更多内容
发布时间:2020-10-15 06:15 浏览次数:2107
摘要:为有效避免各类网络攻击导致企业内部数据泄露,目前最有效的方法是将企业内部网络与外部网络进行物理链路隔离。使用网闸实现内外网数据双向摆渡,容易造成内网数据大量泄露,无法应用于安全保护等级较高的企业网;同时现有网络隔离技术对传输数据的协议剥离,容易导致信息泄露,形成新的安全漏洞。为此,提出一种新的信息资源共享方案,利用网络安全边界平台将外网信息单向导入内网,在内网通过可信任第三方短信平台将信息反馈至外网终端,有效控制内网数据输出,最终完成企业内部数据资源共享;运用改进的DES/RSA混合加密算法对传输数据文件进行加密和身份认证,避免网闸协议剥离导致的信息泄露。设计并实现了一款SMS信息查询系统,实例分析证明该方案在安全和效率等方面能够满足预定要求。
关键词:网络隔离;网络安全边界;DES算法;RSA算法;SMS
DOIDOI:10.11907/rjdk.162896
中图分类号:TP391
文献标识码:A 文章编号:1672-7800(2017)006-0163-05
0 引言
随着移动互联网技术的迅猛发展,政府、安全、金融等保密要求较高的单位对移动信息化解决方案的需求日益迫切。当前,普遍采用的方式是添置网络隔离设备来保护内部网络安全,从物理链路上断开内网与外网不可信任的直接网络连接,在外网终端通过数字证书、安全USIM卡等方式进行安全加固,保持在安全可控的条件下进行适度的数据交换[1-2]。但是,此方法使用的外网终端仍采用传统路由协议(物理链路采用专用VPN)实现与安全边界的数据交换,为了保证数据安全,在外网终端与内网进行数据交互时必须切断互联网的网络物理连接,导致外网终端仅成为内网终端的一种变向“移动”扩展,使用极为不便。同时可通过在外网终端植入恶意程序,当终端接入内网时自动下载数据并存储在本地硬盘,然后可通过互联网或移动介质导出数据,由此可导致大量内网数据泄露;另一方面,各类硬件加密及认证设备的配置耗资巨大,专用数字证书及USIM卡属于移动涉密部件,易被其它非法用户窃用;同时,使用双向网闸进行数据包协议剥离极易造成数据泄密,复杂性、安全性和高成本导致此方案无法大规模深入推广和应用。
1 方案介绍
本文提出一种成本低、安全性高、可大规模推广应用的内外网信息资源共享方案,�稻莸既搿⑹涑龇直鹜ü�完全独立的网络链路。外网终端传送数据采用改进的DES/RSA混合加密算法进行应用层数据加密和身份认证,避免在网络协议剥离过程中造成数据泄露,此算法兼顾DES算法的高效性和RSA算法的高安全性,加密数据可通过互联网传送至网络安全边界,由光闸进行数据协议剥离和数据摆渡至内网[3],经内网程序解密和业务处理,结果经加密后,通过可信任第三方短信平台单向输出至外网终端,由外网终端解密获取信息,最终完成业务数据交互。
本方案主要分为三部分:①外网数据采集及加密;②网络安全隔离区对数据的单向传输;③数据在内网的解密、应用和信息反馈(见图1)。整个方案中,网络安全隔离区中的单向光闸确保数据“只进不出”,第三方短信平台的应用可以有效控制数据输出,避免信息的大量泄露;DES/RSA混合加密算法的应用是确保数据内容仅能被数据拥有者或授权使用者使用,避免非法第三方窃取信息,可适用于涉密信息的传送。
1.1 外网数据采集及加密
在外网设置应用服务器,用户可通过PC电脑和移动互联网终端(手机、平板等)发送信息,信息载体可以是TCP/IP或SMS数据包,应用服务器在接收数据文件后进行数据校验,并使用DES加密算法进行加密并形成DES数据包,DES加密完成后采用RSA算法对产生的DES密钥进行加密和数字签名,形成RSA加密数据包和认证数据包,最后将所有数据包合并发送至网络安全隔离区。
1.2 网络安全隔离区
网络安全隔离区主要由IPS(入侵防御系统)、FW(防火墙)、安全审计、鉴别评估、身份认证等网络安全和网络隔离等设备组成(见图2)。其中,网络隔离设备为核心部件,其主要功能是进行数据包的网络协议剥离及转换、数据摆渡,确保数据单向导入内网。
IPS/FW即由入侵防御系统和防火墙组成的网络安全系统,主要用于阻断外网用户非法进入企业内网,而入侵防御系统是对防火墙功能的补充,它能够监视网络或网络设备的网络资料传输行为,有效阻断恶意代码攻击和非法连接。
身份认证系统实现移动终端和安全隔离区接入设备之间的双向身份认证,保证持有合法身份证书的移动终端才能接入安全隔离区。
安全隔离区配置了安全审计、鉴别评估等边界安全防护措施,它们的主要功能是实现对网络数据包、用户操作过程的跟踪记录,并根据一定规则识别可疑用户,在外网终端接入内网之前进行安全防护;网络隔离设备从物理链路上断开内网与外网之间不可信任的直接网络连接,安全隔离区充分解决了外网接入内网的安全问题。
1.3 内网数据应用及反馈
内网应用服务器从网络隔离设备中读取传入数据文件,根据约定协议对文件的DES和RSA加密部分进行分离,首先用自己的私钥和传送对端的公钥对接收数据文件进行身份认证并获取DES密钥,利用获取的DES密钥解密文件数据部分,最终获取有效信息。
