网络信息安全技术(第二版)第8章Internet基础设施的安全性课件.ppt

第8章 Internet的基础设施安全 第8章 Internet的基础设施安全 8.1 Internet安全概述安全概述 8.2 DNS的安全性的安全性 8.3 安全协议安全协议IPSec 8.4 电子邮件的安全性电子邮件的安全性 8.5 Web的安全性的安全性 8.6 虚拟专用网及其安全性虚拟专用网及其安全性 第8章 Internet的基础设施安全 8.1 Internet安全概述安全概述 随着政府网、海关网、企业网、电子商务、网上娱乐等一系列网络应用的蓬勃发展，Internet正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击也越来越频繁；另一方面，网络应用越来越深入地渗透到金融、商务、国防等关键要害领域。换言之，Internet网的安全，包括网上的信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人的利益休戚相关的“大事情”。然而，由于在早期网络协议设计上对安全问题的忽视，以及在使用和管理方面的无政府状态，使Internet自身的安全受到严重威胁，与它有关的安全事故屡有发生。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。第8章 Internet的基础设施安全 网络面临的安全威胁可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。这些威胁可能来源于各种各样的因素：可能是有意的，也可能是无意的；可能是来源于企业外部的，也有可能是内部人员造成的；可能是人为的，也可能是自然力造成的。总结起来，大致有下面几种主要威胁：(1)非人为、自然力造成的数据丢失、设备失效、线路阻断；(2)人为但属于操作人员无意的失误造成的数据丢失；(3)来自外部和内部人员的恶意攻击和入侵。第8章 Internet的基础设施安全 图8.1 已经实现的各种网络安全机制 第8章 Internet的基础设施安全 第8章 Internet的基础设施安全 8.2.1 目前目前DNS存在的安全威胁存在的安全威胁 1.DNS的安全隐患的安全隐患(1)防火墙一般不会限制对DNS的访问；(2)DNS可以泄漏内部的网络拓扑结构；(3)DNS存在许多简单有效的远程缓冲溢出攻击；(4)几乎所有的网站都需要DNS；(5)DNS的本身性能问题是关系到整个应用的关键。第8章 Internet的基础设施安全 2.DNS的安全威胁的安全威胁 (1)拒绝服务攻击。(2)设置不当的DNS会泄漏过多的网络拓扑结构。如果你的DNS服务器允许对任何人都进行区域传输的话，那么你的整个网络架构中的主机名、主机IP列表、路由器名、路由器IP列表，甚至包括你的机器所在的位置等等都可以被轻易窃取。第8章 Internet的基础设施安全 (3)利用被控制的DNS服务器入侵整个网络，破坏整个网络的安全完整性。当一个入侵者控制了DNS服务器后，他就可以随意篡改DNS的记录信息，甚至使用这些被篡改的记录信息来达到进一步入侵整个网络的目的。例如，将现有的DNS记录中的主机信息修改成被攻击者自己控制的主机，这样所有到达原来目的地的数据包将被重定位到入侵者手中。在国外，这种攻击方法有一个很形象的名称，被称为DNS毒药，因为DNS带来的威胁会使得整个网络系统中毒，破坏完整性。第8章 Internet的基础设施安全 第8章 Internet的基础设施安全 8.2.2 Windows下下DNS欺骗欺骗 局域网内的网络安全是一个值得大家关注的问题，往往容易发起各种欺骗攻击，这是局域网自身的属性所决定的网络共享。这里所说的DNS欺骗是基于ARP欺骗之上的网络攻击，如果在广域网上，则比较麻烦。1.DNS欺骗的原理欺骗的原理 让我们换个思路，如果客户机在进行DNS查询时，能够允许它给出我们的应答信息，结果会怎样呢？这就是著名的DNS ID欺骗（DNS Spoofing）。第8章 Internet的基础设施安全 在DNS数据报头部的ID（标识）是用来匹配响应和请求数据报的。现在，让我们来看看域名解析的整个过程。客户端首先以特定的标识向DNS服务器发送域名查询数据报，在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据报。