基于安全服務的網絡安全平臺構建研究與實踐

華建祥

(福州大學)

0 引言

現如今互聯網在人們的生活中是必不可少的，我們在盡情享受網絡時代帶來的快樂的同時，也會因為各種不安全因素而感到不安，尤其是病毒和黑客帶來的嚴重危害，因此網絡安全成為一個非常重要的課題.當前網絡主要采用的是TCPIP體系結構，但這種體系本身還不是很完善，這就導致了網絡安全隱患的存在.黑客常常利用用操作系統的安全漏洞進行攻擊，這些網絡安全隱患帶來的后果非常的嚴重，會導致數據被竊取、信息丟失、系統癱瘓等，報紙上常常報道各種網絡安全事故，因此構建一個完善的網絡安全平臺是非常必須的，該文對基于安全服務的的網絡安全平臺構建研究與實踐進行了探討.

1 網絡安全技術概述

1.1 現有網絡安全技術分析

網絡安全技術涉及到通信技術、現代認證技術和密碼技術，其已得到了廣泛的應用.就通信協議來看，多協議標記交換MPLS和 IPSec是現在的網絡安全產品主要使用的.IPSec是第三層加密技術，其不是認證算法和特殊的加密算法，它只是一個開放的結構，在網絡數據傳輸中不同的加密算法都可以利用IPSec定義的體系結構來實施.多協議標記交換MPLS是一種特殊的轉發機制，它的作用是對IP數據包進行分配標記，通過這種交換來轉發IP數據包.標記的存在意義在于是IP包頭在網絡中的替代品，在網絡內部MPLS在數據包所經過的路徑的轉發是通過交換標記來實現的.當MPLS網絡中的數據包要退出的時候，那么數據包的封裝就會被解開，然后其到達目的地的方式是按照IP包路由的方式.在安全性方面，透明報文傳輸要通過MPLS作為通道機制來實現.用戶可以采用MPLS已有的手段(防火墻的設置、數據安全加密)來實現安全性的進一步提高.曾有國內專家說目前最為安全的協議就是IPSec，IPSec可以實現真正的私有網絡的形成，對于局域網之間的互聯的解決是非常有效的，因此該文認為要構建網絡安全平臺應該圍繞IPSec技術進行.

1.2 安全協議簡介

因為在進行互聯網通信的時候，可能會出現信息被修改、截取等狀況，甚至可能出現通過假冒通信的一方來獲取機密信息的情況，所以由網絡工程任務組制定IPSec協議框架.其對數據的加密在網絡傳輸層進行，外防護問題是重點解決的內容，進而可以確保系統內的資源和平臺的服務對象是本系統的內部用戶，外部的非法用戶不可能對系統內部進行入侵.安全平臺采用IPSec通道模式的ESP安全協議.其就相當于網橋在網絡中的地位，所以開通密網是在明網開通情況下進行.局域網間的保密互聯由安全平臺來提供，而且網絡的結構使用不會受到安全平臺引入的影響，而且還可以確保廣域網上傳輸的系統內部的信息是加密的，這樣可以使得廣域網上其他用戶的非法接入、篡改和竊聽被防止.典型的應用如圖1所示.

圖1 網絡結構應用圖

1.2.1 IPSec 簡介

RFC4301定義了IPSec的基本框架文檔，它使得IPSec的基本結構被定義，在它的基礎之上建立所有的具體的實施方案，IPSec組件有倆種安全的傳輸方式，一是認證頭AH，二是封裝安全載荷，其安全服務的實現需要通過密鑰管理進行.IPSec規定了倆種模式的數據傳輸，第一種就是傳輸模式，其是對IP負載的上層協議的保護，第二種是隧道模式，其是對整個IP報文的保護.其安全體系結構如圖2所示.

圖2 IPSec安全體系

1.2.2 IPSec 軟件的實現

IPSec軟件的實現形式有兩種，一種是直接修改協議棧，另一種是IP協議棧的集成，如果不能夠對協議棧就行修改，那么可以通過下述方式來實現:第一種救贖BITS，其位于網絡驅動程序和IP協議棧之間來實現，第二種就是BITW，其實現方式是通過外置加密設備進行的.BITW的實現方式如圖3所示.

