（控制理论与控制工程专业论文）校园网安全系统的设计和实现.pdf

华中科技大学硕士学位论文 摘要 校园网上大量存在的计算机病毒、黑客行为、木马等安全威胁，无时无刻不在 影响着校园网络的健康发展，利用何种技术措施保证校园网安全、高效地运行，已 成为目前许多学校急需解决的研究课题。 目前，常采用的保护网络安全的技术有主要有数据加密、防火墙、入侵检测、 杀毒、访问控制等。这些技术分别在一方面或多个方面抵御着来自网络的安全威胁。 然而，在网络安全防范技术不断进步的同时，威胁网络安全的计算机病毒技术、黑 客技术、木马技术等也在不断的发展变化之中。在校园的建设实践中，追求百分之 百的网络安全是办不到的，综合运用多种网络安全技术建成一个相对安全的、符合 一定安全需求的校园网才是明智的选择。 在对各种网络安全技术进行深入地探讨后，通过对恩施职院原有的校园网的安 全状况进行认真地分析，发现恩施职院校园网主要存在着网络结构简单、广播风暴 严重、缺乏网络管理、网络安全性差等问题。以恩施职院校园网为基本网络模型， 重点运用防火墙、v l a n 和病毒防治技术，认真选择网络安全设备，合理运用访问 控制策略，设计并实现恩施职院校园网安全系统。方案实施后，网络系统运行稳定， 网络病毒的传播和蔓延得到有效控制，非法访问和入侵大大降低，校园网安全性得 到极大提高，达到了预期的设计目标，同时也为同类高职院校网络建设提供了有益 的经验。 关键词：校园网网络管理网络安全防火墙 华中科技大学硕士学位论文 a b s t r a c t t h et h r e a t e n i n go ft h e c o m p u t e r v i r u sa n dh a c k e r sa r ea f f e c t i n gt h eh e a l t h d e v e l o p m e n to f t h ec a m p u sn e t w o r k a n dh o wt oa s s u r et h es e c u r i t ya n dt h ee f f i c i e n c yo f t h ec a m p u sn e t w o r ki sb e c o m i n gt h ee m e r g e n c er e s e a r c ht o p i ci nl o t so f c o l l e g e s r e c e n t l y , t h ep o p u l a rt e c h n o l o g i e so fp r o t e c t i n gn e t w o r ki n c l u d ed a t a - e n c r y p t i n g ， f i r e w a l l ，i d s ，k i l l i n g v i r u s ，a c c e s s - c o n t r o l l i n ga n ds oo n t h e s et e c h n o l o g i e sr e s i s tt h e s e c u r i t yt h r e a t e n i n gf r o mn e t w o r ki no n ea s p e c ta n ds o m ea s p e c t sr e s p e c t i v e l y h o w e v e r , w h e nt h er e s i s t i n gt e c h n o l o g i e so ft h es e c u r i t yn e t w o r ki m p r o v ec o n t i n u o u s l y , t h e t e c h n o l o g i e so fc o m p u t e rv i r u sa n dh a c k e ra r ea l s od e v e l o p e d i nt h eb u i l d i n go ft h e c a m p u sn e t w o r k , i ti si m p o s s i b l et oh a v et h et o t a l l ys e c u r i t y u s i n gal o to fn e t w o r k s e c u r i t yt e c h n o l o g i e st ob u i l dar e l a t i v e l ys a f en e t w o r kw h i c hs a t i s f i e st h es e c u r i t yr e q u e s t t oac e r t a i ne x t e n ti saw i s ew a y a f t e rt h ed i s c u s s i n go fs e v e r a ln e t w o r ks e c u r i t yt e c h n o l o g i e s , b yt h ea n a l y s i so ft h e s e c u r i t yc o n d i t i o ni nc a m p u sn e t w o r ko fe n s h iv o c a t i o n a la n dt e c h n i c a lc o l l e g e , w ef i n d