这时客户端会将收到的DNS响应数据报的ID和自己发送的查询数据报ID相比较，如果匹配则表明接收到的正是自己等待的数据报，如果不匹配则丢弃之。第8章 Internet的基础设施安全 第8章 Internet的基础设施安全 图 8.2 DNS欺骗原理第8章 Internet的基础设施安全 第8章 Internet的基础设施安全 (2)本地主机至少与DNS服务器或客户端主机中的某一台处在同一个局域网内。我们可以通过ARP欺骗来实现可靠而稳定的DNS ID欺骗，下面我们将详细讨论这种情况。首先我们进行DNS ID欺骗的基础是ARP欺骗，也就是在局域网内同时欺骗网关和客户端主机（也可能是欺骗网关和DNS服务器，或欺骗DNS服务器和客户端主机）。我们以客户端的名义向网关发送ARP响应数据报，不过其中将源MAC地址改为我们自己主机的MAC地址；同时以网关的名义向客户端主机发送ARP响应数据报，同样将源MAC地址改为我们自己主机的MAC地址。这样一来，网关看到的客户端的MAC地址就是我们主机的MAC地址；客户端也认为网关的MAC地址是我们主机的MAC地址。由于在局域网内数据报的传送是建立在MAC地址之上的，因此网关和客户端之间的数据流通必须先通过本地主机。第8章 Internet的基础设施安全 在监视网关和客户端主机之间的数据报时，如果发现了客户端发送的DNS查询数据报(目的端口为53)，那么我们可以提前将自己构造的DNS响应数据报发送到客户端。注意，我们必须提取由客户端发送来的DNS查询数据报的ID信息，因为客户端是通过它来进行匹配认证的，这就是一个我们可以利用的DNS漏洞。这样客户端会先收到我们发送的DNS响应数据报并访问我们自定义的网站，虽然客户端也会收到DNS服务器的响应报文，不过已经来不及了。第8章 Internet的基础设施安全 第8章 Internet的基础设施安全 8.2.3 拒绝服务攻击拒绝服务攻击 BIND(Berkeley Internet Name Domain)是我们所熟知的域名软件，它具有广泛的使用基础，Internet上的绝大多数DNS服务器都是基于这个软件的。来自DIMAP/UFRN（计算机科学和应用数学系/北格兰德联邦大学）的CAIS/RNP(Brazilian Research Network CSIRT)和Vagner Sacramento对BIND的几种版本进行了测试，证明了在BIND版本4和版本8上存在缺陷，攻击者利用这个缺陷能成功地进行DNS欺骗攻击。第8章 Internet的基础设施安全 如果攻击者以不同的IP源地址，相同的域名同时向目标DNS服务器发送若干个解析请求时，目标DNS服务器为了解析这些请求,会将接收到的请求全部发送到其它DNS服务器。由于这些解析请求都被单独进行处理，并分配了不同的ID，因此在目标服务器等待这些不同ID的回复时，攻击者可尝试使用不同ID向目标DNS服务器发送回复，通过猜测或穷举得到正确的回复ID，以便进行DNS欺骗攻击。在BIND4和BIND8中猜测成功的机率是：(n是同时向目标DNS服务器发送请求的数目)。许多Internet的正常服务都必须依赖于DNS服务。因此,如果此缺陷被成功利用,将会影响网络中的其它服务。攻击者可使用DNS欺骗进行拒绝服务攻击或者伪装成一个受信任的系统。第8章 Internet的基础设施安全 受影响版本：BIND 4.9.11以及之前的版本(4.9.x)BIND 8.2.7以及之前的版本(8.2.x)BIND 8.3.4以及之前的版本(8.3.x)解决方案：建议用户立即升级到版本BIND 9.2.1：第8章 Internet的基础设施安全 临时解决方案：(1)配置DNS服务器仅仅允许在自己的域内使用递归；(2)在防火墙或边界路由器上进行防欺骗配置；(3)将DNS服务器放置在DMZ内。第8章 Internet的基础设施安全 8.3 安全协议安全协议IPSec 8.3.1 IP协议简介协议简介 IP协议是位于ISO七层协议中网络层的协议，它实现了Internet中自动路由的功能，即寻径的功能。IP维系着整个TCP/IP协议的体系结构。除了数据链路层外，TCP/IP协议栈的所有协议都是以IP数据报的形式传输的。IP允许主机直接向数据链路层发送数据包，这些数据包最终会进入物理网络，然后可能通过不同的网络传送到目的地。IP提供无连接的服务，在无连接的服务中，每个数据报都包含完整的目的地址并且路由相互独立，这样，使用无连接的服务时，数据报到达目的地的顺序可能与发送方发送的顺序不同。