最新WebST网络安全技术机制.doc

Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateWebST网络安全技术机制WebST网络安全技术机制WebST与相关技术分析技术白皮书WebST与防火墙WebST与SSL的比较分析本手册及其中所包含内容的版权属得实发展集团所有。除版权法允许使用的方式外，未经事先书面许可，不得对全部或部分内容复制、转载、改编或翻译。本手册及相应的软件受产品所附的软件许可协议的约束，只能在符合该许可协议条款下使用和复制。得实发展集团尽最大努力保证本手册的准确性和完整性，对手册中的错误和遗漏不承担任何责任。对本手册内容可能随时修改，恕不另行通知。WebST是得实发展集团注册商标，WebSEAL、NetSEAL、NetSEAT、Smart Junctions和DASCOM DCE是得实发展集团注册名称。本手册提到的其它产品名称是各自公司的注册商标，特此声明。 1999年7月9907WP04-目录WebST与防火墙一、概述1二、防火墙11.防火墙的主要功能12.防火墙的局限性2三、WebST 安全技术31.WebST安全技术32.WebST的优势3四、总结4WebST与SSL的比较分析一、概述7二、WebST安全性7三、基于公钥的SSL的安全性8四、结论9WebST与防火墙一、 概述WebST为企业的用户和计算资源提供了一个安全环境，它提供了通过加密实现的数据保密和安全，保证只有授权用户或用户组才能通过使用访问控制表和双向身份验证访问特定的资源。WebST将企业网的安全性扩展到防火墙以外，远程授权用户可以通过Internet对企业内部资源进行安全访问。另外WebST用来管理被所有用户访问的公共资源。许多人用防火墙来阻止外部用户对企业内部资源的非授权访问。防火墙的设计思想是通过限制穿过防火墙的网络传输把非法用户挡在防火墙以外。而WebST的设计思想是为用户提供一致的数据安全和访问控制级别，对用户没有地理位置的限制。另外，WebST主要是提供用户到应用程序间的安全和访问控制，而防火墙主要是用来控制特定的网络协议传输能否通过防火墙。WebST与防火墙结合使用可提供完整的安全网络解决方案。本文简述了传统防火墙及其局限性，概述了WebST 安全技术，说明了如何利用WebST和防火墙技术构造安全的企业网。二、 防火墙1. 防火墙的主要功能本章简要介绍一下防火墙，有关防火墙的详细内容，请参阅以下书籍：Firewall and Internet Security Repelling the Wily Hacker, William R. Cheswick and Steven M. Bellovin, Addison-Wesley Publishing Company, Reading, MA, 1994 or Building Internet Firewalls, D. Brent Chapman and Elizabeth D. Zwicky, OReilly & Associates, Inc., Sebastopol, CA, 1995.防火墙是用来防止对企业网或Internet的非授权访问。它可以：l 根据网络传输的类型决定IP包是否可以传进或传出企业网。通过这种控制，防火墙就可以：· 阻止非授权用户访问企业内部资源。· 允许使用授权机器的用户远程访问到企业内部。· 管理企业内部人员对Internet的访问。l 对通过防火墙的传输和企图突破防火墙的传输进行日志记录。l 防火墙被用来在企业内部和外部Internet间建立一道固定的屏障，它主要由以下几部分组成：l 包过滤器，它根据特定的标准（如IP包的源地址，传输类型）来决定网络传输的通断。l 链路级网关和应用级网关或代理服务器，它将合法用户对某一服务的请求传送给提供该服务的服务器。例如，某用户用FTP连到FTP服务器代理上，该FTP代理再将该请求传给相应的FTP服务器。许多企业将包过滤器，链路级网关和应用级网关结合起来使用，因为没有一种单一的方法能满足所有的要求。几台路由器联系起来作为包过滤器，几台安全主机（堡垒主机）作为链路级或应用级网关，互相协调控制网络传输的通断。安全主机也被用来提供一些服务，如：匿名FTP或网上一般用户的Web服务。一个典型的防火墙配置如下图所示：外部包过滤器通常是一个路由器，被配置为使外部用户只能看到堡垒主机。