【正文】 鑰獲取中的安全問題 ? 證書 ? ? PKI（公鑰基礎(chǔ)設(shè)施） 討論兩個(gè)互不相識(shí)的人如何通過公鑰機(jī)制來通信，如何能得到對(duì)方的公鑰 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 65 / 107 證書 ? 設(shè)置一個(gè)機(jī)構(gòu) CA（ Certification Authority）證明某些公鑰是屬于某個(gè)人或某個(gè)機(jī)構(gòu)，這個(gè)證明稱作為證書 ? 證書用 SHA1做摘要，該摘要用 CA的私鑰加密 ? 證書的擁有者可將證書放在網(wǎng)上，供希望與他通信的人下載 ? 證書可解決偽造者的問題 ? 如偽造者用自己的證書替換 Bob的證書：由于證書中有持有者姓名， Alice馬上就可發(fā)現(xiàn)有人偽造 ? 如偽造者用自己的公鑰替換 Bob的證書中的公鑰：由于證書是作過摘要，并用 CA的私鑰加密，通過摘要可檢查出證書被修改 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 66 / 107 公鑰管理 ? 公鑰獲取中的安全問題 ? 證書 ? ? PKI（公鑰基礎(chǔ)設(shè)施） 討論兩個(gè)互不相識(shí)的人如何通過公鑰機(jī)制來通信，如何能得到對(duì)方的公鑰 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 67 / 107 ? ITU制定的證書標(biāo)準(zhǔn)，它包括以下字段 字段 意義 版本 系列號(hào) 這個(gè)編號(hào)加上 CA的名字唯一確定這個(gè)證書 簽名算法 用來簽署這個(gè)證書的算法 發(fā)布者 CA的 有效期 證書的有效期 持有者姓名 持有者姓名 公鑰 持有者的公鑰和所用算法的編號(hào) 發(fā)布者 ID 唯一確定發(fā)布者的編號(hào) 持有者 ID 唯一確定持有者的編號(hào) 擴(kuò)展 已定義的許多擴(kuò)展 簽名 證書的簽名（用 CA的私鑰簽名） Tnbm P768 Fig. 825 X509的證書標(biāo)準(zhǔn) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 68 / 107 公鑰管理 ? 公鑰獲取中的安全問題 ? 證書 ? ? PKI（公鑰基礎(chǔ)設(shè)施） 討論兩個(gè)互不相識(shí)的人如何通過公鑰機(jī)制來通信，如何能得到對(duì)方的公鑰 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 69 / 107 公鑰基礎(chǔ)設(shè)施 PKI （ Public Key Infrastructure） ? 為了解決認(rèn)證過程中的一些問題，如單個(gè)認(rèn)證中心負(fù)擔(dān)太重，多個(gè)認(rèn)證中心又容易引起證書的泄漏，認(rèn)證中心應(yīng)該由哪個(gè)機(jī)構(gòu)來運(yùn)作等問題 ? PKI的組成：由用戶、 CA、證書和目錄組成， PKI提供如何將這些機(jī)構(gòu)組織起來，如何定義各種文件和協(xié)議的標(biāo)準(zhǔn) ? 最簡(jiǎn)單的結(jié)構(gòu)是層次結(jié)構(gòu)，有根、 RA（區(qū)域機(jī)構(gòu)）和 CA組成 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 70 / 107 本章將討論： ? 密碼學(xué) ? 對(duì)稱密鑰算法 ? 公開密鑰算法 ? 數(shù)字簽名 ? 公鑰管理 ? 通信安全 ? 認(rèn)證協(xié)議 ? Email的安全 ? Web安全 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 71 / 107 通信安全 ? IPSec ? 防火墻 ? VPN 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 72 / 107 IPSec ? 提供多種服務(wù)、多種算法和多種顆粒度的加密框架 ? 多種服務(wù)指的是安全、完整和抗重播，所有的這些都是基于對(duì)稱加密 ? 多種算法指的是算法是獨(dú)立的，即使某些算法將來被攻破， IPSec的框架還是保持不變 ? 多種顆粒度指的是可以保護(hù)單個(gè) TCP流，也可以保護(hù)一對(duì)主機(jī)間的所有流量或一對(duì)安全路由器間的所有流量 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 73 / 107 安全聯(lián)盟 SA（ Security Association） ? 雖然 IPSec是工作在 IP層，但它卻是面向連接的，一個(gè)連接被稱為一個(gè)安全聯(lián)盟 SA ? SA是單向的，如要進(jìn)行雙向通信，必須要兩個(gè) SA ? 每個(gè) SA有一個(gè)與之相關(guān)的安全標(biāo)識(shí)符，安全標(biāo)識(shí)符被放入該安全通道中的每個(gè)數(shù)據(jù)包中，用來檢查密鑰和一些相關(guān)的信息 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 74 / 107 IPSec的組成 ? 用來攜帶安全標(biāo)識(shí)、完整性控制數(shù)據(jù)和其它信息的兩個(gè)新頭部 ? 安全聯(lián)盟和密鑰管理協(xié)議 ISAKMP（ Inter Security Association and Key Management Protocol） 用來處理創(chuàng)建密鑰的工作 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 75 / 107 IPSec的工作方式 ? 原始的 IP包 ? 傳輸模式 ? 隧道模式 IP頭 TCP頭 數(shù)據(jù) IP頭 IPSec頭 TCP頭 數(shù)據(jù) IP頭 IPSec頭 IP頭 TCP頭 數(shù)據(jù) 驗(yàn)證頭 AH ，或者 封裝安全載荷 ESP 封裝安全載荷 ESP ESP的認(rèn)證 ESP的認(rèn)證 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 76 / 107 傳輸模式中的 AH ? 