第5章Internet安全体系结构课件.ppt

1、第第5章章 Internet安全体系结构安全体系结构5.1 Internet安全结构布局安全结构布局5.2 网络安全层次模型网络安全层次模型5.3 OSI安全体系到安全体系到TCP/IP安全体系的映射安全体系的映射5.4 本章小结本章小结习题习题Internet的广泛应用对组织的系统和信息增加了潜的广泛应用对组织的系统和信息增加了潜在的不安全风险，采用合适的安全结构，可降低风在的不安全风险，采用合适的安全结构，可降低风险。险。7.1 Internet安全结构布局安全结构布局Internet提供何种服务，选择哪些主机提供服务，提供何种服务，选择哪些主机提供服务，以及哪些用户可访问这些服务，都会影

2、响整个网络以及哪些用户可访问这些服务，都会影响整个网络结构。结构。Internet提供的服务通常有邮件服务、提供的服务通常有邮件服务、Web服务、内部访问服务、内部访问Internet、外部访问内部系统。还、外部访问内部系统。还有一类属于控制的服务，包括域名服务有一类属于控制的服务，包括域名服务DNS、Internet控制报文协议控制报文协议ICMP。7.1.1 Internet提供的服务提供的服务1.邮件服务邮件服务邮件服务通常用来为内部员工提供收发信件。这种邮件服务通常用来为内部员工提供收发信件。这种服务至少需要建立一个服务器以接收进来的邮件。服务至少需要建立一个服务器以接收进来的邮件。一

3、个组织也可选择建立公共邮件网关，用作电子邮一个组织也可选择建立公共邮件网关，用作电子邮件讨论组。它允许外部人员将邮件首先发到该系统，件讨论组。它允许外部人员将邮件首先发到该系统，系统按照预先确定的用户列表转送邮件。系统按照预先确定的用户列表转送邮件。2.Web服务服务Web服务用来为员工、合作伙伴发布信息。这种服服务用来为员工、合作伙伴发布信息。这种服务需要建立一个务需要建立一个Web服务器，以及生成需要发布的服务器，以及生成需要发布的信息内容。信息内容。假如假如Web站点的某些内容是限制的或敏感的，就应站点的某些内容是限制的或敏感的，就应使用使用HTTPS，HTTPS工作在工作在443端口，

4、而不是通常端口，而不是通常的的80端口，后者用于普通的端口，后者用于普通的Web通信。通信。HTTPS是是HTTP的加密版，的加密版，HTTP用于标准的用于标准的Web通信，而通信，而HTTPS用于含有敏感信息或需要身份鉴别的用于含有敏感信息或需要身份鉴别的Web页面。页面。3.内部访问内部访问Internet内部员工如何访问内部员工如何访问Internet是由该组织制定的是由该组织制定的Internet使用策略确定的。某些组织允许员工访问使用策略确定的。某些组织允许员工访问Internet使用一些服务，如浏览使用一些服务，如浏览web、聊天、视频、聊天、视频或音频流。而有些组织只允许某些员工

5、使用浏览器或音频流。而有些组织只允许某些员工使用浏览器访问限定的访问限定的Web站点。表站点。表7-1列出了通常允许员工列出了通常允许员工获得的获得的Internet服务。服务。表表7-1 允许员工获得的允许员工获得的Internet服务服务服服 务务说说 明明HTTP（端口（端口80）和）和HTTPS（端口（端口443）允许员工访问允许员工访问WebFTP(端口端口21和和22)允许员工传送文件允许员工传送文件Telnet(端口端口23)和和SSH（端口（端口22）允许员工在远程系统上生成交互式会话允许员工在远程系统上生成交互式会话POP-3（端口（端口110）和）和IMAP（端口（端口14

6、3）允许员工访问远程邮件账户允许员工访问远程邮件账户NNTP（端口（端口119）允许员工访问远程网络新闻服务器允许员工访问远程网络新闻服务器4.外部访问内部系统外部访问内部系统从外部访问内部系统，对安全和网络管理人员来说从外部访问内部系统，对安全和网络管理人员来说是经常要触及的问题。这种情况是指主要用于内部是经常要触及的问题。这种情况是指主要用于内部人员在外部需要访问或处理的内部系统事务，而不人员在外部需要访问或处理的内部系统事务，而不是为外部访问而设置的是为外部访问而设置的Web和邮件服务器。和邮件服务器。来自外部的访问主要有两类，一类是从远程访问内来自外部的访问主要有两类，一类是从远程访问

