四. 網絡入侵檢測技術

網絡入侵檢測技術也叫網絡實時監控技術，它通過硬件或軟件對網絡上的數據流進行實時檢查，并與系統中的入侵特征數據庫進行比較，一旦發現有被攻擊的跡象，立刻根據用戶所定義的動作做出反應，如切斷網絡連接，或通知防火墻系統對訪問控制策略進行調整，將入侵的數據包過濾掉等。

網絡入侵檢測技術的特點是利用網絡監控軟件或者硬件對網絡流量進行監控并分析，及時發現網絡攻擊的跡象并做出反應。入侵檢測部件可以直接部署于受監控網絡的廣播網段，或者直接接收受監控網絡旁路過來的數據流。為了更有效地發現網絡受攻擊的跡象，網絡入侵檢測部件應能夠分析網絡上使用的各種網絡協議，識別各種網絡攻擊行為。網絡入侵檢測部件對網絡攻擊行為的識別通常是通過網絡入侵特征庫來實現的，這種方法有利于在出現了新的網絡攻擊手段時方便地對入侵特征庫加以更新，提高入侵檢測部件對網絡攻擊行為的識別能力。

利用網絡入侵檢測技術可以實現網絡安全檢測和實時攻擊識別，但它只能作為網絡安全的一個重要的安全組件，網絡系統的實際安全實現應該結合使用防火墻等技術來組成一個完整的網絡安全解決方案，其原因在于網絡入侵檢測技術雖然也能對網絡攻擊進行識別并做出反應，但其側重點還是在于發現，而不能代替防火墻系統執行整個網絡的訪問控制策略。防火墻系統能夠將一些預期的網絡攻擊阻擋于網絡外面，而網絡入侵檢測技術除了減小網絡系統的安全風險之外，還能對一些非預期的攻擊進行識別并做出反應，切斷攻擊連接或通知防火墻系統修改控制準則，將下一次的類似攻擊阻擋于網絡外部。因此通過網絡安全檢測技術和防火墻系統結合，可以實現了一個完整的網絡安全解決方案。

附:

一.CA中心的安全應用--數字證書頒發

CA (Certificate Authority)

CA技術是安全認證技術的一種它基于公開密鑰體系通過安全證書來實現 安全證書采用國際標準的X.509證書格式主要包括 證書的版本號 發證CA的身份信息 持證用戶的身份信息 持證用戶的公鑰

CA中心所發放的數字安全證書可以應用于公眾網絡上的商務活動和行政作業活動，包括支付型和非支付型電子商務活動，其應用范圍涉及需要身份認證及數據安全的各個行業，包括傳統的商業、制造業、流通業的網上交易，以及公共事業、金融服務業、工商稅務海關、政府行政辦公、教育科研單位、保險、醫療等網上作業系統。它主要應用于網上購物、企業與企業的電子貿易、安全電子郵件、網上證券交易、網上銀行等方面。

二. 密鑰的管理內容

1.一個好的密鑰管理系統應該做到

(1)密鑰難以被竊取;

(2)在一定條件下竊取了密鑰也沒有用，密鑰有使用范圍和時間的限制;

(3)密鑰的分配和更換過程對用戶透明，用戶不一定要親自掌管密鑰.

a. 管理方式

層次化的密鑰管理方式，用于數據加密的工作密鑰需要動態產生;工作密鑰由上層的加密密鑰進行保護，最上層的密鑰稱為主密鑰，是整個密鑰管理系統的核心;多層密鑰體制大大加強了密碼系統的可靠性，因為用得最多的工作密鑰常常更換，而高層密鑰用的較少，使得破譯者的難度增大。

b. 密鑰的生成

密鑰的生成與所使用的算法有關。如果生成的密鑰強度不一致，則稱該算法構成的是非線性密鑰空間，否則稱為是線性密鑰空間。

c. 分配、傳遞

密鑰的分配是指產生并使使用者獲得一個密鑰的過程;密鑰的傳遞分集中傳送和分散傳送兩類。集中傳送是指將密鑰整體傳送，這時需要使用主密鑰來保護會話密鑰的傳遞，并通過安全渠道傳遞主密鑰。分散傳送是指將密鑰分解成多個部分，用秘密分享的方法傳遞，只要有部分到達就可以恢復，這種方法適用于在不安全的信道中傳輸。

d. 密鑰的保存

密鑰既可以作為一個整體保存，也可以分散保存。整體保存的方法有人工記憶、外部記憶裝置、密鑰恢復、系統內部保存;分散保存的目的是盡量降低由于某個保管人或保管裝置的問題而導致密鑰的泄漏。

e. 備份、銷毀

密鑰的備份可以采用和密鑰的分散保存一樣的方式，以免知道密鑰的人太多;密鑰的銷毀要有管理和仲裁機制，否則密鑰會被有意無意的丟失，從而造成對使用行為的否認。

2. 密鑰的分配技術

密鑰的分配技術解決的是在網絡環境中需要進行安全通信的端實體之間建立共享的對稱密鑰問題。

密鑰分配中心方式KDC(Key Distribution Center)

