【大学课件】信息安全技术----系讲13.doc

第十三讲: 虚拟专用网的设计实例 本讲在介绍了北京邮电大学信息安全中心研制开发的具有完全自主知识产权的国内首创的PC防火墙（Secure PC）之后，接着介绍基于此种防火墙而设计的一种用于桌面系统保护的虚拟专用网。A: 北京邮电大学PC防火墙（Secure PC）简介 PC防火墙（Secure PC）是北京邮电大学信息安全中心研制开发的具有完全自主知识产权的国内第一家（到目前为止也是唯一一家）桌面防火墙系统。目前，它已经通过专家鉴定，获得了公安部颁发的合格检测证书（编号：公计检（委）字第99036号）与国外同类产品相比，Secure PC基本与国外最新推出的同类产品持平，有些功能比同类产品要强。从面向用户的角度来说，显然我们的防火墙更适合于中国人的思维习惯和生活习惯。 传统意义下的防火墙是从保护局域网的角度出发设计的，目的是防止局域网系统不受来自互连网攻击。随着PC机的迅速普及，PC机的安全问题和原有局域网一起成为了防火墙的考虑对象。由于PC机环境和用户的特殊性，因此，不管从技术上还是从用户需求来说都有许多的不同。传统防火墙考虑得更多的是进入局域网的数据包的过滤，几乎不考虑局域网内部的主机系统的安全，而PC机的防火墙必须全面考虑主机系统的网络信息，甚至系统所采用的应用软件，对于某种条件下，还得考虑PC机的多用户问题。北京邮电大学PC防火墙（Secure PC）能够实现对上层网络应用软件的全透明控制，也就是说，不管用户是选用网景公司的NetScape浏览器还是微软公司Explorer浏览器、不管是选用的是哪家的ftp软件等，系统都将提供同样的网络安全服务。北京邮电大学PC防火墙（Secure PC）是一个基于桌面的防火墙产品。该系统的主要功能是实现对进出主机的IP包的IP地址和协议端口的过滤，系统应当能够对主机发送和接受的每一个IP包进行检查，获取IP源地址、目标地址和协议端口，并根据事先设定的规则拒绝或允许这个IP包通过。从而实现对网络上进出本机所有信息的全面的控制，从而达到保护本桌面系统的作用。该系统的运行平台应为Windows95和Windows98.桌面防火墙与网关型防火墙在管理方面有很大区别。后者由网络管理员管理，前者则可能由多人使用，这些使用者的Internet访问权限可能大不相同。例如，使用桌面防火墙，父母会设定一些不利于小孩健康成长的站点不让小孩去访问等等。因此过滤规则文件应为通过口令访问的方式，而且在必要时文件应以密文方式存盘。再者，对英特网 CACHE目录、文件删除、进程强制结束等方面也应有所考虑，无疑加大了桌面防火墙的开发难度。另外，通过设定IP地址，实现安全的ftp服务器，达到数据安全的传输。 作为桌面防火墙，北京邮电大学PC防火墙（Secure PC）本身的安全性尤为重要。对此，我们作到了防火墙启动以后，即使关闭本系统，防火墙依然能按要求继续工作。 北京邮电大学PC防火墙的功能机制: 1 IP包过滤机制:PC防火墙系统的最终目标是保护PC机的桌面系统，所以系统必须能对进出本机的所有数据进行控制。例如对进出主机的所有IP包的IP地址和协议端口的过滤，系统应当能够对主机发送和接受的每一个IP包进行检查，获取IP源地址、目标地址和协议端口，根据事先设定的规则拒绝或允许这个IP包通过，有必要的情况下，能及时反馈有关信息到上层应用程序以动态处理。从而实现对网络上进出本机所有数据的全面的控制。 2 网络病毒的检测机制:PC防火墙系统应当具有病毒检测功能。用户访问的网络资源可能携带病毒源，从而对用户造成损害。 3 用户通讯的保密机制:当两个用户进行通讯时，系统应当能够提供一种保密机制，实现用户之间通讯的机密性。 北京邮电大学PC防火墙（Secure PC）主要由以下几个模块组成：模块之一：过滤规则管理。对用户提供方便实用的过滤规则管理界面, 使用户可以对当前的防火墙过滤规则表中的记录进行增加、删除和修改等各种操作，过滤规则表则以密文形式存放,对过滤规则表的访问系统提供用户身份认证的机制。