21 世 紀 即 將 到 來, 互 聯 網 的 熱 潮 沖 擊 著 整 個 世 界。 所 有 發 達 國 家 都 已 建 成 了 多 個、 多 種 國 家 級 的 計 算 機 網 絡, 并 互 聯 成 覆 蓋 全 球 的 計 算 機 網 絡。 據 統 計 入 網 主 機 數 量 超 過4000 萬 臺, 連 入 的 計 算 機 子 網 已 達60 多 萬 個,Internet 迅 速 商 業 化 并 在 社 會 中 大 量 應 用, 它 已 成 為 現 代 社 會 的 重 要 信 息 基 礎 設 施 之 一。
----隨 著Internet 技 術 的 迅 猛 發 展, 網 絡 規 模 不 斷 擴 大, 網 絡 結 構 更 加 復 雜。 目 前, 組 建 大 型 計 算 機 信 息 網 絡 的 關 鍵 技 術 是TCP/IP 網 絡 互 聯 和 路 由 器 技 術, 特 別 是 在Internet 中, 路 由 器 起 著 重 要 的 作 用。 著 眼 于 國 家 信 息 安 全,1997 年“ 國 務 院 信 息 化 工 作 領 導 小 組 辦 公 室” 提 出 了 國 際 聯 網 安 全 研 究 項 目, 在 網 絡 安 全 關 鍵 設 備 和 網 絡 安 全 關 鍵 技 術 兩 類10 多 個 課 題 中, 就 包 括 了 國 產 安 全( 加 密) 路 由 器 設 備 的 研 究。
----當 前, 國 內 市 場 所 流 通 的( 包 括 國 產 的 和 國 外 的) 幾 乎 都 是“ 普 通 路 由 器” 和“ 不 具 有 加 密 功 能 的 安 全 路 由 器”。 這 些 路 由 器 有 的 只 有 路 由 功 能 而 沒 有 安 全、 加 密 功 能; 有 的 只 增 加 了 包 過 濾 功 能。 下 面 我 們 要 討 論 集 常 規 路 由 器 和 安 全、 加 密 功 能 于 一 體 的 內 嵌 式“ 安 全( 加 密) 路 由 器”。
解 決 的 主 要 問 題
----網 絡 已 從 單 個 的、 封 閉 的 計 算 機 網 發 展 為 開 放 的 互 聯 網。 并 由 此 帶 來 以 下 變 化:
----封 閉 網 到 開 放 網: 社 會 的 發 展 和 人 們 工 作、 生 活 的 需 求, 是 網 絡 技 術 發 展 的 動 力; 網 絡 技 術 的 發 展 又 進 一 步 刺 激 著 人 們 工 作、 生 活 模 式 的 變 更。 單 個 的Intranet 網 在 很 多 情 況 下 已 不 能 滿 足( 或 不 能 很 好 地 滿 足) 人 們 工 作 和 生 活 的 需 要, 網 絡 由 封 閉 走 向 互 聯 和 開 放 已 成 趨 勢。
----集 團 通 信 到 個 人 通 信: 以 前, 計 算 機 網 絡 通 信 幾 乎 都 是 集 團( 部 門、 單 位、 企 業 等) 的 行 為, 個 人 行 為 是 微 乎 其 微 的。 隨 著 網 絡 技 術 的 發 展 和 人 們 工 作、 生 活 等 各 方 面 需 求 的 變 更, 個 人 通 信 在 增 加, 所 占 比 例 越 來 越 大。
----有 中 心 網 到 無 中 心 網: 從 網 絡 體 系 來 講, 封 閉 的Intranet 網 是 有 中 心 網( 一 級 網、 二 級 網 等); 而 互 聯 網 屬 無 中 心 網, 網 絡 之 間 可 以 自 由 通 信、 自 由 交 互、 自 由 往 來。
----網 絡 安 全 問 題 更 加 突 出: 由 于 互 聯 網 是 無 中 心 網, 網 絡 之 間 可 以 自 由 通 信、 自 由 交 互、 自 由 往 來, 因 此, 網 絡 安 全 問 題 更 加 突 出。 如 何 保 證 網 絡 設 備 自 身 的 安 全 以 及 存 儲 在 其 上 或 通 過 其 傳 輸 的 敏 感 信 息 的 安 全, 就 成 為 必 須 解 決 的 問 題。
