对核心网络安全技术的理解

对核心网络安全技术的理解

陈永刚

陈永刚

（黑龙江省边防总队司令部通信技术处，哈尔滨150000）

摘要：本文针对防火墙的三种技术方式进行说明,并就信息交换加密技术的分类及RSA算法作以分析，针对PKI技术这一信息安全核心技术，论述了其安全体系的构成。

关键词：网络安全；防火墙；PKI技术

中图分类号：TP393.08文献标识码：A文章编号：1007-9599(2010)05-0000-01

UnderstandingofCoreNetworkSecurityTechnology

ChenYonggang

（HeilongjiangFrontierCorpsHeadquarters,CommunicationTechnologyDepartment,Harbin150000,China）

Abstract:Inthisarticle,itisinstructionofthreefirewalltechnologies,andanalysistheEncryptionofinformationexchangeandtheRSAencryptionalgorithm.anddescribesthecomponentsofsecurityarchitecturebasedonPKI,whichisthecoreoftheinformationsecuritytechnology.

Keywords:Networksecurity;Firewall;PKItechnology

一、引言

在众多影响防火墙安全性能的因素中，有些是管理人员可以控制的，但是有些却是在选择了防火墙之后便无法改变的特性，其中一个很关键的就是防火墙所使用的存取控制技术。目前防火墙的控制技术大概可分为：封包过滤型(PacketFilter)、封包检验型(StatefulInspectionPacketFilter)以及应用层闸通道型(ApplicationGateway）。这三种技术分别在安全性或效能上有其特点，不过一般人往往只注意防火墙的效能而忽略了安全性与效率之间的冲突。本文针对防火墙这三种技术进行说明，并比较各种方式的特色以及可能带来的安全风险或效能损失。

二、防火墙技术

包封过滤型：封包过滤型的控制方式会检查所有进出防火墙的封包标头内容，如对来源及目地IP、使用协定、TCP或UDP的Port等信息进行控制管理。现在的路由器、SwitchRouter以及某些操作系统已经具有用PacketFilter控制的能力。封包过滤型控制方式最大的好处是效率高，但却有几个严重缺点：管理复杂，无法对连线作完全的控制，规则设置的先后顺序会严重影响结果，不易维护以及记录功能少。

封包检验型：封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版，目的是增加封包过滤型的安全性，增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包，不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全，但其相对效能也越低。

封包检验型防火墙在检查不完全的情况下，可能会造成问题。去年被公布的有关Firewall-1的FastModeTCPFragment的安全弱点就是其中一例。这个为了增加效能的设计反而成了安全弱点。

应用层闸通道型：应用层闸通道型的防火墙采用将连线动作拦截，由一个特殊的代理程序来处理两端间的连线的方式，并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作，而不会被client端或server端欺骗，在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的代理程序，或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式，但也是效能最低的一种方式。

防火墙是为保护安全性而设计的，安全应是其主要考虑。因此，与其一味地要求效能，不如去思考如何在不影响效能的情况下提供最大的安全保护。

三、加密技术

信息交换加密技术分为两类：即对称加密和非对称加密。

（一）对称加密技术

在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加密标准）的一种变形，这种方法使用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到112位。

（二）非对称加密/公开密钥加密

在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

（三）RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：

公开密钥：n=pq(p、q分别为两个互异的大素数，p、q必须保密)

e与（p-1）(q-1)互素

私有密钥：d=e-1{mod(p-1)(q-1)}

加密：c=me(modn),其中m为明文，c为密文。

解密：m=cd(modn)

利用目前已经掌握的知识和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。

四、PKI技术

PKI（PublieKeyInfrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。

（一）认证机构

CA（CertificationAuthorty）就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。

（二）注册机构

RA（RegistrationAuthorty）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。

（三）密钥备份和恢复

为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。