第8章 Internet的基础设施安全 第8章 Internet的基础设施安全 8.3.2 下一代下一代IP-IPv6 近年来随着通信业的高速发展，中国已经成为通信技术和应用发展的主要市场。2002年11月30日，中国移动电话用户已达到了2亿，固定电话的普及率为31.99%，互联网用户则为4829万。由此，我国现有的IPv4已经不能满足网络市场对地址空间、端到端的IP连接、服务质量、网络安全和移动性能的要求。因此，以IPv6为核心技术的下一代网络在中国正越来越受到重视。第8章 Internet的基础设施安全 IPv6（Internet Protocol Version 6，Internet协议版本6）如表6.1所示，它是Internet协议的最新版本，已作为IP的一部分并被许多主要的操作系统所支持。IPv6也被称为“IPng”（下一代IP），它对现行的IP（版本4）进行了重大的改进。使用IPv4和IPv6的网络主机和中间结点可以处理IP协议中任何一层的包。用户和服务商可以直接安装IPv6而不用对系统进行什么重大的修改。相对于版本4新版本的最大改进在于将IP地址从32位改为128位，这一改进是为了适应网络快速的发展对IP地址的需求，也从根本上改变了IP地址短缺的问题。可以预见，IPv6可以为未来1015年左右分配足够的IP地址。第8章 Internet的基础设施安全 IPv6的改进有：简化IPv4首部字段，被删除或者成为可选字段，减少了一般情况下包的处理开销以及IPv6首部占用的带宽。IP 首部选项编码方式的修改导致了更加高效的传输，在选项长度方面少了更多的限制，在将来引入新的选项时有了更强的适应性。加入一个新的能力，使得那些发送者要求特殊处理的传输流的包能够贴上标签，比如非缺省质量的服务或者实时服务。为支持认证、数据完整性以及（可选的）数据保密的扩展都在IPv6中说明。第8章 Internet的基础设施安全 第8章 Internet的基础设施安全 表表8.1 IPv6地址表示方法地址表示方法第8章 Internet的基础设施安全 请记住，可以使用一套双冒号(:)来替代许多组的16位0，从而可以避免在一个IPv6地址的一部分位置输入一整串0。同样这套双冒号在一个地址中只能使用一次，一般用来压缩开始或者结尾部分的0，因此，不会有这样的地址:10:(假如你想表示0:0:0:0:0:10:0:0:0)。IPv6推广的复杂性来自于路由器和其它的网络设备。现在的路由器要么只支持IPv4，要么只支持IPv6，从来不会支持两种。所以在网络技术有了新的发现和发明或者大规模部署IPv6路由设备之前，要广泛使用IPv6仍然需要几年的时间。第8章 Internet的基础设施安全 第8章 Internet的基础设施安全 设计IPSec是为了给IPv4和IPv6数据提供高质量的、可互操作的、基于密码学的安全性。它可以防止IP地址欺骗，防止任何形式的IP数据报篡改和重放，并为IP数据报提供保密性和其它的安全服务。IPSec在网络层提供这些服务，该层是在TCP/IP协议栈中包含IP协议的那一层。IPSec所提供的安全服务是通过使用密码协议和安全机制来联合实现的。IPSec能够让系统选择所需的安全协议，和它一起使用密码算法，同时生成为提供这些请求的服务所必需的密钥，并将它们放在核心的位置。第8章 Internet的基础设施安全 IPSec提供的安全服务包括对网络单元的访问控制、数据源认证、提供用于无连接服务的协议(协议)的无连接完整性、重放数据报的监测和拒绝、使用加密来提供保密性和有限的数据流保密性。由于IPSec服务是在网络层提供的，任何上层协议，如TCP、UDP、ICMP和IGMP，或者任何应用层协议都可以使用这些服务。第8章 Internet的基础设施安全 8.3.4 IPSec的结构的结构 IPSec通 过 使 用 两 种 通 信 安 全 协 议：认 证 头(AH,Authentication Header)、封装安全载荷(ESP,Encryption Service Payload)，并 使 用 像 Internet密 钥 交 换(IKE,Internet Key Exchange)协议来共同实现安全性。1.认证头认证头(AH)设计认证头(AH)协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和防重放保护服务。然而，AH不提供任何保密性服务，它不加密所保护的数据包，如图6.3所示。