软考-系统架构师-信息安全技术基础知识(三)
八、认证服务
8.1、PKI/CA 公钥基础设施
8.1.1、定义
PKI/CA (Public Key Infrastructure / Certificate Authority),即公钥基础设施/认证中心(证书颁发机构)。
8.1.2、核心组件
CA 中心:负责颁发数字证书的权威机构。
服务器:申请并持有证书的一方。
客户机:验证证书并与服务器通信的一方。
8.1.3、认证与通信流程
下载证书:客户机从服务器下载数字证书。
验证真伪:客户机使用CA公钥验证证书的真伪(验证签名)。
提取公钥:验证通过后,提取出工商银行公钥。
生成密钥:客户机生成一个随机密钥(用于后续对称加密)。
加密密钥:使用工商银行公钥加密这个随机密钥。
传输加密:用随机密钥传输加密数据(建立安全通道)。
8.1.4、X.509 标准
PKI 体系中,数字证书的格式遵循X.509国际标准。
8.1.5、CA 的公钥哪里来?
根证书(Root CA)的公钥通常是预装在操作系统或浏览器中的。如果你的浏览器里没有这个 CA 的根证书,它就会弹出“此网站安全证书有问题”的警告。
8.1.6、RA (注册机构)
RA 负责审核用户的资格,CA 负责具体签发证书。RA 是 CA 的“前台”,CA 是“后台”。
8.1.7、HTTPS/SSL 握手流程图
8.2、数字证书内容 (X.509)
8.2.1、核心信息
证书的版本信息。
证书的序列号(每个证书唯一)。
证书所使用的签名算法。
证书的发行机构名称(命名规则一般采用 X.500 格式)。
证书的有效期(UTC 时间格式,如 1950-2049)。
证书所有人的名称(X.500 格式)。
证书所有人的公开密钥(重点:证书里存的是公钥,绝对没有私钥!)。
证书发行者对证书的签名(重点:CA 用自己的私钥签的名,防止证书被篡改)。
8.2.2、CRL (证书吊销列表)
如果私钥泄露了,证书还没过期怎么办?CA 会发布 CRL,列出所有作废的证书序列号。验证证书时,不仅要看有效期,还要查 CRL。
8.3、Kerberos 认证服务
8.3.1、定义
Kerberos 是一种计算机网络认证协议,基于对称密码学,允许节点在非安全网络中进行身份认证。
8.3.2、核心组件 (KDC)
KDC (密钥分发中心):包含两个部分。
AS (Authentication Server):认证服务器。
TGS (Ticket Granting Server):票据授予服务器。
8.3.3、票据 (Ticket)
Kerberos 的核心凭证。
8.3.4、认证流程 (三步走)
Client↔ \leftrightarrow↔AS:
- 用户登录,向 AS 请求认证。
- AS 验证用户身份,返回TGT (Ticket Granting Ticket,票据授予票据)。
Client↔ \leftrightarrow↔TGS:
- 用户拿着 TGT 去找 TGS,申请访问特定服务(如打印机、文件服务器)的票据。
- TGS 验证 TGT,返回Service Ticket (服务票据)。
Client↔ \leftrightarrow↔Server:
- 用户拿着 Service Ticket 直接去访问 Server。
- 建立服务会话 (Session)。
8.3.5、核心机制
对称加密(注意:Kerberos 不使用非对称加密/公钥体系,这是它和 PKI 最大的区别)。
8.3.6、防重放攻击
Kerberos 严重依赖时间戳 (Timestamp)。如果客户端和服务器时间不同步,认证会失败。
8.3.7、单点登录 (SSO)
Kerberos 是 Windows 域环境和许多企业内网实现 SSO 的标准协议(登录一次 AS,拿 TGT,之后访问所有服务都不用再输密码,只需拿 TGT 换票)。
8.3.8、Kerberos 认证流程图
九、网络安全控制技术
9.1、网络安全控制技术范围
防火墙布设。
VPN技术。
访问控制技术。
网络安全隔离:
- 包括:子网隔离、Vlan隔离、逻辑隔离、物理隔离(网闸)。
网络安全审计:
- 审计四要素:控制目标、安全漏洞、控制措施和控制测试。
9.2、物理隔离 vs 逻辑隔离
9.2.1、VLAN/子网
属于逻辑隔离。虽然IP通不了,但物理线路上是通的,黑客可以通过“VLAN跳跃攻击”突破。
9.2.2、网闸 (GAP)
属于物理隔离。它是真正的“断开”技术。数据在网闸内部通过专用硬件(摆渡)进行交换,内外网永远不直接连通。在涉密网与互联网之间,必须用网闸/物理隔离。
9.3、防火墙体系
9.3.1、包过滤防火墙
工作在网络层(IP/端口),速度快,但看不懂内容。
9.3.2、应用代理防火墙
工作在应用层,能看懂内容(如HTTP),安全高,但速度慢。
9.4、网络安全协议与OSI模型
9.4.1、安全协议在 OSI 七层模型中的位置
| OSI 分层 | 对应的安全协议/技术 | 备注 |
|---|---|---|
| 应用层 | PGP(邮件),HTTPS(Web) | 面向具体应用数据的安全 |
| 表示层 | MIME,(SSL 跨越了这几层) | |
| 会话层 | SSL,SSH(远程登录) | 位于应用层之下,传输层之上 |
| 传输层 | TLS,SET(电子支付) | 端到端的安全传输 |
| 网络层 | 防火墙,IPSec | 针对 IP 包的安全 (VPN核心) |
| 数据链路层 | 链路加密,PPTP,L2TP | 针对帧的安全 (VPN隧道) |
| 物理层 | 隔离,屏蔽 | 物理线路安全 |
9.4.2、IPSec (Internet Protocol Security)
层级:网络层(IP层)。
模式:隧道模式(加密整个IP包,生成新IP头) vs 传输模式(只加密负载)。
协议:AH(认证头,防篡改) + ESP(封装安全载荷,防篡改+加密)。
9.4.3、SSL / TLS (Secure Sockets Layer)
层级:介于传输层和应用层之间。
HTTPS= HTTP + SSL/TLS。默认端口443。
9.4.4、PGP (Pretty Good Privacy)
层级:应用层。
用途:电子邮件加密(混合加密机制:RSA + IDEA/CAST)。
9.4.5、VPN 协议
PPTP, L2TP:工作在数据链路层(第2层)。
IPSec:工作在网络层(第3层)。
SSL VPN:工作在会话/应用层(第4-7层)。