----安 全( 加 密) 路 由 器 是 保 證 互 聯 網( 同 時 也 包 括Intranet 和 Extranet ) 信 息 安 全 的 關 鍵 設 備 之 一, 它 需 要 解 決 的 主 要 問 題 是:
----防 止 虛 假 路 由 信 息 的 接 收 和 路 由 器 的 非 法 接 入
----發 送 虛 假 路 由 信 息, 使 路 由 器 路 由 混 亂、 阻 塞, 從 而 導 致 網 絡 癱 瘓 是 黑 客 可 用 的 手 段 之 一, 黑 客 也 常 常 將“ 自 制 路 由 器” 接 入 到 網 絡 之 中。 安 全( 加 密) 路 由 器 應 當 對 路 由 器 具 有 鑒 別 功 能, 能 夠 阻 止 路 由 器 的 非 法 接 入。 在 Intranet/Extranet 網 中 需 要 解 決 和 保 證 虛 假 路 由 信 息 的 辨 認, 對 虛 假 路 由 信 息 拒 收。
----防 止 非 授 權 人 員 的 入 侵
----非 授 權 人 員, 從 路 由 器 的 操 作 系 統 入 手, 從“ 后 門” 侵 入 路 由 器, 從 而 更 改 路 由 表 或 竊 取 有 用 信 息, 是 需 要 特 別 加 以 防 范 的。
----對 路 由 信 息 和IP 數 據 報 的 加 密 保 護
----路 由 器 是 網 絡 的 轉 接 設 備, 它 不 斷 地 接 收 和 發 送 路 由 信 息 和IP 數 據 報。 因 此, 路 由 信 息 和 敏 感 的IP 數 據 報 的 安 全 保 護 就 成 為 極 其 重 要 的 問 題。 安 全( 加 密) 路 由 器 應 當 具 有 對 路 由 信 息 和 敏 感IP 數 據 報 的 加 密 保 護 功 能。 它 涉 及 加 密 算 法、 密 鑰、 數 據 完 整 性 和 數 字 簽 名 等 問 題。
----加 密 算 法 的 選 擇: 出 于 對 國 家 信 息 安 全 的 考 慮 和 對 國 外 安 全 產 品 是 否 留 有“ 陷 門” 的 憂 慮, 并 遵 守 國 家 有 關 政 策、 法 規, 設 備 應 當 選 擇 我 國 有 關 部 門 批 準 的 加 密 算 法。 在 進 行 加 密 作 業 時, 則 盡 量 做 到 一 次 一 密。
----密 鑰 的 管 理: 密 鑰 是 加 密 作 業 中 最 活 躍 的 因 素, 所 謂“ 一 次 一 密”, 簡 言 而 之, 就 是 每 次 加 密 所 用 的 密 鑰 互 不 相 同。 因 此, 從 某 種 意 義 上 說, 保 密 的 關 鍵 是 密 鑰, 它 應 考 慮 以 下 幾 個 方 面: 密 鑰 種 子、 密 鑰 的 隨 機 性; 密 鑰 的 種 類 和 層 次; 密 鑰 長 度; 密 鑰 生 成 算 法 的 復 雜 度; 密 鑰( 含 密 鑰 生 成 算 法 及 密 鑰 自 身) 保 護; 密 鑰 的 存 儲、 傳 輸、 更 換 和 廢 除 以 及 密 鑰 的 管 理 方 式 等。
----數 據 完 整 性 驗 證: 嚴 密 的 設 計 應 當 考 慮 IP 數 據 報 完 整 性 驗 證, 當 然, 也 可 以 對 傳 送 的 密 鑰 做 完 整 性 驗 證, 或 者 兩 者 都 做。 在 某 些 應 用 環 境 或 考 慮 到 某 些 因 素 的 情 況 下, 也 可 以 不 進 行 數 據 完 整 性 驗 證。 #p#分頁標題#e#
----數 字 簽 名: 這 是 對 發 報 者 的 確 認, 也 是 發 報 者 自 身 嚴 肅 性 的 體 現。 采 用 加 密 技 術 做 數 字 簽 名, 對 很 多 作 業 來 說 是 需 要 的。 但 同 數 據 完 整 性 驗 證 一 樣, 在 某 些 應 用 環 境 或 考 慮 到 某 些 因 素 的 情 況 下, 也 可 以 不 進 行 數 字 簽 名。
