（计算机应用技术专业论文）电力网络stonewall2000安全过滤装置的研究与实现.pdf

东北犬学硕士学位论文摘要 电力网络s t o n e w a l l 2 0 0 0 安全过滤装置的研究与实现 摘要 随着信息网络技术应用的日益普及和互联网事业的迅猛发展，越来越多的个 人、企业、政府部门连接到国际互联网上，人们借助互联网获得了空前的沟通交 往能力。随着各行各业在互联网上业务的开展，网络信息安全同益成为互联网发 展进程中的重要问题。 在互联网上，对于要传输重要数据的个人、企业、政府，使用相关计算机技 术保护这些重要数据不被窃取和破坏至关重要。我们应该提供对抗破坏和网络攻 击的网络安全技术和方案。目前对于网络信息安全主要靠访问控制和通信信息安 全服务这两种安全服务来实现。访问控制服务的目的是用来保护计算机和网络资 源不被非法用户在非授权的情况下使用，防火墙技术和入侵检测就属于这一种。 但是在局域网或者互联网上，访问控制服务有时也不能保证安全。通信信息安全 服务利用密码学的技术手段提供加密、认证、数据完整性和各通信端的不可否认 性服务，当访问控制失效时，这一服务可以提供信息的安全保障。 目前提供加密、认证功能的防火墙产品很多，但是都存在着价格昂贵、技术 细节不透明、无法满足特殊应用等问题。而一些企业和政府上网应用这类产品进 行网络防护隐含着太多的未知因患。我们的s t o n e w a l l 一2 0 0 0 安全过滤装置的研发 课题正是在这种情况下提出的，以此为电力网络的二次防护服务，同时对电子政 务安全防护产品的研制作一个良好的试验性开端。 本文介绍了电力网络的现状，并对现有电力网络进行了安全层次的划分。在 介绍防火墙概念、种类、发展状况、关键技术的基础上，进一步介绍了加密、散 列算法、数字签名等技术，并对我们现有的s t o n e w a l l 一2 0 0 0 安全过滤装置的一些 关键性技术设计方案进行了论述。在研究阶段，通过对现有电力网络需求的分析， 给出了解决这些需求的技术实现方案，主要包括：数据编码格式转换，数字签名， 文件加密，密钥管理，防火墙配置的实现，数据有效性隔离设备端验证。在实现 阶段，介绍了系统的功能，包括：发送端发送应用程序的开发，接收端接收应用 程序的开发，编码转换的实现，反向过滤设备的g u i 配置工具的丌发，签名及验 证功能的实现，报文应用数据格式的定制，数据有效性检查，密钥管理g u i1 具 的了1 1 发。 通过我们的研究和实现工作，基本达到了研发的目标，满足了电力网络的需 求，目前正处于试用阶段。 一i i 东北大学硕士学位论文 摘要 关键词网络安全防火墙安全岛加密数字签名验证编码物理隔离 - i i i 东北大学硕士学位论丈 a bs tr a c t r e s e a r c ha n d i m p l e m e n t a t i o no fs t o n e w a l l 一2 0 0 0s e c u r i t y f i l t e re q u i p m e n to f e l e c t r i c i t yp o w e r g r i d a b s t r a c t w i t ht h e p r e v a l e n c e o fi n f o r m a t i o na n dn e t w o r k t e c h n o l o g i e s ，a n dt h er a p i d d e v e l o p m e n t o fn e t w o r k e n t e r p r i s e ，m o r e a n dm o r es u c h o r g a n i z a t i o n s c o n n e c t t h e m s e l v e sa si n d i v i d u a l s ，e n t e r p r i s e s ，g o v e r n m e n t s ，a n de t c p e o p l eg e tm o r ep o w e r f u l c o m m u n i c a t i o na n dm o r el a r g es p a c ef r o mi n t e r n e tw i t ht h e i n c r e a s i n go fv a r i o u s b u s i n e s so ni n t e r n e t ，n e t w o r ka n di n f o r m a t i o ns e c u r i t yb e c o m eo n eo ft h e i m p o r t a n t i s s u e sd u r i n gi n t e r n e t se v o l u t i o n t ot h ei n d i v i d u a l s ，e n t e r p r i s e s ，g o v e r n m e n t sw h ow a n tt ot r a n s m i ts o m ei m p o r t a n t d a t aw i t hi n t e r n e t ，i t sv i t a lt ou s er e l a t e dt e c h n i q u e sw i