Internet上使用的安全協議

網路安全是分層實現的，從應用層安全到資料鏈路層安全。

一、運輸層安全協議：安全套接字SSL

1.1.簡介

• SSL 是安全套接層 (Secure Socket Layer)，可對全球資訊網客戶與伺服器之間傳送的資料進行加密和鑑別。
• SSL 在雙方的聯絡階段協商將使用的加密演算法和金鑰，以及客戶與伺服器之間的鑑別。
• 在聯絡階段完成之後，所有傳送的資料都使用在聯絡階段商定的會話金鑰。
• SSL 不僅被所有常用的瀏覽器和全球資訊網伺服器所支援，而且也是運輸層安全協議 TLS (Transport Layer Security)的基礎。

1.2.SSL 的位置

• 在傳送方，SSL 接收應用層的資料（如 HTTP 或 IMAP 報文），對資料進行加密，然後把加了密的資料送往運輸層 TCP 套接字。

• 在接收方，SSL 從 TCP 套接字讀取資料，解密後把資料交給應用層。（傳送方和接收方都有SSL層）

1.3.使用SSL技術的例子

當我們訪問網站時，一般不涉及輸入賬號密碼等操作的網頁使用的都是 "HTTP" 協議（使用80埠），即網站域名開頭為：http://；當涉及賬號密碼等敏感資訊的操作時，網站一般都會使用 "HTTPS"協議（使用443埠），"S"表示的即是SSL (Secure Socket Layer)，即網站域名開頭為：https://。

例如，我們訪問中國工商銀行的官網：

在主頁處的域名欄中可以發現瀏覽器提醒的 "不安全" 字樣，實際上該主頁使用的就是HTTP協議，即不加密資訊，明文傳輸。由於這是谷歌瀏覽器，沒有顯示 "http://" 的域名字首。

當點選登入時，跳轉到另外一個網頁：

從網站域名開頭的 "https://" 可以看出，涉及到賬號密碼等敏感資訊的登入頁面使用的是HTTPS協議，說明網頁使用了SSL技術。

補充

HTTP協議使用了安全套接字（SSL）變成了HTTPS協議，使用的埠由80變為443，其他應用層的協議也可以使用安全套接字：

• IMAPS：TCP-993；
• POP3S：TCP-995；
• SMTPS：TCP-465；

1.4.安全套接字實現的過程：https

https既採用了對稱加密的效率，也採用了非對稱加密的安全。

通訊前Web伺服器先把證書中的公鑰交給IE瀏覽器（客戶），IE瀏覽器根據收到的公鑰生成一個對稱金鑰，然後使用公鑰加密對稱金鑰併發送給Web伺服器。

Web伺服器使用私鑰解密收到的加密後的對稱金鑰，隨後使用對稱金鑰加密需要傳輸的資料。在之後的通訊中都採用該對稱金鑰對資料加密和解密。

在傳輸對稱金鑰的過程中使用非對稱加密，在傳輸資料過程中使用對稱加密。這樣既保證了資料傳輸的安全，也提高了效率。

所以，在使用https通訊的時候一開始都不會太快，因為要協商對稱金鑰，協商好之後才會快起來。

檢視使用https網站的證書

例如：百度。

點選 "鎖" 圖示。

點選 "證書" 即可檢視到該網站使用的證書。

1.5.SSL 實現的三個功能

• SSL 伺服器鑑別 ：允許使用者證實伺服器的身份。具有 SSL 功能的瀏覽器維持一個表，上面有一些可信賴的認證中心 CA (Certificate Authority)和它們的公鑰。
• 加密的 SSL 會話 ：客戶和伺服器互動的所有資料都在傳送方加密，在接收方解密。
• SSL 客戶鑑別 ：允許伺服器證實客戶的身份。