----復 雜 網 絡 加 密 的 正 確 性 和 系 統 的 可 用 性
----這 是 指 解 決 多 個 路 由 器、 一 次 一 密 的 情 況 下, 相 互 通 信( 一 對 多) 的 正 確 性。
----由 于 加 密 是 一 個 完 整 的 流 程, 相 對 不 加 密 來 說, 必 然 也 必 須 附 加 一 些 動 作, 因 此, 效 率 的 降 低( 甚 至 是 明 顯 的 降 低) 也 是 必 然 的。 一 方 面, 要 盡 量 使 所 設 計 的 安 全( 加 密) 路 由 器 機 制 效 率 更 高; 再 者, 要 對 系 統 進 行 綜 合 考 慮, 在 保 密 和 效 率 之 間 進 行 權 衡。
內 嵌 式 設 計 框 架
----對 安 全( 加 密) 路 由 器 的 設 計, 這 里 不 展 開 敘 述, 只 是 討 論 它 的 設 計 框 架。
----產 品 定 位( 功 能 設 計)
----路 由 器 和 安 全 加 密 模 件 有 機 集 成 內 嵌 式 的 安 全( 加 密) 路 由 器, 這 樣 的 路 由 器 具 有 以 下 功 能 和 特 點:
----1 內 嵌 式 體 系 結 構
----將 加 密 模 件 放 在 路 由 器 里, 路 由 器 與 加 密 模 件 集 成 為 一 體, 進 行 內 部 交 互。 這 與 路 由 器 外 掛 加 密 機 的 外 掛 式 體 系 結 構 有 著 明 顯 的 區 別。
----保 密 性: 一 般 來 說, 內 嵌 式 路 由 器 結 構 較 外 掛 式 好。 路 由 器 大 都 設 有 多 個( 低 端 路 由 器 為2 ~3 個) 廣 域 口, 外 掛 式 解 決 多 個 廣 域 口 的 保 密 問 題 比 較 復 雜, 內 嵌 式 相 對 來 說 要 簡 單 一 些; 再 者, 外 掛 式 的 加 密 在 路 由 器 外 部 進 行, 內 嵌 式 的 加 密 是 在 路 由 器 內 部 進 行 的; 第 三, 內 嵌 式 比 外 掛 式 較 為 容 易 實 現 一 次 一 密。
----靈 活 性: 內 嵌 式 可 以 由 用 戶 自 行 設 置 要 加 密 的 客 戶 機 和( 或) 服 務 器, 而 外 嵌 式 則 對 經 過 路 由 器 的 所 有 客 戶 機 和 服 務 器 的IP 數 據 報 都 要 加 密; 從 密 鑰 管 理 來 看, 內 嵌 式 亦 較 外 掛 式 優 越, 在 設 置 分 布 式 密 鑰 管 理 機 制 情 況 下, 可 不 專 設 密 鑰 管 理 中 心。
----經 濟 性: 由 于 內 嵌 式 是 將 加 密 模 件 集 成 到 路 由 器 里, 而 不 是 像 外 掛 式 那 樣, 做 成 一 臺 獨 立 的 機 器, 因 此, 成 本 較 低; 第 二, 設 計 成 分 布 式 密 鑰 管 理 時, 可 不 加 配 密 鑰 管 理 中 心, 系 統 集 成 比 較 經 濟。
----效 率: 內 嵌 式 安 全( 加 密) 路 由 器 的 加 密 模 件 集 成 在 安 全( 加 密) 路 由 器 里, 可 以 將 加 密 做 成 硬 件, 和 路 由 器 進 行 內 部 交 互( 這 種 交 互 是 比 較 多 的) 連 接, 加 密 速 度 較 快; 另 外, 采 用 分 布 式 密 鑰 管 理 機 制, 不 用 與 密 鑰 管 理 中 心 進 行 交 互。 因 此, 內 嵌 式 的 效 率 一 般 來 說 要 比 外 掛 式 高。
----2 加 密 算 法 和 密 鑰
----這 是 一 個 敏 感 而 又 重 要 的 問 題, 必 須 按 國 家 的 有 關 政 策 和 法 規 辦 事。