t hc o m p u t e rt op r o t e c tt h e s ed a t a f r o mb e i n gl o s ta n db e i n gd e s t r o y e d w es h o u l do f f e rt h et e c h n o l o g i e sa n dp r o j e c t so n n e t w o r ka n di n f o r m a t i o ns e c u r i t y a g a i n s td e s t r u c t i o na n da t t a c k t oi n t e m e t a tt h e p r e s e n tt i m e ，n e t w o r k a n di n f o r m a t i o n s e c u r i t yd e p e n d o na c c e s sc o n t r o la n d c o m m u n i c a t i o n ss e c u r i t ys e r v i c e ，a c c e s sc o n t r o ls e r v i c e sa i mi st op r e v e n tc o m p u t e r s a n dn e tr e s o u r c ef r o mb e i n gu n l a w f u lu s e r sb e t a k e n ；s u c ha sf i r e w a l la n di n t r u s i o n d e t e c t i o n b u ts o m e t i m e so nt h ei n t r a n e to ri n t e r n e t ，a c c e s sc o n t r o lc a n tb ep e r f e c t l y s a f e o n c et h ea c c e s sc o n t r o lf a i l e d ，c o m m u n i c a t i o ns e c u r i t yc a no f f e ri n f o r m a t i o n s e c u r i t ys a f e g u a r d c o m m u n i c a t i o n ss e c u r i t ys e r v i c eo f f e re n c r y p t i o n ，a u t h e n t i c a t i o n ， d a t ai n t e g r a l i t ys e r v i c ea n ds e r v i c eo f c o m p u t e r si nc o m m u n i c a t i n g c a n td e n yi t s e l f _ a t p r e s e n t t h e r ea r em a n y f i r e w a l lp r o d u c t sc a ng i v ee n c r y p t i o na n da u t h e n t i c a t i o n f u n c t i o n s ，b u tm o s to ft h e mc a n ts a t i s f yo u re l e c t r i c i t yp o w e rg r i df e n c e f o re x a m p l e ， t h ep r i c eo ft h e p r o d u c t si se x p e n s i v e ；t e c h n o l o g yd e t a i l i s o p a c i t ya n dc a n ts a t i s f y s p e c i a la p p l i c a t i o n s a n de t c t h e s ef i r e w a l l s a p p l i c a t i o n f o rs o m e e n t e r p r i s e s o r g o v e r n m e n t sm a yb r i n gm a n yh i d d e nt r o u b l e s 。t h er e s e a r c ht a s ko fs t o n e w a l l - 2 0 0 0 s e c u r i t yf i l t e re q u i p m e n t w a sp u tf o r w a r di nt h e s es i t u a t i o n s ，a n dw i l lp u to u rr e s e a r c h p r o d u c t i o ni n t oo u rs e c u r i t ys e r v i c ef o re l e c t r i c i t yp o w e rg r i d a ts a m et i m e ，i tw i l lb ea g o o dt e s t i n gt h r e s h o l df o r r e s e a r c ho f e l e c t r o n i cg o v