不过外部包过滤器由ISP来配置，只能得到其中有限的选项。堡垒主机被作为应用级或链路级网关，提供代理服务。根据网络传输的类型和数量，可以配置多台堡垒主机。内部包过滤器被配置为只接收来自堡垒主机的向内传输且向外传给堡垒主机或外部包过滤器。2. 防火墙的局限性防火墙对于企业网的安全是至关重要的，但也有其局限性：l 防火墙难于管理和配置，易造成安全漏洞防火墙的管理及配置相当复杂，要想成功的维护防火墙，要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说，由多个系统（路由器、过滤器、代理服务器、网关、堡垒主机）组成的防火墙，管理上有所疏忽是在所难免的。l 防火墙的安全控制主要是基于IP地址的，难于为用户在防火墙内外提供一致的安全策略许多防火墙对用户的安全控制主要是基于用户所用机器的IP地址而不是用户身份，这样就很难为同一用户在防火墙内外提供一致的安全控制策略，限制了企业网的物理范围。一些新的防火墙产品现在也支持身份验证，可以根据用户身份进行安全控制。l 防火墙只实现了粗粒度的访问控制防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制（如访问控制）集成使用，这样企业就必须为内部的身份验证和访问控制管理维护单独的数据库。l 防火墙不支持数据传输加密许多防火墙不支持数据传输加密，无法提供数据的保密性和完整性服务。防火墙产品主要是“身份认证”级的安全产品，针对协议或应用服务确定访问是否能穿过防火墙，而WebST安全技术作为“授权访问控制”级的安全产品，弥补了防火墙的不足，可以控制和管理所有用户对企业资源的访问，为用户到应用提供端到端的数据安全。三、 WebST 安全技术1. WebST安全技术WebST为企业网的安全管理提供了一个简易的模式。其中包括：l WebST WebSEAL服务器 提供对所有Web资源的安全访问，提供细粒度的访问控制。l WebST NetSEAL服务器 提供对网络应用程序(如Telnet, email)服务方的验证授权访问。它同样可为企业内部成员访问Internet提供应用程序代理服务。当它被使用NetSEAT的用户访问时，NetSEAL可以提供对网络应用程序服务方资源的加密访问。l WebST PKMS(公钥管理服务器) 将基于SSL的通信与WebST安全机制相结合，SSL用户可以安全地访问WebST服务器。l WebST安全服务器 为WebST安全系统提供底层安全技术，名字服务和通讯服务。l NetSEAT客户端软件 为用户提供Web 浏览器, Telnet, ftp, readnews, email, 和其它基于Internet的应用程序对企业资源经过身份验证的加密访问。通过NetSEAT，访问企业内部资源的远程用户成为扩展企业网的一部分。l WebST管理控制台 为安全管理员提供了GUI来管理WebST所有安全组件。通过WebST，可为用户提供一个安全环境。还可将安全区域通过Internet扩展到远程用户而企业资源依然很安全。WebST提供以下功能：l 在用户和他们所访问的资源间进行严格的基于私钥的双向身份验证。验证是基于口令，但是它不同于一般的Internet应用程序间的口令验证，WebST口令从不在网上明码传输，同时，WebST还支持基于公钥的身份验证。l WebST WebSEAL为Web资源提供细粒度的访问控制。l 集成加密。所有WebST网上的传输都可被自动地加密，以保证数据在传输过程中的保密性和安全性。l WebST安全模式是针对组织中的成员如何使用资源，而不是针对特定的网络协议。访问控制由WebST 应用程序服务器根据特定的服务实施。例如，WebST Web服务器上的访问控制可以控制特定CGI程序的执行权。l 对企业安全策略的统一管理。有关安全策略的配置信息均集中在安全数据库中。提供统一的安全策略。l 简化了企业安全策略相关信息的配置和维护。如上所述，WebST将安全配置信息集中在一个数据库中，易于管理和维护。此外，安全策略不是通过基于协议的规则来实现，而是根据用户的身份证明及访问某一特定资源所要求的身份证明来体现的。2. WebST的优势WebST具有一些防火墙产品所没有的特点，WebST是应用层的安全解决方案，WebST可作为整个企业网的“授权访问控制中心”，提供用户到应用的访问控制服务。