【正文】 鑰獲取中的安全問題 ? 證書 ? ? PKI（公鑰基礎(chǔ)設(shè)施） 討論兩個互不相識的人如何通過公鑰機制來通信，如何能得到對方的公鑰 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 65 / 107 證書 ? 設(shè)置一個機構(gòu) CA（ Certification Authority）證明某些公鑰是屬于某個人或某個機構(gòu)，這個證明稱作為證書 ? 證書用 SHA1做摘要，該摘要用 CA的私鑰加密 ? 證書的擁有者可將證書放在網(wǎng)上，供希望與他通信的人下載 ? 證書可解決偽造者的問題 ? 如偽造者用自己的證書替換 Bob的證書：由于證書中有持有者姓名， Alice馬上就可發(fā)現(xiàn)有人偽造 ? 如偽造者用自己的公鑰替換 Bob的證書中的公鑰：由于證書是作過摘要，并用 CA的私鑰加密，通過摘要可檢查出證書被修改 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 66 / 107 公鑰管理 ? 公鑰獲取中的安全問題 ? 證書 ? ? PKI（公鑰基礎(chǔ)設(shè)施） 討論兩個互不相識的人如何通過公鑰機制來通信，如何能得到對方的公鑰 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 67 / 107 ? ITU制定的證書標(biāo)準(zhǔn)，它包括以下字段 字段 意義 版本 系列號 這個編號加上 CA的名字唯一確定這個證書 簽名算法 用來簽署這個證書的算法 發(fā)布者 CA的 有效期 證書的有效期 持有者姓名 持有者姓名 公鑰 持有者的公鑰和所用算法的編號 發(fā)布者 ID 唯一確定發(fā)布者的編號 持有者 ID 唯一確定持有者的編號 擴展 已定義的許多擴展 簽名 證書的簽名（用 CA的私鑰簽名） Tnbm P768 Fig. 825 X509的證書標(biāo)準(zhǔn) 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 68 / 107 公鑰管理 ? 公鑰獲取中的安全問題 ? 證書 ? ? PKI（公鑰基礎(chǔ)設(shè)施） 討論兩個互不相識的人如何通過公鑰機制來通信，如何能得到對方的公鑰 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 69 / 107 公鑰基礎(chǔ)設(shè)施 PKI （ Public Key Infrastructure） ? 為了解決認(rèn)證過程中的一些問題，如單個認(rèn)證中心負(fù)擔(dān)太重，多個認(rèn)證中心又容易引起證書的泄漏，認(rèn)證中心應(yīng)該由哪個機構(gòu)來運作等問題 ? PKI的組成：由用戶、 CA、證書和目錄組成， PKI提供如何將這些機構(gòu)組織起來，如何定義各種文件和協(xié)議的標(biāo)準(zhǔn) ? 最簡單的結(jié)構(gòu)是層次結(jié)構(gòu)，有根、 RA（區(qū)域機構(gòu)）和 CA組成 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 70 / 107 本章將討論： ? 密碼學(xué) ? 對稱密鑰算法 ? 公開密鑰算法 ? 數(shù)字簽名 ? 公鑰管理 ? 通信安全 ? 認(rèn)證協(xié)議 ? Email的安全 ? Web安全 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 71 / 107 通信安全 ? IPSec ? 防火墻 ? VPN 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 72 / 107 IPSec ? 提供多種服務(wù)、多種算法和多種顆粒度的加密框架 ? 多種服務(wù)指的是安全、完整和抗重播，所有的這些都是基于對稱加密 ? 多種算法指的是算法是獨立的，即使某些算法將來被攻破， IPSec的框架還是保持不變 ? 多種顆粒度指的是可以保護單個 TCP流，也可以保護一對主機間的所有流量或一對安全路由器間的所有流量 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 73 / 107 安全聯(lián)盟 SA（ Security Association） ? 雖然 IPSec是工作在 IP層，但它卻是面向連接的，一個連接被稱為一個安全聯(lián)盟 SA ? SA是單向的，如要進行雙向通信，必須要兩個 SA ? 每個 SA有一個與之相關(guān)的安全標(biāo)識符，安全標(biāo)識符被放入該安全通道中的每個數(shù)據(jù)包中，用來檢查密鑰和一些相關(guān)的信息 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 74 / 107 IPSec的組成 ? 用來攜帶安全標(biāo)識、完整性控制數(shù)據(jù)和其它信息的兩個新頭部 ? 安全聯(lián)盟和密鑰管理協(xié)議 ISAKMP（ Inter Security Association and Key Management Protocol） 用來處理創(chuàng)建密鑰的工作 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 75 / 107 IPSec的工作方式 ? 原始的 IP包 ? 傳輸模式 ? 隧道模式 IP頭 TCP頭 數(shù)據(jù) IP頭 IPSec頭 TCP頭 數(shù)據(jù) IP頭 IPSec頭 IP頭 TCP頭 數(shù)據(jù) 驗證頭 AH ，或者 封裝安全載荷 ESP 封裝安全載荷 ESP ESP的認(rèn)證 ESP的認(rèn)證 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 76 / 107 傳輸模式中的 AH ? 