１ 網絡安全及相關技術

自２０世紀９０年代以來，計算機網絡技術得到了飛速發(fā)展，信息的處理和傳遞突破了時間和地域的限制，網絡化與全球化成為不可抗拒的世界潮流，Ｉｎｔｅｒｎｅｔ已進入社會生活的各個領域和環(huán)節(jié)，并愈來愈成為人們關注的焦點。據(jù)統(tǒng)計，目前Ｉｎｔｅｒｎｅｔ用戶數(shù)達５ ０００萬戶，到２０００年底用戶數(shù)將發(fā)展到２億戶。

信息技術的使用給人們生活、工作的方方面面帶來了數(shù)不盡的便捷和好處。然而，計算機信息技術也和其他科學技術一樣是一把雙刃劍。當大部分人使用信息技術提高工作效率，為社會創(chuàng)造更多財富的同時，另外一些人利用信息技術卻做著相反的事情。他們非法侵入他人的計算機系統(tǒng)竊取機密信息、篡改和破壞數(shù)據(jù)，給社會造成難以估量的巨大損失。隨著網絡規(guī)模的擴大和網絡服務的增加，網絡安全需求也越來越大，需求的面也越來越廣。從技術上來講，解決安全問題有以下一些常見和用戶認可的手段。

１．１ 加密和解密

加解密技術是最基本的安全技術，其主要功能是提供機密性服務，但在實現(xiàn)其他安全服務時也會使用加密技術。目前密碼學中主要有兩種不同的密碼體制：對稱密鑰體制和非對稱密鑰體制，又被稱為私鑰密碼體制和公鑰密碼體制。到目前為止，公鑰密碼體制中，占主導地位的還是ＲＳＡ公鑰密碼體制。模數(shù)為５１２ｂｉｔ的ＲＳＡ已經被認為是不安全的，ＲＳＡ公司推薦的最小模數(shù)為７６８ｂｉｔ，目前大部分ＲＳＡ公鑰體制的實際解決方案中采用了１ ０２４ｂｉｔ或者２ ０４８ｂｉｔ的ＲＳＡ公鑰體制。其它公鑰體制，如ＤＨ和數(shù)字簽名算法（ＤＳＡ）由于其獨特的安全優(yōu)勢在在線密鑰交換和數(shù)字簽名領域得到了廣泛的應用實用的橢圓曲線密碼系統(tǒng)也日臻完善，１７０ｂｉｔ的橢圓曲線密碼系統(tǒng)被認為和１ ０２４ｂｉｔ的ＲＳＡ安全強度相當，而且由于其空間需求和時間需求均大大小于ＲＳＡ、ＤＳＡ和ＤＨ，因此近年來也受到了普遍重視。

隨著１９７７年美國國家標準局公布了由ＩＢＭ公司研制的數(shù)字加密標準（ＤＥＳ）加密算法，私鑰密碼體制也得到了很大的發(fā)展。２０年來，ＤＥＳ一直扮演著商用保密通信和計算機通信中最常用加密算法的角色。雖然ＤＥＳ的安全性已經受到威脅，但是ＤＥＳ的思想推動了其他私鑰體制的出現(xiàn)。ＲＳＡ公司已將新一代分組加密算法ＲＣ６提交給美國國家標準與技術研究所（ＮＩＳＴ）作為新的加密標準ＡＥＳ目前ＡＥＳ的候選加密算法（包括ＲＣ６）共有１５個，ＡＥＳ的算法可能在２０００年左右最后確定。因此對新的安全系統(tǒng)來說，ＤＥＳ已經不被認為是好的選擇，在ＡＥＳ正式出臺和確定以前，可以使用其他的加密算法作為過渡，如三重ＤＥＳ（３ＤＥＳ）、國家數(shù)據(jù)加密算法（ＩＤＥＡ）和ＲＣ５等分組加密算法。

１．２ 電子數(shù)字簽名

日常生活中時常會有報文與簽名同時發(fā)送以作為日后查證的保證。在因特網環(huán)境中，這可以用電子數(shù)字簽名作為模擬。電子數(shù)字簽名保持了常規(guī)手寫簽名的本質特點，但在形式上可以完全不同。

