八、认证服务
8.1、PKI/CA 公钥基础设施
8.1.1、定义
PKI/CA (Public Key Infrastructure / Certificate Authority),即公钥基础设施/认证中心(证书颁发机构)。
8.1.2、核心组件
CA 中心:负责颁发数字证书的权威机构。
服务器:申请并持有证书的一方。
客户机:验证证书并与服务器通信的一方。
8.1.3、认证与通信流程
下载证书:客户机从服务器下载数字证书。
验证真伪 :客户机使用 CA公钥 验证证书的真伪(验证签名)。
提取公钥 :验证通过后,提取出 工商银行公钥。
生成密钥 :客户机生成一个 随机密钥(用于后续对称加密)。
加密密钥 :使用 工商银行公钥 加密这个随机密钥。
传输加密:用随机密钥传输加密数据(建立安全通道)。
8.1.4、X.509 标准
PKI 体系中,数字证书的格式遵循 X.509 国际标准。
8.1.5、CA 的公钥哪里来?
根证书(Root CA)的公钥通常是预装在操作系统或浏览器中的。如果你的浏览器里没有这个 CA 的根证书,它就会弹出"此网站安全证书有问题"的警告。
8.1.6、RA (注册机构)
RA 负责审核用户的资格,CA 负责具体签发证书。RA 是 CA 的"前台",CA 是"后台"。
8.1.7、HTTPS/SSL 握手流程图
客户端 - 浏览器
服务端 - 如工商银行
信任源头
1.颁发签名
2.下发证书
3.使用CA公钥验签
4.验证成功,提取Server公钥
5.使用Server公钥加密
6.发送
7.使用Server私钥解密
8.使用随机密钥进行安全通信
CA中心
Web服务器
数字证书
包含Server公钥
获得随机密钥
客户机
内置的CA根证书公钥
生成随机对称密钥
Server公钥
加密后的随机密钥
8.2、数字证书内容 (X.509)
8.2.1、核心信息
证书的 版本信息。
证书的 序列号(每个证书唯一)。
证书所使用的 签名算法。
证书的 发行机构名称(命名规则一般采用 X.500 格式)。
证书的 有效期(UTC 时间格式,如 1950-2049)。
证书 所有人的名称(X.500 格式)。
证书所有人的公开密钥 (重点:证书里存的是公钥,绝对没有私钥!)。
证书发行者对证书的签名 (重点:CA 用自己的私钥签的名,防止证书被篡改)。
8.2.2、CRL (证书吊销列表)
如果私钥泄露了,证书还没过期怎么办?CA 会发布 CRL,列出所有作废的证书序列号。验证证书时,不仅要看有效期,还要查 CRL。
8.3、Kerberos 认证服务
8.3.1、定义
Kerberos 是一种计算机网络认证协议,基于对称密码学,允许节点在非安全网络中进行身份认证。
8.3.2、核心组件 (KDC)
KDC (密钥分发中心):包含两个部分。
AS (Authentication Server):认证服务器。
TGS (Ticket Granting Server):票据授予服务器。
8.3.3、票据 (Ticket)
Kerberos 的核心凭证。
8.3.4、认证流程 (三步走)
Client ↔ \leftrightarrow ↔ AS:
- 用户登录,向 AS 请求认证。
- AS 验证用户身份,返回 TGT (Ticket Granting Ticket,票据授予票据)。
Client ↔ \leftrightarrow ↔ TGS:
- 用户拿着 TGT 去找 TGS,申请访问特定服务(如打印机、文件服务器)的票据。
- TGS 验证 TGT,返回 Service Ticket (服务票据)。
Client ↔ \leftrightarrow ↔ Server:
- 用户拿着 Service Ticket 直接去访问 Server。
- 建立服务会话 (Session)。
8.3.5、核心机制
对称加密(注意:Kerberos 不使用非对称加密/公钥体系,这是它和 PKI 最大的区别)。
