WebST网络安全技术机制

1、SlVebSTSecure Intrxiiet Solution塔解决方案WebST与相关技术分析技术白皮书WebST与防火墙WebST与SSL的比较分析得实发展集团ZSCDM本手册及其中所包含内容的版权属得实发展集团所有。除版权法 允许使用的方式外，未经事先书面许可，不得对全部或部分内容复制、 转载、改编或翻译。本手册及相应的软件受产品所附的软件许可协议的约束，只 能在符合该许可协议条款下使用和复制。得实发展集团尽最大努力保证本手册的准确性和完整性,对手册 中的错误和遗漏不承担任何责任。对本手册内容可能随时修改，恕不 另行銅WebST是得实发展集团注册商标，WebSEAL、NetSEALs

2、NetSEAT、Smart Junctions和DASCOM DCE是得实发展集团注册名 称。本手册提到的其它产品名称是各自公司的注册商标，特此声明。9907WP041999年7月目录WEBST与防火墙一、概述1二、防火墙11. 防火墙的主要功能12. 防火墙的局限性2三、WEBST安全技术31. WEBST安全技术32. WEBST的优势3四、总结4WEBST与SSL的比较分析一、概述7二、WEBST安全性7三、基于公钥的SSL的安全性8四、结论9ASCOMWebST网络安全技术机制WebST与防火墙、概述WebST为企业的用户和计算资源提供了一个安全坏境，它提供了通过加密实现的数据保密和安

3、 全，保证只有授权用户或用户组才能通过使用访问控制表和双向身份验证访问特定的资源。WebST 将企业网的安全性扩展到防火墙以外，远程授权用户可以通过Intemet对企业内部资源进行安全访问。 另外WebST用来管理被所有用户访问的公共资源。许多人用防火墙来阻止外部用户对企业内部资源的非授权访问。防火墙的设计思想是通过限制 穿过防火墙的网络传输把非法用户挡在防火墙以外。而WebST的设计思想是为用户提供一致的数据 安全和访问控制级别，对用户没有地理位置的限制。另外，WebST主要是提供用户到应用程序间的 安全和访问控制，而防火墙主要是用来控制特定的网络协议传输能否通过防火墙。WebST与防火墙结

4、合使用可提供完整的安全网络解决方案。本文简述了传统防火墙及其局限性, 概述了WebST安全技术，说明了如何利用WebST和防火墙技术构造安全的企业网。二、防火墙1. 防火墙的主要功能本章简要介绍一卞防火墙，有关防火墙的详细内容，请参阅以卞书籍：Firewall and Internet Security Repelling the Wily Hacker, William R. Cheswick and Steven M. Bellovin, Addison-Wesley Publishing Company, Readmg. MA, 1994 or Building Internet Fir

5、ewalls, D. Brent Chapman and Elizabeth D. Zwicky, OReilly & Associates, Iiic., Sebastopol, CA, 1995.防火墙是用来防止对企业网或Intemet的非授权访问。它可以： 根据网络传输的类型决定IP包是否可以传进或传出企业网。通过这种控制，防火墙就可以：阻止非授权用户访问企业内部资源。允许使用授权机器的用户远程访问到企业内部。管理企业内部人员对Intemet的访问。 对通过防火墙的传输和企图突破防火墙的传输进行口志记录。 防火墙被用来在企业内部和外部Intemet间建立一道固定的屏障，它主要由以下几部分

6、组成： 包过滤器，它根据特定的标准（如IP包的源地址，传输类型）来决定网络传输的通断。 链路级网关和应用级网关或代理服务器，它将合法用户对某一服务的请求传送给提供该服务 的服务器。例如，某用户用FTP连到FTP服务器代理上，该FTP代理再将该请求传给相应的 FTP服务器。许多企业将包过滤器，链路级网关和应用级网关结合起来使用，因为没有一种单一的方法能满 足所有的要求。几台路由器联系起来作为包过滤器，几台安全主机（堡垒主机）作为链路级或应用 级网关，互相协调控制网络传输的通断。安全主机也被用来提供一些服务，如：匿名FTP或网上一 般用户的Web服务。一个典型的防火墙配置如下图所示：WebST与防