電子數(shù)字簽名也稱為數(shù)字簽名。數(shù)字簽名首先利用一種單向函數(shù)對消息產生摘要，然后再對摘要使用只有發(fā)送者自己知道的私鑰進行加密。這里使用的單向函數(shù)必須具備兩個重要特點：（１）計算單向函數(shù)的值很容易，但是作逆運算卻很難；（２）若給定一個函數(shù)值，要找到某個變量使得其函數(shù)值與其相等十分困難。

１．３ 電子數(shù)字證書

數(shù)字證書是建立網絡信任關系的關鍵。數(shù)字證書將用戶基本信息（用戶名、Ｅ－ｍａｉｌ地址）與用戶公鑰有機地綁定在一起，綁定功能通過發(fā)布證書的權威機構的數(shù)字簽名來完成。用戶之間通過交換數(shù)字證書建立信任關系。各種網絡安全服務（如ＨＴＴＰ、安全電子郵件）均應建立在數(shù)字證書架構或平臺之上。

１．４ 安全通信協(xié)議和有關標準

在網絡安全技術應用領域，安全通信協(xié)議提供了一種標準，基于這些標準，企業(yè)可以很方便地建立自己的安全應用系統(tǒng)。目前主要的安全通信協(xié)議有ＳＳＬ（ＴＬＳ）、ＩＰＳｅｃ和Ｓ／ＭＩＭＥ。ＳＳＬ提供基于客戶／服務器模式的安全標準，ＳＳＬ（ＴＬＳ）在傳輸層和應用層之間嵌入一個子層，主要用于實現(xiàn)兩個應用程序之間安全通訊機制，提供面向連接的保護；ＩＰ安全協(xié)議（ＩＰＳｅｃ）提供網關到網關的安全通信標準，在網絡層實現(xiàn)，ＩＰＳｅｃ能夠保護整個網絡；Ｓ／ＭＩＭＥ在應用層提供對信息的安全保護，主要用于信息的安全存儲、信息認證、傳輸和信息轉發(fā)。三種安全通信協(xié)議雖然均提供了類似的安全服務，但是他們的具體應用范圍是不同的，在實際應用中，應根據(jù)具體情況選擇相應的安全通信協(xié)議。

ＲＳＡ公布的公開密鑰密碼編碼標準（ＰＫＣＳ）系列標準已經成為建立網絡安全系統(tǒng)公認的國際標準，許多知名公司如ＶｅｒｉＳｉｇｎ、ＧＴＥ和Ｅｎｔｒｕｓｔ的安全產品均采用了ＰＫＣＳ作為基礎。在目錄服務方面，由于Ｘ．５００的實現(xiàn)復雜性，ＬＤＡＰ已經成為占據(jù)主流的目錄訪問協(xié)議。互聯(lián)網工程任務組織（ＩＥＴＦ）的ＲＦＣ文檔也提供了大量的信息安全的國際標準。

但是標準化是一個漫長的過程，因為一個標準的形成需要許多著名公司的支持。ＰＫＩＸ系列文檔中目前還有許多未實現(xiàn)標準化，如證書管理協(xié)議，另外許多相關文檔還未發(fā)布，證書和ＣＲＬ的在線查詢文檔還不完善等。有了標準，才可能實現(xiàn)互操作。#p#

１．５ 網絡防火墻技術

防火墻技術是指這樣一種技術，通過一組設備（可能包含有軟件和硬件）介入被保護對象和可能的攻擊者之間，對被保護者和可能的攻擊者之間的網絡通信進行主動的限制，達到對被保護者的保護作用。這里可能的攻擊者一方面包含現(xiàn)實的或潛在的蓄意攻擊者，另一方面也包含被保護者的合作者。

構成防火墻的可能有軟件、也可能有硬件或兩者都有，但是應該說防火墻最基本的構件是構造防火墻的思想。最初的防火墻不是一種產品，是構造者腦海中的一種想法，即誰和什么能被允許訪問本網絡，這也是傳統(tǒng)意義防火墻的概念的出發(fā)點。相比之下，防火墻是目前所有保護網絡的方法中最能普遍接受的方法，而且防火墻技術還屬于新興的技術，９５％的入侵者無法突破防火墻。