根据获取的信息,经数据库查询获取结果,由内网的敏感信息审核模块进行反馈结果审核,审核通过后由内网应用服务器使用RSA算法对反馈信息进行应用层加密,通过调用可信任第三方短信平台将数据以SMS(Short Message Service)形式反馈外网终端,外网终端获取SMS数据包后使用自己私钥解密获取信息,最终完成整个业务流程。由于SMS负载的信息传输效率较低,每条SMS在PDU模式下最多能传送140Byte数据,同时反馈程序采用限制用户反馈次数的策略,可以有效防止大量信息泄露。 2 网络安全隔离区
网络安全隔离的基本原理是[3]:切断网络之间的通用协议连接(TCP/IP),将外网数据包分解重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;再将确认后的安全数据导入内网,内网用户通�^严格的身份认证机制获取所需数据。为了保证内部数据的绝对安全,在实现互联网与等级保护评定较高的网络以及涉密网络进行数据交换时,必须采用单向导入传输设备进行安全隔离保护。单向网络隔离主要采用数据二极管技术和分光技术,分光技术由于采用光作为传输介质,在传输速率、稳定性等各方面具有较大优势,代表了网络隔离设备未来发展方向。
2.1 单向光闸
单向光闸是一种基于分光技术的数据还原装置,它由两台计算机、一个分光器等部分组成。它采用分光镜像的原理,通过分光器将源主机上的数据镜像到目标主机上,最终实现数据的单向传输(见图3)。分光器是组建光通道网络的一个组件,是一个连接光缆终端设备和光接收节点的无源设备,其功能是分发下行数据,分光器带有一个上行光接口和若干个下行光接口,上行光接口接受光信号,下行光接口传输被分配到的光信号。分光器的主要功能是实现光闸物理信号的摆渡。
2.2 数据摆渡与协议转换
实现数据层面摆渡是网络隔离设备的核心功能,一方面,协议转换进一步增强了设备的摆渡功能,允许内外网数据交换双方使用不同的网络协议进行数据交换;另一方面,为了消除应用协议(OSI的第三层至第七层)的漏洞,首先必须剥离应用协议,剥离应用协议后的原始数据,在经过光闸之后,代理重建应用协议。协议剥离后,安全模块可对应用层数据进行安全分析,防止数据中嵌套木马、病毒等恶意程序,进一步增强了数据安全。但是,对于涉密数据而言,在光闸进行协议转换时极易发生数据泄密,本方案引入了DES/RSA混合加密算法可解决涉密数据的安全性问题。
2.3 认证接入安全
由于采用数据单向导入隔离技术,本方案中数据的保密性主要依赖DES/RSA混合加密算法。DES算法发明于20世纪70年代,以目前计算机硬件的运算能力可以在一定时间内进行暴力破解[6]。本方案DES密钥采用随机生成密钥加密数据文件的方式,加密密钥频繁更替,即使破解原有密钥也无法获得更多有价值的信息。为了防止外网终端因感染病毒或被植入恶意木马导致私钥泄露,加密程序将终端RSA私钥写入动态链接库文件中,可防止反编译等非法方式获取RSA私钥,同时定期更新RSA算法私钥,有效防范密钥泄露。
3 DES/RSA混合加密算法
3.1 算法原型
文献[5]中提出了一种基于RSA算法和改进型DES算法的混合加密算法,用于异构网络数据传送。对称加密算法DES的优点是运算开销少、速度快,但通信过程中密钥交换困难,可能发生密钥泄露;非对称加密算法RSA密钥管理方便,加密安全性高,但加密算法复杂,加密效率低。结合两种算法的优点形成一种新的混合加密算法,既可增强数据加密安全性,提高加密效率,还能满足业务分离的要求。
文献[5]给出的加密算法过程如下:①在发送方A处产生随机数发生器,生成DES加密密钥D-Key,采用DES加密算法对明文Q进行加密,得到加密密文P1,并保存D-Key;②A从密钥管理中心获取收方B的公钥,对A产生的D-Key进行RSA加密,产生辅助密文P2;③将P1和P2组合,进行传输,完成混合加密。
解密过程与加密过程相对应,介绍如下:①收方B获取密文P1和P2后进行拆分,识别P1、P2;②B用向密钥管理中心注册过的RSA私钥对P2进行解密,恢复A的DES密钥D-Key;③B利用D-Key对P1进行解密,恢复初始明文Q。
3.2 改进算法
以上算法存在问题如下:若攻击者C明晰A与B之间应用层的数据格式,获取了B的公钥,并采用同种算法进行数据传送,B接受C发送的数据,但无法判定C的真实身份,误认为是A发送的数据,按照数据文件中的反馈地址将信息发送给C,由此可构成欺骗攻击。
改进方法:①在原加密过程第二步中,A从密钥管理中心申请RSA私钥,对产生的辅助密文P2进行数字签名P3,将P1、P2、P3组合传输;②在原解密过程②中,B首先利用A的RSA公钥对P3进行数字签名验证,P3解密后与P2进行比对,结果相同即表示数据包来源可信,否则认为数据包是攻击者C发送的,丢弃此数据包。改进后的算法步骤如图4所示。
