【正文】 問題 ? 證書 ? ? PKI（公鑰基礎設施） 討論兩個互不相識的人如何通過公鑰機制來通信，如何能得到對方的公鑰 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 67 / 107 ? ITU制定的證書標準，它包括以下字段 字段 意義 版本 系列號 這個編號加上 CA的名字唯一確定這個證書 簽名算法 用來簽署這個證書的算法 發(fā)布者 CA的 有效期 證書的有效期 持有者姓名 持有者姓名 公鑰 持有者的公鑰和所用算法的編號 發(fā)布者 ID 唯一確定發(fā)布者的編號 持有者 ID 唯一確定持有者的編號 擴展 已定義的許多擴展 簽名 證書的簽名（用 CA的私鑰簽名） Tnbm P768 Fig. 825 X509的證書標準 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 68 / 107 公鑰管理 ? 公鑰獲取中的安全問題 ? 證書 ? ? PKI（公鑰基礎設施） 討論兩個互不相識的人如何通過公鑰機制來通信，如何能得到對方的公鑰 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 69 / 107 公鑰基礎設施 PKI （ Public Key Infrastructure） ? 為了解決認證過程中的一些問題，如單個認證中心負擔太重，多個認證中心又容易引起證書的泄漏，認證中心應該由哪個機構(gòu)來運作等問題 ? PKI的組成：由用戶、 CA、證書和目錄組成， PKI提供如何將這些機構(gòu)組織起來，如何定義各種文件和協(xié)議的標準 ? 最簡單的結(jié)構(gòu)是層次結(jié)構(gòu)，有根、 RA（區(qū)域機構(gòu)）和 CA組成 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 70 / 107 本章將討論： ? 密碼學 ? 對稱密鑰算法 ? 公開密鑰算法 ? 數(shù)字簽名 ? 公鑰管理 ? 通信安全 ? 認證協(xié)議 ? Email的安全 ? Web安全 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 71 / 107 通信安全 ? IPSec ? 防火墻 ? VPN 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 72 / 107 IPSec ? 提供多種服務、多種算法和多種顆粒度的加密框架 ? 多種服務指的是安全、完整和抗重播，所有的這些都是基于對稱加密 ? 多種算法指的是算法是獨立的，即使某些算法將來被攻破， IPSec的框架還是保持不變 ? 多種顆粒度指的是可以保護單個 TCP流，也可以保護一對主機間的所有流量或一對安全路由器間的所有流量 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 73 / 107 安全聯(lián)盟 SA（ Security Association） ? 雖然 IPSec是工作在 IP層，但它卻是面向連接的，一個連接被稱為一個安全聯(lián)盟 SA ? SA是單向的，如要進行雙向通信，必須要兩個 SA ? 每個 SA有一個與之相關(guān)的安全標識符，安全標識符被放入該安全通道中的每個數(shù)據(jù)包中，用來檢查密鑰和一些相關(guān)的信息 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 74 / 107 IPSec的組成 ? 用來攜帶安全標識、完整性控制數(shù)據(jù)和其它信息的兩個新頭部 ? 安全聯(lián)盟和密鑰管理協(xié)議 ISAKMP（ Inter Security Association and Key Management Protocol） 用來處理創(chuàng)建密鑰的工作 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 75 / 107 IPSec的工作方式 ? 原始的 IP包 ? 傳輸模式 ? 隧道模式 IP頭 TCP頭 數(shù)據(jù) IP頭 IPSec頭 TCP頭 數(shù)據(jù) IP頭 IPSec頭 IP頭 TCP頭 數(shù)據(jù) 驗證頭 AH ，或者 封裝安全載荷 ESP 封裝安全載荷 ESP ESP的認證 ESP的認證 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 76 / 107 傳輸模式中的 AH ? 傳輸模式中的驗證頭 AH （ Authentication Header）用于為 IP 提供數(shù)據(jù)完整性、數(shù)據(jù)原始身份驗證和一些可選的、有限的抗重播服務，但不提供數(shù)據(jù)加密功能 IP頭 AH TCP頭 數(shù) 據(jù) 下一個頭 負載長度 （保留） 安全參數(shù)索引 序列號 認證數(shù)據(jù)（ HMAC） 32 bit Tnbm P774 Fig. 827 在 IPv4的傳輸模式中的IPSec認證頭 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 77 / 107 傳輸模式和隧道模式中的 ESP ESP（ Encapsulating Security Payload） ? 屬于 IPSec的一種協(xié)議，可用于確保 IP數(shù)據(jù)包的機密性（未被別人看過）、數(shù)據(jù)的完整性以及對數(shù)據(jù)源的身份驗證，此外，也要負責對重播攻擊的抵抗 IP頭 ESP頭 TCP頭 數(shù) 據(jù) 認證（ HMAC） 這部分內(nèi)容被加密 Tnbm P775 Fig. 828 新 IP頭 ESP頭 老 IP頭 TCP頭 數(shù) 據(jù) 認證（ HMAC） 這部分內(nèi)容被加密 ? 傳輸模式中的 ESP ? 隧道模式中的 ESP 這部分內(nèi)容被認證 這部分內(nèi)容被認證 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 78 / 107 通信安全 ? IPSec ? 