t h a tt h ec a m p u sn e t w o r kh a st h ep r o b l e m so ft h ee a s i n e s so fn e t w o r ks t r u c t u r e ，t h e s e r i o u s n e s so fb r o a d c a s ts t o r m , t h el a c ko fn e t w o r km a n a g e m e n t ，t h ew o r s es e c u r i t yo f n e t w o r ka n ds oo n t a k i n gt h ec a m p u sn e t w o r ko fe n s h iv o c a t i o n a la n dt e c h n i c a lc o l l e g e a st h eb a s i cm o d e l ，u s i n gt h et e c h n o l o g i e so ff i r e w a l l ，v l a n , a n dt h er e s i s t i n gv i r u s ， c h o o s i n gt h en e t w o r ks e c u r i t ye q u i p m e n t ss e r i o u s l y , h a n d l i n g t h ea c c e s s i n gc o n t r o l s t r a t e g yr e a s o n a b l bt od e s i g na n di m p l e m e n tt h ec a m p u sn e t w o r ks e c u r i t ys y s t e mo f e n s h iv o c a t i o n a la n dt e c h n i c a lc o l l e g e a f t e rt h ei m p l e m e n to ft h es t r a t e g y , t h en e t w o r k s y s t e mr u n ss t a b l y , t h et r a n s m i t t i n go fv i r u sc o n t r o l se f f e c t i v e l y , t h ei n v a l i da c c e s sa n d i n t r u s i o ni sq u i t el o w e r , t h ec a m p u sn e t w o r ks e c u r i t yi si m p r o v i n gr a p i d l yt or e a c ht h e d e s i g n i n gt a r g e ta n dg i v et h eu s e f u le x p e r i e n c et ot h es a m ec l a s sc o l l e g e s k e y w o r d s ：c a m p u sn e t w o r k n e t w o r km a n a g e n m n t n e t w o r ks e c i l i i t y f i r e w a l l 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他 个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集 体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。 么 ， 学位论文作者签名：玑“4 ，q 日期：口6 年1 月f 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名枷丸f 研 7 日期：口6 年f ，月日 转 权 授本 用适后密解 年 纯苗 口 密打 密 保内 保 不框方 f e 屑 以 文 在 论 清 摹 0 叭 诅加 l月孙年 登出 币， 刻乃 导期 潜日 华中科技大学硕士学位论文 1 1 课题背景、目的和意义 1 绪论 恩施职业技术学院是2 0 0 1 年由几所中专学校合并升级组建的高职院校，肩负着 为本地培养高素质应用型建设人才的重任。建校以来，学院在专业建设方面取得了 骄人的成绩，2 0 0 3 年成为全国示范性高职院校建设单位，2 0 0 4 年教育部等六部门确 定为“计算机应用于软件技术领域紧缺人才培养基地”和“数控技术实训基地”。 由于学校处于落后山区，财力不足，学校在校园网建设上一直滞后于省内其它 高职院校。2 0 0 2 年底，开通了一个4 m 带宽的d d n 接入互联网，校内建成了以1 0 0 m 光纤为主干的校园网络，接入计算机5 0 0 余台，网络中没有搭建任何实质性的服务 平台，例如w e b 服务、f t p 服务、邮件服务、自动化办公系统等等。2 0 0 4 年学校把 网路接入带宽升级为1 0 m ，对外访问带宽有所提高，增加了一个运行学校网站的w e b 服务器，其它方面没有任何改进。 这种“重硬轻软”的结果是：校园网内病毒泛滥，广播信息多，网络安全性极 差，校园网没有充分发挥其在学校教育、教学中的应有地位和作用。 