否被篡改、实现禁止否认等服务。
(3)访问控制机制。访问控制机制可根据系统中事先设计好的一系列访问规则判断主体对客体的访问是否合法,如果合法则继续进行访问操作,否则拒绝访问。访问控制机制是安全保护的最基本方法,是网络安全的前沿屏障。
(4)数据完整性机制。数据完整性机制包括数据单元的完整性和数据单元序列的完整性两个方面。它保证数据在传输、使用过程中始终是完整、正确的。数据完整性机制与数据加密机制密切相关。
(5)鉴别交换机制。鉴别交换机制以交换信息的方式来确认实体的身份,一般用于同级别的通信实体之间的认证。要实现鉴别交换常常用到如下技术。
① 口令:由发送方提交,由接收方检测。
② 加密:将交换的信息加密,使得只有合法用户才可以解读。
③ 实体的特征或所有权:例如,指纹识别、身份卡识别等。
(6)业务流填充机制。业务流填充机制是设法使加密装置在没有有效数据传输时,还按照一定的方式连续地向通信线路上发送伪随机序列,并且这里发出的伪随机序列也是经过加密处理的。这样,非法监听者就无法区分所监听到的信息中哪些是有效的,哪些是无效的,从而可以防止非法攻击者监听数据,分析流量、流向等,达到保护通信安全的目的。
(7)路由控制机制。在一个大型的网络里,从源节点到目的节点之间往往有多种路由,其中有一些是安全的,而另一些可能是不安全的。在这种源节点到目的节点之间传送敏感数据时,就需要选择特定的安全的路由,使之只在安全的路径中传送,从而保证数据通信的安全。
(8)公证机制。在一个复杂的信息系统中,一定有许多用户、资源等实体。由于各种原因,很难保证每个用户都是诚实的,每个资源都是可靠的,同时,也可能由于系统故障等原因造成信息延迟、丢失等。这些很可能会引起责任纠纷或争议。而公证机构是系统中通信的各方都信任的权威机构,通信的各方之间进行通信前,都与这个机构交换信息,从而借助于这个可以信赖的第三方保证通信是可信的,即使出现争议,也能通过公证机构进行仲裁。
3.OSI 安全服务与安全机制之间的关系
OSI 安全服务与安全机制之间不是一一对应的关系。有的服务需要借助多种机制来实线,同时,有些机制可以提供多种服务。一般来说,OSI 安全服务与安全机制之间具有如 表所示的关系,在设计中可以参考选用这些安全机制从而提供相应的安全服务。
2 VPN 在网络安全中的应用
虚拟专用网络(Virtual Private Network,VPN)是指利用不安全的公共网络如 Internet 等作为传输媒介,通过一系列的安全技术处理,实现类似专用网络的安全性能,保证重要信息的安全传输的一种网络技术。
1.VPN 技术的优点
VPN 技术具有非常突出的优点,主要包括:
(1)网络通信安全。VPN 采用安全隧道等技术提供安全的端到端的连接服务,位于 VPN 两端的用户在 Internet 上通信时,其所传输的信息都是经过 RSA 不对称加密算法加密处理的,它的密钥则是通过 Diffie-Hellman 算法计算得出的,可以充分地保证数据通信的安全。
(2)方便的扩充性。利用 VPN 技术实现企业内部专用网络,以及异地业务人员的远程接入等,具有方便灵活的可扩性。首先是重构非常方便,只需要调整配置等就可以重构网络;其次是扩充网络方便,只需要配置几个节点,不需要对已经建好的网络作工程上的调整。
(3)方便的管理。利用 VPN 组网,可以把大量的网络管理工作放到互联网络服务提供商一端来统一实现,从而减轻了企业内部网络管理的负担。同时 VPN 也提供信息传输、路由等方面的智能特性及与其他网络设备相独立的特性,也给用户提供了网络管理的灵活的手段。
(4)节约成本显著。利用已有的无处不在的 Internet 组建企业内部专用网络,可以节省大量的投资成本及后续的运营维护成本。以前,要实现两个远程网络的互联,主要是采用专线连接方式。这种方式成本太高。而 VPN 则是在 Internet 基础上建立的安全性较好的虚拟专用网,因此成本比较低,而且可以把一部分运行维护工作放到服务商端,又可以节约一部分维护成本。
2.VPN 的原理
实现 VPN 需要用到一系列关键的安全技术,包括:
(1)安全隧道技术。即把传输的信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包中送入网络中,像普通数据包一样进行传输。经过这样的处理,只有源端和目标端的用户对加密封装的信息能进行提取和处理,而对于其他用户而言,这些信息只是无意义的垃圾。
(2)用户认证技术。在连接开始之前先确认用户的身份,然后系统根据用户的身份进行相应的授权和资源访问控制。