7、内部系统的本组织员工，另一类是非本组织员工的访部系统的本组织员工，另一类是非本组织员工的访问。员工从远程访问内部系统通常使用在问。员工从远程访问内部系统通常使用在Internet上的虚拟专网上的虚拟专网VPN。另外一种情况是外部组织需访问内部系统。即提供另外一种情况是外部组织需访问内部系统。即提供给那些可信的合作伙伴的访问，但必须提出解决方给那些可信的合作伙伴的访问，但必须提出解决方案来管理风险。这时，外部访问并不直接进入内部案来管理风险。这时，外部访问并不直接进入内部系统，而是进入某些受控的网络，在后面讲到非军系统，而是进入某些受控的网络，在后面讲到非军事区时会进一步阐明。事区时会进一步阐明

8、。1.域名服务域名服务域名服务（域名服务（DNS）用来解决系统名字和）用来解决系统名字和IP地址的转地址的转换。通常内部系统查询一个内部换。通常内部系统查询一个内部DNS来解决所有的来解决所有的地址。地址。2.Internet控制报文协议控制报文协议Internet控制报文协议（控制报文协议（ICMP）提供诸如）提供诸如ping这样这样的服务，用来发现一个系统是否在工作。的服务，用来发现一个系统是否在工作。Internet体系结构应设计成提供需要的服务，也就体系结构应设计成提供需要的服务，也就考虑一些涉及到法律、规范、道德、安全方面的问考虑一些涉及到法律、规范、道德、安全方面的问题的内容不应在

9、题的内容不应在internet上发布。上发布。7.1.2 Internet不应提供的服务不应提供的服务为了组织的为了组织的Internet连接，开发通信结构时，最主连接，开发通信结构时，最主要的问题是吞吐率需求和可用性。要的问题是吞吐率需求和可用性。ISP应提供合适应提供合适的通信线以满足所需的吞吐率。的通信线以满足所需的吞吐率。Internet接入的方案有单线接入、多线接入至单个接入的方案有单线接入、多线接入至单个ISP、多线接入至多个、多线接入至多个ISP等。等。7.1.3 通信结构通信结构非军事区（非军事区（DMZ）是一个非真正可信的网络部分，）是一个非真正可信的网络部分，它提供一个同内

10、部网分开的区域，可供组织的员工它提供一个同内部网分开的区域，可供组织的员工通过通过Internet访问它，也可供商业伙伴和其他的实访问它，也可供商业伙伴和其他的实体访问。体访问。7.1.4 非军事区非军事区1.DMZ的定义的定义DMZ是一个非保护的网络区域，通常用网络访问是一个非保护的网络区域，通常用网络访问控制来划定，诸如用防火墙或过滤路由器。网络访控制来划定，诸如用防火墙或过滤路由器。网络访问控制设定策略，以决定哪些通信允许进入问控制设定策略，以决定哪些通信允许进入DMZ，哪些通信不允许进入哪些通信不允许进入DMZ，如图，如图7.7所示。一般来所示。一般来说，任何能直接被外部用户接触的系统

11、放置在说，任何能直接被外部用户接触的系统放置在DMZ中。中。图图7.7 通用的通用的DMZ策略规则策略规则能被外部系统或用户直接访问的系统也是最先受到能被外部系统或用户直接访问的系统也是最先受到攻击和可能被破坏的系统。这些系统不可能是安全攻击和可能被破坏的系统。这些系统不可能是安全可信的，因为在任何时间都有可能被破坏。因此必可信的，因为在任何时间都有可能被破坏。因此必须在须在DMZ与内部网络严格的隔离，一般通过访问与内部网络严格的隔离，一般通过访问控制来实现。控制来实现。DMZ的一般访问规则是允许外部用户访问的一般访问规则是允许外部用户访问DMZ系系统上合适的服务，限制访问内部系统的服务。内部

12、统上合适的服务，限制访问内部系统的服务。内部系统应初始化系统应初始化DMZ系统的连接，使内部系统能访系统的连接，使内部系统能访问问DMZ，但不允许外部用户访问内部系统。，但不允许外部用户访问内部系统。2.在在DMZ中放置的系统中放置的系统（1）邮件系统邮件系统邮件系统有外部邮件服务器和内部邮件服务器两种。邮件系统有外部邮件服务器和内部邮件服务器两种。外部邮件服务器用来接收进入的邮件，也用来发送外部邮件服务器用来接收进入的邮件，也用来发送输出的邮件。新来的邮件首先由外部邮件服务器接输出的邮件。新来的邮件首先由外部邮件服务器接收然后送到内部邮件服务器。内部邮件服务器将要收然后送到内部邮件服务器。内