2 0 0 6 年学院决定对原有的校园网进行升级改造，组建相应的网络服务器和各种 信息管理系统，添置网络安全设备，加强对网络的管理，使校园网成为一个真正为 学院教学和管理服务的信息平台。 建设以i n t e m e t 为基础的数字化校园，可以推进教学校教学和管理现代化、信息 化，改善办学条件、提高教育教学质量。把互联网延伸到校园的每一个办公教学区 域和生活区域，使校园网成为师生与外界联系和交流的平台，使师生足不出户，便 可享受当今信息化社会带来的一切便利和成果，网上学习、网上娱乐、网上购物、 网上交流等等。当然，这一切都必须是网络在稳定、安全、高效的运行的情况下， 才得以成为现实。 本课题的意义在于，校园网的建设势在必行，然而，学校的财力有强弱，地处 华中科技大学硕士学位论文 老少边穷地区、经济实力比较弱的恩施职业技术院，如何以最小的投入，组建一个 够用实用、性价比高，又有一定先进性和可扩展性的，能够为学院的教学系统、行 政管理系统、信息交流提供一定安全保障的校园网络，本课题从技术选择、安全设 备选型、网络管理等方面总结出一套有益的经验。对经济能力与恩施职业技术学院 类似的高校的网络建设可提供一定的借鉴作用，具有很强的现实意义和推广价值。 1 2 国内外研究概况 计算机网络安全( 简称网络安全) 是指网络系统的硬件、软件及其系统中的数 据受到保护，不被偶然或者恶意的破坏、更改、泄漏，系统连续可靠地正常运行， 网络服务不中断。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技 术、信息安全技术、应用数学、数论、信息论等的综合性学科“- 2 1 。 1 , 2 1 网络安全的严峻形势 目前，网络安全问题己成为信息时代人类共同面临的挑战。计算机网络安全包 括校园网的安全形势十分严峻，具体表现在以下三个方面： 1 ) 安全威胁背景复杂 首先，网络脆弱有机可乘。由于技术水平和人为因素，计算机存在先天不足的 硬件“缺陷”和后天不备的软件“漏洞”。据中国电信公司统计，2 0 0 5 年上半年发现 计算机软件中的新安全漏洞1 8 6 2 个，平均每天l o 个；每当一个新安全漏洞被公布 后，平均6 天内黑客就可以根据漏洞编写出软件实施攻击；然而目前计算机厂商平 均需要5 4 天才能推出“漏洞补丁”软件。其次，信息泄漏难以避免。普通计算机显 示终端的电磁辐射，可以在几米甚至一公里之外被接收和复现信息。再次，文化渗 透异常活跃。目前因特网上9 0 * 0 以上是英语信息，而中文网站信息只占l ，发达国 家控制着因特网上的话语权，更多地向我国输入其意识形态、生活方式和行为准则 等信息1 3 1 。 2 ) 安全威胁手段多样 其一，病毒入侵成为国际性“公害”。2 0 世纪9 0 年代，一个计算机病毒需要三 2 华中科技大学硕士学位论文 年时间才能传染全球，今天只需要几分钟就能够传染全球。目前全球已发现各种计 算机病毒5 万多种。2 0 0 0 年5 月3 日至4 日，全球数十个国家的数百万台计算机被 “爱虫”病毒感染，其中美国国会、英国国会、美国国防部、美国商业部、财富 杂志所列的世界头1 0 0 个大公司中的8 0 的企业的计算机系统都不能幸免，短短两 天就造成经济损失2 6 亿美元，成为有史以来破坏力最强的计算机病毒事件。其二， 逻辑炸弹成为隐蔽性“杀手”。逻辑炸弹其本质是一种数据欺骗。1 9 9 6 年7 月3 1 日， 美国一家大型制造商的计算机系统管理员罗依德，因不受公司器重而报复公司，将 自己编写的逻辑炸弹提前3 0 天埋在了公司的计算机生产系统中，在收到解雇通知后 随即引爆了逻辑炸弹，不仅给公司造成1 千万美元的直接经济损失，更严重的是使 公司在本领域的名声从此一蹶不振。其三，口令攻击成为毁灭性“隐患”。口令攻击 是网络管理漏洞造成的一种安全隐患。曾有专家在因特网上选择了几个网站，用字 典攻击法在给出用户名的条件下，测出7 0 的用户口令密码只用了3 0 多分钟【4 1 。 3 ) 安全威胁后果严重 首先，网络不安全国家信息就不安全。国家信息系统往往成为敌对国家和不法 分子攻击和窃取国家信息情报的重要途径。其次，网络不安全经济信息就不安全。 信息技术与信息产业已成为当今世界经济与社会发展的主要驱动力。但网络是把“双 刃剑”，世界各国的经济每年都因信息安全问题遭受巨大损失。据介绍，目前美国、 德国、英国、法国每年由于网络安全问题而遭受的经济损失达数百亿美元。其中2 0 0 5 年，英国有5 0 0 万人仅被网络诈骗就造成经济损失达5 亿美元。再次，网络不安全 军事信息就不安全。与公众网络相比，军事网络安全受到的威胁更大。美军曾对计 算机系统进行了3 8 万次模拟袭击，袭击成功率高达6 5 ，而被发现的概率仅为0 1 2 ， 对已发现的袭击能及时通报的只有2 7 ，能做出反应的还不到1 g j 1 2 2 国内外网络安全研究现状 1 ) 国内外密码理论与技术研究现状 密码理论与技术主要包括两部分，即基于数学的密码理论与技术( 包括公钥密 码、分组密码、序列密码、认证码、数字签名、h a s h 函数、身份识别、密钥管理、 华中科技大学硕士学位论文 p k i 技术等) 和非数学的密码理论与技术( 包括信息隐形，量子密码，基于生物特征 的识别理论与技术) p ”。 自从1 9 7 6 年公钥密码的思想提出以来，国际上已经提出了许多种公钥密码体制， 但比较流行的主要有两类：一类是基于大整数因子分解问题的，其中最典型的代表 是r s a ；另一类是基于离散对数问题的，比如e i g a m a l 公钥密码和影响比较大的椭 圆曲线公钥密码。