7、火垢WebST网络安全技术机制外部包过滤器通常是一个路由器，被配置为使外部用户只能看到堡垒主机。不过外部包过滤器 由ISP来配置，只能得到其中有限的选项。堡垒主机被作为应用级或链路级网关，提供代理服务。根 据网络传输的类型和数量，可以配置多台堡垒主机。内部包过滤器被配置为只接收来自堡垒主机的 向内传输且向外传给堡垒主机或外部包过滤器。2. 防火墙的局限性防火墙对于企业网的安全是至关重要的，但也有其局限性：防火墙难于管理和配置，易造成安全漏洞防火墙的管理及配置相当复杂，要想成功的维护防火墙，要求防火墙管理员对网络安全攻击的 手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管

8、理。一般来说， 由多个系统（路由器、过滤器、代理服务器、网关、堡垒主机）组成的防火墙，管理上有所疏忽是 在所难免的。防火墙的安全控制主要是基于IP地址的，难于为用户在防火墙内外提供一致的安全 策略许多防火墙对用户的安全控制主要是基于用户所用机器的ip地址而不是用户身份，这样就很难 为同一用户在防火墙内外提供一致的安全控制策略，限制了企业网的物理范围。一些新的防火墙产 品现在也支持身份验证，可以根据用户身份进行安全控制。防火墙只实现了粗粒度的访问控制防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制（如访问控制）集 成使用，这样企业就必须为内部的身份验证和访问控制管理维护单独的数

9、据库。防火墙不支持数据传输加密许多防火墙不支持数据传输加密，无法提供数据的保密性和完整性服务。防火墙产品主要是“身份认证”级的安全产品，针对协议或应用服务确定访问是否能穿过防火 墙，而WebST安全技术作为“授权访问控制”级的安全产品，弥补了防火墙的不足，可以控制和管 理所有用户对企业资源的访问，为用户到应用提供端到端的数据安全。三、WebST安全技术1. WebST安全技术WebST为企业网的安全管理提供了一个简易的模式。其中包括： WebSTWebSEAL服务器提供对所有Web资源的安全访问，提供细粒度的访问控制。 WebSTNetSEAL服务器提供对网络应用程序(如Telnet, ema

10、il)服务方的验证授权访问。它同 样可为企业内部成员访问Internet提供应用程序代理服务。当它被使用NetSEAT的用户访问 时，NetSEAL可以提供对网络应用程序服务方资源的加密访问。 WebSTPKMS(公钥管理服务器)将基于SSL的通信与WebST安全机制相结合，SSL用户可以 安全地访问WebST服务器。 WebST安全服务器为WebST安全系统提供底层安全技术，名字服务和通讯服务。 NetSEAT客户端软件 为用户提供Web浏览器，Telnet, ftp, readnews, email,和其它基于 Intemet的应用程序对企业资源经过身份验证的加密访问。通过NetSEAT,

11、访问企业内部资源 的远程用户成为扩展企业网的一部分。 WebST管理控制台为安全管理员提供了GUI来管理WebST所有安全组件。通过WebST,可为用户提供一个安全环境。还可将安全区域通过Intemet扩展到远程用户而企业 资源依然很安全。WebST提供以下功能： 在用户和他们所访问的资源间进行严格的基于私钥的双向身份验证。验证是基于I I令，但是 它不同于一般的Iiiteinethy用程序间的II令验证，WebSTI I令从不在网上明码传输，同时， WebST还支持基于公钥的身份验证。 WebST WebSEAL为Web资源提供细粒度的访问控制。 集成加密。所有WebST网上的传输都可被自动

12、地加密，以保证数据在传输过程中的保密性和 安全性。 WebST安全模式是针对组织中的成员如何使用资源，而不是针对特定的网络协议。访问控制 由WebST应用程序服务器根据特定的服务实施。例如，WebSTWeb服务器上的访问控制可 以控制特定CGI程序的执行权。 对企业安全策略的统一管理。有关安全策略的配置信息均集中在安全数据库中。提供统一的 安全策略。 简化了企业安全策略相关信息的配置和维护。如上所述，WebST将安全配置信息集中在一个 数据库中，易于管理和维护。此外，安全策略不是通过基于协议的规则来实现，而是根据用 户的身份证明及访问某一特定资源所要求的身份证明来体现的。2. WebST的优势

