EBU7140 Security and Authentication(三)密钥管理;IP 层安全
用户只要认证过公钥信息,就可以随时从 CA 规复自己的公钥。只有 CA 能修改证书,其他第三方修改证书会被检测到。
CA<> 表示 CA 给 A 署名的证书。
https://img-blog.csdnimg.cn/img_convert/b8700a69eadf76658ece86a9f3d82c40.png
用户私钥被泄漏时(用户私钥泄漏,或 CA 被攻破 compromised),或者不想使用这家 CA 机构继续代理证书时,要撤销证书。
CA 会定期发布 CRL 公示不再使用的证书,用户以此校验是否撤销成功。
假如 AB 使用了不同的 CA 机构,两者之间可能会请求另一方试图获取其证书。有的时间我们切换网站提示,该网站可能不安全,问我们是否要进入,实在就是换了 CA 代理机构的表现。
CA 的结构是树状的,根节点是根证书颁发机构,可以签发所有其他的证书;中间证书作为中间人,可以更好地保密根节点证书,且方便定期更换;终端结点是一些接受 CA 服务的用户、服务器等。
https://img-blog.csdnimg.cn/img_convert/db9fea89439aed528881938e9518ef1d.png
User Authentication
重点在于标识用户身份而不是消息
主要分为:确定标识符 identifier ,绑定用户与标识符。
认证协议
认证协议:用于校验用户双方并互换会话密钥,需要保密性(会话密钥不能泄漏)和时效性(防止有人拦截重复发送认证信息)。
身份管理
如何管理登记用户身份?
联合管理体系涉及很多步骤:认证用户身份,授权用户权限,记录用户资源活动……
简朴身份管理流程如下:类似学生借书,先去学生中心认证自己的身份,学生中心核实后认为你小子有资格借书,于是给你一张借书票,你再拿着借书票去图书馆借书。
具体流程:客户端发送自己 ID,server 服务器 ID,自己的暗码,以上信息发给 AS。AS 收到后先核实是不是你,是你的话你有没有权限使用服务?假如有,我用你的这些信息做一张 ticket 给你,你拿着去找服务端。服务端收到后解密(ticket 是用 AS 和 Server 都知道的密钥加密的),核实后提供给用户服务。
https://img-blog.csdnimg.cn/img_convert/e5854289745b03bc71f9149eb3d703ab.png
问题在于需要用户输入暗码,而且暗码明文传输。因此假如我们有办法用 ticket 也替代用户传入的 password 就好了。我们用一个 TGS 服务器存用户密钥信息,如许客户端只需要发自己的 ID 和 server ID 给 server 就行。这就是下面的 kerberos 算法。
Kerberos
Kerberos 这个起名很有意思,是地狱三头犬的意思。
它是一种用户授权和访问控制应用 an authentication service designed for use in a distributed environment,通过第三方校验用户身份,建立授权通讯,允许用户在不安全网络中证实自己的身份 It makes use of a trusted third-party authentication service that enables clients and servers to establish authenticated communication。
用户认证过程可能出现的三个主要问题:模拟用户获得该用户对工作站的访问权限,模拟工作站给用户服务,截获用户认证信息举行重放来获得权限。Kerberos 主要是围绕办理这些问题而展开。
首先 Kerberos 身份认证中有几个对象:KDC 是其服务器(包罗下图的 AS 和 TGS);客户端;服务端。K 服务器拥有用户向他注册的所有 id 暗码信息,且与其他服务器共享密钥用于 ticket 天生(不同域 Realm 的 K 服务器也共享密钥)。
https://img-blog.csdnimg.cn/img_convert/b7c8ac7b77fec503c3263f0566f5ee0c.png
AS TGS 共享一个解密 TGT 的密钥,TGS S 共享一个解密 ST 的密钥。
https://img-blog.csdnimg.cn/img_convert/bbe92868909ae65023ae747694ba0537.png
为什么不通过暗码校验用户身份,而是票呢?因为不安全网络,警惕被窃听者 eavesdropper 偷听到暗码。
另一个问题是,用户每次登录都需要输入用户信息很贫苦,我们可以把信息保存一段时间,而且保存时间不宜过长,定期需要重新发送确保安全性。这就引入了时间戳的概念。
https://img-blog.csdnimg.cn/img_convert/5398a684327276bad28569d4b5824993.png
以上内容主要是围绕 Kerbero4 算法的讲解。5的话就是安全性高了一些,而且支持的算法也多了,好比 4 只支持 DeS 算法。
IP 安全
前面的加解密算法主要是在会话层和表示层,ip 安全主要是网络层。
IPSec
一种 IP 安全协议,提供 IP packet 数据包的保密性、授权性或二者都有的保护。没有 IP 层的保护,IP 数据包很容易被攻击篡改。IPSec 建立一条加密通道来传输信息。
主要组成部分还是前面那几大类:encryption,authentication,key management。
能实现的功能:
[*]encryption 加密。
[*]authentication 数据认证。
[*]Connectionless integrity 无毗连的完备性,好比 UDP 就是没有建立毗连的通讯协议。
