中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-6868(2002)03-04-04
摘要:
文章對(duì)IPv4協(xié)議安全方面的一些缺點(diǎn)進(jìn)行了分析,討論了OSI的網(wǎng)絡(luò)安全體系結(jié)構(gòu),給出IPv6新的網(wǎng)絡(luò)安全機(jī)制,詳細(xì)描述了IPSec所提供的網(wǎng)絡(luò)安全服務(wù)與實(shí)現(xiàn)原理,并對(duì)IPSec的兩個(gè)安全協(xié)議——AH和ESP作了較深入的闡述。
關(guān)鍵詞:
安全體系結(jié)構(gòu);IP版本6;IP安全標(biāo)準(zhǔn);AH協(xié)議;ESP協(xié)議
ABSTRACT:
Based on the analysis of security deficiency in IPv4 protocol, and the discussion on the traditional network security architecture, the paper introduces a new kind of security architecture adopted by the IPv6 network, and then details the network security services provided by IPSec,and their implementation mechanism. Emphasis is put on two security protocols: AH (Authentication Header) and ESP (Encapsulating Security Payload).
KEY WORDS:
Security architecture; IPv6; IPSec standard; Authentication header protocol; Encapsulating security payload protocol
1 引言
目前風(fēng)靡全球的Internet是建立在TCP/IP協(xié)議基礎(chǔ)之上的。TCP/IP協(xié)議是DARPA(美國(guó)國(guó)防部高級(jí)研究規(guī)劃局)為了實(shí)現(xiàn)異種網(wǎng)之間的互聯(lián),于1977年—1979年間推出的一組體系結(jié)構(gòu)和協(xié)議規(guī)范。其最大的特點(diǎn)是開(kāi)放性,而這一特點(diǎn)也是基于TCP/IP協(xié)議的Internet能夠飛速發(fā)展的主要原因之一。遵循開(kāi)放性原則的因特網(wǎng),其最終理念是要在全世界范圍內(nèi)建立起一個(gè)技術(shù)共享、信息共享、人人平等、人人互助的虛擬網(wǎng)上社會(huì)。但現(xiàn)實(shí)社會(huì)的實(shí)際情況是:不同國(guó)家之間、不同企業(yè)之間以及不同個(gè)人之間存在利益的差別甚至對(duì)立,意識(shí)形態(tài)的多元化,以及在政治、軍事、經(jīng)濟(jì)上存在激烈的競(jìng)爭(zhēng),這些因素都不可避免地要在互聯(lián)網(wǎng)上體現(xiàn)出來(lái),從而成為互聯(lián)網(wǎng)上安全問(wèn)題的根源。隨著因特網(wǎng)在全球的迅速發(fā)展,電子商務(wù)在因特網(wǎng)上也隨之展開(kāi),對(duì)因特網(wǎng)的安全問(wèn)題也就提出了更高的要求。由于TCP/IP協(xié)議發(fā)展的初衷是遵循開(kāi)放性的原則,在網(wǎng)絡(luò)安全方面并沒(méi)有作過(guò)多的考慮,使得現(xiàn)行TCP/IP協(xié)議體系結(jié)構(gòu)本身就存在許多安全隱患[1,2]:
(1)IP地址假冒(IP Spoofing)[3,4]
一個(gè)IP數(shù)據(jù)包是否來(lái)自其真正的源地址,IP協(xié)議本身并不提供任何保障。從理論上講,任意一臺(tái)主機(jī)可以發(fā)出含有任意源地址的IP數(shù)據(jù)包。這樣一來(lái),基于IP地址標(biāo)識(shí)的數(shù)據(jù)包事實(shí)上是不可信的,這就使得一些基于IP地址實(shí)現(xiàn)的訪問(wèn)控制技術(shù)失效;同時(shí)這個(gè)缺點(diǎn)也使得對(duì)網(wǎng)絡(luò)攻擊者的追查與取證變得較為困難,使得攻擊者更加肆無(wú)忌憚。目前網(wǎng)絡(luò)上的很多攻擊如Syn Flooding,DOS/DDOS,SMURF等攻擊都利用了這個(gè)缺陷,發(fā)起攻擊。