上圖為頒發給百度首頁的證書，可以看到SSL除了可以加密會話資訊之外，還可以鑑別伺服器和客戶身份。

---

二、網路層安全協議：IPSec

網路安全是分層實現的。

• 應用層安全：比如微軟的 "Outlook" 郵箱，可以通過在應用程式中的某些設定實現資料傳輸的安全。應用層安全的特點為需要應用程式的支援。

• 傳輸層安全：傳輸安全是通過夾在應用層和傳輸層中間的SSL層實現的，傳送方的SSL可以將應用層的資料加密後給傳輸層，接收方的SSL傳輸層收到的資料解密後給應用層。SSL安全的特點為需要配置相應證書。

• 網路層安全：屬於底層安全，不需要應用程式支援，也不需要配置證書，對使用者來說是透明的，即使用者並不知道資料在該層進行了加密。

  比如，未加密的資料經過傳送方的網絡卡實現了加密，接收方的網絡卡實現資料解密，整個過程使用者是不知道的，是透明的，即使資料在傳輸過程中被截獲了，第三方也不能破解其中內容；或者資料被篡改了，接收方也能發現，這便是網路層安全。

2.1.IPsec與安全關聯 SA

網路層保密是指所有在 IP 資料報中的資料都是加密的。

IPsec 中最主要的兩個部分

• 鑑別首部 AH (Authentication Header)： AH鑑別源點和檢查資料完整性，但不能保密。類似於數字簽名，用於確保資料的來源並判斷資料是否被更改。
• 封裝安全有效載荷 ESP (Encapsulation Security Payload)：ESP 比 AH 複雜得多，它鑑別源點、檢查資料完整性和提供保密。 類似於既使用數字簽名，又使用共享金鑰對資料進行加密。

安全關聯 SA(Security Association)

• 在使用 AH 或 ESP 之前，先要從源主機到目的主機建立一條網路層的邏輯連線。此邏輯連線叫做安全關聯 SA

• IPsec 就把傳統的因特網無連線的網路層轉換為具有邏輯連線的層。

• SA（安全關聯）是構成IPSec的基礎，是兩個通訊實體經協商（利用IKE協議）建立起來的一種協定，它決定了用來保護資料分組安全的安全協議（AH協議或者ESP協議）、轉碼方式、金鑰及金鑰的有效存在時間等。

2.2.安全關聯的特點

• 安全關聯是一個單向連線。它由一個三元組唯一地確定，包括：

  (1) 安全協議（使用 AH 或 ESP）的識別符號；

  (2) 此單向連線的源 IP 地址；

  (3) 一個 32 位的連線識別符號，稱為安全引數索引 SPI (Security Parameter Index)；

• 對於一個給定的安全關聯 SA，每一個 IPsec 資料報都有一個存放 SPI 的欄位。通過此 SA 的所有資料報都使用同樣的 SPI 值。

2.3.檢視安全關聯

• 在Windows系統開始頁面輸入命令mmc開啟 "Microsoft 管理控制檯"，開啟 "檔案" 選擇 "新增/刪除管理單元"。

• 找到並新增 "IP安全監視器"。

• 回到控制檯介面，可在IP安全監視器中找到 "安全關聯" 選項，選中後可檢視已建立的安全關聯。

2.4.鑑別首部協議 AH

• 在使用鑑別首部協議 AH 時，把 AH 首部插在原資料報資料部分的前面，同時把 IP 首部中的協議欄位置為 51。
• 在傳輸過程中，中間的路由器都不檢視 AH 首部。當資料報到達終點時，目的主機才處理 AH 欄位，以鑑別源點和檢查資料報的完整性。

AH首部

(1) 下一個首部(8 位)。標誌緊接著本首部的下一個首部的型別（如 TCP 或 UDP）。

(2) 有效載荷長度(8 位)，即鑑別資料欄位的長度，以 32 位字為單位。

(3) 安全引數索引 SPI (32 位)。標誌安全關聯，兩個計算機進行通訊時的SPI值是固定的。

(4) 序號(32 位)。鑑別資料欄位的長度，以32 位字為單位。

(5) 保留(16 位)。為今後用。

(6) 鑑別資料(可變)。為 32 位字的整數倍，它包含了經數字簽名的報文摘要。因此可用來鑑別源主機和檢查 IP 資料報的完整性。

2.5.封裝安全有效載荷 ESP

使用 ESP 時，IP 資料報首部的協議欄位置為 50。當 IP 首部檢查到協議欄位是 50 時，就知道在 IP 首部後面緊接著的是 ESP 首部，同時在原 IP 資料報後面增加了兩個欄位，即 ESP 尾部和 ESP 資料。

