安全路由器

許志軍　王　東　張思東

1 概況

隨著基于互聯(lián)網(wǎng)的業(yè)務(wù)、應(yīng)用的日益增多，互聯(lián)網(wǎng)的規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)時(shí)代已經(jīng)來(lái)臨。為業(yè)務(wù)、應(yīng)用的開(kāi)展提供一個(gè)可靠、安全的數(shù)據(jù)傳輸保證，便成了當(dāng)務(wù)之急。沒(méi)有可靠、安全的傳輸保證，基于互聯(lián)網(wǎng)的業(yè)務(wù)遲早會(huì)陷入崩潰的地步。

路由器則是互聯(lián)網(wǎng)的主要節(jié)點(diǎn)設(shè)備，它通過(guò)路由決定數(shù)據(jù)的轉(zhuǎn)發(fā)。作為不同網(wǎng)絡(luò)之間互相連接的樞紐，路由器系統(tǒng)構(gòu)成了基于TCP/IP 的國(guó)際互聯(lián)網(wǎng)絡(luò)(Internet)的主體脈絡(luò)，也可以說(shuō)，路由器構(gòu)成了 Internet 的骨架。它的處理速度是網(wǎng)絡(luò)通信的主要瓶頸之一，它的可靠性則直接影響著網(wǎng)絡(luò)互聯(lián)的質(zhì)量。因此，在園區(qū)網(wǎng)、地區(qū)網(wǎng)，乃至整個(gè) Internet 研究領(lǐng)域中，路由器技術(shù)始終處于核心地位，其發(fā)展歷程和方向，成為整個(gè) Internet 研究的一個(gè)縮影。處于這樣一個(gè)關(guān)鍵地位，路由器就不光要能夠保證數(shù)據(jù)包的正確轉(zhuǎn)發(fā)，還要能擔(dān)負(fù)起保證合法數(shù)據(jù)安全傳輸?shù)淖饔谩?/p>

安全路由器已逐漸成為一個(gè)開(kāi)發(fā)的熱點(diǎn)。它集數(shù)據(jù)轉(zhuǎn)發(fā)、數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)保護(hù)于一身，可以有效地分隔開(kāi)內(nèi)外網(wǎng)絡(luò)，既有路由器的有效組網(wǎng)作用，又可以具備防火墻的安全保護(hù)作用。

安全路由器的作用主要體現(xiàn)在以下各方面：

能夠按照需要向內(nèi)部局域網(wǎng)或外部公網(wǎng)轉(zhuǎn)發(fā)授權(quán)包；

能夠?qū)γ恳粭l鏈路的訪問(wèn)權(quán)限進(jìn)行控制；

能夠協(xié)助對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密、數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證的處理；

提供內(nèi)外識(shí)別地址的轉(zhuǎn)變；

管理方便，能夠提供包括配置管理、性能管理、流量控制、安全管理等功能；

確保路由信息能夠安全、準(zhǔn)確地傳遞；

提供包括分組過(guò)濾、優(yōu)先級(jí)、復(fù)用、加密、壓縮等功能；

對(duì)正常數(shù)據(jù)包的轉(zhuǎn)發(fā)、處理效率影響盡可能小。

2 路由器的安全威脅

對(duì)路由器的安全威脅可以分為對(duì)路由器自身的威脅和對(duì)路由器功能的威脅兩部分。

(1)對(duì)路由器自身的威脅，如：

硬件設(shè)備：設(shè)備的電磁干擾、電磁信息泄漏，以及在一些較惡劣的情況下的不穩(wěn)定；

操作系統(tǒng)：利用操作系統(tǒng)漏洞，如利用緩沖區(qū)溢出進(jìn)行的攻擊；

路由器資源：對(duì)路由器訪問(wèn)資源的竊取和控制，如業(yè)務(wù)拒絕(DOS)；

路由器服務(wù)：針對(duì)提供服務(wù)的安全漏洞所進(jìn)行的攻擊，如遠(yuǎn)程管理的漏洞、Telnet明文傳送認(rèn)證信息等。(2)對(duì)路由器功能(準(zhǔn)確、安全、高效地轉(zhuǎn)發(fā)授權(quán)的數(shù)據(jù)包)的威脅，如：

