廣域網安全解決方案

領測軟件測試網

　　 
　　廣域網上存在哪些不安全的地方？
　　
　　由于廣域網采用公網傳輸數據，因而在廣域網上進行傳輸時信息也可能會被不法分子截取。 如分支機構從異地上發一個信息到總部時，這個信息包就有可能被人截取和利用。因此在廣域網上發送和接收信息時要保證：

　　1. 除了發送方和接收方外，其他人是不可知悉的（隱私性）；
　　2. 傳輸過程中不被竄改（真實性）；
　　3. 發送方能確信接收方不會是假冒的（非偽裝性）；
　　4. 發送方不能否認自己的發送行為（非否認）。
　　
　　如果沒有專門的軟件對數據進行控制，所有的廣域網通信都將不受限制地進行傳輸， 因此任何一個對通信進行監測的人都可以對通信數據進行截取。這種形式?quot;攻擊"是相對比較容易成功的 ，只要使用現在可以很容易得到的"包檢測"軟件即可。
　　
　　如果從一個聯網的UNIX工作站上使用"跟蹤路由"命令的話，就可以看見數據從客戶機傳送到服務器要經過多少種不同的節點和系統， 所有這些都被認為是最容易受到黑客攻擊的目標。一般地，一個監聽攻擊只需通過在傳輸數據的末尾獲取IP包的信息即可以完成。 這種辦法并不需要特別的物理訪問。如果對網絡用線具有直接的物理訪問的話，還可以使用網絡診斷軟件來進行竊聽。
　　
　　對付這類攻擊的辦法就是對傳輸的信息進行加密，或者是至少要對包含敏感數據的部分信息進行加密。
　　
　　加密技術
　　
　　加密型網絡安全技術的基本思想是不依賴于網絡中數據路徑的安全性來實現網絡系統的安全， 而是通過對網絡數據的加密來保障網絡的安全可靠性， 因而這一類安全保障技術的基石是適用的數據加密技術及其在分布式系統中的應用。
　　
　　數據加密技術可以分為三類，即對稱型加密、不對稱型加密和不可逆加密。
　　
　　其中對稱型加密使用單個密鑰對數據進行加密或解密，其特點是計算量小、加密效率高。但是此類算法在分布式系統上使用較為困難， 主要是密鑰管理困難，從而使用成本較高，保安性能也不易保證。 這類算法的代表是在計算機專網系統中廣泛使用的DES算法（Digital Encryption Standard）。
　　
　　不對稱型加密算法也稱公用密鑰算法，其特點是有二個密鑰（即公用密鑰和私有密鑰）， 只有二者搭配使用才能完成加密和解密的全過程。由于不對稱算法擁有二個密鑰，它特別適用于分布式系統中的數據加密， 在Inte.net中得到了廣泛應用。其中公用密鑰在網上公布，為數據源對數據加密使用， 而用于解密的相應私有密鑰則由數據的收信方妥善保管。 不對稱加密的另一用法稱為"數字簽名"（digital signature），即數據源使用其私有密鑰對數據的校驗和（checksum） 或其他與數據內容有關的變量進行加密，而數據接收方則用相應的公用密鑰解讀"數字簽名"， 并將解讀結果用于對數據完整性的檢驗。在網絡系統中得到應用的不對稱加密算法有RSA算法和美國國家標準局提出的DSA算法 （Digital Signature Algorithm）。不對稱加密法在分布式系統中應用需注意的問題是如何管理和確認公用密鑰的合法性。
　　
　　不可逆加密算法的特征是加密過程不需要密鑰，并且經過加密的數據無法被解密， 只有同樣的輸入數據經過同樣的不可逆加密算法才能得到相同的加密數據。不可逆加密算法不存在密鑰保管和分發問題， 適合于分布式網絡系統上使用，但是其加密計算工作量相當可觀，所以通常用于數據量有限的情形下的加密， 例如計算機系統中的口令就是利用不可逆算法加密的。近來隨著計算機系統性能的不斷改善，不可逆加密的應用逐漸增加。 在計算機網絡中應用較多的有RSA公司發明的MD5算法和由美國國家標準局建議的可靠不可逆加密標準 （SHS－Secure Hash Standard）。
　　
　　加密技術用于網絡安全通常有二種形式，即面向網絡或面向應用服務。 前者通常工作在網絡層或傳輸層，使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息， 從而保證網絡的連通性和可用性不受損害。在網絡層上實現的加密技術對于網絡應用層的用戶通常是透明的。此外， 通過適當的密鑰管理機制，使用這一方法還可以在公用的互聯網絡上建立虛擬專用網絡并保障虛擬專用網上信息的安全性。 SKIP協議即是近來IETF在這一方面的努力之一。
　　
　　面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法，例如使用Kerberos服務的telnet、NFS、rlogion等， 以及用作電子郵件加密的PEM（Privacy Enhanced Mail）和PGP（Pretty Good Privacy）。 這一類加密技術的優點在于實現相對較為簡單，不需要對電子信息（數據包）所經過的網絡的安全性能提出特殊要求， 對電子郵件數據實現了端到端的安全保障。
　　
　　數字簽名和認證技術
　　
　　認證技術主要解決網絡通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術， 同時數字簽名還可用于通信過程中的不可抵賴要求的實現。
　　
　　認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。
　　