(2)源路由攻擊
源路由是IP數(shù)據(jù)包的一個(gè)選項(xiàng),它可使IP數(shù)據(jù)包沿指定的路徑從源地址到達(dá)目的地址。這一選項(xiàng)原本是用來(lái)測(cè)試某一特定網(wǎng)絡(luò)的吞吐率,也可使數(shù)據(jù)包繞開(kāi)出錯(cuò)網(wǎng)絡(luò)。但與此同時(shí),它一方面方便了假冒源IP地址的數(shù)據(jù)包到達(dá)目的地址,另一方面也使得入侵者能夠繞開(kāi)某些網(wǎng)絡(luò)的安全措施,從對(duì)方?jīng)]有預(yù)料到的路徑到達(dá)目的地址。
(3)網(wǎng)絡(luò)竊聽(tīng)
目前網(wǎng)絡(luò)上傳輸?shù)男畔⒋蟛糠譃槊魑男畔?,特別是一些系統(tǒng)的登錄密碼,如大多數(shù)Unix系統(tǒng)目前仍缺省采用明文密碼方式。這些敏感信息利用竊聽(tīng)工具很容易獲得,而網(wǎng)絡(luò)上的竊聽(tīng)工具又非常豐富,如Sniffer,Tcpdump,Snoop等。
為了解決這些問(wèn)題,必須為網(wǎng)絡(luò)系統(tǒng)增加安全服務(wù),這些安全服務(wù)可概括為:數(shù)據(jù)完整性(Integrity)、數(shù)據(jù)私有性(Confidentiality)、認(rèn)證(Authentication)、訪問(wèn)控制(Access Control)和不可否認(rèn)性(Non-repudiation)。
國(guó)際標(biāo)準(zhǔn)化組織(ISO)制訂的ISO 7498-2[5]提出了一個(gè)典型的傳統(tǒng)網(wǎng)絡(luò)安全體系結(jié)構(gòu)(NSA)。該安全體系結(jié)構(gòu)描述了一系列的安全服務(wù)及實(shí)現(xiàn)這些安全服務(wù)的機(jī)制,如表1所示。
由表1中可以看出,該體系結(jié)構(gòu)將網(wǎng)絡(luò)安全服務(wù)分布在從第1層到第7層的各個(gè)協(xié)議層中,實(shí)現(xiàn)起來(lái)既增大了系統(tǒng)資源開(kāi)銷,又會(huì)降低系統(tǒng)工作效率。實(shí)際上,大多數(shù)安全服務(wù)可以放在OSI(開(kāi)放系統(tǒng)互連)模型的任何一層。由于計(jì)算機(jī)網(wǎng)絡(luò)可劃分為通信子網(wǎng)(1—3層)和資源子網(wǎng)(4—7層),目前的技術(shù)發(fā)展趨勢(shì)是IP over Everything和Everything over IP,IP層是連接通信子網(wǎng)與資源子網(wǎng)的核心環(huán)節(jié),因此將安全服務(wù)集中在IP層實(shí)現(xiàn)最合適。同時(shí)在IP層實(shí)現(xiàn)安全服務(wù)要比在應(yīng)用層上更加透明和徹底,可為IP層以上的所有應(yīng)用提供安全服務(wù),同時(shí)管理也比較統(tǒng)一和簡(jiǎn)單。
為了改善現(xiàn)有IPv4協(xié)議在安全等方面的不足,IETF的下一代網(wǎng)絡(luò)協(xié)議(IPng)工作組于1994年9月提出了一個(gè)正式的草案“The Recommendation for the IP Next Generation Protocol”,1995年底確定了IPng協(xié)議規(guī)范,稱為IP版本6(IPv6)。IPv6在IP層上實(shí)現(xiàn)了上述各種安全服務(wù)。
2 IPv6的安全機(jī)制
IETF在IPv6中提出了全新的網(wǎng)絡(luò)安全體系結(jié)構(gòu),即IPSec標(biāo)準(zhǔn)。盡管IPSec是為IPv6設(shè)計(jì)的,但也可應(yīng)用于IPv4中。