e r n m e n ta f f a i rs a f e g u a r d i nt h i st h e s i s ，w ei n t r o d u c ea c t u a l i t yo ft h en a t i o n a le l e c t r i c i t yp o w e rg r i d ，a n d c o m d a r t m e n t a i i z e dt l l en e t w o r kf r o md i f f e r e n ts e c u r i t yl e v e l s b a s e do ni n t r o d u c i n gt o i v 东北大学硕士学位论文 c o n c e p t i o n o f f i r e w o r k ，s o r t s o f f i r e w o r k ，d e v e l o p m e n t s i t u a t i o n so f f i r e w o r k ， e n c r y p t i o nt e c h n o l o g y ，d i g e s t i o na r i t h m e t i c ，d i g i t a ls i g n a t u r e ，a n ds oo n ，w ee x p a t i a t e o nt h e k e yt e c h n o l o g i e s a b o u ts t o n e w a l l - 2 0 0 0s e c u r i t yf i l t e r e q u i p m e n ta n dt h e i r i m p l e m e n t a t i o n d u r i n gt h ep e r i o do f r e s e a r c ht i m e ，w ea n a l y z e dt h er e q u i r e m e n to fo u r n a t i o n a l e l e c t r i c i t y n e t w o r ka n da d v a n c e dt h e c o r r e s p o n d i n gt e c h n o l o g i c a l i m p l e m e n t a t i o ns c h e m e s ，t h e s et e c h n o l o g i c a ls c h e m e si n c l u d e sd a t ae n c o d i n gf o r m a t c o n v e r s i o n ，d i g i t a ls i g n a t u r e ，d o c u m e n t se n c r y p t i o n ，k e ym a n a g e m e n t ，f i r e w a l l c o n f i g u r a t i o ni m p l e m e n t a t i o n ，d a t av a l i d i t yv a l i d a t i o no nt h ei n s u l a t es e t a tt h ep e r i o d o f i m p l e m e n t a t i o nt i m e ，s u c hf u n c t i o n sw i l lb ei m p l e m e n t e d a sd e v e l o p m e n to fs e n d i n g p r o g r a mf o r d a t a s e n d e r ，d e v e l o p m e n to fr e c e i v i n gp r o g r a mf o r d a t ar e c e i v e r ，d a t a e n c o d ef o r m a t c o n v e r t ，d e v e l o p m e n t o fg u it o o lf o r s e c u r i t y f i l t e r e q u i p m e n t c o n f i g u r a t i o n ，i m p l e m e n t a t i o n f o r s i g n a t u r e a n di t sa u t h e n t i c a t i o n f u n c t i o n ， s s t a b l i s t u n e n to ff o r m a tf o r p a c k e ta p p l i c a t i o n l e v e l ，s a r av a l i d i t yv a l i d a t i n g ， d e v e l o p m e n t o fg u it o o lf o r k e ym a n a g e m e n t t h r o u g ho u rr e s e a r c ha n di m p l e m e n t a t i o nw o r k ，w eg e ts c h e d u l e da i mb a s i c a l l y ； s a t