13、部邮件服务器将要发送的邮件传至外部邮件服务器。发送的邮件传至外部邮件服务器。有些防火墙提供一个邮件服务器。如果使用防火墙有些防火墙提供一个邮件服务器。如果使用防火墙的邮件服务器，其功能相当于外部邮件服务器。这的邮件服务器，其功能相当于外部邮件服务器。这种情况下，就不用另外架设外部邮件服务器。种情况下，就不用另外架设外部邮件服务器。图图7.8 DMZ和内部网络间的系统布局和内部网络间的系统布局（2）Web服务器服务器提供公共访问的提供公共访问的Web服务器放在服务器放在DMZ中，还应放中，还应放置一个应用服务器。由于置一个应用服务器。由于Web服务器有时需要与数服务器有时需要与数据库服务器进行连

14、接通信。而据库服务器进行连接通信。而Web服务器又接受来服务器又接受来自外面的访问，这样就不是完全的可信。最好的方自外面的访问，这样就不是完全的可信。最好的方法是引入第三个系统来管理和数据库通信的应用。法是引入第三个系统来管理和数据库通信的应用。Web服务器接收用户的输入，并将它提供给应用服服务器接收用户的输入，并将它提供给应用服务器处理。应用服务器调用数据库，请求合适的信务器处理。应用服务器调用数据库，请求合适的信息，将该信息提供到息，将该信息提供到Web服务器，并传递给用户。服务器，并传递给用户。虽然看起来比较复杂，然而这种网络结构对数据库虽然看起来比较复杂，然而这种网络结构对数据库提供了

15、保护，并解脱了来自提供了保护，并解脱了来自Web服务器的请求处理。服务器的请求处理。（3）外部可访问的系统外部可访问的系统所有外部可访问的系统应放置在所有外部可访问的系统应放置在DMZ中。应该记中。应该记住，假如一个系统可通过诸如住，假如一个系统可通过诸如Telnet或或SSH等交互等交互会话来访问，则用户就有能力对会话来访问，则用户就有能力对DMZ上的其他系上的其他系统执行攻击。最好为这些系统生成第二个统执行攻击。最好为这些系统生成第二个DMZ，以保护其他以保护其他DMZ上的系统免受攻击。上的系统免受攻击。（4）控制系统控制系统外部外部DNS系统应放在系统应放在DMZ中。假如该组织计划有中。

16、假如该组织计划有自己的自己的DNS，则，则DNS服务器对外部的查询必须是可服务器对外部的查询必须是可访问的。访问的。DNS也是该组织的基础设施的关键部分。也是该组织的基础设施的关键部分。因此，必须选择冗余的因此，必须选择冗余的DNS系统，或者让系统，或者让ISP作为作为可替换的可替换的DNS。3.合适的合适的DMZ结构结构DMZ结构有多种，各有优缺点，可根据组织的具结构有多种，各有优缺点，可根据组织的具体情况选用。其中体情况选用。其中3种通用的结构是：路由器和防种通用的结构是：路由器和防火墙、单个防火墙、双防火墙。火墙、单个防火墙、双防火墙。（1）路由器和防火墙路由器和防火墙图图7.9显示一个

17、简单路由器和防火墙结构。路由器显示一个简单路由器和防火墙结构。路由器接入接入ISP和组织的外部网络。防火墙控制内部网络和组织的外部网络。防火墙控制内部网络的访问。的访问。图图7.9 路由器和防火墙结构路由器和防火墙结构DMZ如同外部网络和系统一样，可接受来自如同外部网络和系统一样，可接受来自Internet的访问。因为这些系统是放在外部网中，的访问。因为这些系统是放在外部网中，它们对来自它们对来自Internet的外部攻击完全开放。为了降的外部攻击完全开放。为了降低破坏的风险，可在路由器上放置过滤器，只允许低破坏的风险，可在路由器上放置过滤器，只允许由由DMZ系统提供的那些服务的通信进入系统提