IPSec描述了新體系結(jié)構(gòu)提供的安全服務(wù)及這些服務(wù)的實(shí)現(xiàn)機(jī)制。IPSec提供的安全服務(wù)包括:數(shù)據(jù)私有性、基于無(wú)連接的數(shù)據(jù)完整性、數(shù)據(jù)包來(lái)源認(rèn)證、訪問(wèn)控制、抗數(shù)據(jù)重發(fā)攻擊(Protection of Replay)以及一定程度上的數(shù)據(jù)流量私有性(Traffic Flow Confidentiality)等。這些安全服務(wù)是通過(guò)ESP(Encapsulating Security Payload)和AH(Authentication Header)這兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)的。同時(shí),除安全協(xié)議外,還有一系列與IPSec相關(guān)的技術(shù)標(biāo)準(zhǔn),如加密算法及實(shí)現(xiàn)數(shù)據(jù)完整性的Hash算法的規(guī)范、密鑰的交換標(biāo)準(zhǔn)IKE(Internet Key Exchange)、安全關(guān)聯(lián)(SA)等。
2.1 安全關(guān)聯(lián)與安全關(guān)聯(lián)數(shù)據(jù)庫(kù)
安全關(guān)聯(lián)是IPSec的基礎(chǔ),ESP和AH協(xié)議都要通過(guò)它來(lái)實(shí)現(xiàn)安全服務(wù)。安全關(guān)聯(lián)是用來(lái)描述和實(shí)現(xiàn)連接安全的,可用三元組來(lái)標(biāo)識(shí):<安全參數(shù)索引(SPI),安全協(xié)議,目的IP地址>,其中安全協(xié)議只能是ESP或AH中的一種。SA的工作方式分為兩種:傳輸模式和隧道模式。傳輸模式用于兩個(gè)主機(jī)間的連接,而隧道模式用于兩個(gè)網(wǎng)關(guān)之間的連接。SA的安全功能體現(xiàn)在它所采用的安全協(xié)議:ESP或AH。由于每個(gè)SA只能提供ESP或AH中的一種服務(wù),因此有時(shí)為了同時(shí)實(shí)現(xiàn)數(shù)據(jù)的私有性和完整性,對(duì)一個(gè)連接可能采用多個(gè)SA的組合來(lái)實(shí)現(xiàn)相應(yīng)的安全。
安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(SAD)用來(lái)存放安全關(guān)聯(lián),每一安全關(guān)聯(lián)都在安全關(guān)聯(lián)數(shù)據(jù)庫(kù)中有唯一的記錄,而每個(gè)安全關(guān)聯(lián)可通過(guò)SPI、目的IP地址和安全協(xié)議來(lái)定位。除了這3個(gè)域外,安全關(guān)聯(lián)數(shù)據(jù)庫(kù)中的記錄主要還包括以下與安全處理相關(guān)的內(nèi)容:包序列號(hào)、AH采用的算法及密鑰、ESP采用的算法及密鑰、安全關(guān)聯(lián)的生命周期等,其中,包序列號(hào)用來(lái)防止數(shù)據(jù)包的重發(fā)攻擊。
2.2 安全策略數(shù)據(jù)庫(kù)
安全策略數(shù)據(jù)庫(kù)(SPD)用來(lái)存放和管理用戶的安全策略,對(duì)所有進(jìn)出IP包的處理都需要查詢安全策略數(shù)據(jù)庫(kù),以確定下一步的具體處理方法。安全策略庫(kù)由安全策略的有序列表組成,類似于包過(guò)濾防火墻的過(guò)濾規(guī)則。每條策略由IP包的一些屬性如源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào),以及一些命名字符串(如用戶名、域名)和安全關(guān)聯(lián)等組成,通常這些屬性也用來(lái)在安全策略數(shù)據(jù)庫(kù)中定位對(duì)相應(yīng)IP包進(jìn)行處理的安全策略。
2.3 IPSec的工作原理
IPSec既可以在網(wǎng)關(guān)上實(shí)現(xiàn),也可以在主機(jī)上實(shí)現(xiàn)。無(wú)論是哪種情況,當(dāng)IP數(shù)據(jù)包進(jìn)入或離開(kāi)支持IPSec的接口時(shí),IPSec模塊將根據(jù)安全策略庫(kù)決定對(duì)該IP包進(jìn)行何種處理(見(jiàn)圖1)。對(duì)IP包的處理方式分為3種:拋棄、旁路、根據(jù)安全關(guān)聯(lián)進(jìn)行IPSec處理。因此利用安全策略數(shù)據(jù)庫(kù)和這種處理方式,可以很容易地實(shí)現(xiàn)類似于IPv4中防火墻的訪問(wèn)控制安全。