圖3 IPSec模塊實現結構

在IPSEC的實現方式確定之后，軟件的整體開發可以通過freeswan這個軟件來進行，這主要是freeswan是開放源碼的，而且還集成了IPSec實現模塊.在使用的時候，首先要進行Linux編譯環境的建立，然后再linux平臺上進行一系列操作，首先進行freeswan的解壓縮，然后依次運行 tar zxvf freeswan–2.05.tar、make menugo和make kinstall命令，最后就是進行內核的重新編譯，同時啟動新的內核.在內核中編入freeswan，在進行網絡設備的查看時，就會發現設備IPSec0多出來了，那么我們就可以通過此設備來進行數據的發送，數據包在經過IPSec設備的時候都會被加密，而且在重新打包之后向外部接口的設備進行發送，使得數據從這個設備真正的發送出去.

1.3 平臺的配置與管理

在IPSec的底層平臺通過freeswan開發實現之后，還要對這個平臺進行管理和配置，這項工作可以通過net－snmp軟件實現，其對安全平臺的管理和配置是通過SNMP協議來實現的，為了管理和配置設備的進行，第一就是要構建管理對象的集合構成管理信息庫MIB，其是管理和配置實現的非常關鍵的部分.采用抽象語法符號ASN.1中的一個子集來描述管理信息庫的文本模式，管理信息結構也就是這個子集.

1.3.1 SNMP 簡述

三部分組成了SNMP管理模型，分別是管理者 Manager、管理信息庫 MIB和被管代理Agent，網絡管理系統和網絡管理員的接口就是管理站，其可以轉換網絡管理員的命令，使其成為監視和控制遠程網絡的元素，而且還可以提取信息數據，這是從MIB中提取出來的.輪詢代理是管理站管理工作實現的基礎，管理者和管理代理通信是通過SNMP的操作來進行的，可以實現設備信息的及時獲取，還可以遠程配置管理或操作網絡設備，網絡設備的歷史信息是通過數據庫的訪問實現的，進而使網絡配置變化等操作被決定.SNMP管理代理是特殊軟件或硬件，其用于被管理設備狀態的跟蹤和監測，每一個代理都有自己本地的MIB.移交管理代理來執行是SNMP的管理任務，管理站進行代理翻譯的請求，并進行可執行性的驗證操作，信息處理任務的執行通過直接與相應的功能實體通信來實現，同時將響應信息返回給管理站.

基于SNMP網站系統中占有一定的工作量來實現MIB庫的管理.基于ASN.1編譯器的研發模式如下:將MIB對象的ASN.1通過ASN.1編譯器轉換為MIB庫的管理結構，并進行MIB管理庫和內部數據結構之間轉換程序的建立，那么就能實現SNMP的命令對統一的MIB管理庫進行直接訪問，這樣就將基于SNMP網管系統的底層平臺搭建起來.被管理方和管理方的處理流程如圖4所示.

圖4 管理方的處理流程

圖4 被管理方的處理流程

1.3.2 MIB 簡述

MIB對象有一定的定義格式.ASN.1是一種語言，用來對結構化客體的結構和內容進行描述，ASN.1標準定義的一種傳送文法就是基于編碼規則BER.每個MIB用ASN.1描述如下:

在MIB庫中有IPSec具體配置參數的定義.管理員在管理設備的時候是通過讀取和改寫這些參數來進行的.其包括設備相關參數、審計相關參數、系統數據對象、安全相關參數四項內容，內容涉及較多的是系統數據對象和安全相關參數.

2 安全平臺的實現結構

在進行網絡平臺設計的時候，要按照一定的要求進行，主要就是對信息安全實施等級保護的要求.滿足社會上對于安全的不同級別的需求是進行信息安全實施等級保護的目的.往大了說，社會的發展需要我們對信息安全實施等級保護，可以使得信息安全保障能力和防護水平得到進一步的提升.往小了說，對相應的產品進行分級評估和認證需要依據等級保護規范來進行，這樣有利于產品的研制和生產更加規范和標準，還可以使需求者有采購的依據.安全平臺的功能機技術設計目標如下.

(1)數據加解密能力達到百兆線速.

(2)軟件RSA公鑰算法.

(3)通信加解密，對過往的數據進行 ESP/UDP封裝或還原，速率達到百兆線速.

(4)提供USB KEY(智能卡)的認證功能.(5)易調試、易維護的本地和遠程管理.(6)支持開機毀鑰功能.

(7)與其他安全平臺協商工作密鑰.

2.1 系統邏輯安全設計

安全平臺用于IP網絡上數據的加密傳輸，可實現基于IP協議的安全系統的構建.安全平臺可以提供認證和加密服務，使上下級控制系統之間的廣域網通信更加安全，可以實現數據傳輸的完整性、機密性保護.其構成包含加密卡和通信平臺，如圖5所示.