發(fā)布虛假的路由信息，使得數(shù)據(jù)被送到錯(cuò)誤的地方；

通過(guò)監(jiān)聽(tīng)、篡改信息、重放信息包使得信息包虛假；

竊聽(tīng)或破譯沒(méi)有加密的或加密強(qiáng)度低的信息包；

通過(guò)拒絕服務(wù)攻擊使攻擊者過(guò)多占用共享資源，導(dǎo)致服務(wù)超載或系統(tǒng)資源耗盡，使得無(wú)法為其它用戶提供合適的服務(wù)；

IP地址欺騙：主要包括利用虛假的地址，以虛假的回答進(jìn)行響應(yīng)。如：ARP(地址解析協(xié)議)欺騙攻擊、DNS(域名服務(wù)系統(tǒng))欺騙攻擊、TCP連接欺騙盲攻擊；

ICMP(網(wǎng)際報(bào)文控制協(xié)議)攻擊是濫用ICMP包發(fā)布錯(cuò)誤信息，破壞路由器正常的轉(zhuǎn)發(fā)功能。如：濫用類型3——目的地不可達(dá)報(bào)文攻擊，濫用類型4——源抑制報(bào)文攻擊，濫用類型5——重定向消息攻擊；

IP分片攻擊利用IP分片，使非法數(shù)據(jù)流得以通過(guò)檢控，從而穿過(guò)路由器進(jìn)行攻擊，參見(jiàn)RFC1858；

對(duì)功能的威脅或者主動(dòng)使安全路由器錯(cuò)誤地轉(zhuǎn)發(fā)或接受不希望轉(zhuǎn)發(fā)或接受的包，使得這些包進(jìn)入到系統(tǒng)內(nèi)，對(duì)系統(tǒng)構(gòu)成威脅；或者被動(dòng)地利用路由器沒(méi)有對(duì)包進(jìn)行安全處理或處理強(qiáng)度低的情況，進(jìn)行信息竊取。

3 安全路由器描述

安全路由器提供的安全服務(wù)功能是安全路由器能提供給用戶什么樣的安全服務(wù)。安全機(jī)制則是對(duì)安全服務(wù)的保障措施。一項(xiàng)安全服務(wù)的事項(xiàng)要通過(guò)若干項(xiàng)安全機(jī)制進(jìn)行保障。具體安全技術(shù)則是目前在實(shí)際中已經(jīng)或即將制訂的安全協(xié)議和實(shí)施的安全技術(shù)。

(1)安全路由器的結(jié)構(gòu)

圖1 給出了安全路由器的一個(gè)基本框架，其中：

輸入單元：是物理鏈路和輸入包的進(jìn)口。它要執(zhí)行的是進(jìn)行數(shù)據(jù)鏈路層的封裝和解封裝、路由查找，以及處理一些較高級(jí)協(xié)議等功能；

輸出單元：在包被發(fā)送到輸出鏈路之前對(duì)包存貯，也要能支持?jǐn)?shù)據(jù)鏈路層的封裝和解封裝，以及許多較高級(jí)協(xié)議；

安全控制單元：進(jìn)行安全策略的配置、協(xié)商，進(jìn)行或者協(xié)助進(jìn)行安全分析，根據(jù)分析結(jié)果進(jìn)行安全策略的調(diào)整；

路由交換單元：根據(jù)輸入單元確定的路由，把數(shù)據(jù)包轉(zhuǎn)發(fā)到相應(yīng)的輸出單元；

路由控制單元：路由控制單元計(jì)算轉(zhuǎn)發(fā)表實(shí)現(xiàn)路由協(xié)議，并運(yùn)行配置和管理的軟件。同時(shí)，它還處理那些目的地址不在線卡轉(zhuǎn)發(fā)表中的包。