18、供的那些服务的通信进入DMZ。（2）单个防火墙单个防火墙用一个防火墙就可生成一个用一个防火墙就可生成一个DMZ。当使用单个防。当使用单个防火墙时，火墙时，DMZ和外部网络是不同的，如图和外部网络是不同的，如图7.10所示。所示。外部网络由外部网络由ISP路由器和防火墙构成，防火墙单独路由器和防火墙构成，防火墙单独控制对控制对DMZ的访问。的访问。图图7.10 单个防火墙单个防火墙DMZ结构结构（3）双防火墙双防火墙第三种结构采用双防火墙，如图第三种结构采用双防火墙，如图7.11所示。用两个所示。用两个防火墙将防火墙将DMZ从外部网络和内部网络分离开。外从外部网络和内部网络分离开。外部网仍然由部

19、网仍然由ISP路由器和第一个防火墙来定义。路由器和第一个防火墙来定义。DMZ存在于第一个防火墙和第二个防火墙之间。存在于第一个防火墙和第二个防火墙之间。防火墙防火墙1配置成允许所有的配置成允许所有的DMZ通信和所有内部通通信和所有内部通信。防火墙信。防火墙2的配置要严格限制，只允许流出到的配置要严格限制，只允许流出到Internet的通信。的通信。图图7.11 双防火墙双防火墙DMZ结构结构网络系统必须处理编址问题。如果不对编址进行精网络系统必须处理编址问题。如果不对编址进行精心考虑和恰当地配置，会引起很多麻烦。问题的根心考虑和恰当地配置，会引起很多麻烦。问题的根源是源是IP地址空间的短缺，目

20、前使用的地址空间的短缺，目前使用的32位位IP地址正地址正被使用耗尽。解决这个问题的方法称为网络地址转被使用耗尽。解决这个问题的方法称为网络地址转换（换（NAT）。）。7.1.5 网络地址转换网络地址转换1.什么是什么是NATNAT是将一个或多个地址转换成另一组地址。当客是将一个或多个地址转换成另一组地址。当客户组建网络时，使用户组建网络时，使用ISP为系统提供的为系统提供的30个或一定个或一定数量的地址，这些地址对数量的地址，这些地址对Internet是可见的；而内是可见的；而内部系统使用的地址对部系统使用的地址对Internet是不可见的，但由是不可见的，但由NAT转换后和转换后和Inte

21、rnet通信。通信。大多数网络由防火墙或路由器完成此转换任务。但大多数网络由防火墙或路由器完成此转换任务。但在设置防火墙时，必须配置好。在设置防火墙时，必须配置好。NAT还能提供安全功能，因为它将内部系统的地址还能提供安全功能，因为它将内部系统的地址隐藏起来，对隐藏起来，对Internet是不可见的。由于系统是不是不可见的。由于系统是不可见的，就无法寻址和攻击。可见的，就无法寻址和攻击。2.专用类地址专用类地址专用类地址是当使用专用类地址是当使用NAT时，确定内部网络的地址。时，确定内部网络的地址。RFC1918规定了专用类地址。已定义的专用类地址规定了专用类地址。已定义的专用类地址如下：如下

22、：10.0.0.010.255.255.255(10.0.0.0/8位掩码位掩码)172.16.0.0172.31.255.255(172.16.0.0/12位掩码位掩码)192.168.0.0192.168.255.255(192.168.0.0/16位掩码位掩码)使用这些地址为一个组织设计内部编址方案时提供使用这些地址为一个组织设计内部编址方案时提供了很大灵活性。可以任意使用上面一种或组合的地了很大灵活性。可以任意使用上面一种或组合的地址，没有任何限制。址，没有任何限制。这些地址对这些地址对Internet是不可路由的。是不可路由的。3.静态静态NAT静态静态NAT是从组织的外部网络映射一

23、个单个实际地是从组织的外部网络映射一个单个实际地址到址到DMZ上的一个系统，上的一个系统，NAT将服务器的外部真将服务器的外部真实地址转换到服务器的内部地址。实地址转换到服务器的内部地址。静态静态NAT是一对一的配置。静态是一对一的配置。静态NAT适用于适用于DMZ上的服务器。上的服务器。4.动态动态NAT动态动态NAT将很多内部地址映射到单个真实地址，不将很多内部地址映射到单个真实地址，不是一对一的映射。所用的真实地址是防火墙的外部是一对一的映射。所用的真实地址是防火墙的外部地址。防火墙跟踪此连接，每个连接使用一个端口。地址。防火墙跟踪此连接，每个连接使用一个端口。最多可有最多可有64 00