AH的作用是为IP数据流提供高强度的密码认证，以确保被修改过的数据包可以被检查出来。第8章 Internet的基础设施安全 图 8.3 AH认证和完整性 第8章 Internet的基础设施安全 AH使用消息验证码(MAC)对IP进行认证。MAC是一种算法，它接收一个任意长度的消息和一个密钥，生成一个固定长度的输出，成为消息摘要或指纹。如果数据报的任何一部分在传送过程中被篡改，那么，当接收端运行同样的MAC算法，并与发送端发送的消息摘要值进行比较时，就会被检测出来。最常见的MAC是HMAC，HMAC可以和任何迭代密码散列函数(如MD5,SHA-1,RIPEMD-160或者Tiger)结合使用，而不用对散列函数进行修改。第8章 Internet的基础设施安全 AH被应用于整个数据包，除了任何在传输中易变的IP报头域(例如被沿途的路由器修改的TTL域)。AH的工作步骤如下：(1)IP报头和数据负载用来生成MAC；(2)MAC被用来建立一个新的AH报头，并添加到原始的数据包上；(3)新的数据包被传送到IPSec对端路由器上；(4)对端路由器对IP报头和数据负载生成MAC，并从AH报头中提取出发送过来的MAC信息，且对两个信息进行比较。MAC信息必须精确匹配，即使所传输的数据包有一个比特位被改变，对接收到的数据包的散列计算结果都将会改变，AH报头也将不能匹配。第8章 Internet的基础设施安全 2.封装安全载荷封装安全载荷(ESP)封装安全载荷(ESP)可以被用来提供保密性、数据来源认证（鉴别）、无连接完整性、防重放服务，以及通过防止数据流分析来提供有限的数据流加密保护。实际上，ESP提供和AH类似的服务，但是增加了两个额外的服务：数据保密和有限的数据流保密服务。保密服务由通过使用密码算法加密IP数据报的相关部分来实现。数据流保密由隧道模式下的保密服务来提供，如图8.4所示。第8章 Internet的基础设施安全 图 8.4 封装完全载荷ESP 第8章 Internet的基础设施安全 ESP中用来加密数据报的密码算法都毫无例外地使用了对称密钥体制。公钥密码算法采用计算量非常大的大整数模指数运算，大整数的规模超过300位十进制数字。而对称密码算法主要使用初级操作(异或、逐位与、位循环等)，无论以软件还是硬件方式执行都非常有效。所以相对公钥密码系统而言，对称密钥系统的加、解密效率要高得多。ESP通过在IP层对数据包进行加密来提供保密性，它支持各种对称的加密算法。对于IPSec的缺省算法是56比特的DES。该加密算法必须被实施，以保证IPSec设备间的互操作性。ESP通过使用消息认证码（MAC）来提供认证服务。ESP可以单独应用，也可以以嵌套的方式使用，或者和AH结合使用。第8章 Internet的基础设施安全 3.IKE协议协议 与其它任何一种类型的加密一样，在交换经过IPSec加密的数据之前，必须先建立起一种关系，这种关系被称为“安全关联(SA，Security Association)”。在一个SA中，两个系统就如何交换和保护数据要预先达成协议。IKE过程是一种IETF标准的安全关联和密钥交换解析的方法。IKE实行集中化的安全关联管理，并生成和管理授权密钥，授权密钥是用来保护要传送的数据的。除此之外，IKE还使得管理员能够定制密钥交换的特性。例如，可以设置密钥交换的频率，这可以降低密钥受到侵害的机会，还可以降低被截获的数据被破译的机会。第8章 Internet的基础设施安全 Internet密钥交换(IKE)是一种混合协议，它为IPSec提供实用服务(IPSec双方的鉴别、IKE和IPSec安全关联的协商)，以及为IPSec所用的加密算法建立密钥。它使用了三个不同协议的相关部分：Internet安全关联和密钥交换协议（ISAKMP）、Oakley密钥确定协议和SKEME。IKE为IPSec双方提供用于生成加密密钥和认证密钥的密钥信息。同样，IKE使用ISAKMP为其它IPSec(AH和ESP)协议协商SA(安全关联)。第8章 Internet的基础设施安全 8.4 电子邮件的安全性电子邮件的安全性 8.4.1 PGP PGP最早出现在1990年，是一种长期在学术圈和技术圈内得到广泛使用的安全邮件标准。其特点是通过单向散列算法对邮件内容进行签名，保证信件内容无法修改，使用公钥和私钥技术来保证邮件内容保密且不可否认。发信人与收信人的公钥发布在公开的地方，如FTP站点。公钥本身的权威性由第三方，特别是收信人所熟悉或信任的第三方进行签名认证，但它没有统一的集中的机构进行公钥/私钥的签发。