模块之二：过滤规则加密处理。以加密形式存放当前防火墙的过滤规则,并利用杂凑函数实现对文件完整性的校验,从而防止未经授权的用户窜改和查看当前防火墙的过滤规则。如果无过滤规则文件，系统将拒绝对任何外部IP的访问。模块之三：启用当前过滤规则(Ring 3 部分)。用户通过该模块应用当前最新的过滤规则。该模块首先读取过滤规则存放文件,将读出的过滤规则解密后存放在常规内存中的缓冲区中。再通过WIN32接口的DeviceIOControl调用Ring 0的过滤规则服务模块,并将缓冲区指针作为调用参数传递。 模块之四：启用当前过滤规则(Ring 0 部分)。该模块接收WIN32应用程序传送来的存放当前过滤规则的缓冲区的指针,并使用NdisMoveMemory函数将存放在常规内存缓冲区中的数据存入供VxD设备驱动程序使用的系统堆中.从而使得这些过滤规则数据可以长期存在,其生命周期和VxD一样.模块之五：面向上层网络应用程序的接口服务函数。这些接口函数均是Windows网络应用程序最终需要调用的网络服务, 通过这些服务，可以在上层与VxD之间传递信息。防火墙激活后，首先读取已经存在于VxD可访问的系统内存中的包过滤规则, 然后应用过滤规则对当前IP包进行处理, 将处理后的IP包交于原来的Windows网络协议栈进行处理。这样除了不被允许的IP包已经被过滤掉了以外，其他一切与防火墙未启动时一样，从而实现了对IP包的成功过滤。B: 基于PC防火墙的虚拟专用网模型基于上述PC防火墙，北京邮电大学信息安全中心又研制开发成功了具有完全自主知识产权的桌面保护系统虚拟专用网，称为北京邮电大学虚拟专用网。下面分别介绍此虚拟专用网的模型和设计方案。 北京邮电大学虚拟专用网方案主要是用于两个PC防火墙之间，用于保证两个PC机之间或PC与服务器之间，或服务器与服务器之间的安全传输。 现在的英特网是基于TCP/IP协议的网络，而TCP/IP协议基本没有考虑安全性，在一个基于IP协议的网络中，网络的脆弱性主要表现在：IP地址容易欺骗、IP数据包容易被截获和侦听、通信双方的身份容易伪装。所以在网络环境下，保证安全性主要从以下几个方面考虑：1. 与你通信的人是身份是真实的。2. 在通信过程中没有人能窃听。3. 数据传输过程中没有被更改。 而要做到以上三点，需要建立虚拟专用网，所以基于PC防火墙的虚拟专用网如果要保证安全性，主要要考虑以下几个方面：1. 对通信双方的身份认证2. 对数据的保密3. 数据传输过程的完整性。 北京邮电大学虚拟专用网能提供如下功能：加密数据、信息认证、身份认证。一般来说，对一个企业级的虚拟专用网来说，还应该有访问控制的能力，访问控制就是当一个用户访问内部网的时候，不同的用户对不同主机或服务器的访问权限是不一样的。但是北京邮电大学虚拟专用网是基于PC的，或者是基于单个主机的，保护的是一台机器，因此，我们无需提供访问控制能力，访问控制由主机安全来提供。 北京邮电大学虚拟专用网是端与端之间，提供端到端的保护。实现端到端的安全传输将是非常重要的特色。 因为北京邮电大学PC防火墙要实现包过滤的功能，而包过滤主要是在网络层来实现。所以北京邮电大学虚拟专用网的实现方案可以借鉴IPSec的实现方案。C: 基于PC防火墙的虚拟专用网设计方案 北京邮电大学虚拟专用网的加密。北京邮电大学虚拟专用网模型不是基于网关之间的虚拟专用网。虽然基于网关之间的虚拟专用网可以对IP包整个加密，以隐藏内部的IP地址，还可以减少第三者对数据流的分析攻击，但却不能隐藏地址，因为只是单个主机，所以我们只需要的TCP层数据加密。加密的算法可以选择DES、IDEA、RC4、LOKI91，这些算法选择可以在通信双方之间进行协商。 北京邮电大学虚拟专用网的数据包完整性检查和身份检查。完整性检查是必须的，我们用杂凑函数对IP数据杂凑，然后用公钥算法进行签名，这样可以做到对消息的认证和发方身份的认证。