24、0个同时的动态个同时的动态NAT连接。连接。当使用动态主机配置协议当使用动态主机配置协议DHCP时，动态时，动态NAT对桌对桌面客户特别有用。它与用户的面客户特别有用。它与用户的IP设置无关，增加了设置无关，增加了灵活性和可用性。方便管理与维护。灵活性和可用性。方便管理与维护。使用动态使用动态NAT的系统从外部是无法寻址的，增加了的系统从外部是无法寻址的，增加了系统的安全性。系统的安全性。图图7.13 动态网络地址转换动态网络地址转换1.合作伙伴网络的使用合作伙伴网络的使用合作伙伴网络用于在组织之间交换文件和数据。这合作伙伴网络用于在组织之间交换文件和数据。这种交换根据组织的需要而定，但这并不

25、意味着一个种交换根据组织的需要而定，但这并不意味着一个组织需要无限制地访问另一个组织的网络。组织需要无限制地访问另一个组织的网络。2.合作伙伴网络的设置合作伙伴网络的设置合作伙伴网络的安全需求和合作伙伴网络的安全需求和Internet连接的安全需连接的安全需求类同，因此可使用相同的网络结构和方法。求类同，因此可使用相同的网络结构和方法。提供合作伙伴网络服务的系统放在提供合作伙伴网络服务的系统放在DMZ中。如图中。如图7.14所示，防火墙加了两个接口，一个接到合作伙所示，防火墙加了两个接口，一个接到合作伙伴网络的伴网络的DMZ，另一个接到合作伙伴网络。，另一个接到合作伙伴网络。7.1.6 合作伙

26、伴网络合作伙伴网络图图7.14 使用使用Internet防火墙的合作伙伴防火墙的合作伙伴DMZ只有在各个结点间安装或租用了专门的通信设施，只有在各个结点间安装或租用了专门的通信设施，才能对网络进行第二层保护。对网络的第二层保护才能对网络进行第二层保护。对网络的第二层保护一般可以达到点对点间较强的身份认证、保密性和一般可以达到点对点间较强的身份认证、保密性和连续的通道认证，在大多数情况下，也可保证数据连续的通道认证，在大多数情况下，也可保证数据流的安全。有些安全服务可以提供数据的完整性或流的安全。有些安全服务可以提供数据的完整性或至少具有防止欺骗的能力。至少具有防止欺骗的能力。7.2 网络安全层

27、次模型网络安全层次模型 7.2.1 第二层保护的网络第二层保护的网络链路层安全链路层安全1.IP数据网络的安全数据网络的安全IP是一种面向协议的无连接的包，需要施加安全特是一种面向协议的无连接的包，需要施加安全特性。性。IP包是共享的，也就是说，寻址于特定位置的包是共享的，也就是说，寻址于特定位置的信息对大量网络组件来说是可读的，用户之间的数信息对大量网络组件来说是可读的，用户之间的数据有可能在网络中通过很多的结点和跳跃进行传输。据有可能在网络中通过很多的结点和跳跃进行传输。7.2.2 第三层保护的网络第三层保护的网络网络层安全网络层安全（1）域名服务器域名服务器IP网络把高级域名转化为网络把

28、高级域名转化为IP地址，这种服务依赖本地址，这种服务依赖本地或区域域名服务器（地或区域域名服务器（DNS）上的信息的正确性。）上的信息的正确性。如果没有域名和如果没有域名和IP地址之间的准确转换，地址之间的准确转换，IP数据包数据包是无法通过网络准确路由的，要么连接无法建立，是无法通过网络准确路由的，要么连接无法建立，要么连接的对象并不是我们期望的对象。要么连接的对象并不是我们期望的对象。DNS查询查询包含必须被转换的地址信息以及对先前转换请求的包含必须被转换的地址信息以及对先前转换请求的应答信息。应答信息。（4）路由信息路由信息动态路由机制确保了信息包在网络中的高效传输，动态路由机制确保了信

29、息包在网络中的高效传输，路由信息和路由表的正确性是相当关键的。它能确路由信息和路由表的正确性是相当关键的。它能确保连接的路由不被拒绝，并有效使用网络资源。对保连接的路由不被拒绝，并有效使用网络资源。对网络的可用性来说，确保路由表免受攻击是相当关网络的可用性来说，确保路由表免受攻击是相当关键的。键的。路由器间的更新信息必须使用完整性机制，这将确路由器间的更新信息必须使用完整性机制，这将确保路由更新信息在网络上传送时不会被修改。路由保路由更新信息在网络上传送时不会被修改。路由表必须防止非授权用户的非法修改，以确保路由表表必须防止非授权用户的非法修改，以确保路由表信息的准确性。另外，还需要认证机制，

