安全路由器系统研究与实现.pdfVIP

安垒路内■囊囊的爵兜和实现 ● 熊勇强吴建平 蒯黼卿啪静叫蝇喇缸睦舳日盏曩睡．本_稚}先综述了翱黼黯昭出来、蝴斩萨品，荆刮障睦肺跫H鼬_哥中高 性曲安嫱由曩晦卿粒触科目，并月掉分析了其安全系统的堤}卜萼蛔L■连7作者对安全系统中的分蛔过瞳嘲‘、协稿蛙垒、 协说讪证和奠道技术所鬣的歼究工作，特别对基于策略的分组过滤默和分布式的密臼分发和管理机村傲了详■的诺暇，并且对 暇后韵研霸丑砷筒差疗了晨望。 蝴 ，假 关幢瓯安鱼略由器，醋Bk≤分组遗≤网络安董隧道，认证， 0f be姒‰删mk删咖g 积妇峨-删。Ⅻ嘶蚰哪蛐雠d蜥碰呻岫曲妇of她％嘶科mWm ∞田删∞巧血巩叫，劬霄_她抽-可衄删簪雠域m碰bh喇艏曲e如Im删i蛐0fo毗捌如丑· 商和l-知慨琢聊蝴．№R慨№嘲。畦踟叫虮1、咖d岖Al曲删蛔幽町Ia忸聊M锄喀皿雕 1．引育 H驯喇在蛐∞娃t尽管已被广泛使用，在网络的连通性t有期显优势，但其内部梭却存在许多严 重的缺陷。有些簟澈由于主栅髓勘蜘期蚍来认证透信双方，如m4Ⅸ系统中岱h、山gII蹴是典型的例子，其 他J提由于韵绷臻拄哺删映少曲直B觇蒯。 由于路由器是工怍在网络层的互连l宓备，因而在网络屠之t进行罔段划分栅安全管理自强庀盼—1、重要 功能，这也是它比之交换机所具有的—个主要优点。从网绍层看，任伺粥豳箍塘醚蝴器转发，除了包头的某 些壤陋rrIL、am嘲涮、oI砸∞礴哙发生改变外，数据负虢邮分是不会改变的【l】娜】【4】，因此通过黼 路出器苗目络申睁囊酷龉会出现许多安全隐患：数据的嚼j啪瀚、路由器问缺乏认谣胡刺．都会为非法甩户通 过瞬}虫器窃取网绍稍挣撇提岿E可能，而日．在雀Fj蠢瞎由器匕几丹钥奇嘴实现自锄密叶善瀚功能，过擅碹研瞅我 们在研制路由器系统—开始就考虑增强其安全功能，将安全功琵直接加^到路由器协议软件的内核中去达到 ‘童莹垒嘎目：国家。，k女E。硬日．项目爿—争8珏3c162D．0f7旬1-1 第七届再哈’国际计算机会议敝集 更高的安全性嘏鼬哏活性。 本文的蹴背景：勘张嘴眵协泌路由器，本文的缔陆融I啪下：、第_常削铩述了现存的瞎由器安全技 术、缚陶和产品，型拳二沛中夼绍参槲自”p商嘲螂}垒瞎由捅僦}哞构，并．剐#分析了其安全系统 盼殴汁±i实现；第三节阚述了怍帮cj安全系统中的分组过at朗当、协议安全、协议认证和髓遘拢术所鼢}孵院 工作，糊积檀-牙{点I籼吩朝过2蝴和分布式的密钥分发榭酐盼嘲傲了详细的l娆明。最后膨古垒文，并且 对以后的研究工作进行了展望。 路由器柏安全f孵直是路由器生产和研究中的重要i喂题。当前用户拥有的绝大多数是普漂的商用路由 器，这些蝣由舞的安全功能主要是防名韶用户修改踌由器配啜，但嘲‘于网绍传输E的安垒或嘣埔明目期鞠， 所以难I淞骀安封兰黥吲嫡的场合，姗金融、鞲镪曦，特另l尉于i匿过网耋告l曩胄黼☆锄2击：几乎炼助御 能力。从安全路由器实现方案来看．主要有两类： ◆路由辅+防火墙 其设计思想主要基于访问控制策略。在路由器的协议软件中加人防火墙软件，此软件控镧网络协议的 行为。捌燃油弼旬嗓的不同，控嗣的协议层次不同，j强隋：包过i蝣由器，控制嘶啾，简 单新湖蛴麓兔蛔魏洮防赖#法1自啮。目前鲫B嘲列龋概学期醚手I噗型；电j黼静哄，蜘讨T凹 连接，阿关只是在内部敲秘卜音隧挠芝Il浪制字节，隐藏了内部网络的1言息。电路层彤∈常用于向 外连接t这时网络管理员对其内部甩户是信任的。代理服务，控制相应的应用服务协议。应甩层网关 使得网络管理员能够实现比包过滤路由器跟严格的安全策略，它不用依赖包过滤工具来管理 珊T1取Ⅻ丑搬务在防火墙系统中的进出。基于代理眼务的防火墙系统安全性高增加了身份认证与审计 跟I翱能。然而由于它在应用—I罢工作，效率不高，另外有时需要改变用户的操作行为，不如以上两种