• ESP 首部：裡面有標識一個安全關聯的安全引數索引 SPI (32 位)，和序號(32 位)。
• ESP 尾部：裡面有下一個首部（8 位，作用和 AH 首部的一樣）。ESP 尾部和原來資料報的資料部分一起進行加密，因此攻擊者無法得知所使用的運輸層協議。
• ESP 鑑別：和 AH 中的鑑別資料是一樣的。因此，用 ESP 封裝的資料報既有鑑別源站和檢查資料報完整性的功能，又能提供保密。

2.6.設定本地計算機的IP安全策略

• 在計算機的 "開始" 介面搜尋 "本地安全策略"。

• 右鍵 "IP安全策略" 開啟選單，選擇 "建立 IP 安全策略"。

• 進入 "IP安全策略嚮導" ，建立一個自定義的 IP安全策略，隨後一直 "下一步" 結束嚮導。

這裡的 "啟用預設規則" 指的是，當沒有指定規則時，使用預設的規則。

• 進入自定義IP安全策略的屬性介面，去掉預設勾選的 "使用新增嚮導" 這樣可以看到更多的細節，然後點選 "新增"，新增新的IP安全規則。

進入 "新規則 屬性" 介面，在 "IP篩選器列表" 選項中可選擇和新增 IP篩選器列表，它的作用是：指定受此新規則影響的網路流量。比如所有的 IP 通訊、所有的 ICMP 通訊等，即設定允許接收從哪裡來或到哪裡去的資料。

• 點選 "新增" 進入 "IP 篩選器列表"介面，自定義IP 篩選器列表。

• 去掉預設勾選的 "使用新增嚮導" 選項，繼續點選 "新增" ，進入 "IP 篩選器 屬性" 介面。該介面可以設定 IP篩選器 的地址、協議和描述資訊。

• 在 "地址" 選項卡的 "源地址" 選項中可以設定 與本計算機通訊的流量資料中的源地址。

• 同樣也可以設定目標地址。

• 在 "協議" 選項卡中，可以設定通訊的協議型別和相應的埠。

• 在 "描述" 選項卡可給自定義的IP篩選器新增描述。

• 編輯完 IP 篩選器屬性後，回到 "IP篩選器列表" 可看到剛才新增的IP篩選器。

• 點選 "確認" ，回到 "新規則 屬性" 介面，可在 "IP 篩選器列表" 中看到剛才自定義的IP篩選器列表。

在 "篩選器操作" 選項卡中，可以指定如何保障新建的IP篩選器列表的網路流量的安全，即指定在 "IP 篩選器列表" 中設定的允許通行的流量使用的安全方法（AH或ESP等）。同樣不使用嚮導，點選 "新增"，新增篩選器的操作。

• 在進入的 "新篩選器操作 屬性" 介面中，可以設定對應的安全方法，比如可以無條件阻止或許可之前選定的 IP 篩選列表中的通訊流量，也可以在協商安全的情況下進行通訊。我們選中 "協商安全" 選項，然後點選 "新增" ，新增對應的安全方法。

• 進入 "新增安全方法" 介面，可以看到有兩種安全方法，一種為 "完整性和加密"，相當於既使用數字簽名也使用共享金鑰加密；另一種為 "僅保持完整性"，相當於數字簽名。這便是IPSec中的AH協議和ESP協議這兩種協議。