但是考虑到用公钥算法实施起来的困难，往往还需要建立证书机构，所以不用公钥算法。可以采用带密钥的杂凑函数来进行消息认证和发方的身份认证。首先，杂凑函数能起到消息认证的作用，在发送数据包的时候，用杂凑算法对TCP数据进行杂凑，杂凑值封装在IP包中。在收方，用杂凑算法重新对TCP数据进行杂凑，然后检查是否相等，若相等，说明数据包在传输过程中没有修改。若不相等，则说明数据包在传输过程中被修改过了。杂凑算法本身是带密钥的，即最后的杂凑值与输入的密钥有很大关系，杂凑函数所带的密钥可以起到身份认证，这就相当于私钥认证。通信双方首先约定一个主密钥K，此主密钥在一定时间内有效。杂凑函数的密钥就选用主密钥K。因为只有双方知道此密钥K，他们杂凑所得到的杂凑值才会相同，所以对方可以通过杂凑后的结果，来判断是否是真正要通信的人，这样就起到了验证对方身份的作用。我们选用国际上最著名的两个杂凑算法MD5和SHA作为北京邮电大学虚拟专用网中的杂凑算法。北京邮电大学虚拟专用网的加密密钥协商和主密钥的传递。要在网络层来加密数据包，需要对每个包有一个会话密钥。会话密钥随机产生，密钥长度与选用的加密算法有关，DES用58bits密钥，LOKI91用64bits的密钥，IDEA和RC4选用128bits的密钥。会话密钥传递采用用主密钥加密，然后随IP包一起传递。主密钥是双方约定的，在一段时间内将是固定，不被更改。主密钥选用128bits。如果要在网络中完全做到自动传递主密钥，可以用Diffie Hellman算法来传递主密钥。那么主密钥的传递就在应用层进行。在IP包中要封装一个安全头。安全头由下面几个域组成：加密算法、认证算法、加密密钥、数据包消息摘要。其中加密算法有4种选择，以后还可以增加新的算法。认证算法选用MD5和SHA。加密密钥为一个包密钥KP，KP是发方产生的一个随机数，认证密钥可以用主密钥。D: 虚拟专用网设计中的一些关键问题虚拟专用网代表了当今网络发展演化的最高形式，它综合了传统数据网络的性能优点（安全和QoS）和共享数据网络的结构优点（简单和低成本），必将成为未来传输完全会聚业务的主要工具。在虚拟专用网的设计与实现中不但要考虑到现有的网络安全问题，而且还要考虑到将来可能的安全问题、与不同操作平台之间的互操作性和新的加密算法之间的无隙连接。所以在虚拟专用网的实际设计和应用中要注意到：(1) 对虚拟专用网模型选取的考虑 在虚拟专用网的应用中，应根据具体的应用环境和用户对安全性的需求，采取相应的虚拟专用网模式（比如：只有AH的VPN模式、只有ESP的虚拟专用网模式、隧道模式下AH和ESP的配合使用以及传输模式下AH和ESP的配合使用）。使得相应设计的网络安全性与实际需要相符合并留有一定的余地。(2) 对加密算法的选取对IP数据包的加密传输，可以选取DES、IDEA、RC4等，但考虑到IDEA是迄今唯一没有被破译的算法，所以主密钥对包密钥的加密时选取IDEA，包密钥对IP包进行加密时可以有所选择，使得安全性与网络的处理能力、传输性能达到一个最佳状态。(3) 对数据完整性和身份认证的考虑在网络传输时对数据完整性进行检查是必须的，可以用杂凑函数对IP数据进行消息杂凑，然后签名，这样可样实现对消息的认证和发方身份的认证。对安全性要求非常高的场合，要用到公钥算法来实施。在一般的场合可以采用带钥杂凑函数进行消息认证和发方的身份认证。(4) 对主密钥和包密钥的考虑在网络层对每一个数据包进行加密时，随机产生一个包密钥，包密钥的传递经主密钥加密后，随IP包一起传递。主密钥是双方事先约定的，在一段时间内是固定的。如果要考虑主密钥的自动分配，我们可以采用Diffie-Hellman算法来传递主密钥。 (5) 适用于各种操作系统和平台。 (6) 既适应现在的IP地址分配协议IPv4，也能很容易升级到IPv6。 (7) 包含有防火墙的功能。 (8) 可以在路由器上嵌入IPSec协议和防火墙技术。 (9) 提供综合的虚拟专用网管