l 端到端的数据安全WebST可提供用户到应用的端到端的数据安全，防火墙只能提供防止非法用户对应用服务的访问，不提供数据加密服务，无法为应用提供端到端的数据安全。如仅仅使用防火墙技术，无法解决下图中客户端应用程序到应用服务器的端到端的数据安全。客户端Internet防火墙应用服务器图1 防火墙环境下的客户端和服务器l 集中管理对网络资源的访问控制防火墙的主要作用是防止外部非法用户侵入企业内部网，并不能控制企业网的用户能访问哪些网络资源，且它无法与企业网应用服务的授权机制相结合，而WebST的主要作用正是为企业网提供集中的访问控制管理，且WebST可与已有的访问控制机制（如数据库应用的访问控制机制等）集成使用。WebST的WebSEAL服务器可以对Web资源提供细粒度的访问控制，WebST的NetSEAL服务器对非Web应用提供粗粒度的访问控制，利用WebST提供的授权API，WebST可提供针对应用资源的细粒度访问控制，且WebST的访问控制机制可与其它的访问控制机制集成使用。l 对用户的网络身份验证（不仅仅是防火墙）防火墙的安全机制是很难与企业网内部的安全机制集成使用的，而WebST可以为用户提供Web应用的“一次登录”解决方案，提供对用户的网络身份验证，且WebST同时支持基于私钥的Kerberos双向身份验证和基于公钥的身份验证，还可与其他身份验证机制集成使用，WebST可为用户提供对Web资源及基于Web应用的一次登录，且NetSEAL客户端可与Windows95/NT登录集成，大大简化了用户的操作及管理员的负担，提供一致的安全策略。l 扩展了企业网WebST的身份验证是基于用户身份而不是基于IP地址，可以为防火墙内外的用户提供一致的安全策略，不受地理位置制约，将企业网的安全扩展到防火墙外。l 高可用性WebST服务器及安全数据库均可复制，为网络用户提供高效的、可靠的安全服务。l 易于管理WebST使用集中的安全数据库，可以对安全策略进行统一的维护，易于管理且减小了产生安全漏洞的可能。四、 总结WebST为企业提供了一系列丰富的安全服务。在增加传统的防火墙的安全性的同时，它可以通过Internet扩展企业网的范围。WebST可以很方便地对企业网进行管理，从而阻止非法用户的访问并通过包过滤器和应用程序代理提供以下功能：l 提供用户到应用程序的数据安全，保密，身份验证和企业网成员的访问控制。l 将企业防火墙的安全域扩展到防火墙外的企业远程用户。l 简化了传统包过滤器和应用级防火墙的管理并增加了安全性并阻止非授权用户和其它用户对企业内部的访问。l 防止企业内部人员通过企业网向外界泄露企业内部资料。WebST与防火墙是两个层次上的安全产品，防火墙属于“身份认证”级的网络层安全产品。它提供身份验证服务及粗粒度的访问控制（TCP端口），主要作用是防止外部用户非法侵入内部网，防外不防内，许多防火墙提供的是网络层的安全。而WebST属于“访问控制”级的应用层安全产品，是应用层的安全解决方案，其主要作用是控制企业用户对资源的访问，决定谁可以访问什么资源，为企业提供集中的访问控制，内外兼防，将防火墙技术与WebST技术相结合，就可以提供完整网络安全解决方案。客户端Internet防火墙应用服务器 Web服务器 WebSTWebSEAL或NetSEAL服务器NetSEAT图2 WebST与防火墙集成使用上图就是一种WebST与防火墙结合使用的典型配置。在这种配置结构中，防火墙主要用来保护企业网的物理安全，防止外部非法入侵。而WebST的主要作用是在NetSEAT客户端与WebST服务器之间建立安全通道，为客户端程序访问企业内部应用资源、Web资源提供访问控制。WebST与SSL的比较分析本文主要讨论了基于DCE的WebST应用层安全技术与基于公钥的SSL（安全套接层）安全技术的区别。希望通过本文的描述，读者能更好的理解各种安全技术的特点，有效地利用WebST产品构造符合Internet 和Intranet安全需求的适当的安全模型。网络安全是一项复杂的课题，本文并不详细讨论有关概念，关于网络安全技术的全面介绍，请参阅“Network Security, Private communication in a Public World” Kaufman, Derlman, and Speciner, Prentice-Hall PTR, New Jersey,1995。