XXXXXX 网络安全解决方案、系统的开发背景随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。
网络的开放性、互连性、共享性程度的扩大,特别是高校中计算机网络得到广泛的应用,无论是科研和教学中都离不开它,WEB艮务、数据库服务、电子邮件服务等涉及秘密材料,由于开放性的要求,In ternet 与内部网没有完全物理隔离,因此在操作系统和服务系统不能完全保证没有安全隐患和漏洞的情况下,难以保证内部系统的安全,同时内部网用户也可能涉及违反网络安全的事件,缺乏有效身份认证是内部管理的主要问题。
无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。
攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。
更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。
黑客的威胁见诸报道的已经屡见不鲜,在整个网络中任何一个环节出现问题,都有可能造成整个系统处于不安全的状态,而保证每个主机都处于高度安全是不可能的,现有的操作系统和服务系统都发现过漏洞,特别是人为因素造成的管理问题更难以避免。
1. 1网络安全的具体需求在整个网络中,最主要的是保证关键数据库和专门服务器的安全。
保证内部服务集群的安全性是最基本的,也是最重要的需求。
系统的主要需求指标有:管理安全性:完善的网络访问控制列表,禁止非授权用户非法访问数据。
为防止黑客获得某个主机的控制权后造成安全漏洞。
不应该简单采用主机信任。
保密性:为了防止黑客等的非法破解,通信应该提供保密性,防止恶意的网络监听,由于采用系统总体加密,因此无需担心内部的口令字等关键信息的泄漏。
兼容性:对于现有的各种操作系统和服务系统应该兼容,避免升级等复杂问题和新的缺陷的引入。
透明性:解决方案应对用户提供透明的安全网络管理,除要求客户端使用专用的安全网络服务组件和USB钥匙外,不应该要求用户提供应用层的额外修改,这将是一项复杂的工作。
1. 2安全策略的原则:充分比较安全策略的安全性与方便性。
通常,网络的方便性会因安全措施而降低。
例如增加了用户身份验证的措施,用户就不得不在获得网络服务之前先输入用户名和口令,从方便性角度看,这就比直接获得网络服务方便性差。
充分比较网络的安全性与性能。
安全措施的完成必然要消耗一定的网络资源。
或是占用主机CPU和内存,或者是占用网络带宽,或者是增加信息处理的过程。
所有这些都可以导致整体性能降低。
充分比较网络的安全性与成本。
采用网络安全措施本身会增加建网的成本,包括进行安全方面的系统设计和实施的费用,购买硬件和软件的费用,管理和维护的费用等。
优秀的网络安全策略必须是建立在对网络安全需求与环境的客观分析评估基础上,在网络的应用性能及价格和安全保障需求之间确定一个“最佳平衡点”,使得网络安全保障引入的额外开销与它所带来的效益相当1、系统的工作原理和总体结构2. 1工作模式本系统采用对服务集群采用软件网桥,统一完成加/脱密、验证、审计的功能。
客户端通过纯软件的网络服务驱动及USB钥匙(兼作USB存储磁盘)实现客户端的身份认证和加脱密。
外网路由器局域网客户端网络服务组件+USB钥匙互联网客户端网络服务组件+USB钥匙安全认证数据数据库服务器内部WEB服苴丿、他内部图中涂色部分为本系统的服务端。
在实际使用中认证服务器可以和安全管理器集中在同一台机器上,也可以使用多个安全网桥,但此时认证数据库必须存在同一机器上。
注意,图中安全服务器以下部分(内部各种服务器)对系统是不安全的因素,要注意保护,同时它们之间也无法使用安全认证。
因此本系统并不能完全避免合法的用户通过供给授权的服务器已有的安全漏洞达到控制其它服务器的目的。
系统管理员经尽可能管理好各自的权限配置,及时更新各种服务系统的补丁程序。
系统采用IP隧道(tunnel)技术,通过扩展网络协议/服务实现了VPN,当前所有TCP/IP 数据使用协商好的密钥加密后重新包装成特定目标端口(0x5555)的UDP 数据包(原来的目的端口等信息被包含在加密包中),由于基于标准IP 承载信息,因此可以穿过多层各种路由器和防火墙(某些设备需要设置允许此端口数据通过,不要特定限制UDP 包)。
不但可以实现局域网内部的安全访问,同时可以适合于通过In ternet访问局域网,如移动IP用户或合法外单位用户。
数据帧使用了128比特的AES 算法进行加密,结合了时间戳和摘要验证算法, 避免了重放攻击等危害系统安全。
由于本系统安全网桥处于重要地位,推荐使用防火墙被设置在被保护网络和外部网络之间的一道屏障,以抵御发生不可预测的、潜在破坏性的侵入和重复攻击等。
2.2 身份认证用户身份认证是一个完善的安全策略方案中必不可少的模块,特别是在存在着通过远程访问方式访问系统资源的情况下。
对用户进行身份认证可以了解谁试图访问特定资源,这对于保护资源是必需的。
除了认证用户身份以外,用户验证还可以定义了每个用户能够访问的资源,这就为多种资源并存的环境提供了增强的控制和更好的安全性。
当今使用的一些比较流行的先进认证装置叫做一次性口令系统。
一次性口令。
即“询问-应答系统”。
这种口令即使被入侵者获得,也不可能被入侵者重新使用来获得某一账户,就非常有效地保护了INTRANET 网络.。
本系统采用USB 钥匙。