(3)访问控制技术。由 VPN 服务的提供者与最终网络信息资源的提供者共同协商确定用户对资源的访问权限,以此实现基于用户的访问控制,实现对信息资源的保护。
VPN 系统的结构如图所示。
在图中,安全隧道代理和管理中心组成安全传输平面(Secure Transmission Plane, STP),实现在 Internet 上安全传输和相应的系统管理功能。用户认证管理中心和密钥分配中心组成公共功能平面(Common Function Plane,CFP),它是安全传输平面的辅助平面,主要向用户代理提供相对独立的用户身份认证与管理、密钥的分配与管理功能。
建立 VPN 通信时,VPN 用户代理向安全隧道代理请求建立安全隧道,安全隧道代理接受后,在管理中心的控制和管理下在 Internet 上建立安全隧道,然后向用户提供透明的网络传输。VPN 用户代理包括安全隧道终端功能、用户认证功能和访问控制功能三个部分,它们共同向上层应用提供完整的 VPN 服务。
(1)安全传输平面。安全传输平面实现在 Internet 上安全传输和相应的系统管理功能,这是由安全隧道代理和管理中心共同完成的。
① 安全隧道代理。安全隧道代理可以在管理中心的控制下将多段点到点的安全通路连接成一条端到端的安全隧道。它是 VPN 的主体,其主要作用有:
建立与释放安全隧道。按照用户代理的请求,在用户代理与安全隧道代理之间建立点到点的安全通道,并在这个安全通道中进行用户身份验证和服务等级协商等交互。在安全通道中进行初始化过程,可以充分保护用户身份验证等重要信息的安全。然后在管理中心的控制下建立发送端到接收端之间由若干点到点的安全通道依次连接而成的端到端的安全隧道。在信息传输结束之后,由通信双方中的任一方代理提出释放隧道连接请求,就可以中断安全隧道连接。
用户身份的验证。在建立安全隧道的初始化过程中,安全隧道代理要求用户代理提交用户认证管理中心提供的证书,通过验证该证书可以确认用户代理的身份。必要时还可以由用户代理对安全隧道代理进行反向认证以进一步提高系统的安全性。
服务等级的协商。用户身份验证通过之后,安全隧道代理与用户代理进行服务等级的协商,根据其要求与 VPN 系统当时的实际情况确定提供的服务等级并报告至管理中心。
信息的透明传输。安全隧道建立之后,安全隧道代理负责通信双方之间信息的传输,并根据商定的服务参数进行相应的控制,对其上的应用提供透明的 VPN 传输服务。
控制与管理安全隧道。在维持安全隧道连接期间,安全隧道代理还要按照管理中心的管理命令对已经建立好的安全隧道进行网络性能及服务等级等有关的管理与调整。
② VPN 管理中心。VPN 管理中心是整个 VPN 的核心部分,它与安全隧道代理直接联系,负责协调安全传输平面上的各安全隧道代理之间的工作。具体功能包括:
安全隧道的管理与控制。确定最佳路由,并向该路由上包含的所有安全隧道代理发出命令,建立安全隧道连接。隧道建立以后,管理中心继续监视各隧道连接的工作状态,对出错的安全隧道,管理中心负责重新选择路由并将该连接更换到新的路由。在通信过程中,还可以根据需要向相应安全隧道上的代理发送管理命令,以优化网络性能、调整服务等级等。
网络性能的监视与管理。管理中心不断监视各安全隧道代理的工作状态,收集各种 VPN 性能参数,并根据收集到的数据完成 VPN 性能优化、故障排除等功能。同时,管理中心还负责完成对各种 VPN 事件进行日志记录、用户计费、追踪审计、故障报告等常用的网络管理功能。
(2)公共功能平面。公共功能平面是安全传输平面的辅助平面,向 VPN 用户代理提供相对独立的用户身份认证与管理、密钥的分配与管理功能,分别由用户认证管理中心和 VPN 密钥分配中心完成。
① 认证管理中心。认证管理中心提供用户身份认证和用户管理。用户认证就是以第三者身份客观地向 VPN 用户代理和安全隧道代理中的一方或双方提供用户身份的认证,以便他们能够相互确认对方的身份。
用户管理是指与用户身份认证功能直接相关的用户管理部分,即对各用户(包括用户代理、安全隧道代理及认证管理中心等)的信用程度和认证情况进行日志记录,并可在 VPN 与建立安全隧道双方进行服务等级的协商时参考。这里的管理是面向服务的,而与用户权限、访问控制等方面有关的用户管理功能则不在此列。
② 密钥分配中心。密钥分配中心向需要进行身份验证和信息加密的双方提供密钥的分配、回收与管理功能。在 VPN 系统里,用户代理、安全隧道代理、认证管理中心等都是密钥分配中心的用户。
采用 VPN 技术,既能保证整个企业网络的连通性与数据的共享,又能保证财务等重要数据的安全,是一种实现企业内部本地网络互连的良好方案。