数字家庭网络技术与发展
3.5 安全技术
通过家庭网关可为家庭网络提供一个全面的网络安全解决方案,包括用户验证、授权、数据保护等。家庭网关所采用的安全技术包括:多SSID和VLAN、802.1X认证、WEP和WPA、备份中心、AAA、CA技术、包过滤技术、地址转换、VPN技术、加密与密钥交换技术、ASPF、安全管理等。
(1)多SSID和VLAN技术
无线家庭网关可以通过802.11X进行家庭内部组网,家庭网关支持多SSID可以实现虚拟AP功能。不同的SSID可以采用不同的认证方式及访问权限,也可映射为不同的VLAN,实现公共热点与家庭内部网之间的网络隔离。
(2)802.1x认证
802.1X认证可以实现双向认证、动态密钥管理等安全特性。IEEE 802.1x是一种基于端口的认证方法,它为每个端口(物理端口/逻辑端口) 都定义了一个受控子端口和一个非受控子端口。非受控子端口主要用于认证消息包,而受控子端口在认证成功之前是关闭的,只有在认证成功之后才完全打开,用户从而可以进行正常的通信。802.1x解决的是用户与网络之间的鉴别机制问题,另外802.1x还定义了一套动态密钥协商管理机制,支持无线口组播和单播密钥的动态协商。802.1x具体认证协议由EAP方法决定,其体系结构非常灵活,EAP-TTLS,EAP-SIM,EAP-AKA,PEAP等EAP方法支持双向鉴权、用户账号信息匿名传输、动态密钥协商管理等机制。EAP-MD5等认证方式支持单向鉴权认证。
(3)WEP和WPA
WEP是802.11标准,定义了链路级安全机制,支持共享密钥方式鉴权和MAC层数据加密,密钥长度为40或104位,使用RC4对称流加密算法。WEP安全性非常脆弱,其密钥很容易破译,容易实施各种攻击如DoS、重放等。WPA V1.0采用802.1x认证或共享密钥认证,在加密算法上采用基于WEP算法的TKIP。TKIP在WEP基础上增加了一些新的辅助算法函数,以支持对MSDU的加密,分片,数据源的验证及防重播保护等功能。
(4)AAA认证
部分高端型号家庭网关具有认证点的功能,可以对接入家庭内部网络的用户进行验证、授权及记账功能。
(5)CA技术
CA技术是安全认证技术的一种,它基于公开密钥体系通过安全证书来实现。安全证书采用国际标准的X.509证书格式,主要包括证书的版本号、发证CA的身份信息、持证用户的身份信息、持证用户的公钥、证书的有效期以及其他一些附加信息。证书由发证CA数字签名,保证了证书不可伪造并且不能被更改。安全证书由CA中心分发并维护。家庭网关实现对CA中心的支持,包含两方面的内容。其一是针对CA中心的管理功能完成与CA中心的交互;其二即是家庭网关作为通信实体的认证功能。一般来说,安全证书的操作采取离线分发、本地验证的方式。
(6)包过滤技术
IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由路由器进行处理的信息。包过滤通常用到IP报文的以下属性:
●IP的源、目的地址及协议域;
●TCP或UDP的源、目的端口;
●ICMP码、ICMP的类型域;
●TCP的标志域;
●表示请求连接的单独的SYN;
●表示连接确认的SYN/ACK;
●表示正在使用的一个会话连接;
●表示连接终断的FIN。
可以由这些域的各式各样的组合形成不同的规则。家庭网关提供了基于接口的包过滤,即可以在宽带上行口的进出两个方向上对报文进行过滤。同时还提供了基于时间段的包过滤,可以规定过滤规则发生作用的时间范围,比如上例中可设置每周一的8:00~20:00允许FTP报文进入以完成必要的服务,而其余时间则禁止FTP连接。在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用,在应用上具有极大的灵活性。并且这样的时间段可以方便地提供给其他的功能模块使用,如地址转换、IPSec等。
(7)VPN技术
虚拟私有网(Virtual Private Network)简称为VPN,是近年来随着Internet的发展而迅速发展起来的一种技术。主要分为Access VPN和Intranet VPN。远程用户可以通过Access VPN接入家庭网关,实现对家庭网络的安全远程访问和控制。家庭网关可通过Intranet VPN接入公司的VPN网关,实现Intranet。
(8)ASPF技术
ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。家庭网关提供基于报文内容的访问控制,即ASPF,能够对应用层的一部分攻击加以检测和防范,包括对于SMTP命令的检测、SYN flooding、Packet Injection的检测。
(9)IDS技术
入侵检测系统(IDS)可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等。入侵检测系统全称为Intrusion Detective System,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。
3.6 QoS技术
家庭网络中需要共享和传送多种多样的媒体内容,有话音、视频、网上浏览、静态图片、文字、控制消息等,这些业务对于网络的服务质量有截然不同的要求。家庭网络中采用的组网技术是多种多样的,有无线、有线等,因此如何在这样的环境中保证每类业务的服务质量是一个重要的课题。QoS的实现首先需要在家庭网关上实现外部网络和家庭网络之间的带宽映射分配机制,将外部网络中业务流按照家庭网络情况进行重新映射分配,需要在家庭网关上实现带宽的动态预留和分配功能,家庭网关需要同时实现外部网络和家庭网络的服务质量机制,保证端到端的QoS;另外,需要对家庭中各个终端的QoS能力进行定义,制定终端设备和家庭网关之间的QoS信令机制。
评论