30、以确保非信息的准确性。另外，还需要认证机制，以确保非授权源不会将路由更新信息插入网络。授权源不会将路由更新信息插入网络。3.防火墙防火墙防火墙是建立在内外网络边界上的过滤封锁机制。防火墙是建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的。而外部网络内部网络被认为是安全和可信赖的。而外部网络（通常是（通常是Internet）被认为是不安全和不可信赖的。）被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络出被保护的内部网络，通过边界控制强化内部网络的安全策略。的安全策略。

31、防火墙作为解决一些机构对于网络边界安全的迫切防火墙作为解决一些机构对于网络边界安全的迫切需求起了相当好的作用。但它只能是网络安全措施需求起了相当好的作用。但它只能是网络安全措施的一个组成部分，而不能解决所有的网络安全问题。的一个组成部分，而不能解决所有的网络安全问题。4.IPSec在在IP加密传输信道技术方面，加密传输信道技术方面，IETF已经指定了一已经指定了一个个IP安全性工作小组安全性工作小组IPSec来制定来制定IP安全协议（安全协议（IP Security Protocol,IPSP）和对应的）和对应的Internet密钥管密钥管理协议（理协议（Internet Key Manage

32、ment Protocol,IKMP）的标准。）的标准。IPSP的主要目的是使需要安全服的主要目的是使需要安全服务的用户能够使用相应的加密安全体制。务的用户能够使用相应的加密安全体制。按照这些要求，按照这些要求，IPSec工作组使用认证头部（工作组使用认证头部（AH）和安全内容封装（和安全内容封装（ESP）两种机制，前者提供认证）两种机制，前者提供认证和数据完整性，后者实现通信保密。和数据完整性，后者实现通信保密。现在一些防火墙产品已经实现了现在一些防火墙产品已经实现了IP层的加密，使用层的加密，使用了了AH或或ESP，支持，支持IPSec，一些主要路由器厂商也，一些主要路由器厂商也称支持称支

33、持IPSec。IPSec技术能够在两个网络结点间建技术能够在两个网络结点间建立透明的安全加密信道。立透明的安全加密信道。IP安全性的主要优点是它的透明性，安全服务的提安全性的主要优点是它的透明性，安全服务的提供不需要应用程序，也不需要其他通信层次和网络供不需要应用程序，也不需要其他通信层次和网络部件做任何改动。它的最主要缺点是部件做任何改动。它的最主要缺点是IP层一般对属层一般对属于不同进程的包不作区别。对所有去往同一地址的于不同进程的包不作区别。对所有去往同一地址的包，它将按照同样的加密密钥和访问控制策略来处包，它将按照同样的加密密钥和访问控制策略来处理，这将使性能下降。理，这将使性能下降。

34、IP层非常适合提供基于主机的安全服务。相应的安层非常适合提供基于主机的安全服务。相应的安全协议可以用来在全协议可以用来在Internet上建立安全的上建立安全的IP通道和通道和虚拟专网。虚拟专网。由于由于TCP/IP协议本身非常简单，没有加密、身份协议本身非常简单，没有加密、身份认证等安全特性，因此要向上层应用提供安全通信认证等安全特性，因此要向上层应用提供安全通信的机制就必须在的机制就必须在TCP之上建立一个安全通信层次。之上建立一个安全通信层次。传输层网关在两个通信结点之间代为传递传输层网关在两个通信结点之间代为传递TCP连接连接并进行控制，这个层次一般称作传输层安全。最常并进行控制，这个

35、层次一般称作传输层安全。最常见的传输层安全技术有见的传输层安全技术有SSL、SOCKS和安全和安全RPC等。等。7.2.3 传输层保护的网络传输层保护的网络具体做法包括双向实体的认证、数据加密密钥的交具体做法包括双向实体的认证、数据加密密钥的交换等。换等。Netscape通信公司遵循了这个思路，制定了通信公司遵循了这个思路，制定了建立在可靠的传输服务（如建立在可靠的传输服务（如TCP/IP所提供）基础所提供）基础上的安全套接层协议（上的安全套接层协议（SSL）。）。SSL分为两层，上面是分为两层，上面是SSL协商层，双方通过协商协商层，双方通过协商约定有关加密的算法，进行身份认证等；下面是约定