這是當前一種主流方式。每個節點或用戶只需保管與KDC之間使用的密鑰加密密鑰，而KDC為每個用戶保管一個互不相同的密鑰加密密鑰。當兩個用戶需要通信時，需向KDC申請，KDC將工作密鑰(也稱會話密鑰)用這兩個用戶的密鑰加密密鑰分別進行加密后送給這兩個用戶。在這種方式下，用戶不用保存大量的工作密鑰，而且可以實現一報一密，但缺點是通信量大，而且需要有較好的鑒別功能，以識別KDC和用戶。

KDC方式還可以變形為電話號碼本方式，適用于非對稱密碼體制。通過建立用戶的公開密碼表，在密鑰的連通范圍內進行散發，也可以采用目錄方式進行動態查詢，用戶在進行保密通信前，首先產生一個工作密鑰并使用對方的公開密鑰加密傳輸，對方獲悉這個工作密鑰后，使用對稱密碼體制與其進行保密通信。

此外還有離散對數方法和智能卡方式，基本的思想是利用數學的方法使得別人無法獲得密鑰。

3. 公開密鑰的全局管理機制

公開密鑰體制主要針對開放型的大型互聯網絡的應用環境而設計的，這種網絡環境中需要有一個協調的公開密鑰管理機制，以保證公開密鑰的可靠性。

公開密鑰的管理一般基于公證機制，即需要一個通信的A、B雙方都信任的第三方N來證明A和B的公開密鑰的可靠性，這需要N分別對A和B的公開密鑰進行數字簽名，形成一個證明這個公開密鑰可靠性的證書。在一個大型網絡中，這樣的公證中心可以有多個，另外這些公證中心若存在信任關系，則用戶可以通過一個簽名鏈去設法驗證一個公證中心簽發的證書。

公開密鑰管理的另外一個重要方面是如何撤消過去簽發，但是現在已經失效的密鑰證書。

4.基于X.509證書的PKI(Public Key Infrastructure)

它是一種行業標準或者行業解決方案，在X.509方案中,默認的加密體制是公鑰密碼體制。為進行身份認證，X.509標準及公共密鑰加密系統提供了數字簽名的方案。用戶可生成一段信息及其摘要(亦稱作信息“指紋”)。用戶用專用密鑰對摘要加密以形成簽名,接收者用發送者的公共密鑰對簽名解密,并將之與收到的信息“指紋”進行比較,以確定其真實性。

PKI是提供公鑰加密和數字簽名服務的系統或平臺，目的是為了管理密鑰和證書。它能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理。一個機構通過采用PKI框架管理密鑰和證書可以建立一個安全的網絡環境。

PKIX(PublicKeyInfrastructureonX.509，簡稱PKIX)系列標準由IETFPKIX工作小組制定，定義了X.509證書在INTERNET上的使用，證書的生成、發布和獲取，各種產生和分發密鑰的機制，以及怎樣實現這些標準的輪廓結構等。

三.IPsec與VPN簡介

IPSec，因特網協議安全，是由IETF(Internet Engineering Task Force)定義的一套在網絡層提供IP安全性的協議。

1. 基于Ipsec的VPN，如阿姆瑞特VPN，由兩部分組成

1.Internet密鑰交換協議(IKE)

2.IPsec協議(AH/ESP/二者都有)

第一部分，IKE是初始協商階段，兩個VPN端點在這個階段協商使用哪種方法為下面的IP數據流提供安全。而且，通過定義一套安全聯盟(SA)，IKE用于管理連接;SA面向每個連接的。SA是單向的，因此每個Ipsec連接至少有2個SA。在IKE(因特網密鑰交換)部分對此有更詳細的描述。

另一部分是IKE協商后，用加密和認證方法實際傳輸的IP數據。有幾種方法，如IPsec協議ESP, AH或兩者結合在一起都可以做到這一點。IPsec協議(ESP/AH)部分對此進行了解釋。