在PGP系统中，更多的信任是来自于通信的双方。第8章 Internet的基础设施安全 PGP(Pretty Good Privacy)是一个基于RSA公钥加密体系的邮件加密软件。它可以对你的邮件保密以防止非授权者阅读，它还能对你的邮件加上数字签名从而使收信人可以确信邮件是你发来的。它让你可以安全地和你从未见过的人们通信，事先并不需要任何保密的渠道用来传递密钥。它采用了审慎的密钥管理，一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度，而且它的源代码是免费的。第8章 Internet的基础设施安全 实际上PGP的功能不止上面说的可以用来加密文件，还可以用PGP代替UUencode 生成 RADIX 64 格式（就是MIME 的 BASE 64格式）的编码文件。PGP 的创始人是美国的 Phil Zimmermann。他的创造性在于他把RSA公钥体系的方便和传统加密体系的高速度结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计，因此PGP成为几乎最流行的公钥加密软件包。第8章 Internet的基础设施安全 1.加密原理加密原理 PGP是一种供大众使用的加密软件。在现代社会里，电子邮件和网络上的文件传输已经成为生活的一部分。邮件的安全问题就日益突出了，大家都知道在Internet上传输的数据是不加密的。如果你自己不保护自己的信息，第三者就会轻易获得你的隐秘。还有一个问题就是信息认证，如何让收信人确信邮件没有被第三者篡改，就需要数字签名技术。RSA公钥体系的特点 可 满 足 上 述 两 个 要 求：保 密 性（Privacy）和 认 证 性（Authentication）。第8章 Internet的基础设施安全 RSA（Rivest Shamir Adleman）算法是一种基于素因子分解假设的公钥体系。简单地说就是找两个很大的质数，一个公开给外界，一个不告诉任何人。一个称为“公钥”，另一个称为“私钥”(Public key&Secret key or Private key)。这两个密钥是互补的，就是说用公钥加密的密文可以用私钥解密，反过来也一样。假设甲要寄信给乙，他们互相知道对方的公钥。甲用乙的公钥加密邮件寄出，乙收到后可以用自己的私钥解密出甲的原文。由于没别人知道乙的私钥，因此即使是甲本人也无法解密那封信，这就解决了信件保密的问题。另一方面由于每个人都知道乙的公钥，他们都可以给乙发信，那么乙就无法确信是不是甲的来信。认证的问题就出现了，这时候数字签名就有用了。第8章 Internet的基础设施安全 在说明数字签名前先要解释一下什么是“邮件文摘”(Message Digest)，简单地讲就是对一封邮件用某种算法算出一个最能体现这封邮件特征的数来，一旦邮件有任何改变，这个数都会变化，那么这个数加上作者的名字（实际上在作者的密钥里）还有日期等等，就可以作为一个签名了。确切地说PGP是用一个128位的二进制数作为“邮件文摘”的，用来产生它的算法叫MD5(message digest 5)，MD5的提出者是Ron Rivest，PGP中使用的代码是由Colin Plumb编写的，MD5本身是公用软件，所以PGP的法律条款中没有提到它。MD5是一种单向散列算法，它不像CRC校验码，很难找到一份替代的邮件与原件具有同样的MD5特征值。第8章 Internet的基础设施安全 回到数字签名上来，甲用自己的私钥将上述的128位的特征值加密，附加在邮件后，再用乙的公钥将整个邮件加密。（注意这里的次序，如果先加密再签名的话，别人可以将签名去掉后签上自己的签名，从而篡改了签名）。这样这份密文被乙收到以后，乙用自己的私钥将邮件解密，得到甲的原文和签名，乙的PGP也从原文计算出一个128位的特征值来和用甲的公钥解密签名所得到的数比较，如果符合就说明这份邮件确实是甲寄来的，这样两个安全性要求都得到了满足。第8章 Internet的基础设施安全 PGP还可以只签名而不加密，这适用于公开发表声明时，声明人为了证实自己的身份（在网络上只能如此），可以用自己的私钥签名，这样就可以让收件人能确认发信人的身份，也可以防止发信人抵赖自己的声明，这一点在商业领域有很大的应用前途，它可以防止发信人抵赖和信件被途中篡改。第8章 Internet的基础设施安全 那么为什么说PGP用的是RSA和传统加密的杂合算法呢？