網絡安全問題涉及的內容十分廣泛，既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。技術方面主要側重于防范外部非法用戶的攻擊，管理方面則側重于內部人為因素的管理。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網絡系統(tǒng)的安全性已經成為所有計算機網絡應用必須考慮和必須解決的一個重要問題。

２ ＰＣ的安全問題

從ＰＣ的現(xiàn)實的用途和工作環(huán)境來分析，安全問題主要有以下幾個方面：

２．１ 網絡安全

個人電腦可以通過局域網或撥號等方式連接到Ｉｎｔｅｒｎｅｔ。人們通過主機相互間可以進行各種形式的信息交互。常見的有：ＨＴＴＰ、ＦＴＰ、Ｔｅｌｎｅｔ和Ｅ－ｍａｉｌ等。在日常生活中用電話進行通信的過程中，若有惡意的電話呼叫，可以使用跟蹤電話號碼、阻塞特定呼叫等手段進行有效的防范。相比之下，通過主機在Ｉｎｔｅｒｎｅｔ上通信則大不相同。首先，ＴＣＰ／ＩＰ協(xié)議是完全開放的，其設計之初沒有考慮安全問題。其次，在Ｉｎｔｅｒｎｅｔ上傳送的數(shù)據(jù)的最小單位是ＩＰ包，惡意攻擊者可以很容易地竊取、更換、假冒數(shù)據(jù)包；安全協(xié)議也或多或少地存在著安全漏洞。

黑客對網絡主機的攻擊方式是多種多樣的。一般來講，攻擊總是利用操作系統(tǒng)設計上的安全漏洞或者通過通信協(xié)議的安全漏洞來實現(xiàn)。例如，查看通信雙方的數(shù)據(jù)包非法獲取信息；假冒或更換ＩＰ包對通信雙方進行欺騙；非法獲取合法用戶的帳號從而獲得網絡服務；大量產生ＩＰ數(shù)據(jù)包對網絡主機進行轟炸攻擊，達到阻斷服務或造成主機崩潰的目的；更多的是利用各服務協(xié)議所固有的安全漏洞，進行著更隱蔽的破壞活動。另外在特定的環(huán)境下，網絡不良信息問題也是網絡安全問題的一個重要方面。

２．２ 網絡病毒

對ＰＣ用戶來說，病毒問題是最棘手和最現(xiàn)實的安全問題。網絡普及的同時，又為病毒蔓延提供了新的途徑，網絡病毒迅速成為ＰＣ安全的重要方面。

２．３ Ｅ－ｍａｉｌ安全問題

Ｅ－ｍａｉｌ服務是因特網上最為廣泛的應用服務之一，據(jù)美國的最新統(tǒng)計顯示，Ｅ－ｍａｉｌ的用戶數(shù)已逼近電話的用戶數(shù)。因此，對ＰＣ用戶而言，Ｅ－ｍａｉｌ的安全問題尤為突出。#p#

３ ＰＣ防火墻——網絡安全新概念

傳統(tǒng)意義上的防火墻是基于網關的，主要是解決企業(yè)內部網（被認為是可信任的）與Ｉｎｔｅｒｎｅｔ（不可信的）互聯(lián)時的ＩＰ地址和端口的過濾、ＩＰ地址翻譯、應用服務代理和ＩＰ包的加解密問題。當然這些產品的功能是強大的，但是，他們只“防外不防內”，因此也就無法真正實現(xiàn)對局域網內每一臺主機的保護，更不用說家庭以撥號形式上網的主機安全問題。

基于內部網的主機或其它形式上網的主機的防火墻（我們稱之為ＰＣ防火墻）正是在這種意義上提出的。由于ＰＣ防火墻的對象是網絡上的最終主機，所以ＰＣ防火墻的操作系統(tǒng)平臺沒有傳統(tǒng)意義上的防火墻靈活，幾乎沒有選擇的余地，完全由用戶選擇，這就決定了ＰＣ防火墻的核心技術事實上比傳統(tǒng)防火墻難度更大。另外，相比于局域網、網關用戶來說，ＰＣ用戶對網絡安全還會有一些特別的需求，例如對主機文件訪問權限的限制等。