2. 建立VPN事件的流程可做如下簡要描述

IKE協商如何保護IKE

IKE協商如何保護Ipsec

Ipsec在VPN中傳輸數據

Internet密鑰交換協議(IKE)

這部分描述IKE，因特網密鑰交換協議，及其使用的參數。

加密和認證數據比較直接，唯一需要的是加密和認證算法，及其使用的密鑰。因特網密鑰交換協議(IKE)，用作分配這些對話用密鑰的一種方法，而且在VPN端點間，規定了如何保護數據的方法。

3.IKE主要有三項任務

a.為端點間的認證提供方法

b.建立新的IPsec連接(創建一對SA)

c.管理現有連接

IKE跟蹤連接的方法是給每個連接分配一組安全聯盟(SA)。SA描述與特殊連接相關的所有參數，包括使用的Ipsec協議(ESP/AH/二者兼有)，加密/解密和認證/確認傳輸數據使用的對話密鑰。SA本身是單向的，每個連接需要一個以上的SA。大多數情況下，只使用ESP或AH，每個連接要創建2個SA，一個描述入站數據流，另一個描述出站數據流。同時使用ESP和AH的情況中就要創建4個SA。

4.IKE 協商

協商對話參數過程中包含許多階段和模式。下面對其進行具體描述。

事件流程如下描述：

IKE階段1 協商應該如何保護IKE

IKE階段2 協商應該如何保護Ipsec

源自階段1的密鑰交換生成一些新的加密信息，以提供VPN數據流加密和認證中使用的對話密鑰。

IKE和Ipsec連接都有使用期限的限制，使用時間(秒)和數據大小(KB)來描述。使用期限用于防止連接建立的時間過長，從密碼學的角度看，這是有必要的。

IPSec的使用期限一般要比IKE的使用期限短。這樣通過進行階段2協商時，對Ipsec連接再次加密。不必進行另外的階段1協商直至到IKE使用期限。

5.IKE 協議

IKE提議是如何保護數據的建議。發起IPsec連接的VPN網關，作為發起者會發出提議列表，提議表建議了不同的護連接的方法。

協商連接可以是通過VPN來保護數據流的Ipsec連接，或是IKE連接，保護IKE協商本身。

響應的VPN網關，在接收到此提議表后，就會根據自己的安全策略選擇最適合的提議，并根據已選擇的提議做出響應。如果沒有找到可接受的提議，就會做出沒有可接受提議的響應，并可能提供原因。提議包括需要的全部參數，如加密和認證數據使用的算法，以及IKE參數中描述的其他參數。

IKE 階段1 - IKE安全協商

一個IKE協商可分兩個階段。第一階段(階段1)，通過確認遠端網關是否具有匹配的Pre-Shared密鑰，來進行2個VPN網關或VPN客戶端的相互認證。

可是，因為我們不希望以明文方式公布太多的協商信息，所以我們還是要保護其余的IKE協商信息。可以用前面描述的方法做到這一點，即通過發起者向響應者發送提議列表來完成。一旦這個工作完成，響應者選擇并接受其中的一個提議后，將嘗試著認證VPN的另一端，以確保它就是要認可的一端，并校驗遠端網關正是所期望的。

通過Pre-Shared密鑰、證書或公開密鑰加密能夠完成認證。Pre-Shared密鑰是目前最常見的認證方法。阿姆瑞特防火墻VPN模式支持Pre-Shared密鑰和證書兩種方式。

IKE 階段2 - IPsec安全協商

另一個協商是在階段2進行的，詳細說明了Ipsec的連接參數。

在階段2，我們將從階段1的Diffie-Hellman密鑰交換中摘取新的密鑰信息，并將其作為保護VPN數據流的會話密鑰。

如果使用PFS(完善的轉發機密)，每個階段2協商中，會進行新的Diffie-Hellman交換。雖然這種操作比較慢，但可確保密鑰不依賴于以前用過的任何密鑰，不從同樣的初始密鑰材料中摘取密鑰。這就保證了在不太安全的事件中，危及了某些密鑰安全時，而不衍生出并發的密鑰。

一旦完成階段2協商，就會建立VPN連接，以備使用。

【編輯推薦】

1. 2011年軟件水平考試網絡工程師全面復習資料(28)
2. 2011年軟件水平考試網絡工程師全面復習資料(27)
3. 2011年軟件水平考試網絡工程師全面復習資料(26)
4. 更多軟考資料請點擊51CTO軟考專題