i s f i e dt h en e e do fn a t i o n a le l e c t r i c i t yp o w e r g r i d ，a n di ti so n t h et e s tr u n p r e s e n t l y k e y w o r d sn e t w o r ks e c u r i t y , f i r e w a l l ，s e c u r i t yi s l a n d ，d a t ae n c r y p t i o n ，d i g i t a l s i g n a t u r e ，e n c o d e i n g ，p h y s i c a l i n s u l a t i o n 一v 声明 本人声明所提交的学位跄文是在导师的指导下完成的，论文中取得的研究成 果除加以标注和致谢的地方外，不包含其他人已经发表或撰写过的论文成果，也 不包含本人为获得其他学位而使用过的材料。与我一同：l ：作过的同志对本研究所 做的任何贡献均己在论文中作了明确的说明并表示谢意。 本人签名：张强 日期：厶d 寺，2 东北大学硕士学位论文 第一章引言 1 1 课题背景 第一章引言 s t o n e w a l l 2 0 0 0 安全过滤装置( 又称专用反向安全隔离装置) 的研究与实现， 是国家8 6 3 项目一国家电网调度中心二次系统安全防护的子课题。为了完成 国家电网调度中心二次系统的安全防护，国家电力调度中心依据中华人民共和国 国家经济贸易委员会第3 0 号令电网和电厂计算机监控系统及调度数据网络安全 防护的规定( 以下简称规定) 制定了全国电网二次系统安全防护总体框架 ( 以下简称框架) 。目的是防范对电网和电厂计算机监控系统及调度数掘网络 的攻击侵害及由此引起的电力系统事故，以保障我国电力系统的安全、稳定、经 济运行，保护国家重要基础设施的安全。 总体框架所包含的安全防护的范围中的“电力监控系统”包括各级电网调度 自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系 统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级 调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。“调度 数据网络”包括各级电力调度专用广域数据网络、用于远程维护及电能量计费等 的调度专用拨号网络、各计算机监控系统内部的本地局域网络等。 电网二次系统安全防护的重点是抵御病毒、黑客等通过各种形式对系统的发 起的恶意破坏和攻击，尤其是集团式攻击，重点保护实时闭环监控系统及调度数 据网络的安全，从而保障国家电力系统的安全。 1 2 当前国家电力网络情况简介 国家电力数据网( s p d n e t ) 一级网一期工程始建于九二年六月，经过十年的 不断完善以及应用的不断发展，目前电力数据网已成为电力系统的重要基础设施， 许多调度中- 1 5 , 、发电厂、变电站均通过电力数据网传输生产控制信息及管理信息。 电力监控系统及调度数据网作为电力系统的重要基础设施，是电力控制系统 安全的重要组成部分。电力生产直接关系到国计民生，其安全问题一直是国家有 关部门关注的重点之一。 随着通信技术和网络技术的发展，接入国家电力调度数据网的电力控制系统 越来越多。特别是电力市场的发展，要求在调度中心、电厂、变电站、用户等之 东北大学硕士学位论文 第一章引言 闻进行的数据交换也越来越频繁。这对电力控制系统和数据网络的安全性、可靠 性、实时性提出了新的严峻挑战。目前有一些调度中心、发电厂、变电站在规划、 设计、建设控带4 系统和数据网络时，对网络安全问题重视不够，加上缺乏有效的 指导，不自觉地引入了一些安全隐患。因此电力控制系统和数据网络系统的安全 性和可靠性已成为一个非常紧迫的问题。 信息安全是信息系统能否正常运行的关键因素，由于目前网络上存在着众多 不安全因素，直接威胁自动化系统的安全，进而威胁到电网的安全。特别是目前 一些电厂d c s 系统、水厂c c s 系统、变电站自动化系统、调度自动化系统等与当 地的m i s 系统或因特网之间直接互联，形成对控制系统安全运行的一个严重隐患。 2 0 0 0 年l o 月1 3 闩，二滩电厂由于控制系统死机造成甩出8 9 万千瓦，造成川i 渝电 网大范围的停电事故，事故分析认为，控制系统网络与办公自动化系统网络的直 接互联是一个不安全的因素之一。2 0 0 1 年9 、1 0 月间，安装在全国1 4 7 座变电站 的银山公司生产的录波器的频频“出事”，出现不录波或死机现象，严重影响高压 电网安全运行。事后分析结论是该录波器中人为设置了“时间限制”或“时间逻 辑炸弹”。上述事例说明在控制系统和数据网络已经出现安全事故的苗头，直接威 胁电网安全。 1 3 课题的提出和意义 该课题作为电力系统信息安全示范工程的重要组成部分，对维护调度中心电 网调度自动化系统的安全，保障电力调度数据网的正常运行，具有十分重要的意 义。其研究成果还对各级调度部门的调度自动化系统及数据网络的规划建设、运 行管理和安全防范也具有十分重要的指导和借鉴作用。 1 4 本文的组织方式 本文的组织如下：第二章介绍相关知识，包括防火墙相关知识、密码学相关 知识、编码标准知识。