用户只需插入即可自动与安全网桥经多次握手后获取自己的实际工作密钥(128bit)。
合法用户有权力随时更换新的密钥。
USB钥匙的安全十分重要,是确定用户的重要标志,用户应妥善保管。
2.3 安全网桥该设备是为了满足对多种类UNIX 系统的安全防护,特别是数据中心的各种数据服务器,采用同一的安全路由设备既方便维护,又避免在多个操作系统上进行修改或扩充所产生的不稳定性。
该部分设备采用双千兆网卡,利用Windows2003 Server的网桥功能,实现对当前子网的安全防护和验证。
系统基本适应的客户端类型为Windows2000以上系列,包括Windows2000, WindowsXP,Windows Server 2003 等。
不支持Windows9x 和Windows NT 。
2.4 数据库审计由于入侵手段的日益复杂和常用系统出现的安全缺陷,分析网络系统对破坏的抵抗能力有助于保障安全。
完成对数据库应用对象访问的扫描日志。
然后根据扫描结果向系统管理员提供安全性分析报告,为提高网络安全整体水平产生重要依据。
该部分实现对Oracle和Sql-Server服务器特殊的安全审计,可检测非法盗用用户和口令的行为,通过和网桥的联动达到阻断非法访问的目的。
通过日志功能增强安全审计。
当前系统一个路由器支持以下的指标:允许同时监测最多32 个数据服务,可以在一个主机上存在多个数据服务。
每个数据库可以监测用户指定的账号64 个支持多大30000个用户的分级权限实时阻断非法的越权登录,避免数据损失。
提供登录日志功能,记录登录用户,账号,数据库,时间等内容。
方便日后审核。
三、系统的主要指标该系统的一些主要指标和技术参数如下:安全指标:基于TCP 协议的连接进行安全认证。
128bit的AES算法保证数据的安全性.加密的摘要和时间戳的验证保证免受重复攻击兼容性指标:适用于Windows2000以上的客户端。
支持Windows2003Serve。
支持通过互联网安全访问内部网。
带宽利用率不低于80%。
支持所有类型的网卡。
由于采用安全网桥统一进行安全认证。
服务端的操作系统和服务类型不受限制,只要能够访问SQL Server即可进行对当前TCP连接的用户身份的认证。
处理指标:加脱密速率不低于200Mb/s。
最多可支持30000个客户端身份。
支持Oracle的登录审计。
最多32个数据库,每个数据库不超过64个用户。
安全网桥最多可同时支持40 万个连接的认证。
在遭受恶意重复攻击超过此数后可能造成认证不成功。
但不会被欺骗。
四、系统的客户端客户端的程序文件如下:4. 1 USB钥匙开发库SecUSBFIash.dllSecUSBFIash.libFlashDisk.h其提供的接口函数有:调用USB钥匙进行加密int USBFlashE ncrypt(char *pEdata, 〃加密结果数据con st char *pData, 〃明文数据int length //数据字节长度,必须为8的倍数);返回为状态。
ERR_OK为成功。
读取USB钥匙中的数据区int USBFIashGetData(char *pData,int offset,int len gth);返回值:操作状态设置USB钥匙的数据区内容int USBFIashPutData(const char *pData,int offset,int len gth);烧制USB钥匙的主密钥。
为8个字节int USBFIashSetKey(co nst char *pKey);加密算法fastdes.h uni xpass.cpp该程序提供了USB钥匙使用的加密算法。
在服务端需要使用,客户端可以辅助验证。
同时为了克服USB加密钥匙速度慢的缺点。
在需要大量加密时使用硬件获取参数,软件加密算法4.2 客户端组件:客户端适用于Win2000 以上版本的操作系统。
采用协议驱动模式,保证对用户和应用程序透明。
USB 钥匙提供了保密和标识的作用,存储密钥不可以读出。
提供的主要安装包有:4.2.1 网络服务组件包基本的系统文件有如下:netsf.inf netsf_m.inf melianet.sys melianet.dll 设备名: \\.\melianet该服务组件负责对涉及安全服务的网络访问的IP 数据进行VPN 封装和加脱密,其加密参数是由客户端USB 钥匙和安全验证服务器经多次握手后获得的。
其基本原理和步骤如下:1)客户端产生一个随机向量V1(1024 位),使用USB 钥匙加密后,封装在请求密钥包内发给服务器。
2)服务端对接收到的请求密钥包中的向量脱密后,与分配给此用户的网络加密密钥按特定格式混合封装,以客户端密钥加密后发给客户3)客户端接收到后,进行脱密,确认其格式中向量和网络密钥正常后。
产生一个随机向量V2,使用服务器分发的网络加密密钥和算法进行加密产生测试包。
发给服务器。
4)服务器对测试包进行脱密后,使用用户密钥进行加密后发给客户端进行二次握手,服务器向安全网桥设置本用户的加密密钥。
5)客户收到二次握手信息后,确认后,初始化网络加密组件中的加/脱密密注意:在Win dows2000以上操作系统中,用于使用“设备驱动签名”管理,可能造成安装过程中出现在的类似如下的提示框。
请单击“我的电脑”右键健菜单中的属性,首先选择使用系统属性管理中设备管理器“驱动程序签名”项,选择忽略-安装软件,不用征求我的同意”。