信息包從輸入單元進(jìn)入安全路由器。首先在安全處理單元中依據(jù)系統(tǒng)的安全策略和信息包中的內(nèi)容對(duì)信息包進(jìn)行安全處理，根據(jù)處理結(jié)果決定是否經(jīng)過(guò)路由交換單元從輸出單元輸出。為了保證路由器的正常處理，在此還可能對(duì)信息包進(jìn)行分流，送到具有安全分析功能的服務(wù)器進(jìn)行安全分析，根據(jù)分析結(jié)果，發(fā)出告警或通知安全控制單元，進(jìn)行安全策略的調(diào)整。

路由控制單元在通過(guò)路由協(xié)議進(jìn)行路由信息交換時(shí)，也需要通過(guò)安全處理單元進(jìn)行路由安全的保障。一些安全問(wèn)題還可以送到后臺(tái)安全服務(wù)器記錄，以供事后追蹤。

(2)安全路由器可以提供的安全服務(wù)功能

很多安全功能，用戶也可以在自己的終端上實(shí)現(xiàn)。但這樣對(duì)網(wǎng)絡(luò)來(lái)說(shuō)，管理太復(fù)雜，而且容易出現(xiàn)局部漏洞，從而對(duì)整個(gè)系統(tǒng)的安全構(gòu)成威脅。通過(guò)路由器實(shí)現(xiàn)這些安全功能，可以方便地統(tǒng)一管理，減少對(duì)用戶的技術(shù)要求。

安全路由器應(yīng)該為客戶提供的安全服務(wù)包括：

1認(rèn)證：對(duì)和路由器進(jìn)行聯(lián)系的對(duì)方實(shí)體或數(shù)據(jù)包的身份進(jìn)行確認(rèn)或識(shí)別，又分為：

實(shí)體認(rèn)證：保證通信的對(duì)方與其所聲稱的實(shí)體相符，或者根據(jù)對(duì)方提供的信息確定其身份；

數(shù)據(jù)源認(rèn)證：保證數(shù)據(jù)的來(lái)源與所聲稱的身份相符，或者能根據(jù)數(shù)據(jù)中攜帶的信息確定其身份。

2訪問(wèn)權(quán)限：控制對(duì)系統(tǒng)資源的訪問(wèn)權(quán)限。系統(tǒng)內(nèi)不同的資源對(duì)不同的用戶提供不同的訪問(wèn)級(jí)別。

3保密性：用來(lái)防止數(shù)據(jù)或業(yè)務(wù)流的非授權(quán)泄漏。根據(jù)要進(jìn)行保密處理的數(shù)據(jù)項(xiàng)分為：

連接保密性：為連接上的所有用戶數(shù)據(jù)提供保密性；

無(wú)連接保密性：為無(wú)連接的所有用戶數(shù)據(jù)提供保密性；

選擇域保密性：為連接或無(wú)連接的所有用戶數(shù)據(jù)的選擇字段提供保密性；

業(yè)務(wù)流保密性：為可能從業(yè)務(wù)流的觀測(cè)結(jié)果中得到的信息提供保密性。

4完整性：發(fā)現(xiàn)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行的各種非法改變，有3種主要類型：

連續(xù)完整性業(yè)務(wù)：對(duì)某個(gè)連接上所有的數(shù)據(jù)進(jìn)行完整性校驗(yàn)；

無(wú)連接完整性業(yè)務(wù)：對(duì)于無(wú)連接數(shù)據(jù)項(xiàng)中的所有數(shù)據(jù)進(jìn)行完整性校驗(yàn)；

選擇完整性業(yè)務(wù)：僅對(duì)某個(gè)數(shù)據(jù)單元中所指定的區(qū)域進(jìn)行的完整性校驗(yàn)。

5抗否認(rèn)性：用來(lái)防止在通信過(guò)程中雙方對(duì)自己行為的否認(rèn)，可以作為事后追究的依據(jù)，根據(jù)否認(rèn)方的不同分為：