第三章通过对电力网络安全状况的相关规定的阐述和对电 力网络安全层次的划分，提出了我们项目的各方面需求，然后阐述我们研发的隔 离设备的部署情况和设备名称的由来。第四章讲述s t o n e w a l l 一2 0 0 0 安全过滤装置 的系统设计，介绍了隔离装置的软硬件结构、装罱的防火墙各项功能的设计、反 向安全传输系统及其架构。第五章讲述反向传输系统的设计实现以及密钥管理和 s t o n e w a l l 一2 0 0 0 安全过滤装置的实现、研制后期的试验数据和情况分析。第六章讲 一2 一 东北大学硕士学位论丈 第一章引言 述了该安全过滤装置当前的应用情况及其特点。第七章对垓项目研发情况进行总 结。本文重点讲述在第四章和第五章的反向传输部分的分析和实现上。 东北大学硕士学位论文 第二章相关知识 第二章相关知识 本章将对系统，i ：发所使用的相关知识进行介绍，包括防火墙技术，密码学相关 知识，物理隔离技术知识和编码知识。下面将分别论述。 2 1 防火墙技术 防火墙技术是建立在现代通信网络技术和信息安全技术基t i l l l的应用性安全 技术，越来越多地应用于专用网络与公用网络的互联环境之中。近几年，防火墙 已经形成了一个产业。 2 1 1 防火墙的发展历程 防火墙是一种综合性的技术，涉及到计算机网络技术。密码技术、安全技术、 软件技术、安全协议、网络标准化组织( i s o ) 的安全规范以及安全操作系统等许多 方面。作为一种解决网络之问访问控制的有效方法，国际上在这方面的研究很多。 在防火墙产品的丌发中，人们广泛应用网络拓扑技术、计算机操作系统技术、 路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段，纵观 防火墙产品近年内的发展，可将其分为四个阶段： 第一阶段：基于路由器的防火墙 由于多数路由器中本身就包含有分组过滤的功能，故网络访问控制功能可通 过路由控制来实现，这就是第一代防火墙产品。 由于路山器防火墙具有假冒地址欺骗的隐患和本质上的缺陷，可以说：基于 路由器的防火墙只是网络安全的一种应急措施。 第二阶段：用户化的防火墙工具套 为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门丌发的防火墙 系统来保护自己的网络，从而推动了用户化防火墙工具套的出现，这是纯软件的 第二代防火墙。 由于是纯软件产品，第二代防火墙产品无论在实现还是在维护上都对系统管 理员提出了相当复杂的要求，实践表明，使用中出现差错的情况很多。 第三阶段：建立在通用操作系统上的防火墙 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙丌发商很快推出 了建立在通用操作系统上的商用防火墙产品，近年来在市场上广泛可用的就是这 一4 一 东北大学硕士学位论文第二章相关知识 一代产品。 第三代防火墙有以纯软件实现的，也有以硬件方式实现的，已得到广大用户 的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题。 第四阶段：具有安全操作系统的防火墙 防火墙技术和产品随着网络攻击和安全防护手段的发展而演进，到1 9 9 7 年初， 具有安全操作系统的防火墙产品面市，使防火墙产品步入了第四个发展阶段。 第四代防火墙产品将网关与安全系统合二为一，具有以下技术与功能：双端 口或三端口的结构，透明的访问方式，灵活的代理系统，多级的过滤技术，网络 地址转换技术，i n t e m e t 网关技术，用户鉴别与加密，用户定制服务，审计和告警。 此外第四代防火墙还在网络渗断，数据备份与保全等方面具有特色。 2 1 2 防火墙建立的基本原则 从某种意义上说，防火墙体现的是保护网络的安全策略，所采用的防火墙技 术是为了实现网络安全策略丽服务的，建立防火墙时首先要明确的就是所要保护 的内部网络的安全策略，这需要网络管理人员和网络安全专家共同来确定。 下面是建立防火墙保障机构安全制定内部网络安全策略时应该采用的一些基 本原则。 1 ) 最少权限原则 对于计算机安全、网络安全以及其他任何种类的安全来说，最基本的安全原 则都是最少权限原则。最少权限原则的基本思想是任何对象都应该只具有完成自 己本质任务所需的权利，而不能拥有更多的权利。最少权限原则限制了内部系统 暴露给攻击者的程度和攻击带来的危害的程度。 2 ) 广泛防御原则 无论一种安全机制的功能看起来多么完善、强大，也不要单纯依赖这一种机 制，而是要在系统中安装多种能又互相替代的安全机制，那么就会导致整个系统 的崩溃，这种情况在网络安全中是最应该避免的。系统的安全防范机制应该有备 份和冗余。 3 ) 建立阻塞点的原则 在系统中建立阻塞点，不论是合法用户还是攻击者都必须使用这一一阻塞点， 这样系统在这点可以集中监视和控制用户的活动。要注意的是，在系统中不要 存在能使攻击者绕过阻塞点的通道，否则阻塞点的设立就没有什么意义了。 4 、明确最弱连接 攻击者往往查找系统的最弱连接点进行攻击，那么，我们就需要明确系统的 一5 一 东北大学硕士学位论文 第二章相关知识 安全防御的最弱点，以至于当最弱点发生安全问题时，能够采耿步骤删除它们， 并且能够密切监视那些不能删除的连接点。 5 ) 采取“安全失效”态度 安全失效是指当安全系统发生安全问题而失效时，系统应该拒绝攻击者的访 问，丽不是允许攻击者进入内部机构。