具體地說，ＰＣ防火墻系統(tǒng)有如下的功能需求：

（１）ＩＰ包過濾機制

ＰＣ防火墻系統(tǒng)的最終目標是保護ＰＣ機的桌面系統(tǒng)，所以系統(tǒng)必須能對進出本機的所有數(shù)據(jù)進行控制。例如對進出主機的所有ＩＰ包的ＩＰ地址和協(xié)議端口的過濾，系統(tǒng)應當能夠對主機發(fā)送和接受的每一個ＩＰ包進行檢查，獲?。桑性吹刂贰⒛繕说刂泛蛥f(xié)議端口，根據(jù)事先設定的規(guī)則拒絕或允許這個ＩＰ包通過，必要的情況下，能及時反饋有關信息到上層應用程序以動態(tài)處理。在某種特定的情況下，還需要對數(shù)據(jù)的內容進行掃描，對數(shù)據(jù)包進行改裝重發(fā)，以達到及時、準確處理各種信息的目的，從而實現(xiàn)對網絡上進出本機所有數(shù)據(jù)的全面控制。

（２）網絡病毒的檢測機制

ＰＣ防火墻系統(tǒng)應當具有病毒檢測功能。因用戶訪問的網絡資源可能攜帶病毒源，從而對用戶造成損害。

（３）用戶通信的保密機制

當兩個用戶進行通信時，系統(tǒng)應當能夠提供一種保密機制，實現(xiàn)用戶之間通信的機密性。如果考慮到可能的多用戶ＰＣ（比如在學校和家庭），系統(tǒng)還必須提供對文件基本操作進行限制和保密存儲的功能。企業(yè)的內部網也存在類似的問題。

（４）透明安全Ｅ－ｍａｉｌ的機制

Ｅ－ｍａｉｌ的安全問題主要有兩類：一是保密傳輸?shù)囊?鴉一是垃圾信件的處理問題。保密傳輸需要對所有ＩＰ層數(shù)據(jù)進行監(jiān)視，確定與Ｅ－ｍａｉｌ相關的信息，把信件主體內容進行加密傳輸，因為Ｅ－ｍａｉｌ的收發(fā)過程在底層看起來是不對稱的，所以加密算法考慮使用序列密碼算法；垃圾信件處理一方面需要判斷Ｅ－ｍａｉｌ的有關頭信息或內容信息，另一方面還需要主動利用上層應用程序登錄到服務器進行信件刪除操作。上述實現(xiàn)方案即是對上層應用的透明，對上層透明的好處是兼容性好。

４ ＰＣ防火墻系統(tǒng)的一種實現(xiàn)方案

本文提出的ＰＣ防火墻實現(xiàn)方案基于Ｗｉｎｄｏｗｓ９５ 和Ｗｉｎｄｏｗｓ９８。這里先討論Ｗｉｎ-ｄｏｗｓ操作系統(tǒng)的網絡功能的機制。本方案僅包括ＩＰ包過濾和保密通信，不含病毒的檢測功能和安全Ｅ－ｍａｉｌ的詳細實現(xiàn)機制。#p#

４．１  Ｗｉｎｄｏｗｓ的網絡接口標準

ＰＣ防火墻系統(tǒng)的運行平臺為Ｗｉｎｄｏｗｓ９５和Ｗｉｎｄｏｗｓ９８。因此，總體方案設計時的一個核心問題是如何在Ｗｉｎｄｏｗｓ的內核中截獲所有ＩＰ包。在Ｗｉｎｄｏｗｓ操作系統(tǒng)中，網絡設備接口和標準（ＮＤＩＳ）扮演著十分重要的角色，它擔負著網絡層協(xié)議與網絡接口卡（ＮＩＣ）之間的橋梁作用，Ｗｉｎｄｏｗｓ的網絡接口。

ＮＤＩＳ是網絡設備接口規(guī)范。ＮＤＩＳ處于Ｍｉｎｉｐｏｒｔ驅動程序的上面，Ｍｉｎｉｐｏｒｔ相當于ＩＥＥＥ８０２標準的數(shù)據(jù)鏈路層的介質訪問控制（ＭＡＣ）子層，而ＮＤＩＳ則相當于邏輯連接控制（ＬＬＣ）子層。