有源端證據(jù)的抗否認(rèn)：提供數(shù)據(jù)的源端證據(jù)給數(shù)據(jù)接收者，防止發(fā)送者否認(rèn)自己發(fā)送的該數(shù)據(jù)或數(shù)據(jù)項(xiàng)；

有交付證據(jù)的抗否認(rèn)：提供數(shù)據(jù)的交付證據(jù)給數(shù)據(jù)發(fā)送者，防止接收者否認(rèn)自己接受過(guò)該數(shù)據(jù)或數(shù)據(jù)項(xiàng)。

(3)安全路由器的安全機(jī)制保障

為了能夠提供上述的安全服務(wù)，安全路由器提供一套安全方法來(lái)保證，也就是安全路由器的安全機(jī)制。這些安全機(jī)制包括：

加密機(jī)制：利用加密算法，為數(shù)據(jù)或通信業(yè)務(wù)流提供機(jī)密性；

數(shù)字簽名機(jī)制：對(duì)某個(gè)數(shù)據(jù)單元進(jìn)行簽名和對(duì)數(shù)據(jù)單元的簽名進(jìn)行驗(yàn)證；

訪問(wèn)控制機(jī)制：使用實(shí)體的經(jīng)認(rèn)證的身份、信息和權(quán)利確定以及實(shí)施實(shí)體的訪問(wèn)權(quán)；

數(shù)據(jù)完整性機(jī)制：通過(guò)附上相應(yīng)的分量對(duì)單個(gè)數(shù)據(jù)單元或域進(jìn)行完整性校驗(yàn)或?qū)?shù)據(jù)單元或域的一個(gè)流進(jìn)行完整性校驗(yàn)；

認(rèn)證機(jī)制：使用認(rèn)證信息、密碼技術(shù)或?qū)嶓w的某些特性或控制來(lái)進(jìn)行身份的驗(yàn)證或識(shí)別；

通信業(yè)務(wù)填充機(jī)制：提供不同級(jí)別的防通信業(yè)務(wù)分析保護(hù)；

路由控制機(jī)制：通過(guò)動(dòng)態(tài)或預(yù)置方式安排路由，僅使用物理安全的子網(wǎng)、中繼網(wǎng)或鏈路。

(4)安全路由器中的安全技術(shù)

安全路由器中的安全技術(shù)從層次上主要涉及到硬件、操作系統(tǒng)、各網(wǎng)絡(luò)層次(主要鏈路層、網(wǎng)絡(luò)層和部分應(yīng)用層)等幾方面。從防范的時(shí)序上包括事前預(yù)防、事中告警、事后追蹤等各項(xiàng)技術(shù)。事前預(yù)防主要是事先對(duì)硬件、操作系統(tǒng)、各網(wǎng)絡(luò)層次進(jìn)行安全設(shè)置，使得攻擊難以進(jìn)行；事中告警則是在對(duì)進(jìn)出的數(shù)據(jù)包進(jìn)行安全分析的基礎(chǔ)上，發(fā)現(xiàn)可疑點(diǎn)后，發(fā)出告警或進(jìn)行動(dòng)態(tài)策略調(diào)整,防止攻擊的擴(kuò)散；事后追蹤則能夠根據(jù)日志或其他的記錄信息在事后進(jìn)行分析，追蹤攻擊者的行跡，并協(xié)助提供攻擊證據(jù)，意圖通過(guò)法律手段對(duì)攻擊者進(jìn)行制裁。硬件的安全一方面指硬件設(shè)備本身要能夠在不同溫度、濕度條件下，防震、防電磁干擾、防雷、防電源波動(dòng)以及在通信電纜的絕緣電阻、介電強(qiáng)度等方面有要求，其物理安全防護(hù)應(yīng)符合GB4943－90和GB9254－88；另一方面在硬件設(shè)計(jì)上考慮對(duì)安全的輔助，能夠通過(guò)硬件動(dòng)態(tài)地隔離開(kāi)網(wǎng)絡(luò)，使網(wǎng)絡(luò)可以通過(guò)物理分離達(dá)到安全目的。