當(dāng)某接口收到一IP包后,根據(jù)該IP包的屬性及制訂的一些安全設(shè)置,在安全關(guān)聯(lián)數(shù)據(jù)庫(kù)中尋找相應(yīng)的安全關(guān)聯(lián),對(duì)該IP包進(jìn)行解密等處理,然后在安全策略庫(kù)中尋找相應(yīng)的安全策略。如果不存在與該IP包相對(duì)應(yīng)的安全策略,則將該IP包拋棄并作日志。在找到相應(yīng)的安全策略后,如果策略規(guī)定要拋棄該包,則將該IP包拋棄并作好日志;如果策略規(guī)定要旁路該IP包,則不對(duì)該IP包作更多處理,讓它通過(guò);如果策略說(shuō)明要對(duì)該IP包進(jìn)行IPSec處理,則該策略里應(yīng)包含對(duì)該IP包進(jìn)行處理的一個(gè)或多個(gè)安全關(guān)聯(lián)指針,通過(guò)安全關(guān)聯(lián)指針可以在安全關(guān)聯(lián)數(shù)據(jù)庫(kù)中找到相應(yīng)的安全關(guān)聯(lián),如果該安全關(guān)聯(lián)與剛才找到的安全關(guān)聯(lián)不一致的話,也要將該IP包拋棄。
在IPv6中,對(duì)進(jìn)入的IP包與出去的IP包的處理是有所區(qū)別的,比如對(duì)安全關(guān)聯(lián)的定位、尋找的方法是不相同的。當(dāng)接口收到某IP包后,從該IP包中可以提取出安全關(guān)聯(lián)索引、目的IP地址和安全協(xié)議,根據(jù)該3項(xiàng)內(nèi)容即可在本地的安全關(guān)聯(lián)數(shù)據(jù)庫(kù)中唯一地確定出一個(gè)安全關(guān)聯(lián),從而作進(jìn)一步的處理;在發(fā)送時(shí),如根據(jù)安全策略需對(duì)該IP包進(jìn)行IPSec處理,IPSec模塊將根據(jù)該IP包的屬性,在安全策略庫(kù)中找到相應(yīng)的對(duì)該IP包進(jìn)行處理的一個(gè)安全關(guān)聯(lián)(也可能是多個(gè)),并將該安全關(guān)聯(lián)的索引號(hào)填入待發(fā)送的IP包中,以提供給接收方用來(lái)確定相應(yīng)的安全關(guān)聯(lián)。
2.4 IP認(rèn)證協(xié)議——AH
AH主要提供IP包的數(shù)據(jù)完整性服務(wù),防止數(shù)據(jù)在傳輸過(guò)程中被第3方篡改,同時(shí)AH也提供對(duì)IP包來(lái)源的認(rèn)證,以防止數(shù)據(jù)重發(fā)攻擊。AH不僅對(duì)IP包的包頭進(jìn)行認(rèn)證,而且還要對(duì)IP包的內(nèi)容進(jìn)行認(rèn)證,但由于IP包中的部分域如包存活周期(IPv6中稱為“跳數(shù)”,即IPv4中的TTL)、校驗(yàn)等是要變化的,因此AH只對(duì)在傳輸過(guò)程中不變的內(nèi)容或可以預(yù)測(cè)變化的內(nèi)容進(jìn)行認(rèn)證。
IPv6對(duì)IPv4的包格式進(jìn)行了簡(jiǎn)化,并取消了原IP包頭中的選擇項(xiàng)域,代之以單獨(dú)的擴(kuò)展頭,在IPv6中目前已定義了6種擴(kuò)展頭,而AH和ESP是其中的兩種。這些擴(kuò)展頭緊隨在IPv6的頭部后面,并在上層協(xié)議數(shù)據(jù)(TCP數(shù)據(jù))之前,當(dāng)有多個(gè)擴(kuò)展頭同時(shí)存在時(shí),以一定的順序排列,構(gòu)成一個(gè)擴(kuò)展頭列表,每一個(gè)擴(kuò)展頭的類型由頭標(biāo)記(Next Header)來(lái)標(biāo)識(shí),如圖2所示。