4 系统实现
4.1 SMS信息查询系统
SMS信息查询系统是根据本方案实现的一款跨网信息查询系统。开发环境如下:SIM900A通讯模块、CP2102串口模块;CPU Intel Core2 Q9400/主频2.66GHz、内存4G;操作系统Windows Server 2003 R2;数据库Oracle 11g Enterprise Edition 11.2.0.4.0;开发平台Visual Studio 2010。系统主要功能是通过手机终端发送短信指令,经安全加密及认证,由网络安全边界单向导入内网,在内网中进行信息查询,将查询结果过滤后进行RSA加密,通过可信任第三方短信平台反馈至外网应用服务器,由外网应用服务器解密并反馈至外网终端,此系统已应用于企业实际运营业务中。具体业务流程如图5所示。
4.2 安全性分析
目前,针对DES算法的攻击有差分密码分析法[7]和线性密码分析法,前者需要知道DES的大量配对(明文、密文),后者则是已知明文攻击法。由于本系统设计的DES加密密钥随机变换,每次发送数据文件均采用不同的密钥加密,攻击者获取密钥代价较大,且获取的信息极为有限,因此可以有效应对以上两种攻击方式。
RSA算法的复杂度较高,攻击者无法通过暴力破解的方法获取DES加密密钥,进而无法获取明文信息。本文改进了原算法,在信息发送和接受过程中加入了认证机制,实现通信双方的相互鉴权功能,可有效避免欺骗攻击,进一步提升信息传输的安全性;并且,混合加密在传输中对密文进行了组合,使得暴力破解的复杂度近似于RSA算法复杂度与DES算法的复杂度之积,安全性得到了极大增强。 4.3 性能分析
RSA算法的密钥较长,加密算法实现复杂,对硬件资源消耗大、复杂度高、加密时间长;DES密钥较短、加密速度快,适用于硬件实现,如表1所示。
本文使用DES、RSA、DES/RSA混合、改进DES/RSA混合加密4种算法,分别对1KB、100KB、0.97MB、9.78MB、29.3MB、48.9MB的数据文件进行加解密运算实验,如表2所示。由于工作时段业务繁忙程度对互联网网速和网络隔离设备处理效率影响较大,不能准确客观地反映各加密算法运算时间,此次实验采用脱网运行方式。运行环境如下:CPU Intel i7 2620M/主频2.7GHz、内存4G、操作系统64位 Windows10、开发平台Visual Studio 2010。
本文使用System.Security.Cryptography中的DESCryptoServiceProvider类开发DES加密程序,使用RSACryptoServiceProvider类和SHA1Crypto Service Provider类开发RSA加密及数字签名程序。利用RSA公钥进行数据加密时,必须对明文进行拆分加密,每个拆分数据长度必须小于117(公钥长度/8-11),将密文发送至对端后必须能进行拆分解密,然后将解密数据重新组装形成明文,拆包过程进一步导致RSA加密算法在加解密大数据文件时效率下降。
根据表2中的数据,本文从加密文件大小(见图6)、加密效率(见图7)和解密效率(见图8)等方面进行了比较。对图6、图7、图8分析可知,在软硬件运行环境相同的情况下,使用RSA加密算法生成的加密文件占用存储空间最小,其余3种加密算法生成的加密文件大小几乎相同;加密效率方面,DES算法的效率最高,DES/RSA算法和改进DES/RSA算法的加密效率十分接近,由于改进DES/RSA算法引入了数字签名和身份认证,相比DES/RSA算法而言效率偏低,RSA算法加密效率最差;解密效率方面,DES算法最高,DES/RSA算法和改进DES/RSA算法几乎相同,但前者偏高,RSA解密效率最低。
综上,在加密文件大小和加解密效率方面,改进后的DES/RSA算法在各项性能方面与原算法比较均十分接近,但在安全性方面解决了原算法易受到欺骗攻击的问题,使原算法安全性得到了一定提升。
5 结语
针对目前网络隔离方案存在内网数据大量泄露的风险,提出一种新的基于网络隔离技术的信息资源共享方案,该方案中使用一种改进的DES/RSA混合加密算法,能有效避免涉密数据在跨网传输过程中的泄密。由于本方案采用SMS作为载体进行数据单项导出,虽然技术成本较低、容易实现,但此方法效率太低,并且SMS信息发送增加了系统的运行成本。如何使用一种更安全、成本更低的信息输出方式,在能确保内网数据绝对安全的情况下,实现高效的信息导出,成为下一步研究的重点。
参考文献:
[1]孙庆和,刘道群.网络隔离技术在3G移动办公中的应用探讨[J].计算机科学,2013,40(6A):381-383.
[2]刘道群,孙庆和.信息敏感行业3G移动办公安全解决方案[J].电信科学,2011(10A):146-149.
[3]陈征,陈银慧,于玉龙,等.网络隔离环境下多节点接入控制技术研究[J].小型微型计算机系统,2014,35(7):1528-1532.