关于DCE安全体系结构的详细内容请参阅OSF，Cambridge, MA出版的有关文献或“DCE Security Programming” Wei Hu, OReilly &Associates, Inc,CA,1995。一、 概述WebST管理所有对企业资源的访问，为企业信息和合法用户提供安全保护，防止从企业内部或Internet的恶意或偶然攻击，WebST既提供了应用层的安全模型，同时还集成了链路层的安全模型，应用层安全定义并保护用户与资源（程序和数据）间关系，只允许授权用户对数据或应用的访问，它支持特定于应用或数据的安全控制，例如可以控制到允许一组用户可以用编辑器或FTP修改数据，而另一组用户只能通过浏览器读数据。链路层安全保证了所使用网络的安全性，禁止非授权访问。WebST安全模型的设计思想是支持企业的内部安全需求。WebST集成了由OSF DCE 提供的应用层安全技术和WebST IP层防火墙提供的链路层安全技术，为企业网提供了高度灵活的安全机制，实现了企业安全策略的集中管理和实施。WebST可以使企业网安全策略延伸到企业网防火墙外，为通过Internet 访问的远程用户与企业防火墙内的用户提供一致的安全策略（注意，企业网的用户无需在同一个物理网络中或甚至属于同一公司，企业Internet可扩展到进行项目合作的公司间，称Extranet）。作为企业网安全的一个补充就是需要在熟识者和陌生者之间提供安全通信。（例如：在一个公共企业Internet中的人），通过WebST的PKMS(公钥管理服务器)可以把预定义的基于WebST Intranet 的安全身份赋予外部的SSL安全用户。二、 WebST安全性WebST面向Intranet的安全技术基于由DCE提供的应用层安全模型。DCE是在许多主流操作系统上支持的成熟技术。DCE的安全技术基于MIT的Kerberos技术和DES（数据加密标准）技术。WebST支持集中控制的安全策略，用户帐号信息由安全管理员输入安全数据库，它定义了用户名、口令及其所属组和组织。安全数据库和用户访问由安全服务器控制。当用户登录时，用口令向安全服务器证明身份，一旦用户身份被证明，安全服务器向用户发放一个票据，向企业内的应用服务器（如WebST Web服务器）识别用户身份，应用服务器也用票据向用户证明自己的身份。WebST用下列机制来保证安全：l 口令从不在网络上传输服务器向用户发送一条基于用户口令密钥加密的消息，如果用户能以基于其在本机输入的口令的密钥解密这一消息，则向服务器证明了自己的身份。此外，基于用户口令的密钥，从不在安全服务器主机或用户客户机上存贮（硬盘及内存），它仅用来证明用户身份然后即被销毁。l 票据有一定的生命期每一票据仅在由安全管理员定义的一段时间内有效，票据同样也被加密以保证其不会遭到破坏，非授权用户无法使用窃取的票据。l 每一票据仅有效作用于向某一特定服务器证明用户身份对于每个不同的服务器，用户取得不同的票据。不过，票据的使用对用户是透明的。WebST安全管理器为用户处理所有的票据操作，用户仅需向安全服务器登录一次。企业中的每个目标（数据或应用）均可能有其相关的“访问控制表（ACL）。访问控制表定义了可以对目标执行操作的用户及用户组。例如，访问控制表可以定义哪一组用户可以修改某些Web页面的内容。哪些用户只能读这些页面，未在访问控制表中说明的用户无权访问页面。WebST可以安全地管理用户对数据的访问，可以按照应用支持的操作定义安全策略。例如：WebST Web服务器支持安全管理员为读Web页面，执行CGI程序和修改Web页面制定不同的安全策略。每个应用可以有特定于它的用户及其所访问的数据的安全策略。总之WebST安全技术提供了安全策略的集中管理。安全管理员把用户信息输入安全数据库。安全服务器按此信息实施安全策略。用户对信息的访问控制按照用户身份而不是用户正在使用的机器的物理位置来管理。其应用层的安全模型将用户特权映射为应用所支持的操作。三、 基于公钥的SSL的安全性SSL主要是用来为陌生人或熟人之间提供安全连接的，为了允许陌生人之间建立安全的连接，SSL将管理安全的任务放在最终用户上，SSL提供对数据加密和用户身份验证的支持，但最终用户必须管理自己的安全策略。SSL用户（使用者及应用服务器）用“授权凭证（Certificate of Authority）”来证明它们的身份，授权凭证是由信任的第三方签发的识别用户身份的消息。