当然，这时系统也会拒绝合法用户的访问， 但者通常是会被用户理解的。 6 ) 全体参与原则 大多数系统都要求内部机构的全体人员都参与对攻击者的防范。否则，如果 某用户在系统安全机制的控制之外，那么，攻击者可能通过对他的攻击来攻击整 个系统。 7 ) 多样性防御原则 安全防范手段咬具有多样性，否则，如果系统的安全防范手段都相同，那么 进攻者一旦知道如何突破其中的一个防范手段，他就会知道如何突破其余的系统。 8 ) 简单化 事情简单才更易于理解，如果不理解，就不能真正知道它是否安全。复杂的 程序可能更容易有错误，而任意一个错误都可能带来安全问题。所以，在保障系 统安全的前提下，尽可能的使系统简单。 2 1 3 几种防火墙体系结构的技术原理 防火墙的体系结构有多种多样。当前，最主要的体系结构包括：包过滤、双 宿网关、屏蔽主机、屏蔽子网等。下面简要介绍这四种体系结构的防火墙技术原 理。 1 1 包过滤型防火墙 包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数掘包 做允许或拒绝的决定。此时，路由器审查每个数据包以便确定其是否与某一条包 过滤规则匹配。 包头信息中包括i p 源地址、i p 目标端地址、内装协议( i c p 、u d p 、i c m p 、 或i p t u n n e l ) 、t c p u d p 目标端口、1 c m p 消息类型、t c p 包头中的a c k 位。包 的进入接口和发出接口如果有匹配，并且规则允许该数据包通过，那么该数据包 就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么改数据 包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃 数掘包。 2 1 双宿网关防火墙 一6 一 东北大学硕士学位论文第二章相关知识 双宿网关防火墙又称为双重宿主主机防火墙。双宿网关是一种拥有两个连接 到不同网络上的网络接口的防火墙。例如，一个网络接口连到外部的不可信任的 网络上，另一个网络接口连接到内部的可信任的网络上。这种防火墙的最大特点 是i p 层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层 代理服务来完成。般情况下，人们采用代理服务的方法，因为这种方法为用户 提供了更为方便的访问手段。也可以通过应用层数据共享来实现对外网的访问。 使用双重宿主机应注意的是，首先要禁止网络层的路由功能。由于双宿主机 是外部用户访问内部网络系统的中间转接点，所以它必须支持很多用户的访问， 因此双宿主机的性能非常重要。 3 1 屏蔽主机防火墙 屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直 接与内部主机相连。屏蔽主机防火墙由包过滤路由器和堡垒主机组成。这个防火 墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全( 包 过滤) 和应用层安全( 代理服务) 。所以入侵者在破坏内部网络的安全性之前，必 须首先渗透两种不同的安全系统。 在采用屏蔽主机防火墙情况下，过滤路由器是否正确配置是这种防火墙安全 与否的关键，过滤路由器的路由表应当受到严格的保护，否则如果路由表遭到破 坏，则会使堡垒主机被越过，这时内部网将完全暴露。 4 ) 屏蔽予网防火墙 屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系 统建立的是最安全的防火墙系统，因为在定义了“非军事区”网络后，它支持网络层 和应用层安全功能。网络管理员将堡垒主机，信息服务器，m o d e m 组，以及其它 公用服务器放在“非军事区”网络中。“非军事区”网络很小，处于英特网和内部网络 之间。在一般情况下对“非军事区”配置成使用英特网和内部网络系统能够访问“非 军事区”网络上数目有限的系统，而通过“非军事区”网络直接进行信息传输是严格 禁止的。 对于进来的信息，外面的路由器只允许外部系统访问堡垒主机( 还可能有信 息服务器) 。里面的路由器负责的是管理“非军事区”到内部网络的访问。 2 1 4 防火墙关键技术 到目前为止，防火墙所涉及的关键技术包括：包过滤技术、代理技术、电路 级网关技术、状念检查技术、地址翻译技术、加密技术、虚拟网技术、安全审 计技术、安全内核技术引、身份认证技术、负载平衡技术、内容安全技术4 1 等。 一7 一 东北大学硕士学位论文 第二章相关知识 卜面介绍几种关键技术： 1 ) 包过滤技术 包过滤技术口l 一般由一个包检查模块来实现。包过滤可以控制站点与站点、站 点与网络、网络与网络之间的相互访问，总之，包过滤允许你在单个地方为整个 网络提供特别的保护。 当把包过滤防火墙安装在网关上之后，包过滤检查模块深入到系统的在网络 层和数据链路层之间。所以防火墙位于软件层次的最底层。 通过检查模块，防火墙能拦截和检查所有出站和进站的数据包。防火墙检查 模块首先验证这个包是否符合过滤规则，不管是否符合过滤规则，防火墙一般要 记录数据包情况，不符合规则的包要进行报警或通知管理员。划丢弃的数据包， 防火墙对是否发一个返回消息给发送者要慎重。包检查模块能检查包中的所有信 息，一般是网络层的i p 头和传输层的头。