操作系統(tǒng)的安全很復(fù)雜，因?yàn)楹芏嗖僮飨到y(tǒng)的不安全性來(lái)自于自身的漏洞。而這些漏洞可能就是由于操作系統(tǒng)實(shí)現(xiàn)時(shí)的疏忽而造成的。如：由于沒(méi)有對(duì)輸入的數(shù)據(jù)量進(jìn)行長(zhǎng)度控制造成的緩沖區(qū)溢出、由于用戶密碼管理文件的訪問(wèn)權(quán)限的門(mén)檻太低造成的密碼文件泄漏。

在安全路由器中應(yīng)該實(shí)現(xiàn)的安全技術(shù)還有：

1鏈路層安全技術(shù)：針對(duì)在本地終止的PPP連接，當(dāng)作為訪問(wèn)路由器或要實(shí)現(xiàn)VPDN(虛擬專用撥號(hào)網(wǎng)絡(luò))等業(yè)務(wù)時(shí)，就會(huì)有該層的安全要求。在PPP層要能提供實(shí)體身份認(rèn)證、加密、壓縮等。

PPP安全所涉及的實(shí)體身份認(rèn)證協(xié)議主要有：PAP(口令認(rèn)證協(xié)議)、CHAP(質(zhì)詢握手認(rèn)證協(xié)議)。安全的鏈路層協(xié)議必須保證用戶名、口令非明文傳輸，推薦采用CHAP機(jī)制實(shí)現(xiàn)。驗(yàn)證方式可以采用本地?cái)?shù)據(jù)庫(kù)或者AAA協(xié)議。

PPP提供的加密服務(wù)由ECP(PPP加密控制協(xié)議)來(lái)完成。通過(guò)ECP協(xié)議，PPP在鏈路建立完成時(shí)，可以在通信的兩點(diǎn)之間協(xié)商合適的算法，對(duì)數(shù)據(jù)進(jìn)行加密(具體見(jiàn)RFC1968)。由于ECP本身的協(xié)商不受保護(hù)，ECP協(xié)議也沒(méi)有密鑰管理的描述，這使得ECP協(xié)議的安全性存在漏洞，需要進(jìn)一步完善。

2網(wǎng)絡(luò)層安全技術(shù)：網(wǎng)絡(luò)層的安全最能顯示路由器的安全作用。它的作用是為IP層提供可操作的、高效的和基于密碼技術(shù)的安全性。在這一層提供的安全服務(wù)包括了訪問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)來(lái)源認(rèn)證、防重放保護(hù)、加密和有限的業(yè)務(wù)流機(jī)密性。而且這些服務(wù)在IP層提供時(shí)，要為IP層或更高層協(xié)議統(tǒng)一提供保護(hù)。網(wǎng)絡(luò)層安全協(xié)議目前主要支持IPSec(網(wǎng)際協(xié)議安全體系結(jié)構(gòu))及密鑰交換協(xié)議(見(jiàn)RFC2401～RFC2412、RFC2451等)。另外路由的安全技術(shù)、NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)、IP過(guò)濾器技術(shù)也可以體現(xiàn)在網(wǎng)絡(luò)層中。

3IPSec安全協(xié)議：對(duì)于普通的IP數(shù)據(jù)包通過(guò)使用兩個(gè)業(yè)務(wù)安全協(xié)議：IP認(rèn)證頭(見(jiàn)RFC2402)、IP封裝安全載荷(見(jiàn)RFC2406)來(lái)進(jìn)行數(shù)據(jù)完整性、數(shù)據(jù)來(lái)源、防重放、加密等處理。而進(jìn)行處理的安全策略參數(shù)來(lái)源于手工配置或通過(guò)IKE(網(wǎng)際密鑰交換)進(jìn)行的安全協(xié)商(見(jiàn)RFC2409)。