8.3.6、防重放攻击
Kerberos 严重依赖时间戳 (Timestamp)。如果客户端和服务器时间不同步,认证会失败。
8.3.7、单点登录 (SSO)
Kerberos 是 Windows 域环境和许多企业内网实现 SSO 的标准协议(登录一次 AS,拿 TGT,之后访问所有服务都不用再输密码,只需拿 TGT 换票)。
8.3.8、Kerberos 认证流程图
密钥分发中心
(1) 用户登录/请求认证
(2) 返回 TGT (票据的票据)
(3) 提交 TGT + 申请服务
(4) 返回 Service Ticket (服务票据)
(5) 提交 Service Ticket
(6) 建立服务会话
AS: 认证服务器
TGS: 票据授予服务器
Client: 客户端
Server: 应用服务器
九、网络安全控制技术
9.1、网络安全控制技术范围
防火墙布设。
VPN技术。
访问控制技术。
网络安全隔离:
- 包括:子网隔离 、Vlan隔离 、逻辑隔离 、物理隔离(网闸)。
网络安全审计:
- 审计四要素 :控制目标 、安全漏洞 、控制措施 和 控制测试。
9.2、物理隔离 vs 逻辑隔离
9.2.1、VLAN/子网
属于逻辑隔离。虽然IP通不了,但物理线路上是通的,黑客可以通过"VLAN跳跃攻击"突破。
9.2.2、网闸 (GAP)
属于物理隔离 。它是真正的"断开"技术。数据在网闸内部通过专用硬件(摆渡)进行交换,内外网永远不直接连通。在涉密网与互联网之间,必须用网闸/物理隔离。
9.3、防火墙体系
9.3.1、包过滤防火墙
工作在网络层(IP/端口),速度快,但看不懂内容。
9.3.2、应用代理防火墙
工作在应用层,能看懂内容(如HTTP),安全高,但速度慢。
9.4、网络安全协议与OSI模型
9.4.1、安全协议在 OSI 七层模型中的位置
| OSI 分层 | 对应的安全协议/技术 | 备注 |
|---|---|---|
| 应用层 | PGP (邮件), HTTPS (Web) | 面向具体应用数据的安全 |
| 表示层 | MIME,(SSL 跨越了这几层) | |
| 会话层 | SSL ,SSH (远程登录) | 位于应用层之下,传输层之上 |
| 传输层 | TLS , SET (电子支付) | 端到端的安全传输 |
| 网络层 | 防火墙 , IPSec | 针对 IP 包的安全 (VPN核心) |
| 数据链路层 | 链路加密 , PPTP , L2TP | 针对帧的安全 (VPN隧道) |
| 物理层 | 隔离 , 屏蔽 | 物理线路安全 |
9.4.2、IPSec (Internet Protocol Security)
层级 :网络层(IP层)。
模式:隧道模式(加密整个IP包,生成新IP头) vs 传输模式(只加密负载)。
协议:AH(认证头,防篡改) + ESP(封装安全载荷,防篡改+加密)。
9.4.3、SSL / TLS (Secure Sockets Layer)
层级 :介于传输层 和应用层之间。
HTTPS = HTTP + SSL/TLS。默认端口 443。
9.4.4、PGP (Pretty Good Privacy)
层级 :应用层。
用途:电子邮件加密(混合加密机制:RSA + IDEA/CAST)。
9.4.5、VPN 协议
PPTP, L2TP :工作在 数据链路层(第2层)。
IPSec :工作在 网络层(第3层)。
SSL VPN :工作在 会话/应用层(第4-7层)。
9.5、OSI 安全协议栈图谱
OSI 模型与安全协议映射
L7 应用层
PGP (邮件), HTTPS (Web)
L6 表示层
MIME (邮件编码)
L5 会话层
SSL, SSH (远程登录)
L4 传输层
TLS, SET (电子支付)
L3 网络层
IPSec, 防火墙
L2 数据链路层
PPTP, L2TP, 链路加密
L1 物理层
物理隔离, 屏蔽