36、有关加密的算法，进行身份认证等；下面是SSL记录层，它把上层的数据经分段、压缩后加密，记录层，它把上层的数据经分段、压缩后加密，由传输层传送出去。由传输层传送出去。SSL采用公钥方式进行身份认采用公钥方式进行身份认证，但是大量数据传输仍使用对称密钥方式。通过证，但是大量数据传输仍使用对称密钥方式。通过双方协商，双方协商，SSL可以支持多种身份认证、加密和检可以支持多种身份认证、加密和检验算法。验算法。两个层次对应以下两个协议：两个层次对应以下两个协议：（1）SSL记录层协议。它涉及应用程序提供的分记录层协议。它涉及应用程序提供的分段、压缩、数据认证和加密。段、压缩、数据认证和加密。SSL v3

37、提供对数据认提供对数据认证用的证用的MD5和和SHA以及数据加密用的以及数据加密用的R4和和DES等等的支持，用来对数据进行认证和加密的密钥可以通的支持，用来对数据进行认证和加密的密钥可以通过过SSL的握手协议来协商。的握手协议来协商。（2）SSL协商层协议。用来交换版本号、加密算协商层协议。用来交换版本号、加密算法、（相互）身份认证并交换密钥。法、（相互）身份认证并交换密钥。SSL v3提供对提供对DeffieHellman密钥交换算法、基于密钥交换算法、基于RSA的密钥的密钥交换机制和另一种实现在交换机制和另一种实现在Frotezza chip上的密钥交上的密钥交换机制的支持。换机制的支持

38、。使用使用SSL协议通信的双方通过协商层来约定协议通信的双方通过协商层来约定协议版本、加密算法，进行身份验证，生成协议版本、加密算法，进行身份验证，生成共享密钥等。共享密钥等。SSL协商层的工作过程如图协商层的工作过程如图7.16所示。所示。SSL记录层接收上层的数据，将它们分段；记录层接收上层的数据，将它们分段；然后用协商层约定的压缩方法进行压缩，压然后用协商层约定的压缩方法进行压缩，压缩后的记录用约定的流加密或块加密方式进缩后的记录用约定的流加密或块加密方式进行加密，再由传输层发送出去。行加密，再由传输层发送出去。图图7.16 SSL协议会话过程示意图协议会话过程示意图 IP层的安全协议能

39、够为网络连接建立安全的通信信层的安全协议能够为网络连接建立安全的通信信道，传输层安全协议允许为进程之间的数据通道增道，传输层安全协议允许为进程之间的数据通道增加安全属性，但它们都无法根据所传送的不同内容加安全属性，但它们都无法根据所传送的不同内容的安全要求予以区别对待。如果确实想要区分具体的安全要求予以区别对待。如果确实想要区分具体文件的不同的安全性要求，就必须在应用层采用安文件的不同的安全性要求，就必须在应用层采用安全机制。提供应用层的安全服务，实际上是最灵活全机制。提供应用层的安全服务，实际上是最灵活的处理单个文件安全性的手段。只有应用层是惟一的处理单个文件安全性的手段。只有应用层是惟一能

40、够提供这种安全服务的层次。能够提供这种安全服务的层次。7.2.4 应用层安全性应用层安全性一般说来，在应用层提供安全服务有下面几种可能一般说来，在应用层提供安全服务有下面几种可能的做法。首先是对每个应用（及应用协议）分别进的做法。首先是对每个应用（及应用协议）分别进行修改和扩展，加入新的安全功能。行修改和扩展，加入新的安全功能。例如，在例如，在RFC14211424中，中，IETF规定了私用强化规定了私用强化邮件（邮件（PEM）来为基于）来为基于SMTP的电子邮件系统提供的电子邮件系统提供安全服务。安全服务。建立一个建立一个PKI需要很多非技术因素，因为它需要各需要很多非技术因素，因为它需要各

41、方在一个共同点上达成信任。由于需要满足各方的方在一个共同点上达成信任。由于需要满足各方的要求，整个要求，整个PKI建立过程很长。作为一个中间软件建立过程很长。作为一个中间软件包包PGP（Pretty Good Privacy）。它符合）。它符合PEM的绝的绝大多数规范，但不必要求大多数规范，但不必要求PKI的存在。相反，它采的存在。相反，它采用了分布式的信任模型，即由每个用户自己决定该用了分布式的信任模型，即由每个用户自己决定该信任哪些用户。因此，信任哪些用户。因此，PGP不是去推广一个全局的不是去推广一个全局的PKI，而是让用户自己建立自己的信任网。，而是让用户自己建立自己的信任网。S-HT