由于分解大整数的能力日益增强，所以对r s a 的安全带来了一定 的威胁。目前7 6 8 比特模长的r s a 己不安全。一般建议使用1 0 2 4 比特模长，预计 要保证2 0 年的安全就要选择1 2 8 0 比特的模长，增大模长带来了实现上的难度。而 基于离散对数问题的公钥密码在目前技术下5 1 2 比特模长就能够保证其安全性。特 别是椭圆曲线上的离散对数的计算要比有限域上的离散对数的计算更困难，目前技 术下只需要1 6 0 比特模长即可，适合于智能卡的实现，因而受到国内外学者的广泛 关注。国际上制定了椭圆曲线公钥密码标准i e e e p l 3 6 3 ，r s a 等一些公司声称他们 己开发出了符合该标准的椭圆曲线公钥密码。中国学者也提出了一些公钥密码，另 外在公钥密码的快速实现方面也做了一定的工作，比如在r s a 的快速实现和椭圆曲 线公钥密码的快速实现方面都有所突破。公钥密码的快速实现是当前公钥密码研究 中的一个热点，包括算法优化和程序优化。另一个人们所关注的问题是椭圆曲线公 钥密码的安全性论证问题 9 1 。 公钥密码主要用于数字签名和密钥分配。当然，数字签名和密钥分配都有自己 的研究体系，形成了各自的理论框架。目前数字签名的研究内容非常丰富，包括普 通签名和特殊签名。特殊签名有盲签名，代理签名，群签名，不可否认签名，公平 盲签名，门限签名，具有消息恢复功能的签名等，它与具体应用环境密切相关。显 然，数字签名的应用涉及到法律问题，美国联邦政府基于有限域上的离散对数问题 制定了自己的数字签名标准( d s s ) ，部分州已制定了数字签名法。法国是第一个制 定数字签名法的国家，其他国家也正在实施之中。在密钥管理方面，国际上都有一 些大的举动，比如1 9 9 3 年美国提出的密钥托管理论和技术、国际标准化组织制定的 x 5 0 9 标准( 已经发展到第3 版本) 以及麻省里工学院开发的k e r b o r o s 协议( 已经发 展到第5 版本) 等，这些工作影响很大。密钥管理中还有一种很重要的技术就是秘密 4 华中科技大学硕士学位论文 共享技术，它是一种分割秘密的技术，目的是阻止秘密过于集中，自从1 9 7 9 年s h a m k 提出这种思想以来，秘密共享理论和技术达到了空前的发展和应用，特别是其应用 至今人们仍十分关注。中国学者在这些方面也做了一些跟踪研究，发表了很多论文， 按照x5 0 9 标准实现了一些c a 。但没有听说过哪个部门有制定数字签名法的意向。 目前人们关注的是数字签名和密钥分配的具体应用以及潜信道的深入研究【m ”】。 h a s h 函数主要用于完整性校验和提高数字签名的有效性，目前已经提出了很多 方案，各有千秋。美国已经制定了h a s h 标准s h a - 1 ，与其数字签名标准匹配使用。 由于技术的原因，美国目前正准备更新其h a s h 标准，另外，欧洲也正在制定h a s h 标准，这必然导致h a s h 函数的研究特别是实用技术的研究将成为热点【峥切。 目前最为人们所关注的实用密码技术是p k i 技术。国外的p k i 应用已经开始， 开发p k i 的厂商也有多家。许多厂家，如b a l t i m o r e ，e n t r u s t 等推出了可以应用的p k i 产品，有些公司如v e r y s i g n 等已经开始提供p k i 服务。网络许多应用正在使用p k i 技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此，总的说来p k i 技术仍在发展中。按照国外一些调查公司的说法，p k i 系统仅仅还是在做示范工程。 i d c 公司的i n t e m e t 安全知深分析家认为：p k i 技术将成为所有应用的计算基础结构 的核心部件，包括那些越出传统网络界限的应用。b 2 b 电子商务活动需要的认证、 不可否认等只有p k i 产品才有能力提供这些功能1 ”。 2 ) 国内外安全协议理论与技术研究现状 安全协议的研究主要包括两方面内容，即安全协议的安全性分析方法研究和各 种实用安全协议的设计与分析研究。安全协议的安全性分析方法主要有两类，一类 是攻击检验方法，一类是形式化分析方法，其中安全协议的形式化分析方法是安全 协议研究中最关键的研究问题之一，它的研究始于8 0 年代初，目前正处于百花齐放， 充满活力的状态之中。许多一流大学和公司的介入，使这一领域成为研究热点。随 着各种有效方法及思想的不断涌现，这一领域在理论上正在走向成熟。 目前，已经提出了大量的实用安全协议，有代表的有：电子商务协议，i p s e c 协 议，t l s 协议，简单网络管理协议( s n m p ) ，p g p 协议，p e m 协议，s - h t r p 协议， 华中科技大学硕士学住论文 s m i m e 协议等。实用安全协议的安全性分析特别是电子商务协议，i p s e c 协议，t l s 协议是当前协议研究中的另一个热点。 典型的电子商务协议有s e t 协议，i k p 协议等。另外，值得注意的是k a i l a r 逻 辑，它是目前分析电子商务协议的最有效的一种形式化方法。 