• 選擇 "自定義" 選項，再點選 "設定" ，進入 "自定義安全方法設定" 介面。在該介面中可以選擇使用的安全協議AH或者ESP及相應的演算法，也可以設定會話金鑰生成的間隔（金鑰生成時間）：每傳輸多少資料或每經過多長時間生成新金鑰。

• 設定完相應的安全方法後回到 "新篩選器操作 屬性" 介面， 可以看到剛才自定義的安全方法及相應設定。在介面下方的三個選項中，前兩項設定如字面意思，第三項設定意思為新金鑰生成之後，以後加密資料都不會再使用舊金鑰。隨後點選 "應用" 和 "確認" 回到 "新規則 屬性" 介面。

在 "身份驗證方法" 選項卡中，可以指定通訊雙方建立信任關係的方法，即驗證通訊雙方的身份。點選 "新增" 進入 "新身份驗證方法 屬性" 介面。

• 在該介面中，可以指定身份驗證方法。例如通過設定共享金鑰，來實現身份驗證。

• 設定完成後點選 "確認" 可回到 "新規則 屬性" 介面，可看到新增的身份驗證方法。

"新規則 屬性" 介面的 "隧道設定" 選項卡可設定IPSec隧道相關屬性。

"新規則 屬性" 介面的 "連線型別" 選項卡可指定使用新規則的連線型別。

• 這樣便完成了新規則的屬性設定，回到自定義IP安全策略的屬性介面，可以看到新增的自定義列表。

• 點選 "確定"，回到 "本地安全策略" 介面，可看到新增的 "toServer" 安全策略，此時該安全策略還未生效。右鍵選擇 "分配" 可指派該策略，使計算機使用該安全策略進行通訊。

2.7.模擬練習

把本地計算機當作Web伺服器，按圖中要求設定Web伺服器到三臺計算機的安全策略，其中計算機XP1的IP地址為192.168.80.101，XP2為192.168.80.102，XP3為192.168.80.103 。

• 設定Web伺服器到計算機XP1的安全策略：

  在 "新規則 屬性" 介面的 "IP篩選器列表" 中新增新列表，指定通訊的目標地址為XP1的IP地址：192.168.80.101 。

  

  

  在 "IP篩選器列表" 中選中 "toXP1" 的情況下，在 "篩選器操作" 中新增安全方法名稱為改為AH。

  

  

  

  在 "IP篩選器列表" 中選中 "toXP1" 和 "篩選器操作" 中選中 "AH"的情況下，在 "身份驗證方法" 中新增Web伺服器到XP1的身份驗證方法：使用共享金鑰aaa。

  

  

  "隧道設定" 和 "連線型別" 兩項該例中不用設定，由此完成從Web伺服器到XP1安全策略的設定。

• 設定Web伺服器到計算機XP2和XP3的安全策略與到XP1的設定同理。最後，Web伺服器把到XP1~XP3的安全策略都按要求添加了。

• 回到 "本地安全策略" 介面，選中新增的 "toXPS" 安全策略，右鍵 "分配" ，該安全策略生效，即按要求完成了Web伺服器的安全策略設定。

設定完之後，當Web伺服器與XP1和XP2通訊時，使用裝包工具抓到的資料包只能看到加密後的資料；當Web伺服器與XP3通訊時，由於沒有加密，所以抓包工具抓到的資料包能看到傳輸的明文。可在虛擬機器中模擬四臺計算機進行驗證，這裡就不展開了。

2.8.關於IP安全規則衝突問題

如下圖所示，在IP安全規則中勾選的 "所有 IP 通訊量" 是否與其他勾選的安全規則衝突呢？是不衝突的，選擇IP安全規則時採用的是最佳匹配原則。比如：老師說中午12點下課，班幹部11：30開完會後可以離開，張三11點就能走，雖然時間不同，但是每個學生都清楚自己幾點可以走，這就是最佳匹配。通訊時，如果是與XP2通訊，那麼計算機就採用 "toXP2" 安全規則；與XP3通訊，則採用 "toXP3" 安全規則；如果都不是，才採用 "所有 IP 通訊量" 安全規則。

相關推薦