13、WebST具有一些防火墙产品所没有的特点，WebST是应用层的安全解决方案，WebST町作为整 个企业网的“授权访问控制中心”，提供用户到应用的访问控制服务。端到端的数据安全WebST可提供用户到应用的端到端的数据安全，防火墙只能提供防止非法用户对应用服务的访 问，不提供数据加密服务，无法为应用提供端到端的数据安全。如仅仅使用防火墙技术，无法解决 下图中客户端应用程序到应用服务器的端到端的数据安全。应用服务器图防火墙环境下的客户端和服务器集中管理对网络资源的访问控制防火墙的主要作用是防止外部非法用户侵入企业内部网，并不能控制企业网的用户能访问哪些 网络资源，且它无法与企业网应用服务的授权机制相

14、结合，而WebST的主要作用正是为企业网提供 集中的访问控制管理，且WebST可与已有的访问控制机制（如数据库应用的访问控制机制等）集成 使用。WebST的WebSEAL服务器可以对Web资源提供细粒度的访问控制，WebST的NetSEAL服务器对 非Web应用提供粗粒度的访问控制，利用WebST提供的授权API, WebST町提供针对应用资源的细粒 度访问控制，且WebST的访问控制机制可与其它的访问控制机制集成使用。 对用户的网络身份验证（不仅仅是防火墙）防火墙的安全机制是很难与企业网内部的安全机制集成使用的，而WebST可以为用户提供Web 应用的“一次登录”解决方案，提供对用户的网络身

15、份验证，且WebST同时支持基于私钥的Kerberos 双向身份验证和基于公钥的身份验证，还可与其他身份验证机制集成使用，WebST可为用户提供对 Web资源及基于Web应用的一次登录，且NetSEAL客户端可与Wmdows95/NT登录集成，人人简化了 用户的操作及管理员的负担，提供一致的安全策略。扩展了企业网WebST的身份验证是基于用户身份而不是基于IP地址，可以为防火墙内外的用户提供一致的安 全策略，不受地理位置制约，将企业网的安全扩展到防火墙外。高可用性WebST服务器及安全数据库均可复制，为网络用户提供高效的、可靠的安全服务。易于管理WebST使用集中的安全数据库，可以对安全策略进

16、行统一的维护，易于管理且减小了产生安全 漏洞的可能。四、总结WebST为企业提供了一系列丰富的安全服务。在增加传统的防火墙的安全性的同时，它可以通 过Internet扩展企业网的范围。WebST可以很方便地对企业网进行管理，从而阻止非法用户的访问并 通过包过滤器和应用程序代理提供以下功能： 提供用户到应用程序的数据安全，保密，身份验证和企业网成员的访问控制。 将企业防火墙的安全域扩展到防火墙外的企业远程用户。 简化了传统包过滤器和应用级防火墙的管理并增加了安全性并阻止非授权用户和其它用户 对企业内部的访问。 防止企业内部人员通过企业网向外界泄露企业内部资料。WebST与防火墙是两个层次上的安全

17、产品，防火墙属于“身份认证”级的网络层安全产品。它 提供身份验证服务及粗粒度的访问控制（TCP端II）,主要作用是防止外部用户非法侵入内部网， 防外不防内，许多防火墙提供的是网络层的安全。而WebST属于“访问控制”级的应用层安全产品, 是应用层的安全解决方案，其主要作用是控制企业用户对资源的访问，决定谁可以访问什么资源， 为企业提供集中的访问控制，内外兼防，将防火墙技术与WebST技术相结合，就可以提供完整网络 安全解决方案。防火墙图2 WebST与防火墙集成使用上图就是一种WebST与防火墙结合使用的典型配置。在这种配置结构中，防火墙主要用来保护 企业网的物理安全，防止外部非法入侵。而We