傳輸模式中的驗證頭 AH （ Authentication Header）用于為 IP 提供數(shù)據(jù)完整性、數(shù)據(jù)原始身份驗證和一些可選的、有限的抗重播服務(wù)，但不提供數(shù)據(jù)加密功能 IP頭 AH TCP頭 數(shù) 據(jù) 下一個頭 負(fù)載長度 （保留） 安全參數(shù)索引 序列號 認(rèn)證數(shù)據(jù)（ HMAC） 32 bit Tnbm P774 Fig. 827 在 IPv4的傳輸模式中的IPSec認(rèn)證頭 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 77 / 107 傳輸模式和隧道模式中的 ESP ESP（ Encapsulating Security Payload） ? 屬于 IPSec的一種協(xié)議，可用于確保 IP數(shù)據(jù)包的機密性（未被別人看過）、數(shù)據(jù)的完整性以及對數(shù)據(jù)源的身份驗證，此外，也要負(fù)責(zé)對重播攻擊的抵抗 IP頭 ESP頭 TCP頭 數(shù) 據(jù) 認(rèn)證（ HMAC） 這部分內(nèi)容被加密 Tnbm P775 Fig. 828 新 IP頭 ESP頭 老 IP頭 TCP頭 數(shù) 據(jù) 認(rèn)證（ HMAC） 這部分內(nèi)容被加密 ? 傳輸模式中的 ESP ? 隧道模式中的 ESP 這部分內(nèi)容被認(rèn)證 這部分內(nèi)容被認(rèn)證 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 78 / 107 通信安全 ? IPSec ? 防火墻 ? VPN 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 79 / 107 防火墻 Firewall ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 80 / 107 防火墻的作用 ? 保障內(nèi)部網(wǎng)絡(luò)的安全，不受攻擊 ? 監(jiān)視、記錄進出內(nèi)部網(wǎng)的信息，包括流量統(tǒng)計，設(shè)置訪問控制表等 ? 可以設(shè)置 NAT（ Network Address Translate） 網(wǎng)絡(luò)地址轉(zhuǎn)換器，用于節(jié)約 IP地址，使大量用戶使用少量 IP地址，讓用戶僅在出子網(wǎng)時使用正式的 IP地址，否則使用內(nèi)部的 IP地址，對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu) ? 可采用加密技術(shù)對信息進行加密處理 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 81 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 82 / 107 基于協(xié)議層的防火墻分類 ? 包過濾器：網(wǎng)絡(luò)層 ? 應(yīng)用網(wǎng)關(guān)：應(yīng)用層 在實際應(yīng)用中，通常防火墻的安裝位置 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 包過濾器 包過濾器 應(yīng)用網(wǎng)關(guān) 防火墻 外部網(wǎng)絡(luò) 企業(yè)內(nèi)網(wǎng) 路由器 防火墻 企業(yè)外網(wǎng) 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 83 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 84 / 107 網(wǎng)絡(luò)層防火墻 ? 檢查的項目 源 IP地址 目的 IP地址 TCP/IP協(xié)議及其源、目的端口號 (port number) ? 訪問控制表 （ +表示無限制） action src port des port flag ments allow + 1023 23 tel allow + 1023 25 SMTP allow 1023 119 NNTP allow + + + + ACK 回答響應(yīng) block hackers address + + + 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 85 / 107 網(wǎng)絡(luò)層防火墻 （續(xù)） ? 可能存在的漏洞 ? IP地址欺騙：冒充被授權(quán)或被信任的主機 ? IP分段和重組： IP包的最大長度為 65535Byte，傳輸過程中允許分段，如重組后的長度超過65535，則 TCP/IP的協(xié)議棧將崩潰 ? 其他安全漏洞 1 2 router 外部網(wǎng) 盜用內(nèi)部IP地址 PSTN 內(nèi)部網(wǎng) 外部網(wǎng) 防火墻 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 86 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 87 / 107 應(yīng)用層防火墻 ? 采用代理網(wǎng)關(guān)，外部網(wǎng)委托代理執(zhí)行相應(yīng)的操作 內(nèi)部網(wǎng) 外部網(wǎng) 代理 代理 應(yīng)用層防火墻 額外功能： ? 代理可控制一些服務(wù)的子功能，如 FTP，可設(shè)置服務(wù)器只提供 get不提供 put ? 流量、計費等功能 ? 檢查傳輸信息本身，如 mail 對不同的應(yīng)用，應(yīng)建立不同的應(yīng)用網(wǎng)關(guān)，開銷較大，所以通常僅開放幾個常用的應(yīng)用 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 88 / 107 通信安全 ? IPSec ? 防火墻 ? VPN 《 Computer Networks V4》 2022/8/17 第 8章 網(wǎng)絡(luò)安全 89 / 107 VPN ? 在公共網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)的技術(shù)，以取代原來的專線 ? VPN可建在 ATM或幀中繼上，但目前一般指的是建立在 Inter上，通過防火墻和隧道技術(shù)保證安