1 9 9 4 年，n e t s c a p e 公司为了保护w e b 通信协议h t t p ，开发了s s l 协议，该协 议的第一个成熟的版本是s s l 2 0 ，被集成到n e t s e a p e 公司的i n t e m e t 产品中，包括 n a v i g a t o r 浏览器和w e b 服务器产品等。s s l 20 协议的出现，基本上解决了w e b 通 信协议的安全问题，很快引起了人们的关注。m i c r o s o f t 公司对该协议进行了一些修 改，发布了p c t 协议，劳应用在i n t e m e te x p l o r e r 等产品中。1 9 9 6 年，n e t s c a p e 公司 发布了s s l 30 ，该版本增加了一些功能和安全特性，并修改了一些安全缺陷。1 9 9 7 年，m t f 基于s s l 3 0 协议发布了t l s l 0 传输层安全协议的草案，m i c r o s o f t 公司丢 弃了p c t ，和n e t s c a p e 公司一起宣布支持该开放的标准。1 9 9 9 年，正式发布了 r f c 2 2 4 6 。 3 ) 国内外安全体系结构理论与技术研究现状 安全体系结构理论与技术主要包括：安全体系模型的建立及其形式化描述与分 析，安全策略和机制的研究，检验和评估系统安全性的科学方法和准则的建立，符 合这些模型、策略和准则的系统的研制( 比如安全操作系统，安全数据库系统等) 。 我国在系统安全的研究与应用方面与先进国家和地区存在很大差距。近几年来， 在我国进行了安全操作系统、安全数据库、多级安全机制的研究，但由于自主安全 内核受控于人，难以保证没有漏洞。而且大部分有关的工作都以美国1 9 8 5 年的 t c s e c 标准为主要参照系。开发的防火墙、安全路由器、安全网关、黑客入侵检测 系统等产品和技术，主要集中在系统应用环境的较高层次上，在完善性、规范性、 实用性上还存在许多不足，特别是在多平台的兼容性、多协议的适应性、多接口的 满足性方面存在很大距离，其理论基础和自主的技术手段也有待于发展和强化。然 而，我国的系统安全的研究与应用毕竟已经起步，具备了一定的基础和条件。1 9 9 9 年1 0 月发布了”计算机信息系统安全保护等级划分准则”，该准则为安全产品的研制 6 华中科技大学硕士学位论文 提供了技术支持，也为安全系统的建设和管理提供了技术指导。 4 ) 国内外信息对抗理论与技术研究现状 信息对抗理论与技术主要包括：黑客防范体系，信息伪装理论与技术，信息分 析与监控，入侵检测原理与技术，反击方法，应急响应系统，计算机病毒，人工免 疫系统在反病毒和抗入侵系统中的应用等。 由于在广泛应用的国际互联网上，黑客入侵事件不断发生，不良信息大量传播， 网络安全监控管理理论和机制的研究受到重视。黑客入侵手段的研究分析，系统脆 弱性检测技术，入侵报警技术，信息内容分级标识机制，智能化信息内容分析等研 究成果已经成为众多安全工具软件的组成部分。大量的安全事件和研究成果揭示出 系统中存在许多设计缺陷，存在情报机构有意埋伏的安全陷阱的可能。例如在c p u 芯片中，在发达国家现有技术条件下，可以植入无线发射接收功能；在操作系统、 数据库管理系统或应用程序中能够预先安置从事情报收集、受控激发破坏程序。通 过这些功能，可以接收特殊病毒、接收来自网络或空间的指令来触发c p u 的自杀功 能、搜集和发送敏感信息；通过特殊指令在加密操作中将部分明文隐藏在网络协议 层中传输等。而且，通过难一识别c p u 个体的序列号，可以主动、准确地识别，跟 踪或攻击一个使用该芯片的计算机系统，根据预先设定收集敏感信息或进行定向破 坏。 5 ) 国内外网络安全与安全产品研究现状 网络安全与安全产品研究内容包括：网络安全整体解决方案的设计与分析，网 络安全产品的研发等。网络安全包括物理安全和逻辑安全。物理安全指网络系统中 各通信、计算机设备及相关设施的物理保护，免于破坏、丢失等。逻辑安全包含信 息完整性、保密性、非否认性和可用性。它是一个涉及网络、操作系统、数据库、 应用系统、人员管理等方方面面的事情，必须综合考虑。 1 3 课题主要研究工作 本课题在认真阐述网络安全的基本理论和技术的基础上，综合分析了其它高等 7 华中科技大学硕士学位论文 院校网络设计的成功经验，结合恩盍笸职院校实际情况，对恩施职院校园网的现存安 全问题进行了认真地分析，指出了网络安全存在的隐患和面临的威胁。对该校园网 的安全需求进行了深入的探讨，提出了利用防火墙、v l a n 及网络病毒防治等主要 技术解决该校园网络安全的技术方案。方案运行结果表明，校园网服务器的安全得 到了保障，网络病毒传播蔓延也得到有效控制，满足该校日常工作的需要，效果良 好。 1 4 论文组织结构 第一章是“绪论”。从总体上概括网络安全的概况、保证网络安全的技术手段， 简要说明了课题的背景，研究的目的和意义。 第二章是“校园网络安全理论基础”。就网络安全的相关概念和技术等问题加以 详细论述。 第三章是“恩施职院校园网的安全需求”。首先分析原有校园网络的结构和安全 现状，其次分析校园网面临的各种网络威胁，最后研究校园网络目前的安全需求。 第四章是“恩施职院校园网安全体系设计和实施”。具体阐述恩施职院校园网的 网络安全体系结构，v l a n 的划分和实施，防火墙的布置和实施。 第五章是总结。归纳了文章总体构思，并且给出了下一步的展望。 8 华中科技大学硕士学位论文 2 1 密码技术 2 校园网络安全理论基础 密码学是网络信息安全的核心。