凭证被加密以保证传输时不被破坏，它类似于一个带照片的身份证。人们用身份证来证明他自己的身份，如果这个身份证看起来象一个真的身份证并且照片上的人看起来象这个人，则确认这个人的身份。类似地，用户必须决定是否相信提交给他的凭证，这一决定基于他是否相信签发凭证的第三方，也可以请求由另一信任的第三方签发的授权凭证。与WebST安全模型不同，这些信任决定不是由安全服务器通过票据管理的，用户自己必须管理证实某一身份的信任链。因为没有集中管理的安全数据库，每个用户必须分别管理信任链。与WebST中的票据（ticket）不同，授权凭证从不过期，不过，信任的第三方可能需要吊销某些用户的授权凭证。信任的第三方公布一个“凭证吊销表”，列出所有无效凭证，最终用户可以监控这些表来决定哪些授权凭证是有效的。现在还没有广泛使用的全球机构来签发授权凭证或凭证吊销表，这样用户就增加了开发或确定一本地机构来管理凭证的负担。SSL提供安全通道但没有应用层的安全，所有在SSL安全通道上运行应用程序（Web FTP）的用户拥有同样的安全等级。一旦用户凭证进行身份验证建立了安全连接后，加密数据在通道上传输。SSL不提供应用级的访问控制。在Web浏览器和Web服务器中，现有的SSL安全实现非常有限，因为管理凭证十分困难，用户把新的信任的第三方加入其安全机制的能力十分有限。此外，最终用户可以对所访问的Web服务器进行身份验证，但只有很少的浏览器支持服务器对用户的身份验证。四、 结论WebST安全技术着重于企业Internet安全，它是集中控制的。安全管理员可以定义访问信息的策略并且通过访问控制表来实施这些策略。用户只有在安全管理员创建了合法的帐号和身份后才能进入系统。如果一个最终用户可以通过安全服务访问一项服务，则鉴于WebST对用户和服务器进行双向身份验证，就可以相信访问的服务是合法了。最终用户享受了安全性的好处而免去了管理安全策略的负担。SSL允许陌生者之间建立安全通信，但是，它将管理安全通信的负担加到了最终用户身上，最终用户必须管理授权凭证，最终判断是否信任对方，每个用户和Web服务器必须管理和维护其它接受的授权凭证，没有集中的安全数据库也没有统一的安全策略可以执行。基于SSL的浏览器目前的实现都很有限，很少支持对用户方的身份验证，以防止通过SSL的匿名或假冒登录。SSL没有与WebST类似的访问控制机制。用户如果只依赖于SSL将不得不自己定义访问控制策略并通过自行开发来实现，以同时进行身份验证和访问控制。表 WebST和SSL比较总结基于DCE的WebST基于SSL的数据加密DES（可替换使用128位高强度加密算法）DES（可配量使用其它加密方法）（一般浏览器中的配置仅支持40位加密算法）身份验证基于口令的双向身份验证由DCE安全服务器管理口令对服务器方和有限客房方的身份验证。基于RSA公钥，使用服务器方的授权凭证。信任管理由安全管理员通过WebST安全服务器进行管理最终用户和服务器通过授权凭证自行管理访问控制集成的访问控制表无使用情况许多主流操作系统支持DCE。DCE技术在许多关键事务处理中广泛使用一些厂商提供商业化产品主要局限在Web安全性。得实发展集团 网络安全事业部随着Internet的兴起和热潮，得实发展集团于1995年起，特别注重Internet/Intranet网络安全技术和产品的研究、开发与推广。目前，主要产品是WebST网络安全管理平台，不但在技术上处于国际领先地位，而且充分配合国家的安全管理法规，做到了技术、产品和服务的完全本地化。得实发展集团有着十几年的UNIX开发研究的经验，近年来又在分布计算环境（DCE）方面进行研究开发和产品化，把主要精力放在Internet/Intranet网络安全方面，现已推出基于DCE技术的网络安全产品WebST。同时得实集团也致力于企业网络应用的开发和集成，实现安全的企业网络。得实WebST为企业网络提供统一的安全平台，具有安全通讯、身份认证、授权访问控制、事件记录等安全机制。WebST与不同的应用系统相结合，实现集中的安全管理和统一的安全策略。WebST安全技术和产品非常适合企业网络应用、电子商务等领域。得实集团愿与各界朋友合作，为提高网络应用的安全性出一份力。得实发展集团 网络安全事业部地址：广东 深圳 蛇口 龟山别墅53号邮编：518067电话：0755-6691314, 6695726, 6687275传真：0755-6678973info9907WP04