IPSec安全協(xié)議應(yīng)該實(shí)現(xiàn)：

支持自動(dòng)生成(IKE) 和 手工配置(SA)；

實(shí)現(xiàn)協(xié)議所要求的各種必需的算法：加密算法——如EDE－DES、IDEA、Rijidael等； HASH算法——MD5、SHA；認(rèn)證方式——基于預(yù)共享密鑰的認(rèn)證；密鑰交換——基于MODP(缺省group 1)的D－H算法；

支持兩種應(yīng)用模式(隧道傳輸、透明傳輸)；

支持兩種安全協(xié)議(AH、ESP)；

支持Main和Aggressive兩種模式的IKE協(xié)商；

支持PFS（完美前向保密性）。

4路由的安全技術(shù)：路由的安全技術(shù)主要是防止偽造路由信息。這就要求對(duì)路由信息包進(jìn)行源認(rèn)證、包本身的完整性校驗(yàn)，以確保路由信息來(lái)自于可信任方，并且沒(méi)有被篡改。在實(shí)際中路由協(xié)議主要通過(guò)預(yù)配置密鑰，也可以通過(guò)ISAKMP(網(wǎng)際安全協(xié)商和密鑰管理協(xié)議)協(xié)商得到密鑰(見(jiàn)RFC2408)，以后的認(rèn)證和完整性校驗(yàn)都以此密鑰進(jìn)行。

5NAT技術(shù)：NAT用于將一個(gè)地址、端口對(duì)映射成另一個(gè)地址、端口對(duì)，從而為終端主機(jī)提供透明路由的方法。它可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，通過(guò)設(shè)置映射策略對(duì)轉(zhuǎn)發(fā)包進(jìn)行控制，從而提高系統(tǒng)的安全性。NAT映射關(guān)系包括靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、地址及端口轉(zhuǎn)換、負(fù)載分配。靜態(tài)地址轉(zhuǎn)換完成一組內(nèi)部IP地址到外部IP地址的一對(duì)一靜態(tài)轉(zhuǎn)換；動(dòng)態(tài)地址轉(zhuǎn)換則可以使得外部IP地址動(dòng)態(tài)地映射到內(nèi)部的IP地址上；地址及端口轉(zhuǎn)換將不同的IP地址及傳輸標(biāo)識(shí)符(TCP、UDP端口號(hào)，ICMP詢問(wèn)標(biāo)識(shí)符等)轉(zhuǎn)換為一個(gè)或多個(gè)外部地址的不同傳輸標(biāo)識(shí)符。這樣的轉(zhuǎn)化既可以是外部地址向內(nèi)部地址的映射，也可以是內(nèi)部地址向外部地址的映射。通過(guò)實(shí)現(xiàn)上述一組或多組的映射關(guān)系，可以加強(qiáng)映射關(guān)系的可控性。

6IP過(guò)濾器技術(shù)：IP過(guò)濾器用于實(shí)現(xiàn)對(duì)IP層及其以上的數(shù)據(jù)包進(jìn)行訪問(wèn)控制。訪問(wèn)控制的依據(jù)是若干過(guò)濾規(guī)則。

過(guò)濾器應(yīng)該有如下要求：

動(dòng)態(tài)性：即能根據(jù)安全反饋信息自動(dòng)進(jìn)行安全策略的調(diào)整；

時(shí)效性；規(guī)則能夠指定作用時(shí)間，以加強(qiáng)授權(quán)的可控性；

一致性檢測(cè)機(jī)制：能夠檢測(cè)規(guī)則之間的沖突，降低因?yàn)榕渲缅e(cuò)誤造成的安全漏洞；

基于物理端口：過(guò)濾器要能綁定到物理端口上，這樣可以減輕如IP地址欺騙等類型的攻擊。

7管理安全技術(shù)：管理安全技術(shù)所涉及的是不屬于正常通信實(shí)例，但要用來(lái)支持和控制該通信的安全方面的操作。安全路由器中的安全管理包括系統(tǒng)安全管理、安全服務(wù)管理、安全機(jī)制管理、安全通道管理。