AH作為IPv6中的一個(gè)擴(kuò)展頭,其格式如圖3所示:頭標(biāo)記用來(lái)標(biāo)記下一個(gè)擴(kuò)展頭的類型;長(zhǎng)度域表示認(rèn)證數(shù)據(jù)的長(zhǎng)度;保留域在計(jì)算認(rèn)證數(shù)據(jù)時(shí),必須設(shè)為0;安全參數(shù)索引用來(lái)標(biāo)識(shí)安全關(guān)聯(lián);序列號(hào)域用來(lái)防止IP包的重發(fā)攻擊,收發(fā)雙方同時(shí)保留一個(gè)序列號(hào)計(jì)數(shù)器,每收發(fā)一個(gè)IP包,序列號(hào)將遞增1,在遞增到232后復(fù)位,接收方可以根據(jù)接收到的IP包序列號(hào)來(lái)判斷該IP包是否為重發(fā)包,若是則將其拋棄;認(rèn)證數(shù)據(jù)域的長(zhǎng)度可變,并由長(zhǎng)度域來(lái)指明,認(rèn)證數(shù)據(jù)是通過(guò)將傳輸過(guò)程中變化的域和認(rèn)證數(shù)據(jù)域置0后,對(duì)其余所有數(shù)據(jù)進(jìn)行完整性計(jì)算后得到的,目前計(jì)算認(rèn)證數(shù)據(jù)的算法有MD5算法和SHA-1算法等。
2.5 IP加密安全協(xié)議
ESP作為IPv6中的一種擴(kuò)展頭,提供IP包的數(shù)據(jù)加密功能,此外也提供數(shù)據(jù)來(lái)源認(rèn)證、基于無(wú)連接的數(shù)據(jù)包完整性、防止重發(fā)攻擊以及數(shù)據(jù)流量的私有性等功能。其中,ESP提供的數(shù)據(jù)包完整性與AH提供的數(shù)據(jù)包完整性有所區(qū)別,AH提供對(duì)整個(gè)IP包,包括包頭和包內(nèi)容的完整性認(rèn)證,而ESP提供的完整性則只關(guān)心IP包的內(nèi)容部分。為了防止網(wǎng)絡(luò)上的黑客利用偵聽(tīng)器來(lái)記錄和分析發(fā)生在特定IP地址之間的流量情況,從中找出一些與安全有關(guān)的蛛絲馬跡并進(jìn)行攻擊,ESP可以提供數(shù)據(jù)流量私有性功能,但只是在隧道模式下才能實(shí)現(xiàn)。因?yàn)樵谒淼滥J较拢诳椭荒軅陕?tīng)到發(fā)生在隧道兩端的IPv6網(wǎng)關(guān)之間的流量,而內(nèi)部的整個(gè)IP包都已被加密,黑客無(wú)法知道該IP包是屬于那個(gè)連接的。圖4為采用ESP加密前后的IPv6包結(jié)構(gòu)。在IPv6中,有的擴(kuò)展頭位于ESP前面,而有的擴(kuò)展頭則位于ESP后面,圖4只考慮了位于ESP前面時(shí)的情況。
圖5是ESP包的格式。其中,安全參數(shù)索引用來(lái)標(biāo)識(shí)安全關(guān)聯(lián),說(shuō)明ESP采用的安全參數(shù),如密鑰、加密算法等,接收方在收到ESP包后,將根據(jù)安全參數(shù)索引、目的地址及安全協(xié)議來(lái)定位處理該IP包的安全關(guān)聯(lián),取得安全參數(shù),然后將ESP包解密;序列號(hào)用來(lái)防止包的重發(fā)攻擊。在ESP中,目前要求至少支持DES-CBC加密算法。
2.6 密鑰交換協(xié)議(IKE)
在IPSec中進(jìn)行密鑰交換有兩種方法:一種是使用IKE協(xié)議進(jìn)行自動(dòng)地密鑰交換,一種是手工模式。手工模式只適用于小規(guī)模的或者用硬件實(shí)現(xiàn)的IPSec,大多數(shù)情況下都需要使用IKE協(xié)議通過(guò)公用網(wǎng)絡(luò)進(jìn)行密鑰交換。
IKE的功能包括加密算法和密鑰協(xié)商、密鑰生成、交換及管理。IKE是ISAKMP[6],Okaley[7]和SKEME 3個(gè)協(xié)議揉和而成的一個(gè)協(xié)議。ISAKMP協(xié)議只規(guī)定了一個(gè)認(rèn)證和密鑰交換的框架,與具體的密鑰交換方法相獨(dú)立。Okaley和SKEME協(xié)議則描述了具體的密鑰交換方法,其中Okaley協(xié)議給出了一系列的密鑰交換過(guò)程,而SKEME協(xié)議則提供了一種通用的密鑰交換技術(shù)。
3 結(jié)束語(yǔ)
IPv6利用新的網(wǎng)絡(luò)安全體系結(jié)構(gòu)IPSec,通過(guò)AH和ESP兩個(gè)安全協(xié)議分別為IP協(xié)議提供了基于無(wú)連接的數(shù)據(jù)完整性和數(shù)據(jù)私有性,加強(qiáng)了IP協(xié)議的安全性,克服了原有IPv4協(xié)議在安全方面的不足。