傳輸模式中的驗(yàn)證頭 AH （ Authentication Header）用于為 IP 提供數(shù)據(jù)完整性、數(shù)據(jù)原始身份驗(yàn)證和一些可選的、有限的抗重播服務(wù)，但不提供數(shù)據(jù)加密功能 IP頭 AH TCP頭 數(shù) 據(jù) 下一個(gè)頭 負(fù)載長(zhǎng)度 （保留） 安全參數(shù)索引 序列號(hào) 認(rèn)證數(shù)據(jù)（ HMAC） 32 bit Tnbm P774 Fig. 827 在 IPv4的傳輸模式中的IPSec認(rèn)證頭 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 77 / 107 傳輸模式和隧道模式中的 ESP ESP（ Encapsulating Security Payload） ? 屬于 IPSec的一種協(xié)議，可用于確保 IP數(shù)據(jù)包的機(jī)密性（未被別人看過）、數(shù)據(jù)的完整性以及對(duì)數(shù)據(jù)源的身份驗(yàn)證，此外，也要負(fù)責(zé)對(duì)重播攻擊的抵抗 IP頭 ESP頭 TCP頭 數(shù) 據(jù) 認(rèn)證（ HMAC） 這部分內(nèi)容被加密 Tnbm P775 Fig. 828 新 IP頭 ESP頭 老 IP頭 TCP頭 數(shù) 據(jù) 認(rèn)證（ HMAC） 這部分內(nèi)容被加密 ? 傳輸模式中的 ESP ? 隧道模式中的 ESP 這部分內(nèi)容被認(rèn)證 這部分內(nèi)容被認(rèn)證 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 78 / 107 通信安全 ? IPSec ? 防火墻 ? VPN 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 79 / 107 防火墻 Firewall ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 80 / 107 防火墻的作用 ? 保障內(nèi)部網(wǎng)絡(luò)的安全，不受攻擊 ? 監(jiān)視、記錄進(jìn)出內(nèi)部網(wǎng)的信息，包括流量統(tǒng)計(jì)，設(shè)置訪問控制表等 ? 可以設(shè)置 NAT（ Network Address Translate） 網(wǎng)絡(luò)地址轉(zhuǎn)換器，用于節(jié)約 IP地址，使大量用戶使用少量 IP地址，讓用戶僅在出子網(wǎng)時(shí)使用正式的 IP地址，否則使用內(nèi)部的 IP地址，對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu) ? 可采用加密技術(shù)對(duì)信息進(jìn)行加密處理 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 81 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 82 / 107 基于協(xié)議層的防火墻分類 ? 包過濾器：網(wǎng)絡(luò)層 ? 應(yīng)用網(wǎng)關(guān)：應(yīng)用層 在實(shí)際應(yīng)用中，通常防火墻的安裝位置 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 包過濾器 包過濾器 應(yīng)用網(wǎng)關(guān) 防火墻 外部網(wǎng)絡(luò) 企業(yè)內(nèi)網(wǎng) 路由器 防火墻 企業(yè)外網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 83 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 84 / 107 網(wǎng)絡(luò)層防火墻 ? 檢查的項(xiàng)目 源 IP地址 目的 IP地址 TCP/IP協(xié)議及其源、目的端口號(hào) (port number) ? 訪問控制表 （ +表示無限制） action src port des port flag ments allow + 1023 23 tel allow + 1023 25 SMTP allow 1023 119 NNTP allow + + + + ACK 回答響應(yīng) block hackers address + + + 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 85 / 107 網(wǎng)絡(luò)層防火墻 （續(xù)） ? 可能存在的漏洞 ? IP地址欺騙：冒充被授權(quán)或被信任的主機(jī) ? IP分段和重組： IP包的最大長(zhǎng)度為 65535Byte，傳輸過程中允許分段，如重組后的長(zhǎng)度超過65535，則 TCP/IP的協(xié)議棧將崩潰 ? 其他安全漏洞 1 2 router 外部網(wǎng) 盜用內(nèi)部IP地址 PSTN 內(nèi)部網(wǎng) 外部網(wǎng) 防火墻 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 86 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 87 / 107 應(yīng)用層防火墻 ? 采用代理網(wǎng)關(guān)，外部網(wǎng)委托代理執(zhí)行相應(yīng)的操作 內(nèi)部網(wǎng) 外部網(wǎng) 代理 代理 應(yīng)用層防火墻 額外功能： ? 代理可控制一些服務(wù)的子功能，如 FTP，可設(shè)置服務(wù)器只提供 get不提供 put ? 流量、計(jì)費(fèi)等功能 ? 檢查傳輸信息本身，如 mail 對(duì)不同的應(yīng)用，應(yīng)建立不同的應(yīng)用網(wǎng)關(guān)，開銷較大，所以通常僅開放幾個(gè)常用的應(yīng)用 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 88 / 107 通信安全 ? IPSec ? 防火墻 ? VPN 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 89 / 107 VPN ? 在公共網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)的技術(shù)，以取代原來的專線 ? VPN可建在 ATM或幀中繼上，但目前一般指的是建立在 Inter上，通過防火墻和隧道技術(shù)保證安