系統(tǒng)安全管理：涉及事件處理管理、安全恢復(fù)管理、安全審計(jì)管理。事件處理管理主要是報(bào)告有關(guān)違反系統(tǒng)安全的明顯企圖以及管理事件報(bào)告的策略；安全恢復(fù)管理主要是維護(hù)用于對(duì)實(shí)際或有嫌疑的安全違章作出反應(yīng)、進(jìn)行系統(tǒng)恢復(fù)的規(guī)則策略；安全審計(jì)管理主要是選定擬記錄的安全事件、記錄被選定事件的審計(jì)數(shù)據(jù)、收集被選的審計(jì)記錄、準(zhǔn)備安全審計(jì)報(bào)告以供事后追蹤。

安全服務(wù)管理：涉及的主要是特殊的安全服務(wù)。它要能為服務(wù)確定和分配安全保護(hù)目標(biāo)，分配和維護(hù)為提供所需的安全服務(wù)使用的特定安全機(jī)制的選擇規(guī)則，在達(dá)成管理協(xié)議前協(xié)商可使用的安全機(jī)制，通過(guò)適當(dāng)?shù)陌踩珯C(jī)制管理功能去調(diào)用特定安全機(jī)制。

安全機(jī)制管理：涉及特定的安全機(jī)制，部分典型的安全機(jī)制管理功能描述如下。密鑰管理：根據(jù)所要求的安全級(jí)定時(shí)生成合適的密鑰、密鑰的安全獲取和分配、密鑰的存儲(chǔ)；加密管理：與密鑰管理的交互、加密參數(shù)的確定(包括密鑰的同步)；數(shù)字簽名管理：與密鑰管理的交互、簽名參數(shù)的確定(包括密鑰的同步)；訪問(wèn)控制管理：包括安全屬性的分配、對(duì)訪問(wèn)控制表或能力表的更新；數(shù)據(jù)完整性管理：與密鑰管理的交互、數(shù)據(jù)完整性參數(shù)的確定(包括密鑰的同步)；實(shí)體認(rèn)證管理：向要求執(zhí)行認(rèn)證的實(shí)體散發(fā)說(shuō)明性信息、口令或密鑰；通信業(yè)務(wù)填充管理：填充規(guī)則的維護(hù)，如：填充的數(shù)據(jù)率、消息特征；路由選擇管理：定義安全的鏈路和子網(wǎng)、指定安全路徑等。

安全通道管理：包括SNMP安全技術(shù)、Telnet安全技術(shù)等，這使得對(duì)安全路由器的配置、查看等管理都在和安全路由器安全通信的前提下進(jìn)行。

SNMP安全規(guī)范允許使用多種安全協(xié)議保護(hù)網(wǎng)絡(luò)管理操作。它要利用密碼技術(shù)及相關(guān)機(jī)制，對(duì)網(wǎng)絡(luò)管理提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)機(jī)密性保護(hù)，這些安全服務(wù)是通過(guò)摘要認(rèn)證協(xié)議和對(duì)稱加密協(xié)議來(lái)實(shí)現(xiàn)的(參見(jiàn)RFC1446、RFC1352)。它要能提供以下服務(wù)：為每個(gè)收到的SNMP消息在通過(guò)網(wǎng)絡(luò)期間沒(méi)有被非授權(quán)管理操作引起改變提供驗(yàn)證；為每個(gè)收到的SNMP消息的發(fā)送端身份進(jìn)行驗(yàn)證；為每個(gè)最近收到的SNMP消息提供明確的產(chǎn)生時(shí)間；為所有先傳遞的來(lái)自類似源的消息的每個(gè)后續(xù)收到的SNMP消息提供明確的產(chǎn)生時(shí)間；必要時(shí)使每個(gè)收到的SNMP消息的內(nèi)容不被泄漏。