18、bST的主要作用是在NetSEAT客户端与WebST服务器 之间建立安全通道，为客户端程序访问企业内部应用资源、Web资源提供访问控制。ASCOM5WebST网络安全技术机制WebST与SSL的比较分析WebST与SSL的比较分析本文主要讨论了基于DCE的WebST应用层安全技术与基于公钥的SSL （安全套接层）安全技术 的区别。希望通过本文的描述，读者能更好的理解各种安全技术的特点，有效地利用WebST产品构 造符合Internet和Intranet安全需求的适当的安全模型。网络安全是一项复杂的课题，本文并不详细讨论有关概念，关于网络安全技术的全面介绍，请 参阅 “Network Seciu

19、ity, Private communication in a Public Worldn Kaufiiian, Derliiian, and Specmei; Prentice-HallPTR,NewJersey,1995o 关于DCE安全体系结构的详细内容请参阅OSF, Cambridge,NIA 出版的有关文献或DCE Security Programming” Wei Hu, OReilly &Associates, IncCA1995。、概述WebST管理所有对企业资源的访问，为企业信息和合法用户提供安全保护，防止从企业内部或 Inteme啲恶意或偶然攻击，WebST既提供了应用层的

20、安全模型，同时还集成了链路层的安全模型， 应用层安全定义并保护用户与资源（程序和数据）间关系，只允许授权用户对数据或应用的访问， 它支持特定于应用或数据的安全控制，例如可以控制到允许一组用户可以用编辑器或FTP修改数据, 而另一组用户只能通过浏览器读数据。链路层安全保证了所使用网络的安全性，禁止非授权访问。WebST安全模型的设计思想是支持企业的内部安全需求。WebST集成了由OSF DCE提供的应 用层安全技术和WebST IP层防火墙提供的链路层安全技术，为企业网提供了高度灵活的安全机制， 实现了企业安全策略的集中管理和实施。WebST可以使企业网安全策略延伸到企业网防火墙外，为 通过In

21、ternet访问的远程用户与企业防火墙内的用户提供一致的安全策略（注意，企业网的用户无需 在同一个物理网络中或甚至属于同一公司，企业Intemet可扩展到进行项目合作的公司间，称 Extranet）。作为企业网安全的一个补充就是需要在熟识者和陌生者之间提供安全通信。（例如：在一个公 共企业Intemet中的人），通过WebST的PKMS（公钥管理服务器）可以把预定义的基于WebST Intranet 的安全身份赋予外部的SSL安全用户。二、WebST安全性WebST面向Intranet的安全技术基于由DCE提供的应用层安全模型。DCE是在许多主流操作系统 上支持的成熟技术。DCE的安全技术基于

22、MIT的Kerberos技术和DES （数据加密标准）技术。WebST支持集中控制的安全策略，用户帐号信息由安全管理员输入安全数据库，它定义了用户 名、丨1令及其所属组和组织。安全数据库和用户访问由安全服务器控制。当用户登录时，用丨I令向 安全服务器证明身份，一旦用户身份被证明，安全服务器向用户发放一个票据，向企业内的应用服 务器（如WebST Web服务器）识别用户身份，应用服务器也用票据向用户证明自己的身份。WebST用K列机制来保证安全： 口令从不在网络上传输服务器向用户发送一条基于用户I I令密钥加密的消息，如果用户能以基于其在本机输入的I I令 的密钥解密这一消息，则向服务器证明了自

23、己的身份。此外，基于用户丨I令的密钥，从不在安全服 务器主机或用户客户机上存贮（硬盘及内存），它仅用来证明用户身份然后即被销毁。票据有一定的生命期每一票据仅在由安全管理员定义的一段时间内有效，票据同样也被加密以保证其不会遭到破坏, 非授权用户无法使用窃取的票据。每一票据仅有效作用于向某一特定服务器证明用户身份对于每个不同的服务器，用户取得不同的票据。不过，票据的使用对用户是透明的。WebST安 全管理器为用户处理所有的票据操作，用户仅需向安全服务器登录一次。企业中的每个目标（数据或应用）均可能有其相关的“访问控制表（ACL）。访问控制表定义 了可以对目标执行操作的用户及用户组。例如，访问控制表

