安全加密路由器浅析

安全加密路由器浅析南湘浩陈鸿有2002年11月二十一世纪即将到来，互联网的热潮冲击着整个世界。所有发达国家都已建成了多个、多种国家级的计算机网络，并互连成覆盖全球的计算机网络。据统计入网主机数量超过4000万台，连入的计算机子网已达60多万个，Internet迅速商业化并在社会中大量应用，它已成为现代社会的重要信息基础设施之一。随着Internet技术的迅猛发展，网络规模不断扩大，网络结构更加复杂。目前，组建大型计算机信息网络的关键技术是TCP/IP网络互连和路由器技术，特别是在Internet中，路由器起着重要的作用。着眼于国家信息安全，1997年“国务院信息化工作领导小组办公室”提出了国际联网安全研究项目，在网络安全关键设备和网络安全关键技术两类10多个课题中，就包括了国产安全（加密）路由器设备的研究。当前，国内市场所流通的（包括国产的和国外的）几乎都是“普通路由器”和“不具有加密功能的安全路由器”。这些路由器有的只有路由功能而没有安全、加密功能；有的只增加了包过滤功能。下面我们要讨论集常规路由器和安全、加密功能于一体的内嵌式“安全（加密）路由器”，分三个问题分析和阐述：安全（加密）路由器所要解决的主要问题；安全（加密）路由器设计框架；安全（加密）路由器的应用建议。⒈安全（加密）路由器解决的主要问题网络已从单个的、封闭的计算机网发展为开放的互联网。并由此带来以下变化：封闭网到开放网：社会的发展和人们工作、生活的需求，是网络技术发展的动力；网络技术的发展又进一步刺激着人们工作、生活模式的变更。单个的、Intranet网在很多情况下已不能满足（或不能很好地满足）人们工作和生活的需要，网络由封闭走向互联和开放已成趋势。集团通信到个人通信：以往，计算机网络通信几乎都是集团（部门、单位、企业等）的行为，个人行为是微乎其微的。随着网络技术的发展和人们工作、生活等各方面需求的变更，个人通信在增加，所占比例越来越大。有中心网到无中心网：从网络体系来讲，封闭的Intranet网是有中心网（一级网、二级网等等）；而互联网属无中心网，网络之间可以自由通信、自由交互、自由往来。网络安全问题更加突出：由于互联网是无中心网，网络之间可以自由通信、自由交互、自由往来，因此，网络安全问题更加突出。如何保证网络设备自身的安全以及存储在其上或通过其传输的敏感信息的安全，就成为必须解决的问题。安全（加密）路由器是保证互联网（同时也包括，Intranet和Extranet）信息安全的关键设备之一,它需要解决的主要问题是：⑴防止虚假路由信息的接收和路由器的非法接入发送虚假路由信息，使路由器路由混乱、阻塞，从而导致网络瘫痪是黑客可用的手段之一,黑客也常常将“自制路由器”接入到网络之中。安全（加密）路由器应当对路由器具有鉴别功能，能够阻止路由器的非法接入。在Intranet/Extranet网中需要解决和保证虚假路由信息的辨认，对虚假路由信息拒收。⑵防止非授权人员的入侵非授权人员，从路由器的操作系统入手，从“后门”侵入路由器，从而更改路由表或窃取有用信息，是需要特别加以防范的。⑶对路由信息和IP数据报的加密保护路由器是网络的转接设备，它不断地接收和发送路由信息和IP数据报。因此，路由信息和敏感的IP数据报的安全保护就成为极其重要的问题。安全（加密）路由器应当具有对路由信息和敏感IP数据报的加密保护功能。它涉及加密算法、密钥、数据完整性和数字签名等问题。加密算法的选择：出于对国家信息安全的考虑和对国外安全产品是否留有“陷门”的忧虑，并遵守国家有关政策、法规，应当选择我国有关部门批准的加密算法。进行加密作业时，则尽量做到一次一密。密钥的管理：密钥是加密作业中最活跃的因素，所谓“一次一密”，简言而之，就是每次加密所用的密钥互不相同。因此，从某种意义上说，保密的关键是密钥。应考虑以下几个方面：密钥种子、密钥的随机性；密钥的种类和层次；密钥长度；密钥生成算法的复杂度；密钥（含密钥生成算法及密钥自身）保护；密钥的存储、传输、更换和废除以及密钥的管理方式等。数据完整性验证：严密的设计应当考虑IP数据报完整性验证，当然，也可以对传送的密钥作完整性验证，或者两者都作。在某些应用环境或考虑到某些因素的情况下，也可以不进行数据完整性验证。数字签名：这是对发报者的确认，也是发报者自身严肃性的体现。采用加密技术做数字签名，对很多作业来说是需要的。但同数据完整性验证一样，在某些应用环境或考虑到某些因素的情况下，也可以不进行数字签名。⑷复杂网络下，加密的正确性和系统的可用性解决多个路由器、一次一密的情况下，相互通信（一对多）的正确性。由于加密是一个完整的流程，相对不加密来说，必然也必须附加一些动作，因此，效率的降低（甚至是明显的降低）也是必然的。一方面，要尽量使所设计的安全（加密）路由器机制效率更高；再者，要对系统进行综合考虑，在保密和效率之间进行权衡。⒉安全（加密）路由器（内嵌式）的设计框架对安全（加密）路由器的设计，不展开叙述，只是讨论它的设计框架。⑴产品定位（功能设计）设计目标为：路由器和安全加密模件有机集成的内嵌式的安全（加密）路由器。它巨有以下功能和特点：①内嵌式体系结构：将加密模件放在路由器里，路由器与加密模件集成为一体，进行内部交互。