[*]access control 访问控制。
[*]Rejection of replayed packets 拒绝重放,重放是认证的一个大隐患。
[*]Limited traffic flow confidentiality 流量保密,否则让第三方知道自己的流量承受限度,大概会遭到大流量攻击。
IPSec 主要在数据包中添加 AH 和 ESP 两个字段来分别确保认证和加密。具体算法都是前面学过的方法,好比 HMAC 附着哈希值认证,加密接纳 CBC 的 DES。另有一个新增的可选字段 domain of interpretation DOI,和学术论文 id 的 DOI 不同,这个 DOI 主要是用于标识加密方法的(好比0是 ISAKMP DOI,1是 IPSec DOI)。
SA
SA:security association,就是发数据要建立的单向安全数据毗连,假如要收发数据,需要建立两条 SA。
SA 包罗的属性:
[*]Sequence Number Counter:自增的序列号,唯一标识不同的数据包,可以防止重放攻击。
[*]Sequence Counter Overflow:用于处理处罚序列号溢出,处理处罚不妥可能也会遭到重放攻击。
[*]Anti-Replay Window:规定只吸收特定窗口范围内的数据,同样为了防止重放攻击。
[*]AH Information:前面先容过,用于认证。
[*]ESP Information:先容过,用于加密(以及可选的数据完备性校验)。
[*]Lifetime of this Security Assocation:SA 有用生命周期,比力好明白。
[*]IPSec Protocol Mode:两种模式,隧道模式 tunnel mode 加密整个数据包,传输模式 transport 只加密其有用载荷部分 payload。看下图好像就多了一个原 ip header。VPN virtual private network 就是隧道模式建立的,保密性更好;而传输模式通过 ESP 加密实现,服从更高。
[*]Path MTU:规定最大传输单元巨细。
https://img-blog.csdnimg.cn/img_convert/897eb5278372d886e677aeafe0bf750f.png
ESP 和 AH 的同时实现需要结合多个 SA。
Sockets
应用程序通过 Sockets 通讯,相当于终点。
https://img-blog.csdnimg.cn/img_convert/ed176330ff6da772d5b2fa22488cab8c.png
格式如下:
https://img-blog.csdnimg.cn/img_convert/97c0c52459caa07d3d1110d2859da288.png
ipsec 可以指定 pre-packet 和 pre-socket 两种加密方式,packet 是指定目的地加密,好比发到哪些 ip 地址时需要加密;socket 是从这台主机发出的所有 packets 都加密。
key management
讲了加密,认证,另有就是密钥管理。
Oakley Key Determination Protocol 是一种改进自 DH 的密钥互换协议。ISAKMP 是一种密钥管理协议框架,双方协商建立、修改、删除 SA,包罗一系列消息类型,他自己并非具体的密钥互换算法,但是这些消息类型支持不同密钥互换算法的实现。
https://img-blog.csdnimg.cn/img_convert/2fdc6947c89236f490f33dd50becb259.png
防火墙
允许访问其他网络的同时,保护本地主机/网络免受威胁。位于本地网络和 internet 之间。
能实现的:
[*]服务控制:好比 http 服务可以,ftp 不行。
[*]方向控制:好比企业外部访问不了企业内部。
[*]使用控制:用户可以访问到网络,但是对访问到的资源有限制,好比企业内部分权限。
[*]举动控制:好比防止恶意文件传输等。
防不了:内部攻击,能绕过 bypass 防火墙的攻击,盘算机病毒(特洛伊木马)。
实现方法:
[*]包过滤 Packet Filtering:简朴控制,双向校验源地址,目的地址,端口,协议等。不符合就抛弃。但是不安全,没有身份认证,而且可以通过数据包流量猜出 ip 地址,而且对高级协议有用性没有校验。可能的攻击方式:
[*]伪造 ip 地址,可以通过路由阻挡。
[*]伪造假路由,直接阻挡假路由。
[*]把数据段拆成微小碎片,可以在检查前组装或干脆抛弃小碎片来阻挡。
[*]应用层网关 Application-Level Gateway:会校验高层协议的内容信息。缺点在于开销大。
[*]电路级网关 Circuit-Level Gateway:用于转换内部网络地址,不被外部网络瞥见(抽象)。而且也会校验哪些毗连是允许的。
[*]代理服务 Proxy Services:代理服务器实现内部主机和外部主机的通讯,从而完全隔离表里网络(只能通过代理服务器,就好像 private 类通过 public get set 方法访问的感觉)。
https://img-blog.csdnimg.cn/img_convert/7e087e6b2cb4d6f69e6b7c0d4713eaa3.png
https://img-blog.csdnimg.cn/img_convert/e994b1054aedc236096112bc8d087620.png
https://img-blog.csdnimg.cn/img_convert/af1cc4934f4a30e04f72ca5ec6f406af.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]