因为RSA算法计算量极大，在速度上不适合加密大量数据，所以PGP实际上用来加密的不是RSA本身，而是采用了一种叫IDEA的传统加密算法。传统加密，简单地说就是用一个密钥加密明文，然后用同样的密钥解密。这种方法的代表是DES(US Federal Data Encryption Standard)，也就是乘法加密，它的主要缺点就是密钥的传递渠道解决不了安全性问题，不适合网络环境邮件加密需要。IDEA是一个有专利的算法，专利持有者是ETH和一个瑞士公司(AscomTech AG)。第8章 Internet的基础设施安全 非商业用途的IDEA实现不用向他们交纳费用。因为，IDEA的加（解）密速度比RSA快得多，所以实际上PGP是以一个随机生成密钥（每次加密不同）用IDEA算法对明文加密，然后用RSA算法对该密钥加密。这样收件人同样是用RSA解密出这个随机密钥，再用IDEA解密邮件本身。这样的链式加密就做到了既有RSA体系的保密性，又有IDEA算法的快捷性。PGP的创意有一半就在这一点上了，为什么RSA体系自20世纪70年代提出以来，一直没有被推广应用呢？速度太慢，那么PGP创意的另一半在哪儿呢？下面再谈PGP的密钥管理。第8章 Internet的基础设施安全 2.密钥管理机制密钥管理机制 一个成熟的加密体系必然要有一个成熟的密钥管理机制配套。公钥体制的提出就是为了解决传统加密体系中密钥分配过程难以保密的缺点。比如网络黑客们常用的手段之一就是“监听”，如果密钥是通过网络传送就太危险了。举个例子在Novell Netware 的老版本中，用户的密码是以明文在线路中传输的，这样监听者就轻易获得了他人的密码。当然 Netware 4.1 中数据包头的用户密码现在加密了，对PGP来说公钥本来就要公开，就不存在防监听的问题。但公钥的发布中仍然存在安全性问题，例如公钥被篡改就是公钥密码体系中最大的漏洞，因为大多数新手不能很快发现这一点。第8章 Internet的基础设施安全 防止这种情况出现的最好办法是避免让任何其他人有机会篡改公钥，比如直接从Alice手中得到她的公钥，然而当她在千里之外或无法见到时，这是很困难的，PGP发展了一种公钥介绍机制来解决这个问题。举例来说，如果你和Alice有一个共同的朋友David，而David知道他手中的Alice的公钥是正确的（关于如何认证公钥，PGP还有一种方法，后面会谈到，这里假设David已经和Alice认证过她的公钥）。第8章 Internet的基础设施安全 这样David可以用他自己的私钥在Alice的公钥上签名（就是用上面讲的签名方法），表示他担保这个公钥属于Alice。当然你需要用David的公钥来校验他给你的Alice的公钥，同样David也可以向Alice认证你的公钥，这样David就成为你和Alice之间的“介绍人”。这样Alice或David就可以放心地把David签过字的Alice的公钥上载到BBS上让你去拿，没人可能去篡改它而不被你发现，即使是BBS的管理员也不行。这就是从公共渠道传递公钥的安全手段。第8章 Internet的基础设施安全 那怎么能安全地得到David的公钥呢？也有可能你拿到的David的公钥也是假的。PGP对这种可能也有预防的建议，那就是由一个大家普遍信任的人或机构担当这个角色。他被称为“密钥侍者”或“认证权威”，每个由他签字的公钥都被认为是真的，这样大家只要有一份他的公钥就行了，认证这个人的公钥是方便的，因为他广泛提供这个服务，假冒他的公钥是很困难的，因为他的公钥流传广泛。这样的“权威”适合由非个人控制组织或政府机构充当，现在已经有等级认证制度的机构存在。第8章 Internet的基础设施安全 对于那些非常分散的人们，PGP更赞成使用私人方式的密钥转介方式，因为非官方途径更能反映出人们自然的社会交往，而且人们也能自由地选择信任的人来介绍。总之和不认识的人们之间的交往一样，每个公钥至少有一个“用户名”(User ID)，并请尽量用自己的全名，最好再加上本人的E-mail地址，以免混淆。注意，你所必须遵循的规则是，在你使用任何一个公钥之前，一定要首先认证它。同样你也不要随便为别人签字认证他们的公钥，就和你在现实生活中一样，家里的钥匙只能交给十分信任的人。第8章 Internet的基础设施安全 下面讲述如何通过电话认证密钥。每个密钥有它们自己的标识（KeyID），KeyID是一个八位十六进制数，两个密钥具有相同KeyID的可能性是几十亿分之一，而且PGP还提供了一种更可靠的标识密钥的方法，即“密钥指纹”(Keys fingerprint)。