圖5 總體框架圖

這些接口不僅提供安全服務，還提供同外界進行交互的界面，其中路由器和外網口相連，用戶局域網和內網口相連.RS232串行口與本地平臺進行連接，進而實現對安全平臺的本地管理，平臺還可以提供USB接口來用于訪問操作員的認證USB KEY.各個接口的功能、類型見表1.

表1 安全平臺接口

2.2 設備級安全設計

等級保護中對身份鑒別的相關規定是認證策略主要涉及到的內容.身份鑒別的分級是從下述4方面進行的:用戶標識、用戶鑒別、設備標識、設備鑒別，如對于用戶鑒別分為下述5部分.

(1)基本鑒別，也就是在安全功能實施所要求的動作之前，先成功鑒別提出該要求的用戶.

(2)不能對鑒別進行偽造，也就是對偽造或復制的鑒別信息進行檢測和防止.

(3)多機制鑒別，也就是要多種鑒別機制的提供，用來對特定事件的用戶身份進行鑒別，并提供不同的鑒別規則，實現對任何用戶聲稱身份的鑒別.

(4)一次性使用鑒別，也就是鑒別數據操作的鑒別機制要一次性使用.

(5)重新鑒別，也就是對規定的用戶事件進行再次的鑒別.

從設別鑒別角度可以分為下述3部分:

(1)接入前鑒別，也就是要在設備接入系統之前進行鑒別，確保沒有非法接入的設備.

(2)不可偽造鑒別，也就是對偽造或復制的鑒別信息進行檢測并防止.

(3)鑒別信息管理，也就是鑒別信息應具有不可見性、不易仿造的特點，要對設備進行維護和管理，使其能夠訪問、修改、刪除.

2.2.1 密碼方案

密碼是在認證中需要的，密碼和認證聯系非常緊密，在認證中的加解密運算需要密碼，安全平臺可以配備使用專用加解密FPGA芯片和RSA算法，表2顯示的是密碼算法的具體信息.

表2 密碼算法種類

2.2.2 角色、服務和操作認證

(1)角色

設置管理員在安全平臺管理中心，來檢測監控系統中的密碼設備.設置安全平臺操作員在安全平臺，來實現對安全平臺的本地管理，包括設備參數的配置、密鑰管理、安全策略的配置).

(2)服務

安全平臺要能提供下述服務:①IP數據報的加解密;②IP數據源認證;③安全平臺的網絡參數配置;④密鑰管理和證書管理;⑤IP數據報的完整性認證;⑥安全平臺的安全策略配置;

(3)操作認證

操作員登陸系統必須執操作員卡，這樣才可以進行本地管理，其登陸步驟如下所述:①操作員在系統的提示下進行PIN碼的輸入來獲得操作權限;②加密卡產生一個隨機數，并將隨機數交給操作員卡作為數字簽名;③加密卡對數字簽名進行驗證;④驗證通過后，操作員才可以對安全平臺進行管理.為了使整個系統的完整性得到保護，第一項任務就是初始化設備，進而產生認證信息，其初始化流程如圖6所示.

3 結語

在互聯網高速發展的今天，網絡安全越來越得到人們的重視，該文對基于安全服務的網絡安全平臺構建進行了研究和探索，重點對IPSec協議進行了介紹和研究，還對IPSec協議的實現方式進行了研究，然后論述了網絡安全平臺的配置與管理和其實現方式，在這些的基礎上構建的網絡安全平臺，對于確保用戶數據的機密性是很有保證的，但是該文研究的網絡安全平臺隨著科學技術的進步必然會出現一些缺點，我們應該緊隨互聯網發展的步伐在軟件功能、硬件等方面對系統進行改進，確保系統的安全技術始終處于一流水平，這樣才可以使得用戶能夠放心上網，免遭病毒黑客的威脅.

圖6 設備初始化流程

［1］高玉喜，王艷敏.基于網絡監聽的網絡安全平臺構建.軟件，2012(5):32－36.

［2］包健.內蒙古移動網絡安全管控平臺設計與實施.內蒙古大學，2012.

［3］刁綾，陳磊.基于網絡監聽的網絡安全平臺構建.電腦知識與技術，2010(11):27－32.

［4］穆祥昆，趙晨飛，霍英東.基于云架構的網絡安全事件監測系統研究.信息網絡安全，2013(10):36－40.