包过滤一般要检查：i p 源地址、i p 目标 地址、协议类型( t c p 包、u d p 包、i c m p 包) 、t c p 或u d p 的源端口、t c p 或 u d p 的目标端口、i c m p 消息类型、t c p 报头中的a c k 位。 此外，t c p 的序列号、确认号，i p 校验和、分割偏移也往往是要检查的选项 6 1 。 l p 分段字段用来确定数据包在传输过程中是否被重新分段。数据包过滤器一 般是让非首段包通过，而仅对第一个分段进行过滤。强大的防火墙应该考虑非第 个分段有可能泄露有用的信息，因此防火墙要根据第一个分段的操作策略来决 定是否转发非第一个分段。 2 ) 代理技术 代理( p r o x y ) 技术是企图在应用层实现防火墙的功能，代理的主要特点是有 状态性。代理能提供部分与传输有关的状态，能完全提供与应用相关的状念和部 分传输方面的信息，代理也能处理和管理信息。 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网 关采用为每种所需服务而安装在网关上特殊代码( 代理服务) 的方式来管理英特 网服务，应用层网关能够让网络管理员对服务进行全面的控制。如果网络管理员 没有为某种应用安装代理编码，那么该项服务就不支持并不能通过防火墙系统来 转发。同时，代理编码可以配置成只支持网络管理员认为必须的部分功能。 提供代理服务的可以是一台双宿网关，也可以是一台堡垒主机。允许用户访 问代理服务是很重要的，但是用户是绝对不允许注册到应用层网关中的。 3 1 内容安全技术 内容安全性提供对高层服务协议数据的监控能力，确保用户的安全。包括讨 一8 一 东北大学硕士学位论文第二章相关知识 算机病毒、恶意的j a v aa p p l e t 或a c t i v e x 的攻击、恶意电子邮件及不健康网页内 容的过滤防护。 2 2 密码学相关知识 为了保证通信网络能f 常、安全地运行，就要求系统能够对信息实施有效保 护、对合法用户进行认证并能准确地鉴别出非法用户这些都需要借助于密码学的 力量 8 1 。 2 2 1 密码学概述 密码学包括密码编码和密码分析两方面的内容，它最早起源于密写和隐蔽书 写，但第二次世界大战中解密器的研究才开创了近代密码学的历史。近代密码学 奠基人将密码学纳入了通信理论，称之为保密通信。 虽然密码学已经有久远的历史，但是直到上世纪7 0 年代初= 习在商业、企业和 银行等各部门得以应用，密码学研究才有了高速发展。 2 2 2 杂凑函数 杂凑函数8 1 ( h a s h ，也称哈希函数) 是一种能够将任意长度的消息压缩到某一 固定长度的消息摘要的函数。杂凑函数在认证技术中起着关键作用。通常有三种 方法可以用于实现杂凑函数伊i ： a 使用数学上的单向函数。该方法具有很好的密码学性质，且满足杂凑函数 的单向、无碰撞基本要求。但是由于其工程上的缺点，计算量大、速度慢， 不能实用，因此目前工程上没有采用这种技术； b使用分组密码系统。该类方法可以实现性能较好的杂凑算法，但这类算法 依赖于密钥，如果加密和杂凑压缩使用同样的密码体制，会带来严重的安 全问题，因此我们在加密和杂凑压缩时一般使用不同的分组密码体制，以 保证其安全性； c 基于软件的杂凑算法，利用计算机软件系统的简单变化和函数，通过圈函 数迭代，同样可以得到安全的杂凑函数，例如m d 4 、m d 5 ，这类算法可 以和各种密码系统联合使用，便于软件、硬件实现，因此它们具有速度和 安全性上的双重优点。 一9 一 东北大学硕士学位论文 第二章相关知识 1 1 安全杂凑标准( s t i s ) 这是由美国国家标准技术研究所和美国国家安全局共同设计的与美国数字签 名算法标准一起使用的一种安全杂凑算法。当然，此算法不仅可以用于数字签名 之中，也可以用于任何需要杂凑算法的地方。安全杂凑标准的设计原则与m d 4 杂 凑函数的设计原则极其相似，实际上是m d 4 的一种变形。它的速度比m d 4 的速 度要慢大约0 2 兆字节秒( 在一个s u ns a p r cs t a t i o n 上) 。但是安全杂凑标准的 详细设计细节并未公开。为此，受到了许多同行专家的批评和怀疑。 2 ) m d 5 算法 m d 5 o j 算法是对杂凑压缩信息块按5 1 2 位进行处理的，首先它对杂凑信息进 行填充，使信息的氏度等于5 1 2 的倍数，填充方法是首先在压缩信息后填充6 4 字 节长的信息长度，然后再用首位为1 ，后面全为0 的填充信息填充，使经过填充后 的信息长度为5 1 2 的倍数，然后对信息依次每次处理5 1 2 位，每次进行4 轮每轮 1 6 步总共6 4 步的信息变换处理，每次输出结果为1 2 8 位，然后把前一次的输出作 为下一次信息变换的输入初始值( 第一次初始值算法已经固定) ，这样最后输出一 个1 2 8 位的杂凑结果。目前m d 5 被认为是最安全的杂凑算法之一，现已经在很多 应用中被当成标准使用。 2 2 3 数据加密标准算法d e s 分组密码l 的加密方式是首先将明文序列以固定长度进行分组，每一组明文 用相同的密钥和加密函数进行运算。为了减少存储量和提高运算速度，密钥的长 度一般不大，因而加密函数的复杂性成为系统安全的关键。分组密码设计的核心 是构造既具有可逆性又有很强的非线性的算法。