防火墻 ? VPN 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 79 / 107 防火墻 Firewall ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡層防火墻 ? 應用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 80 / 107 防火墻的作用 ? 保障內(nèi)部網(wǎng)絡的安全，不受攻擊 ? 監(jiān)視、記錄進出內(nèi)部網(wǎng)的信息，包括流量統(tǒng)計，設置訪問控制表等 ? 可以設置 NAT（ Network Address Translate） 網(wǎng)絡地址轉(zhuǎn)換器，用于節(jié)約 IP地址，使大量用戶使用少量 IP地址，讓用戶僅在出子網(wǎng)時使用正式的 IP地址，否則使用內(nèi)部的 IP地址，對外屏蔽內(nèi)部網(wǎng)絡結(jié)構(gòu) ? 可采用加密技術(shù)對信息進行加密處理 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 81 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡層防火墻 ? 應用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 82 / 107 基于協(xié)議層的防火墻分類 ? 包過濾器：網(wǎng)絡層 ? 應用網(wǎng)關(guān)：應用層 在實際應用中，通常防火墻的安裝位置 外部網(wǎng)絡 內(nèi)部網(wǎng)絡 包過濾器 包過濾器 應用網(wǎng)關(guān) 防火墻 外部網(wǎng)絡 企業(yè)內(nèi)網(wǎng) 路由器 防火墻 企業(yè)外網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 83 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡層防火墻 ? 應用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 84 / 107 網(wǎng)絡層防火墻 ? 檢查的項目 源 IP地址 目的 IP地址 TCP/IP協(xié)議及其源、目的端口號 (port number) ? 訪問控制表 （ +表示無限制） action src port des port flag ments allow + 1023 23 tel allow + 1023 25 SMTP allow 1023 119 NNTP allow + + + + ACK 回答響應 block hackers address + + + 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 85 / 107 網(wǎng)絡層防火墻 （續(xù)） ? 可能存在的漏洞 ? IP地址欺騙：冒充被授權(quán)或被信任的主機 ? IP分段和重組： IP包的最大長度為 65535Byte，傳輸過程中允許分段，如重組后的長度超過65535，則 TCP/IP的協(xié)議棧將崩潰 ? 其他安全漏洞 1 2 router 外部網(wǎng) 盜用內(nèi)部IP地址 PSTN 內(nèi)部網(wǎng) 外部網(wǎng) 防火墻 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 86 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡層防火墻 ? 應用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 87 / 107 應用層防火墻 ? 采用代理網(wǎng)關(guān)，外部網(wǎng)委托代理執(zhí)行相應的操作 內(nèi)部網(wǎng) 外部網(wǎng) 代理 代理 應用層防火墻 額外功能： ? 代理可控制一些服務的子功能，如 FTP，可設置服務器只提供 get不提供 put ? 流量、計費等功能 ? 檢查傳輸信息本身，如 mail 對不同的應用，應建立不同的應用網(wǎng)關(guān)，開銷較大，所以通常僅開放幾個常用的應用 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 88 / 107 通信安全 ? IPSec ? 防火墻 ? VPN 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 89 / 107 VPN ? 在公共網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)的技術(shù)，以取代原來的專線 ? VPN可建在 ATM或幀中繼上，但目前一般指的是建立在 Inter上，通過防火墻和隧道技術(shù)保證安全 Inter 防火墻 Tnbm P779 Fig. 830 VPN 防火墻《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 90 / 107 本章將討論： ? 密碼學 ? 對稱密鑰算法 ? 公開密鑰算法 ? 數(shù)字簽名 ? 公鑰管理 ? 通信安全 ? 認證協(xié)議 ? Email的安全 ? Web安全 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 91 / 107 認證協(xié)議 ? 驗證通信對方是約定的可信任者而不是入侵者 ? 兩種認證方法 ? 基于公鑰：用 PKI的機制 ? 基于對稱密鑰 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡安全 92 / 107 基于共享密鑰的雙向認證 ? 通信雙方 A和 B事先已通過安全通道交換了一個共享密鑰 KAB，此時認證可用 challengeresponse協(xié)議 Tn