在网络安全系统中，大部分的安全技术都依赖 于密码学理论。 密码技术广泛用于信息保护、信息鉴别、数字签名、数字完整性和抗抵赖性等 领域，是实现信息机密性、完整性以及鉴别技术和访问控制技术的重要理论基础。 例如：要保证电子信息的保密性使用密码对其加密是最有效的办法；要保证信息的 完整性使用密码技术实施数字签名，进行身份认证，对信息进行完整性校验是当前 实际可行的办法；保障信息系统和电子信息为授权者所用，利用密码进行系统登录 管理，存取授权管理是有效的办法；保证电子信息系统的可控性也可以有效的利用 密码和密钥管理来实施【2 3 扪。 2 1 1 密码技术基本概念 密码技术包括加密和解密两个过程。加密就是把数据和信息转换为不可辩识的 密文的过程；解密就是把密文转换为明文的过程。在加密解密过程中，密钥是密码 技术的关键，根据密钥类型不问将现代密码技术分为两类：一类是对称加密( 秘密 钥匙加密) 系统，另一类是公开密钥加密( 非对称加密) 系统。 1 ) 对称加密系统 对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须 获得这把钥匙，并保持钥匙的秘密。对称算法的加解密见图2 1 。 图2 - 1 对称算法的加解密 对称密码系统的安全性依赖于以下两个因素。第一，加密算法必须是足够强的， 华中科技大学硕士学位论文 仅仅基于密文本身去解密信息在实践上是不可能的；第二，加密方法的安全性依赖 于密钥的秘密性，而不是算法的秘密性，因此，没有必要确保算法的秘密性，而需 要保证密钥的秘密性。泄漏密钥就意味着任何人都能对消息进行加密和解密。 对称加密系统的算法实现速度极快，从a e s 候选算法的测试结果看，软件实现 的速度都达到了每秒数兆或数十兆比特。对称密码系统的这些特点使其有着广泛的 应用。因为算法不需要保密，所以制造商可以开发出低成本的芯片以实现数据加密。 这些芯片有着广泛的应用，适合于大规模生产。 对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂。比如对于 具有n 个用户的网络，需要n ( n 一1 ) 2 个密钥，在用户群不是很大的情况下，对称加 密系统是有效的。但是对于大型网络，当用户群很大，分布很广时，密钥的分配和 保存就成了大问题。对称加密算法另一个缺点是不能实现数字签名。 对称加密系统最著名的是美国数据加密标准d e s 、a e s ( 高级加密标准) 和欧洲数 据加密标准i d e a 。 1 9 7 7 年美国国家标准局正式公布实施了美国的数据加密标准d e s ，公开它的加 密算法，并批准用于非机密单位和商业上的保密通信。随后d e s 成为全世界使用最 广泛的加密标准。加密与解密的密钥和流程是完全相同的，区别仅仅是加密与解密 使用的子密钥序列的施加顺序刚好相反。 但是，经过2 0 多年的使用，已经发现d e s 很多不足之处，对d e s 的破解方法 也日趋有效。a e s 将会替代d e s 成为新一代加密标准。 2 ) 公开密钥加密系统 公开密钥加密系统用作加密的密钥和用作解密的密钥是不同的，而且解密密钥 不能根据加密密钥计算出来。同时，用作加密的密钥能够公开，但只有用相应的解 密密钥才能解密信息。由于加密钥匙是公开的，密钥的分配和管理就很简单，比如 对于具有n 个用户的网络，仅需要2 n 个密钥。公开密钥加密系统还能够很容易地实 现数字签名。因此，最适合于电子商务应用需要。公开密钥算法的加解密见图2 2 。 华中科技大学硕士学位论文 图2 - 2 公开密钥算法的加解密 在实际应用中，公开密钥加密系统并没有完全取代对称密钥加密系统，这是因 为公开密钥加密系统是基于尖端的数学难题，计算非常复杂，它的安全性更高，但 它实现速度却远赶不上对称密钥加密系统。相对于对称算法来讲，公开密钥加密算 法的运算速度要慢的多，在相同的条件下，对称密钥算法比公开密钥算法快一百倍 到一千倍。在实际应用中可利用二者的各自优点，采用对称加密系统加密文件，采 用公开密钥加密系统加密“加密文件”的密钥( 会话密钥) ，这就是混合加密系统， 它较好地解决了运算速度问题和密钥分配管理问题。因此，公钥密码体制通常被用 来加密关键性的、核心的机密数据，而对称密码体制通常被用来加密大量的数据。 自公钥加密问世以来，学者们提出了许多种公钥加密方法，它们的安全性都是 基于复杂的数学难题。根据所基于的数学难题来分类，有以下三类系统目前被认为 是安全和有效的：大整数因子分解系统代表性的有( r s a ) 、椭园曲线离散对数系统 ( e c c ) 和离散对数系统代表性的有( d s a ) 。 当前最著名、应用最广泛的公钥系统r s a 是由r i v e t 、s h a m i r 、a d e l m a n 提出的 简称为r s a 系统) ，它的安全性是基于大整数素因子分解的困难性，而大整数因子分 解问题是数学上的著名难题，至今没有有效的方法予以解决，因此可以确保r s a 算 法的安全性。r s a 系统是公钥系统的最具有典型意义的方法，大多数使用公钥密码 进行加密和数字签名的产品和标准使用的都是r s a 算法。7 r s a 方法的优点主要在于原理简单，易于使用。但是，随着分解大整数方法的 进步及完善、计算机速度的提高以及计算机网络的发展( 可以使用成千上万台机器 同时进行大整数分解) ，作为r s a 加解密安全保障的大整数要求越来越大。