[4]王�B,李立新,李福林.物理隔离和网闸的技术原理浅析[J].微计算机信息,2007,8(3):53-55.
[5]陈莹莹,张赓,翟明乐,等.基于统一通信技术的异构网络穿越安全算法研究[J].电信科学,2013(12):50-54.
[6]刘晶晶,马世伟,陈光化,等.基面向NFC应用的DES/3DES算法研究与仿真实现[J].微电子学,2013,43(1):134-138.
[7]陈杰,张跃宇,胡予濮.一种新的6轮AES不可能差分密码分析方法[J].西安电子科技大学学报:自然科学版,2006,33(4):598-601.
[8]吴筱,郭培源,何多多.DES和SM4算法的可重构研究与实现[J].计算机应用研究,2014,31(3):853-856.
[9]李佩之,严迎建,段二朋.DES密码芯片模板攻击技术研究[J].计算机应用与软件,2013,30(3):310-312.
[10]石井,吴哲,谭璐,等.RSA数据加密算法的分析与改进[J].济南大学学报:自然科学版,2013,27(3):283-286.
[11]贾欢欢.通用短信平台中协议转换功能的设计与实现[D].北京:北京邮电大学,2010.
[12]“网络隔离”安全技术发展方向概述[EB/OL].http://www.huacolor.com/article/737.html.
(责任编辑:孙 娟)
英文摘要Abstract:In order to avoid network attacks lead to enterprise internal data leakage,the most effective way was isolating physical link between the enterprise internal network and internet.It’s easy to leakage the enterprise internal data,when you use the traditional gap to interactive data between internal network and internet.Furthermore,the old Way of exchanging data can not be applied to protect the high security level enterprise network; On the other hand,the existing network isolation technology for network protocol is easy to peel,resulting in information disclosure,and cause the new security vulnerabilities.Therefore,this thesis proposes a new information resource sharing scheme,transport internet data through Network Security Boundary Platform by using one-way import network,and using a trusted third party SMS platform for information feedback to the internet terminal.Restrict control the network data output,the final completion of data sharing within Enterprise; The use of improved DES/RSA hybrid encryption algorithm to encrypt the data file encryption and identity authentication,to avoid the information leakage caused by the peeling the network protocol.Design and implementation of a SMS information system,the case analysis proves that this scheme can meet the requirements in security and efficiency.
英文�P键词Key Words:Network Isolation Technology; Network Security Boundary; DES Algorithm; RSA Algorithm; SMS
本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。QQ:522-52-5970
贵公网安备52010202003825