每个密钥对应一串数字（16个两位十六进制数），这个指纹重复的可能就更微乎其微了。而且任何人无法指定生成一个具有某个指纹的密钥，密钥是随机生成的，从指纹也无法反推出密钥来。这样你拿到某人的公钥后就可以和他在电话上核对这个指纹，从而认证他的公钥。如果你无法和Alice通电话，你可以和David通电话认证David的公钥，从而通过David认证了Alice的公钥，这就是直接认证和间接介绍的结合。第8章 Internet的基础设施安全 这样又引出一种方法，就是把具有不同人签名的自己的公钥收集在一起，发送到公共场合，这样希望大部分人至少认识其中一个人，从而间接认证了你的公钥。同样你签了朋友的公钥后应该寄回给他，这样就可以让他通过你的其它朋友所认证。有点意思吧，和现实社会中人们的交往一样，PGP会自动为你找出你拿到的公钥中有哪些是你的朋友介绍来的，哪些是你朋友的朋友介绍来的，哪些则是朋友的朋友的朋友介绍的，PGP会帮你把它们分为不同的信任级别，让你参考决定对他们的信任程度。你可以指定某人有几层转介公钥的能力，这种能力是随着认证的传递而递减的。第8章 Internet的基础设施安全 转介认证机制具有传递性，这是个有趣的问题。PGP的作者Phil Zimmermann说过一句话：“信赖不具有传递性。我有个我相信决不撒谎的朋友，可是他是个认定总统决不撒谎的傻瓜，很显然我并不认为总统不撒谎。”第8章 Internet的基础设施安全 关于公钥的安全性问题是PGP安全的核心，和传统单密钥体系一样，私钥的保密也是决定性的。相对公钥而言，私钥不存在被篡改的问题，但存在被泄露的问题。RSA的私钥是很长的一个数字，用户不可能将它记住，PGP的办法是让用户为随机生成的RSA私钥指定一个口令(pass phase)。只有通过给出口令才能将私钥释放出来使用，所以私钥的安全性问题实际上是对用户口令的保密。当然私钥文件本身失密也很危险，因为破译者所需要的只是用穷举法试探出你的口令了，虽说很困难但毕竟是损失了一层安全性。在这里只需简单地记住一点，要像任何隐私一样保密你的私钥，不要让任何人有机会接触到它，最好只在大脑中保存它，不要写在纸上。第8章 Internet的基础设施安全 PGP在安全性问题上的审慎考虑体现在PGP的各个环节，比如每次加密的实际密钥是个随机数，大家都知道计算机是无法产生真正的随机数的。PGP程序对随机数的产生是很审慎的，关键的随机数像RSA密钥的产生是从用户敲键盘的时间间隔上取得随机数种子的。对于磁盘上的randseed.bin 文件是采用和邮件同样强度来加密的，这有效地防止了他人从你的randseed.bin文件中分析出你的加密实际密钥的规律来。第8章 Internet的基础设施安全 PGP内核使用PKZIP算法来压缩加密前的明文，对电子邮件而言，压缩后加密再经过7 bits编码密文有可能比明文更短，这就节省了网络传输的时间。另一方面，明文经过压缩，实际上相当于经过一次变换，信息更加杂乱无章，对明文攻击的抵御能力更强。PGP中使用的PKZIP算法是经过原作者同意的。PKZIP算法是一个公认的压缩率和压缩速度都相当好的压缩算法。在PGP中使用的是PKZIP 2.0版本兼容的算法。第8章 Internet的基础设施安全 8.4.2 S/MIME 对一般用户来说，PGP和S/MIME邮件加密专用协议，在使用上几乎没有什么差别。但是事实上它们是完全不同的，主要体现在格式上，这有点像GIF和JPEG两种图形文件，对用户来说，查看图片是没有区别，但它们是两种完全不一样的文件。这也就意味着，由于格式的不同，一个使用PGP的用户不能与另一个使用S/MIME的用户通信，且他们也不能共享证书。两者比较如表6.2所示。第8章 Internet的基础设施安全 PGP/MIME和Open PGP都是基于PGP的，现已经得到许多重要的邮箱提供商支持，PGP的通信和认证的格式是随机生成的，使用简单的二进制代码。PGP的主要提供商是美国NAI的子公司PGP，在中国，由于PGP的加密超过128位，受到美国出口限制，因此商用的比较少。第8章 Internet的基础设施安全 表表8.2 S/MIME v3和和Open PGP的对比的对比 第8章 Internet的基础设施安全 S/MIME是一个新协议，最初版本来源于私有的商业社团RSA数据安全公司。S/MIME V2 版本已经广泛地使用在安全电子邮件上。