加密函数重复地使用代替和置换 两种基本的加密变换j 。 在所有分组密码中，数据加密标准( d e s ) 的产生被认为是本世纪7 0 年代信 息加密技术发展史上的两大里程碑之一。 d e s 是一种单钥密码算法，它是一种典型的按分组方式工作的密码。其基本 思想是将二进制序列的明文分成每6 4 b i t 一组，用长为6 4 b i t 的密钥对其进行1 6 轮 代换和换位加密，最后形成密文。d e s 的巧妙之处在于，除了密钥输入顺序之外， 其加密和解密的步骤完全相同，这就使得在制作d e s 芯片时，易于做到标准化和 通用化，这一点尤其适合现代通信的需要。在d e s 出现以后，经过许多专家学者 的分析论证证明它是一种性能良好的数据加密算法，不仅随机特性好，线性复 杂度高，而且易于实现，因此，d e s 在国际得到了广泛的应用。 1 0 一 东北大学硕士学位论文第二章相关知识 d e s 还有一些变种。比如：三重d e s ( t d e s ) 和广义d e s ( g d e s ) 等。本 课题中使用的算法是t d e s 2 2 4 密钥管理技术 密钥管理【9 l 是数据加密技术中的重要一环，密钥管理的目的是确保密钥的安全 性( 真实性和有效性) 。 密钥的管理内容包括： 1 ) 密钥管理方式 层次化的密钥管理方式，用于数据加密的工作密钥需要动态产生，工作密钥 由上层的加密密钥进行保护，最上层的密钥称为主密钥，是整个密钥管理系统的 核心。多层密钥体制大大加强了密码系统的可靠性，因为用得最多的工作密钥常 常更换，而高层密钥用的较少，使得破译者的难度增大。 2 1 密钥生成 密钥的生成与所使用的算法有关。如果生成的密钥强度不一致，则称该算法 构成的是非线性密钥空问，否则称为是线性密钥空间。 3 1 密钥的分配和传递 密钥的分配是指产生并使使用者获得一个密钥的过程。密钥的传递分集中传 送和分散传送两类。集中传送是指将密钥整体传送，这时需要使用主密钥来保护 会话密钥的传递，并通过安全渠道传递主密钥。分散传送是指将密钥分解成多个 部分，用秘密分享的方法传递，只要有部分到达就可以恢复，这种方法适用于在 不安全的信道中传输。 4 1 密钥的保存 密钥既可以作为一个整体保存，也可以分散保存。整体保存的方法有人工记 忆、外部记忆装置、密钥恢复、系统内部保存。分散保存的目的是尽量降低由于 某个保管人或保管装置的问题而导致密钥的泄漏。 5 1 密钥的备份和销毁 密钥的备份可以采用和密钥的分散保存一样的方式，以免知道密钥的人太多。 密钥的销毁要有管理和仲裁机制，否则密钥会被有意无意的丢失，从而造成对使 用行为的否认。 2 3 物理隔离技术 所谓叫勿理隔离”是指内部网不得直接或间接地连接公共网。物理安全的目 一1 l 一 东北大学硕士学位论文 第二章相关知识 的是保护路由器、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、 人为破坏和搭线窃听攻击。只有使内部网和公共网“物理隔离”，才能真诈保证内 网信息网络不受来外网的黑客攻击。“物理隔离”使得网络的可控性增强，便于内 部管理、： 2 3 1 物理隔离技术的发展概况 物理隔离技术“自问世以来，经过实践的检验和应用，不断发展成熟，目前 已历经了三个发展阶段，每个阶段都产生了一种具有代表性的产品或解决方案。 目前。第三代物理隔离产品已经显示出了符合市场潮流的巨大优越性和旺盛生命 力。 物理隔离技术就是指内部信息网络不和i n t e m e t 等外部信息网络相连、从物理 上断开的技术。这种方法基本杜绝了因为网络互通互连所造成的外部攻击或内部 泄密的可能。为此，网络安全厂商相应地推出了各种以物理隔离为实施目标的网 络设备和解决方案。 第一代物理隔离：主要采用双枫双网的技术，即采取的配置两台电脑、分别 联接内外两个网络的做法。这种方式存在着一些缺点，比如导致投资成本的增加、 占用较大办公空间等。另外，双机的使用会带来很多不便，并且网络设置复杂、 维护难度也较大，一旦出现问题，会使对效率要求相当高的部门受到很大影响。 第二代产品：双硬盘隔离卡，主要是在原有机器上增加一块硬盘和一个隔离 卡的来实现物理隔离，两块硬盘分别对应内外网，用户启动外网时关闭内网硬盘， 启动内网时关闭外网硬盘。此种隔离方式需要用户在原有基础上再多加一块硬盘， 对于一些配置比较高、原有硬盘比较大的机器而言。，造成了无谓的成本浪费，而 且频繁地加电和断电容易对原有硬盘造成损坏。由于双硬盘隔离卡存在很多缺点， 它只能作为物理隔离技术发展过程中的替代产品存在。 第三代产品：单硬盘隔离卡，是目前国内最先进的客户端物理隔离产品，也 是国外普遍所采取的隔离技术( 包括美国军方) ，其实现原理是将原计算机的单个 硬盘从物理层上分割为公共和安全两个分区，安装两套操作系统，从而实现内外 网的安全隔离。单硬盘隔离卡有严密的硬盘数据保护功能，有方便的使用方式如 使用热启动切换两个网络，并有较强的可扩展功能。用户可以根据自己的需要在 不同的网络环境( 内网或外网) 中自由切换，操作时感受不到任何区别。 刚上数据交换是电子化最重要的组成部分，也是网络黑客攻击的关键点。对 于现有的安全产品，如防火墙、i d s 、防病毒、身份论证等产品，由于它们产品自 身的特点，即使是有机整合它们，也不能达到很好的效果。主要原因是它们都没 一1 2 东北大学硕士学位论丈第二章相关知识 有