本文研究課題是國(guó)家“863”課題“IPv6示范系統(tǒng)”的一部分,由清華大學(xué)、東北大學(xué)等幾所大學(xué)共同承擔(dān),已于2000年底完成。通過(guò)該項(xiàng)目的建設(shè),已在CERNET的幾個(gè)地區(qū)中心建立了純IPv6的試驗(yàn)網(wǎng)絡(luò),并通過(guò)IPv4隧道實(shí)現(xiàn)了互連互通。東北大學(xué)在該項(xiàng)目中負(fù)責(zé)IPv6的安全部分,我們根據(jù)IPSec標(biāo)準(zhǔn),設(shè)計(jì)與實(shí)現(xiàn)了文中描述的AH,ESP協(xié)議與簡(jiǎn)化的密鑰交換協(xié)議,并在CERNET IPv6示范網(wǎng)上進(jìn)行了測(cè)試。
目前,國(guó)際上一些主要網(wǎng)絡(luò)和通信公司、研究機(jī)構(gòu)也展開(kāi)了對(duì)IPv6的研究,如法國(guó)INRIA、日本KAME、美國(guó)NRL等研究機(jī)構(gòu),IBM,Sun,微軟,Trumpet等公司分別研制開(kāi)發(fā)出了基于不同平臺(tái)上的IPv6系統(tǒng)軟件與應(yīng)用軟件,思科、北電、諾基亞等硬件廠商目前也已經(jīng)開(kāi)發(fā)出了IPv6路由器產(chǎn)品。
從Internet發(fā)展角度看,IPv6技術(shù)的關(guān)鍵在于實(shí)用化,在于研究與開(kāi)發(fā)體現(xiàn)IPv6優(yōu)越性的特色應(yīng)用?;贗Pv6的安全特色實(shí)現(xiàn)的網(wǎng)絡(luò)安全應(yīng)用包括防火墻和VPN(虛擬專用網(wǎng)絡(luò))等。由于IPSec是基于安全策略庫(kù)來(lái)實(shí)現(xiàn)安全需求的,因此可以容易地基于安全策略將這些不同的安全應(yīng)用集成在一起,實(shí)現(xiàn)具有整體安全性的網(wǎng)絡(luò)安全系統(tǒng)?!?/p>
參考文獻(xiàn)
1 Soh B C, Young S. Network system and World Wide Web security. Computer Communication, 1997,20(2):1431—1436
2 Jason P, Rudin H. Computer Network Security. Computer Network, 1999,31(1):785—786
3 Tanembuam A S. Computer networks. 3rd ed. New York: Prentice-Hall, 1996
4 Harris B, Hunt R.TCP/IP security threats and attack methods. Computer Communications, 1999,(20):885—897
5 ISO DIS 7498-2.ISO Information Processing Systems: Open System Interconnection Reference Model, Part 2: Security Architecture, Geneva, 1988
6 Maughan D, Schertler M, Schneider M, et al. Internet Security Association and Key Management Protocol (ISAKMP). RFC 2408, 1998
7 Orman H. The OKALEY Key Determination Protocol. RFC 2412, 1998
(收稿日期:2002-01-17)
作者簡(jiǎn)介
李信滿,CERNET東北地區(qū)中心副主任,東北大學(xué)軟件中心計(jì)算機(jī)應(yīng)用專業(yè)博士生。主要研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全。曾承擔(dān)與完成多項(xiàng)國(guó)家“863”課題,內(nèi)容涉及防火墻、VPN、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、IPv6等網(wǎng)絡(luò)安全技術(shù)。
趙宏,東北大學(xué)軟件中心副主任,教授,博士生導(dǎo)師,CERNET專家組成員,CERNET東北地區(qū)中心主任。主要研究領(lǐng)域?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與分布式多媒體系統(tǒng)。