为了保 证r s a 使用的安全性，其密钥的位数一直在增加，比如，目前一般认为r s a 需要 1 0 2 4 位以上的字长才有安全保障。但是，密钥长度的增加导致了其加解密的速度大 华中科技大学硕士学位论文 为降低，硬件实现也变得越来越难以忍受，这对使用r s a 的应用带来了很重的负担， 对进行大量安全交易的电子商务更是如此，从而使得其应用范围越来越受到制约。 d s a ( d a t a s i g n a t u r ea l g o r i t h m ) 是基于离散对数问题的数字签名标准，它 仅提供数字签名，不提供数据加密功能。安全性更高、算法实现性能更好的公钥系 统椭圆曲线加密算法e c c ( e l l i p t i c c u r v e c r y p t o g r a p h y ) 基于离散对数的计算困 难性。 2 1 2 数字签名 密码技术除了提供信息的加密解密外，还提供对信息来源的鉴别、保证信息的 完整和不可否认等功能，而这三种功能都是通过数字签名实现。 数字签名的原理是将要传送的明文通过一种函数运算( h a s h ) 转换成报文摘要 ( 不同的明文对应不同的报文摘要) ，报文摘要加密后与明文一起传送给接受方，接 受方将接受的明文产生新的报文摘要与发送方的发来报文摘要解密比较，比较结果 一致表示明文未被改动，如果不一致表示明文己被篡改【2 9 1 。 2 2 防火墙 2 2 1 防火墙概念 网络防火墙是一种用来加强网络之间访问控制，防止外部网络用户以非法手段 通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网 络互联设备。防火墙是在内部网和外部网之问建起一道屏障，并决定哪些内部资源 可以被外界访问，哪些外部服务可以被内部人员访问。内部网和外部网之间传输的 所有信息都要经过防火墙的安全策略来实施检查，只有授权的数据才能通过3 2 1 。 设置防火墙是目前在互联网络中防范非法进入的最有效的方法之一。通过在网 络的边界设置屏障，可以减轻网络中其它主机安全防范的负担，而且这些专门的安 全防范系统具有较强的功能，可以提供较高的安全水平。防火墙防御的是安全域的 边界，其信任的范围是安全域的内部，防御的范围是安全域的外部。 防火墙具有如下的防御功能： 1 2 华中科技大学硕士学位论文 1 1 支持病毒扫描：支持防病毒功能，如扫描电子邮件附件中的d o c 和z i p 文件， f t p 中的下载或上传文件内容，可以发现其中包含的危险信息。 2 1 提供内容过滤，信息内容过滤指防火墙在h t t p 、f 1 1 p 、s m t p 等协议层，根 据过滤条件，对信息进行控制，防火墙控制的结果是：允许通过、修改后允许通过、 禁止通过、记录日志、报警等。过滤内容主要是指u r l 、s u b j e c t 、t o 、f r o m 域等。 3 1 防御d o s 攻击类型：拒绝服务攻击( d o s ) 就是攻击者过多地占用共享资源， 导致服务器超载或系统资源耗尽，而使其它用户无法享有服务或没有资源可用。防 火墙通过控制、检测与报警等机制，可以在一定程度上减轻d o s 攻击。 4 1 阻止a c t i v e x 、j a v a 、c o o k i e s 、j a v a s c r i p t 浸入：属于h t t p 内容过滤， 防 火墙应该能够从h t t p 页面剥离j a v aa p p l e t 、a c t i v e x 等小程序及从s c r i p t 、p h p 和 a s p 等代码检测出危险代码或病毒，并向浏览器报警。同时，能够过滤用户上载的 c g i 、a s p 等程序，当发现危险代码时，向服务器报警p ”。 2 2 2 防火墙的分类和原理 根据所采用的技术不同，可以将防火墙它分为四种基本类型：包过滤型、网络地 址转换n a t 、代理型和监测型3 6 l 。 1 ) 包过滤型 包过滤型防火墙是防火墙的初级产品，是一种简单、有效的安全控制设备。其技 术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数 据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的 源地址、目标地址、t c p u d p 源端口和目标端口等。通过在防火墙上加载允许、禁 止来自某些特定的源地址、目的地址、端口号等规则，对通过防火墙的数据包进行 检查，限制数据包进出内部网络。防火墙通过读取数据包中的地址信息来判断这些 “包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将 这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用，对用户透明，传输性能高，实现成本较低，在应 用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。 华中科技大学硕士学位论文 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技 术，安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和 端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击 或病毒等高层次的攻击手段，则无能为力。