Telnet協(xié)議的安全要求包括機(jī)密性、完整性、用戶認(rèn)證。這些服務(wù)基于密碼技術(shù)，可作為T(mén)elnet的安全擴(kuò)展提供，或者作為一個(gè)封裝的安全協(xié)議。它要能提供下列的服務(wù)：請(qǐng)求或響應(yīng)數(shù)據(jù)的機(jī)密性；請(qǐng)求或響應(yīng)的數(shù)據(jù)源的驗(yàn)證和數(shù)據(jù)完整性；請(qǐng)求或響應(yīng)的數(shù)據(jù)源的不可抵賴性。

安全分析是事前預(yù)防、事中告警、事后追蹤的基礎(chǔ)。它主要對(duì)進(jìn)入系統(tǒng)的信息進(jìn)行統(tǒng)計(jì)、分析，檢測(cè)和識(shí)別系統(tǒng)中未授權(quán)或異常的現(xiàn)象。安全分析的依據(jù)主要有兩種：一種是正常用戶的行為模型，一種是入侵者的行為模型，即根據(jù)統(tǒng)計(jì)結(jié)果判斷是否偏離了一個(gè)正常用戶的行為，或者符合一個(gè)入侵者的行為，據(jù)此進(jìn)行相應(yīng)的安全處理。這里行為模型如何確立，是一個(gè)關(guān)鍵問(wèn)題。

(5)性能

安全分析、安全處理本身往往都是很耗資源的，應(yīng)該在安全和系統(tǒng)性能方面進(jìn)行綜合考慮，盡可能地在能夠滿足用戶安全需求的情況下，提高安全路由器處理的性能。提高性能的措施有：

加快單位處理的速度：這主要包括提高安全判斷和安全處理的速度。如要加快數(shù)據(jù)包中的信息采集以及和安全策略的適配判斷，可以通過(guò)優(yōu)化算法或硬件來(lái)進(jìn)行改善；安全處理中的各種加密算法、認(rèn)證算法可以通過(guò)硬件得到加速；

減少無(wú)用處理：安全路由器應(yīng)該是可以配置的。根據(jù)用戶的需求不同，只提供他們所需要的安全功能，避免提供對(duì)用戶沒(méi)有實(shí)際意義的安全功能，降低系統(tǒng)無(wú)謂的開(kāi)銷(xiāo)；

安全并行處理：安全路由器應(yīng)該能進(jìn)行業(yè)務(wù)分流，把一些耗時(shí)的安全分析功能分流出去，不在主流程上進(jìn)行這樣的處理，從而不妨礙正常業(yè)務(wù)的開(kāi)展，可以設(shè)置另外的服務(wù)器或其他安全處理設(shè)施，由它們并行進(jìn)行分析，然后根據(jù)分析結(jié)果，反過(guò)來(lái)再調(diào)整安全路由器的流程、策略?！?/p>

（收稿日期：2001－08－10）

作者簡(jiǎn)介

許志軍，深圳市中興通訊股份有限公司網(wǎng)絡(luò)事業(yè)部工程師。南京航空航天大學(xué)畢業(yè)，碩士。負(fù)責(zé)數(shù)據(jù)產(chǎn)品網(wǎng)絡(luò)安全的研究工作。

王東，深圳市中興通訊股份有限公司網(wǎng)絡(luò)事業(yè)部工程師。東南大學(xué)畢業(yè)，碩士。從事安全協(xié)議開(kāi)發(fā)工作。

張思東，深圳市中興通訊股份有限公司網(wǎng)絡(luò)事業(yè)部工程師。復(fù)旦大學(xué)畢業(yè)。先后從事大型數(shù)字程控交換機(jī)（ZXJ10）和數(shù)據(jù)產(chǎn)品的研制、管理工作。