这与路由器外挂加密机的外挂式体系结构有着明显的区别。作简要比较。保密性：一般说来，内嵌式较外挂式好。路由器大都设有多个（低端路由器为2-3个）广域口，外挂式解决多个广域口的保密问题比较复杂，内嵌式相对来说，要简单一些；再者，外挂式的加密在路由器外部进行，内嵌式的加密是在路由器内部进行的；第三，内嵌式比外挂式较为容易实现一次一密。灵活性：内嵌式可以由用户自行设置要加密的客户机和（或）服务器，而外嵌式则对经过路由器的所有客户机和服务器的IP数据报都要加密；从密钥管理来看，内嵌式亦较外挂式优越，在设置分布式密钥管理机制情况下，可不专设密钥管理中心。经济性：由于内嵌式是将加密模件集成到路由器里，而不是象外挂是那样，做成一台独立的机器，因此，成本较低；第二，设计成分布式密钥管理时，可不加配密钥管理中心，系统集成时，比较经济。效率：由于内嵌式安全（加密）路由器的加密模件集成在安全加(密路由器里)，可以将加密做成硬件，和路由器进行内部交互（这种交互是比较多的）连接，加密速度较快；第二，采用分布式密钥管理机制，不用与密钥管理中心进行交互。因此，内嵌式的效率一般说来，要比外挂式高。②加密算法和密钥:这是一个敏感而又重要的问题。保密问题“九分九不行，非十分不可”。必须按国家的有关政策和法规办。加密算法：采用经过国家密码管理部门批准的多种加密算法。密钥：多级、多种密钥；主、副密钥机制，一次一密；分布式密钥管理，不另设密钥管理中心，具有密钥灵活配置和自动更换功能。③加密：实现对路由信息和IP数据报的加密（具有节点加密机功能）；具有路由器的身份鉴别功能；对要加密IP数据报的客户机和（或）服务器，可以由用户自行配置。④支持数据完整性验证和数字签名。⑤支持通用的安全保密框架IPSec、隧道技术和VPN（虚拟专网）构建。⑵加密机制设计基于加密技术的路由器身份鉴别机制的设计。路由信息、IP数据报加密机制的设计：消息密钥的生成；工作密钥的生成；密钥的加密传送；IP报加密；数据完整性验证；数字签名等。⑶硬件接口设计路由器与加密模件的连接方法；硬件连接信号及交互方式的确定。⑷软件接口设计路由器与加密模件的连接方式；连接函数的设计；控制命令的设计。⑸安全防护设计主要指加密模件自身安全防护的设计。包括：加密算法正确性验证；加密算法存放的安全性；密钥的安全性；异常情况处理以及物理防范措施等。⒊安全（加密）路由器应用建议本节主要讨论安全（加密）路由器的用途。通过下面的应用建议，我们将可以了解到，安全（加密）路由器不仅是一台安全路由器，而且是一台“节点加密机”，它支持隧道加密方式，并可以方便地构建VPN（虚拟专网），对两个网段（可以跨广域网/互联网）客户机/服务器之间传输的敏感信息进行加密保护。⑴组成Intranet网全部使用安全（加密）路由器，可以组成Intranet网。安全路由器1安全路由器2安全路由器3安全路由器4⑵与普通路由器互联组网安全（加密）路由器可以与普通路由器互连组网，当与普通路由器通信时，自动屏蔽加密功能。安全路由器1具有防火墙功能（屏蔽加密功能）安全路由器2具有防火墙功能普通路由器（屏蔽加密功能）⑶对指定的服务器/客户机的IP数据报加密由用户自行配置要加密的服务器/客户机。支持TELNET、E-mail、FTP、等。①Intranet安全路由器连接其它安全路由器被指定加密的客户机被指定加密的服务器在安全（加密）路由器的配置表上，将S和W配置为加密状态，此时，S和W经过安全路由器传送出去的IP数据报均被加密，防止了敏感数据的泄露。而未被配置成加密状态的S/W，经过安全路由器传送出去的IP数据报均不作加密。起到节点加密的作用。②跨普通路由器或广域/互联网到安全（加密）路由器（目标）跨普通路由器：安全路由器1普通路由器安全路由器2跨广域网/Internet：被指定加密的客户机被指定加密服务器从安全（加密）路由器发送出去的被加密的IP数据报可以透明地穿通普通路由器和广域/Internet网，到达目标安全（加密）路由器解密送到目标点。此时，中间传送的IP数据报均为密的。防止了敏感信息的泄露。⑷支持隧道加密方式，隐蔽S/W的IP地址安全（加密）路由器支持隧道加密方式。在这种情况下，可对S/W原IP地址进行加密，隐蔽S/W的原IP地址。广域网/Internet。。。。。。安全路由器1安全路由器2被指定加密的客户机被指定加密的服务器加密⑸构建VPNVPN（虚拟专网）实际上是跨公网（例如Internet）的私网。加密技术和隧道技术是构建VPN（IP-VPN）的基本技术和形式。加密技术提供了传送数据的安全保护；隧道技术则可以实现在国际标准化组织（ISO）规定的网络层上与IP协议兼容，同时隐蔽了Intranet网的“专用的”IP地址。由于安全（加密）路由器具有上述⑶、⑷功能，因此，可以方便地构建VPN（虚拟专网），为敏感信息传送提供加密保护。分两种情况：①跨普通路由器普通路由器安全路由器1VPN安全路由器2②跨广域/Internet网安全路由器1VPN安全路由器22002．11．26刊载于《计算机世界》报IP报头IP数据报新IP报头加密后的完整的数据报广域网/Internet