　　　UserName/Password認證
　　
　　該種認證方式是最常用的一種認證方式，用于操作系統登錄、telnet、rlogin等，但由于此種認證方式過程不加密， 即password容易被監聽和解密。
　　
　　　使用摘要算法的認證
　　Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key， 加上摘要算法(MD5)進行認證，由于摘要算法是一個不可逆的過程，因此，在認證過程中， 由摘要信息不能計算出共享的security key，敏感信息不在網絡上傳輸。市場上主要采用的摘要算法有MD5和SHA-1。
　　
　　基于PKI的認證
　　使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、 數字簽名等技術，很好地將安全性和高效率結合起來。2.6節描述了基于PKI認證的基本原理。 這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻驗證等領域。 該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。
　　
　　　數字簽名
　　數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰系統(如RSA)基于私有/公共密鑰對， 作為驗證發送者身份和消息完整性的根據。CA使用私有密鑰計算其數字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。 偽造數字簽名從計算能力上是不可行的。并且，如果消息隨數字簽名一同發送，對消息的任何修改在驗證數字簽名時都將會被發現。 通訊雙方通過Diffie-Hellman密鑰系統安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。Diffie-Hellman密鑰由CA進行驗證。
　　
　　
　　類型　技術　用途　
　　基本會話密鑰　DES　加密通訊　
　　加密密鑰　Deff-Hellman　生成會話密鑰　
　　認證密鑰　RSA　驗證加密密鑰　
　　
　　
　　基于此種加密模式，需要管理的密鑰數目與通訊者的數量為線性關系。 而其它的加密模式需要管理的密鑰數目與通訊者數目的平方成正比。
　　PGP對數據傳輸加密和認證
　　
　　以上兩節解釋了加密和認證的基本原理。如何保證廣域網系統的安全性呢？采用PGP來保護系統的安全性。
　　
　　　為什么采用PGP加密？
　　
　　目前國內多使用56位的加密系統，實際上是不安全的，而PGP是最少128位加密的強大的加密軟件， 可以用于任何格式的文檔，包括文本、電子表、圖形等。
　　▲具備數字簽名功能，用于檢查消息和文件的原作者和完整性。
　　▲支持以下密鑰算法：
　　　1. 公用密鑰算法：Diffie-Hellman/DSS,RSA
　　　2. 散列功能：MD5, RIPEMD-160, SHA-1
　　　3. 對稱算法：CAST, IDEA, Triple-DES
　　▲包括密鑰生成和管理的整套工具，使系統管理員能夠靈活控制整個網絡系統的安全策略。
　　
　　　如何部署PGP系統
　　
　　　分以下三個部分描述：
　　
　　1．建立網絡系統的PGP證書管理中心
　　
　　在大型網絡系統中，利用PGP Certificate Server建立一個證書的管理中心。
　　
　　可以輕松地創建并管理統一的公用密鑰基礎結構。從而在網絡系統內部或Internet之間進行保密通訊。 通過將Lightweight Directory Access Protocol (LDAP)目錄和PGP證書的優點相結合， PGP Certificate Server大大簡化了投遞和管理證書的過程。同時具備靈活的配置和制度管理。
　　
　　PGP Certificate Server支持LDAP和HTTP協議，從而保證與PGP客戶軟件的無縫集成。 其Web接口允許管理員執行各種功能，包括配置、報告和狀態檢查，以實現對其遠程管理。 我們可以在Sun Solaris(SPARC)或Microsoft Windows NT Server (Intel)平臺上實現。
　　
　　2．對文檔和電子郵件進行PGP加密
　　
　　在Windows95或Windows N上可以安裝PGP for Business Security ，對文件系統和電子郵件系統進行加密傳輸。
　　
　　3．在應用系統中集成PGP加密
　　
　　利用PGP Software Development Kit（PGP sdk）系統開發人員可以將密碼功能結合到現有的應用系統中， 如電子商務、法律、金融及其他應用中。PGP sdk采用 C/C++ API, 提供一致的接口和強健的錯誤處理協議。
　　
　　
　　VPN技術
　　
　　　網絡系統對VPN技術的需求
　　
　　網絡系統總部和各分支機構之間采用公網網絡進行連接，其最大的弱點在于缺乏足夠的安全性。 企業網絡接入到公網中，暴露出兩個主要危險：
　　▲來自公網的未經授權的對企業內部網的存取。
　　▲當網絡系統通過公網進行通訊時，信息可能受到竊聽和非

文章來源于領測軟件測試網 http://www.kjueaiud.com/