基于安全服务的网络安全平台构建研究与实践

2015-09-09华建祥

哈尔滨师范大学自然科学学报 2015年2期

华建祥

(福州大学)

0 引言

现如今互联网在人们的生活中是必不可少的，我们在尽情享受网络时代带来的快乐的同时，也会因为各种不安全因素而感到不安，尤其是病毒和黑客带来的严重危害，因此网络安全成为一个非常重要的课题.当前网络主要采用的是TCPIP体系结构，但这种体系本身还不是很完善，这就导致了网络安全隐患的存在.黑客常常利用用操作系统的安全漏洞进行攻击，这些网络安全隐患带来的后果非常的严重，会导致数据被窃取、信息丢失、系统瘫痪等，报纸上常常报道各种网络安全事故，因此构建一个完善的网络安全平台是非常必须的，该文对基于安全服务的的网络安全平台构建研究与实践进行了探讨.

1 网络安全技术概述

1.1 现有网络安全技术分析

网络安全技术涉及到通信技术、现代认证技术和密码技术，其已得到了广泛的应用.就通信协议来看，多协议标记交换MPLS和 IPSec是现在的网络安全产品主要使用的.IPSec是第三层加密技术，其不是认证算法和特殊的加密算法，它只是一个开放的结构，在网络数据传输中不同的加密算法都可以利用IPSec定义的体系结构来实施.多协议标记交换MPLS是一种特殊的转发机制，它的作用是对IP数据包进行分配标记，通过这种交换来转发IP数据包.标记的存在意义在于是IP包头在网络中的替代品，在网络内部MPLS在数据包所经过的路径的转发是通过交换标记来实现的.当MPLS网络中的数据包要退出的时候，那么数据包的封装就会被解开，然后其到达目的地的方式是按照IP包路由的方式.在安全性方面，透明报文传输要通过MPLS作为通道机制来实现.用户可以采用MPLS已有的手段(防火墙的设置、数据安全加密)来实现安全性的进一步提高.曾有国内专家说目前最为安全的协议就是IPSec，IPSec可以实现真正的私有网络的形成，对于局域网之间的互联的解决是非常有效的，因此该文认为要构建网络安全平台应该围绕IPSec技术进行.

1.2 安全协议简介

因为在进行互联网通信的时候，可能会出现信息被修改、截取等状况，甚至可能出现通过假冒通信的一方来获取机密信息的情况，所以由网络工程任务组制定IPSec协议框架.其对数据的加密在网络传输层进行，外防护问题是重点解决的内容，进而可以确保系统内的资源和平台的服务对象是本系统的内部用户，外部的非法用户不可能对系统内部进行入侵.安全平台采用IPSec通道模式的ESP安全协议.其就相当于网桥在网络中的地位，所以开通密网是在明网开通情况下进行.局域网间的保密互联由安全平台来提供，而且网络的结构使用不会受到安全平台引入的影响，而且还可以确保广域网上传输的系统内部的信息是加密的，这样可以使得广域网上其他用户的非法接入、篡改和窃听被防止.典型的应用如图1所示.

图1 网络结构应用图

1.2.1 IPSec 简介

RFC4301定义了IPSec的基本框架文档，它使得IPSec的基本结构被定义，在它的基础之上建立所有的具体的实施方案，IPSec组件有俩种安全的传输方式，一是认证头AH，二是封装安全载荷，其安全服务的实现需要通过密钥管理进行.IPSec规定了俩种模式的数据传输，第一种就是传输模式，其是对IP负载的上层协议的保护，第二种是隧道模式，其是对整个IP报文的保护.其安全体系结构如图2所示.

图2 IPSec安全体系

1.2.2 IPSec 软件的实现

IPSec软件的实现形式有两种，一种是直接修改协议栈，另一种是IP协议栈的集成，如果不能够对协议栈就行修改，那么可以通过下述方式来实现:第一种救赎BITS，其位于网络驱动程序和IP协议栈之间来实现，第二种就是BITW，其实现方式是通过外置加密设备进行的.BITW的实现方式如图3所示.