但是它并不是IETF的标准,因为它需要使用 RSA的密钥交换，这就受限于美国RSA数据安全公司的专利（不过，2001年12月该专利到期）。第8章 Internet的基础设施安全 S/MIME是 从 PEM（Privacy Enhanced Mail）和MIME（Internet邮件的附件标准）发展而来的。同PGP一样，S/MIME也利用单向散列算法和公钥与私钥的加密体系,但它与PGP主要有两点不同：它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织（根证书）之间相互认证，整个信任关系基本是树状的，这就是所谓的Tree of Trust。还有，S/MIME将信件内容加密签名后作为特殊的附件传送，它的证书格式采用X.509，但与一般浏览器网上使用的SSL证书有一定差异。第8章 Internet的基础设施安全 国内众多的认证机构基本都提供一种叫“安全电子邮件证书”的服务，其技术对应的就是S/MIME技术，平台使用的基本上是美国Versign的。主要提供商有北京的天威诚信（）和TrustAsia上海（），它们一个是Versign的中国区合作伙伴，一个是Versign亚太区分支机构。第8章 Internet的基础设施安全 8.5 Web的安全性的安全性 8.5.1 Web的安全性要求的安全性要求 计算机的安全性历来都是人们讨论的主要话题之一。而计算机安全主要研究的是计算机病毒的防治和系统的安全。在计算机网络日益扩展和普及的今天，计算机安全的要求更高，涉及面更广,不但要求防治病毒，还要提高系统抵抗外来非法黑客入侵的能力，还要提高对远程数据传输的保密性，避免在传输途中遭受非法窃取。第8章 Internet的基础设施安全 1.主要的几方面漏洞主要的几方面漏洞 对于系统本身安全性，主要考虑服务器自身稳定性、健壮性，增强自身抵抗能力，杜绝一切可能让黑客入侵的渠道，避免造成对系统的威胁。Web服务器的漏洞主要有下面几个方面：(1)Web服务器上的秘密文件、目录或重要数据。(2)从远程用户向服务器发送信息时，特别是信用卡之类东西时，中途遭不法分子的非法拦截。第8章 Internet的基础设施安全 (3)Web服务器本身存在的一些漏洞，使得一些人能侵入到主机系统破坏一些重要的数据，甚至造成系统瘫痪。(4)CGI程序中存在漏洞。(5)在防治网络病毒方面，在http传输中HTML文件一般不会存在感染病毒的危险。危险在于下载可执行软件如：.zip.exe.arj.Z 等文件过程中有可能潜伏病毒。第8章 Internet的基础设施安全 2.安全预防措施安全预防措施 (1)限制在Web服务器新建帐户，定期删除一些短期使用的用户。(2)对在Web服务器上所开的帐户，在口令长度及定期更改方面作出要求，防止被盗用。(3)对口令和用户名出错次数进行限制，防范穷举法攻击。(4)尽量使ftp,mail等服务器与之分开，去掉ftp,sendmail,tftp,NIS,NFS，finger,netstat等一些无关的应用。第8章 Internet的基础设施安全 (5)在Web服务器上去掉一些绝对不用的shell等之类解释器，即当在你的cgi的程序中没用到perl时，就尽量把perl在系统解释器中删除掉。(6)禁止乱用从其它网中下载的一些工具软件，并在没有详细了解之前尽量不要用root身份注册执行，以防止某些程序员在程序中设下陷阱。(7)定期查看服务器中的日志logs文件，分析一切可疑事件，及时发现一些非法用户的入侵尝试。第8章 Internet的基础设施安全 (8)设置好Web服务器上系统文件的权限和属性，对可让人访问的文档分配一个公用的组(WWW)，并只分配它只读的权利。把所有的HTML文件归属WWW组，由Web管理员管理WWW组。对于Web的配置文件仅对Web管理员有写的权利。(9)有些Web服务器把Web的文档目录与FTP目录指在同一目录时，应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下,这样是为了防止一些用户通过FTP上的perl或sh之类程序并用Web的CGI-BIN去执行造成不良后果。第8章 Internet的基础设施安全 (10)通过限制用户IP或DNS，控制访问许可。(11)在选用Web服务器时，应考虑到不同服务器对安全的要求不一样。一些简单的 Web服务器就没有考虑到安全的因素，不能把它用作商业应用，只能被一些个人的网点所应用。对重要商业应用，必须加上防火墙和数据加密技术加以保护。在数