24、可以定义哪一组用户可以修改某些Web 页面的内容。哪些用户只能读这些页面，未在访问控制表中说明的用户无权访问页面。WebST可以安全地管理用户对数据的访问，可以按照应用支持的操作定义安全策略。例如： WebST Web服务器支持安全管理员为读Web页面，执行CGI程序和修改Web页面制定不同的安全策 略。每个应用可以有特定于它的用户及其所访问的数据的安全策略。总之WebST安全技术提供了安全策略的集中管理。安全管理员把用户信息输入安全数据库。安 全服务器按此信息实施安全策略。用户对信息的访问控制按照用户身份而不是用户正在使用的机器 的物理位置来管理。其应用层的安全模型将用户特权映射为应用所支持

25、的操作。三、基于公钥的SSL的安全性SSL主要是用来为陌生人或熟人之间提供安全连接的，为了允许陌生人之间建立安全的连接， SSL将管理安全的任务放在最终用户上，SSL提供对数据加密和用户身份验证的支持，但最终用户必 须管理自己的安全策略。SSL用户（使用者及应用服务器）用授权凭证（Certificate of Autlionty） ”来证明它们的身份， 授权凭证是由信任的第三方签发的识别用户身份的消息。凭证被加密以保证传输时不被破坏，它类 似于一个带照片的身份证。人们用身份证来证明他自己的身份，如果这个身份证看起来象一个真的 身份证并且照片上的人看起来彖这个人，则确认这个人的身份。类似地，用户

26、必须决定是否相信提交给他的凭证，这一决定基于他是否相信签发凭证的第三方, 也可以请求由另一信任的第三方签发的授权凭证。与WebST安全模型不同，这些信任决定不是由安 全服务器通过票据管理的，用户自己必须管理证实某一身份的信任链。因为没有集中管理的安全数 据库，每个用户必须分别管理信任链。与WebST中的票据（ticket）不同，授权凭证从不过期，不过，信任的第三方可能需要吊销某些 用户的授权凭证。信任的第三方公布一个“凭证吊销表”，列出所有无效凭证，最终用户可以监控 这些表来决定哪些授权凭证是有效的。现在还没有广泛使用的全球机构来签发授权凭证或凭证吊销 表，这样用户就增加了开发或确定一本地机构

27、来管理凭证的负担。9ASCOMWebST与SSL的比较分析WebST网络安全技术机制SSL提供安全通道但没有应用层的安全，所有在SSL安全通道上运行应用程序（Web FTP）的用 户拥有同样的安全等级。一旦用户凭证进行身份验证建立了安全连接后，加密数据在通道上传输。 SSL不提供应用级的访问控制。在Web浏览器和Web服务器中，现有的SSL安全实现非常有限，因为管理凭证十分困难，用户把 新的信任的第三方加入其安全机制的能力十分有限。此外，最终用户可以对所访问的Web服务器进 行身份验证，但只有很少的浏览器支持服务器对用户的身份验证。四、结论WebST安全技术着重于企业Internet安全，它是

28、集中控制的。安全管理员可以定义访问信息的策 略并且通过访问控制表来实施这些策略。用户只有在安全管理员创建了合法的帐号和身份后才能进 入系统。如果一个最终用户可以通过安全服务访问一项服务，则鉴于WebST对用户和服务器进行双 向身份验证，就可以相信访问的服务是合法了。最终用户享受了安全性的好处而免去了管理安全策 略的负担。SSL允许陌生者之间建立安全通信，但是，它将管理安全通信的负担加到了最终用户身上，最 终用户必须管理授权凭证，最终判断是否信任对方，每个用户和Web服务器必须管理和维护其它接 受的授权凭证，没有集中的安全数据库也没有统一的安全策略可以执行。基于SSL的浏览器目前的 实现都很有限，很少支持对用户方的身份验证，以防止通过SSL的