图3 IPSec模块实现结构

在IPSEC的实现方式确定之后，软件的整体开发可以通过freeswan这个软件来进行，这主要是freeswan是开放源码的，而且还集成了IPSec实现模块.在使用的时候，首先要进行Linux编译环境的建立，然后再linux平台上进行一系列操作，首先进行freeswan的解压缩，然后依次运行 tar zxvf freeswan–2.05.tar、make menugo和make kinstall命令，最后就是进行内核的重新编译，同时启动新的内核.在内核中编入freeswan，在进行网络设备的查看时，就会发现设备IPSec0多出来了，那么我们就可以通过此设备来进行数据的发送，数据包在经过IPSec设备的时候都会被加密，而且在重新打包之后向外部接口的设备进行发送，使得数据从这个设备真正的发送出去.

1.3 平台的配置与管理

在IPSec的底层平台通过freeswan开发实现之后，还要对这个平台进行管理和配置，这项工作可以通过net－snmp软件实现，其对安全平台的管理和配置是通过SNMP协议来实现的，为了管理和配置设备的进行，第一就是要构建管理对象的集合构成管理信息库MIB，其是管理和配置实现的非常关键的部分.采用抽象语法符号ASN.1中的一个子集来描述管理信息库的文本模式，管理信息结构也就是这个子集.

1.3.1 SNMP 简述

三部分组成了SNMP管理模型，分别是管理者 Manager、管理信息库 MIB和被管代理Agent，网络管理系统和网络管理员的接口就是管理站，其可以转换网络管理员的命令，使其成为监视和控制远程网络的元素，而且还可以提取信息数据，这是从MIB中提取出来的.轮询代理是管理站管理工作实现的基础，管理者和管理代理通信是通过SNMP的操作来进行的，可以实现设备信息的及时获取，还可以远程配置管理或操作网络设备，网络设备的历史信息是通过数据库的访问实现的，进而使网络配置变化等操作被决定.SNMP管理代理是特殊软件或硬件，其用于被管理设备状态的跟踪和监测，每一个代理都有自己本地的MIB.移交管理代理来执行是SNMP的管理任务，管理站进行代理翻译的请求，并进行可执行性的验证操作，信息处理任务的执行通过直接与相应的功能实体通信来实现，同时将响应信息返回给管理站.

基于SNMP网站系统中占有一定的工作量来实现MIB库的管理.基于ASN.1编译器的研发模式如下:将MIB对象的ASN.1通过ASN.1编译器转换为MIB库的管理结构，并进行MIB管理库和内部数据结构之间转换程序的建立，那么就能实现SNMP的命令对统一的MIB管理库进行直接访问，这样就将基于SNMP网管系统的底层平台搭建起来.被管理方和管理方的处理流程如图4所示.

图4 管理方的处理流程

图4 被管理方的处理流程

1.3.2 MIB 简述

MIB对象有一定的定义格式.ASN.1是一种语言，用来对结构化客体的结构和内容进行描述，ASN.1标准定义的一种传送文法就是基于编码规则BER.每个MIB用ASN.1描述如下:

在MIB库中有IPSec具体配置参数的定义.管理员在管理设备的时候是通过读取和改写这些参数来进行的.其包括设备相关参数、审计相关参数、系统数据对象、安全相关参数四项内容，内容涉及较多的是系统数据对象和安全相关参数.

2 安全平台的实现结构

在进行网络平台设计的时候，要按照一定的要求进行，主要就是对信息安全实施等级保护的要求.满足社会上对于安全的不同级别的需求是进行信息安全实施等级保护的目的.往大了说，社会的发展需要我们对信息安全实施等级保护，可以使得信息安全保障能力和防护水平得到进一步的提升.往小了说，对相应的产品进行分级评估和认证需要依据等级保护规范来进行，这样有利于产品的研制和生产更加规范和标准，还可以使需求者有采购的依据.安全平台的功能机技术设计目标如下.

(1)数据加解密能力达到百兆线速.

(2)软件RSA公钥算法.

(3)通信加解密，对过往的数据进行 ESP/UDP封装或还原，速率达到百兆线速.