４．２  接收數(shù)據(jù)包和發(fā)送數(shù)據(jù)包的過程

當數(shù)據(jù)到達網絡適配器時，系統(tǒng)控制硬件去執(zhí)行一個過濾操作。允許的數(shù)據(jù)包會通過適配器向上傳遞給Ｍｉｎｉｐｏｒｔ Ｄｒｉｖｅｒ。 Ｍｉｎｉｐｏｒｔ Ｄｒｉｖｅｒ再將數(shù)據(jù)向上傳遞給ＮＤＩＳ， ＮＤＩＳ負責合成數(shù)據(jù)，送給合適的協(xié)議棧。

通過ＮＤＩＳ包，可以到達網絡層以及網絡層以上各層運行的協(xié)議棧的接口。發(fā)送數(shù)據(jù)時，數(shù)據(jù)從應用層到網絡層，最后到達ＮＤＩＳ，ＮＤＩＳ將數(shù)據(jù)向下傳遞給Ｍｉｎｉｐｏｒｔ Ｄｒｉｖｅｒ， Ｍｉｎｉｐｏｒｔ Ｄｒｉｖｅｒ 再將數(shù)據(jù)傳遞給網絡適配器和物理網絡。

４．３ 虛擬設備驅動（ＶｘＤ）技術

普通的ｗｉｎ３２程序開發(fā)平臺不提供對網絡層的直接訪問，而通過ＮＤＩＳ的應用程序接口（ＡＰＩ）實現(xiàn)對網絡層的訪問（如Ｖｐａｃｋｅｔ），但是這并不能制約系統(tǒng)中其他綁定協(xié)議對低層數(shù)據(jù)包的訪問。

ＶｘＤ是Ｗｉｎｄｏｗｓ操作系統(tǒng)對各種應用共享某種同一設備而采取的手段。在保護模式下，各種進程被賦予不同的特權級，共有４級，即０、１、２、３。０級為最高特權級，又稱Ｒｉｎｇ ０。 實際上，ＶｘＤ相當于Ｒｉｎｇ ０上的動態(tài)鏈接庫（ＤＬＬ）。 由于ＶｘＤ工作在最高特權級，因此沒有它不能處理的事情。我們采用的方案是通過ＶｘＤ對ＮＤＩＳ的功能函數(shù)進行攔截，從而實現(xiàn)ＩＰ數(shù)據(jù)包過濾。更由于它運行于操作系統(tǒng)的底層?，所以它在實現(xiàn)對所有ＩＰ包過濾的同時對于所有上層應用程序均是透明的。

４．４ ＩＰＳｅｃ協(xié)議

ＩＰＳｅｃ協(xié)議是由一個在ＩＥＴＦ組織下的工作組所設計的一族協(xié)議。ＩＰＳｅｃ基于在ＩＰ層實現(xiàn)數(shù)據(jù)加密、信息認證和數(shù)字簽名技術，從而達到保密通信的目的。

Ｉｎｔｅｒｎｅｔ網絡中通信的基本單位是ＩＰ包。ＩＰＳｅｃ的思想就是對整個ＩＰ包加密，加密后的數(shù)據(jù)被封裝在一個新的ＩＰ包里。ＩＰＳｅｃ主要包含兩個子協(xié)議ＡＨ。ＥＳＰ的封裝過程。

ＩＰＳｅｃ還另外提供一種模式，即“隧道”模式，這種模式將原始ＩＰ頭也封裝起來，新的ＩＰ頭用網關的相關信息填充，主要用于隱藏原ＩＰ地址或因原ＩＰ地址非法使數(shù)據(jù)包無法路由的情形。

５ 結束語

目前，國外已出現(xiàn)了幾個ＰＣ防火墻產品，但是無論從功能上還是從易操作性上來看，都還有待進一步完善和改進，而國內在此領域幾乎還是一片空白。

網絡安全問題非常復雜，牽涉的問題較多，本文提出的方案只是考慮了幾種主要的安全問題。希望能起到一點拋磚引玉的作用。

【編輯推薦】

1. 淺析網絡安全技術
2. 應對五大網絡安全威脅，你準備好了嗎？
3. 趨勢科技“中小企業(yè)安全軟件包”為企業(yè)網絡安全護航
4. 網絡安全好幫手：UTM知識精髓簡介
5. 7月網絡安全分析之網絡病毒傳播惡意域名