无法识别基于应用层的恶意侵入，如恶意 的j a v a 小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造口地址，骗过 包过滤型防火墙。 使用包过滤技术时，要特别注意一般应用的数据通信大多都是双向的，在设置 过滤规则时必须予以考虑。 2 1 网络地址转化- n a t 网络地址转换是一种用于把p 地址转换成临时的、外部的、注册的m 地址标准。 它允许具有私有口地址的内部网络访问因特网。它还意味着用户不许要为其网络中 每一台机器取得注册的口地址【3 8 1 。 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出 的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非 安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通 过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个 开放的口地址和端口来请求访问。 防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时， 防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内 部计算机中。当不符合规则时。防火墙认为该访问是不安全的，不能被接受，防火 墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用 户进行设置，用户只要进行常规操作即可。 3 ) 代理型 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已 经开始向应用层发展，代理服务器位于客户机与服务器之间，完全阻挡了二者问的数 据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服 1 4 华中科技大学硕士学位论文 务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求 发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务 器将数据传输给客户机。由于代理机制完全阻断了内部网络与外部网络的直接联系， 保证了内部网络拓扑结构等重要信息被限制在代理网关内侧，不会外泄，从而减少 了黑客攻击时所需的必要信息，外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于 应用层的侵入和病毒都十分有效。其缺点也是明显的。首先是当一项新的应用加入 时，如果代理服务程序不予支持，则此应用不能使用。解决的方法之一是自行编制 特定服务的代理服务程序，但工作量大，而且技术水平要求很高，一般的应用单位 无法完成。其次由于处理的协议层次多、计算量大，处理性能远不及状态检测高。 4 ) 监测型 监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监 测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基 础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产 品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之 中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范 作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。 因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代 产品。 2 2 3 防火墙的优缺点 防火墙用来实现网络系统的边界安全，它可以帮助实现相当粒度的访问控制和 内容检查、过滤功能，是目前保护网络免遭黑客袭击的有效手段，但其目的只是能 够提高网络的安全性，不可能保证网络绝对安全。事实上仍然存在着一些防火墙不 能防范的安全威胁，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。同时， 任何一个防火墙防御系统的成功都依赖于管理员的策略的严密和日常管理的成功。 华中科技大学硕士学位论文 2 3 入侵检测技术 2 。3 1 入侵检测概念 随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来说，单纯的 防火墙技术暴露出明显不足，如无法解决安全后门问题，不能阻止网络内部攻击， 而调查发现，5 0 以上的攻击都来自内部。不能提供实时入侵检测能力，对于病毒束 手无策等。因此很多组织致力于提出更多更强大的主动策略和方案来增强网络的安 全性，其中一个有效的解决途径就是入侵检测。入侵检测系统( m s i n t r u s i o n d e t e c t i o n s y s t e m ) 可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应