(4)提供USB KEY(智能卡)的认证功能.(5)易调试、易维护的本地和远程管理.(6)支持开机毁钥功能.

(7)与其他安全平台协商工作密钥.

2.1 系统逻辑安全设计

安全平台用于IP网络上数据的加密传输，可实现基于IP协议的安全系统的构建.安全平台可以提供认证和加密服务，使上下级控制系统之间的广域网通信更加安全，可以实现数据传输的完整性、机密性保护.其构成包含加密卡和通信平台，如图5所示.

图5 总体框架图

这些接口不仅提供安全服务，还提供同外界进行交互的界面，其中路由器和外网口相连，用户局域网和内网口相连.RS232串行口与本地平台进行连接，进而实现对安全平台的本地管理，平台还可以提供USB接口来用于访问操作员的认证USB KEY.各个接口的功能、类型见表1.

表1 安全平台接口

2.2 设备级安全设计

等级保护中对身份鉴别的相关规定是认证策略主要涉及到的内容.身份鉴别的分级是从下述4方面进行的:用户标识、用户鉴别、设备标识、设备鉴别，如对于用户鉴别分为下述5部分.

(1)基本鉴别，也就是在安全功能实施所要求的动作之前，先成功鉴别提出该要求的用户.

(2)不能对鉴别进行伪造，也就是对伪造或复制的鉴别信息进行检测和防止.

(3)多机制鉴别，也就是要多种鉴别机制的提供，用来对特定事件的用户身份进行鉴别，并提供不同的鉴别规则，实现对任何用户声称身份的鉴别.

(4)一次性使用鉴别，也就是鉴别数据操作的鉴别机制要一次性使用.

(5)重新鉴别，也就是对规定的用户事件进行再次的鉴别.

从设别鉴别角度可以分为下述3部分:

(1)接入前鉴别，也就是要在设备接入系统之前进行鉴别，确保没有非法接入的设备.

(2)不可伪造鉴别，也就是对伪造或复制的鉴别信息进行检测并防止.

(3)鉴别信息管理，也就是鉴别信息应具有不可见性、不易仿造的特点，要对设备进行维护和管理，使其能够访问、修改、删除.

2.2.1 密码方案

密码是在认证中需要的，密码和认证联系非常紧密，在认证中的加解密运算需要密码，安全平台可以配备使用专用加解密FPGA芯片和RSA算法，表2显示的是密码算法的具体信息.

表2 密码算法种类

2.2.2 角色、服务和操作认证

(1)角色

设置管理员在安全平台管理中心，来检测监控系统中的密码设备.设置安全平台操作员在安全平台，来实现对安全平台的本地管理，包括设备参数的配置、密钥管理、安全策略的配置).

(2)服务

安全平台要能提供下述服务:①IP数据报的加解密;②IP数据源认证;③安全平台的网络参数配置;④密钥管理和证书管理;⑤IP数据报的完整性认证;⑥安全平台的安全策略配置;

(3)操作认证

操作员登陆系统必须执操作员卡，这样才可以进行本地管理，其登陆步骤如下所述:①操作员在系统的提示下进行PIN码的输入来获得操作权限;②加密卡产生一个随机数，并将随机数交给操作员卡作为数字签名;③加密卡对数字签名进行验证;④验证通过后，操作员才可以对安全平台进行管理.为了使整个系统的完整性得到保护，第一项任务就是初始化设备，进而产生认证信息，其初始化流程如图6所示.

3 结语

在互联网高速发展的今天，网络安全越来越得到人们的重视，该文对基于安全服务的网络安全平台构建进行了研究和探索，重点对IPSec协议进行了介绍和研究，还对IPSec协议的实现方式进行了研究，然后论述了网络安全平台的配置与管理和其实现方式，在这些的基础上构建的网络安全平台，对于确保用户数据的机密性是很有保证的，但是该文研究的网络安全平台随着科学技术的进步必然会出现一些缺点，我们应该紧随互联网发展的步伐在软件功能、硬件等方面对系统进行改进，确保系统的安全技术始终处于一流水平，这样才可以使得用户能够放心上网，免遭病毒黑客的威胁.