42、TP是是Web上使用的超文本传输协议（上使用的超文本传输协议（HTTP）的安全增强版本。的安全增强版本。S-HTTP提供了文件级的安全机制，因此每个文件提供了文件级的安全机制，因此每个文件都可以设置成保密都可以设置成保密/签字状态。用作加密及签名的签字状态。用作加密及签名的算法可以由参与通信的收发双方协商。算法可以由参与通信的收发双方协商。S-HTTP提提供了对多种单向散列（供了对多种单向散列（Hash）函数的支持，如）函数的支持，如MD2、MD5及及SHA；对多种私钥体制的支持，如；对多种私钥体制的支持，如DES、三元、三元DES、RC2、RC4，以及，以及CDMF；对数；对数字签名体制的支

43、持，如字签名体制的支持，如RSA和和DSS。S-HTTP和和SSL是从不同角度提供是从不同角度提供Web的安全性。的安全性。S-HTTP对单个文件作对单个文件作“保密保密/签字签字”之区分，而之区分，而SSL则把参与通信的相应过程之间的数据通道按则把参与通信的相应过程之间的数据通道按“保密保密”和和“已鉴别已鉴别”进行监管。进行监管。除了电子邮件系统外，另一个重要的应用是电子商除了电子邮件系统外，另一个重要的应用是电子商务，尤其是信用卡交易。为使务，尤其是信用卡交易。为使Internet上的信用卡上的信用卡交易安全起见，交易安全起见，MasterCard公司（与公司（与IBM、Netscape

44、、GTE和和Cybercash等公司一起）制定了等公司一起）制定了安全电子付费协议（安全电子付费协议（SEPP），），Visa国际公司与微国际公司与微软公司（和其他一些公司一道）制定了安全交易技软公司（和其他一些公司一道）制定了安全交易技术（术（STT）协议。）协议。同时，同时，MasterCard、Visa国际公司和微软公司已经国际公司和微软公司已经同意联手推出同意联手推出Internet上的安全信用卡交易服务。上的安全信用卡交易服务。他们发布了相应的安全电子交易（他们发布了相应的安全电子交易（SET）协议，其）协议，其中规定了信用卡持有人用其信用卡通过中规定了信用卡持有人用其信用卡通过In

45、ternet进进行付费的方法。这套机制的后台有一个证书颁发的行付费的方法。这套机制的后台有一个证书颁发的基础设施，提供对基础设施，提供对X.509证书的支持。证书的支持。SET标准在标准在1997年年5月发布了第一版，它提供数据保密、数据月发布了第一版，它提供数据保密、数据完整性、对于持卡人和商户的身份认证以及其他安完整性、对于持卡人和商户的身份认证以及其他安全系统的互操作性。全系统的互操作性。由于应用程序要使用身份认证和密钥分发系统的由于应用程序要使用身份认证和密钥分发系统的API，这要求有统一的，这要求有统一的API，使得应用程序能不作，使得应用程序能不作修改就使用不同的身份认证和密钥分发

46、系统提供的修改就使用不同的身份认证和密钥分发系统提供的服务。能做到这一点，开发人员就不必再为增加很服务。能做到这一点，开发人员就不必再为增加很少的安全功能而对整个应用程序动大手术了。因此，少的安全功能而对整个应用程序动大手术了。因此，认证系统设计领域内最主要的进展之一就是制定了认证系统设计领域内最主要的进展之一就是制定了标准化的安全标准化的安全API，即通用安全服务，即通用安全服务API（GSS-API）。）。随着随着WWW应用领域的扩大，安全和管理等问题日应用领域的扩大，安全和管理等问题日益受到重视。由于最初益受到重视。由于最初HTTP协议在设计时注重的协议在设计时注重的是方便的交流，并没有

47、考虑安全的问题，对于是方便的交流，并没有考虑安全的问题，对于WWW的资源管理缺乏有效的安全保护；后来的的资源管理缺乏有效的安全保护；后来的HTTP1.0和和 HTTP1.1协议本身也只提供了相当有协议本身也只提供了相当有限的认证机制，仍然没有全面的安全保证。加上限的认证机制，仍然没有全面的安全保证。加上WWW是建立在是建立在Internet的基础上，的基础上，Internet的安全的安全隐患也使得隐患也使得WWW的进一步应用受到限制。这些已的进一步应用受到限制。这些已经阻碍了它的进一步实际商业使用。经阻碍了它的进一步实际商业使用。7.2.5 WWW应用安全技术应用安全技术WWW应用安全的解决方

48、案需要结合通用的应用安全的解决方案需要结合通用的Internet安全技术和专门针对安全技术和专门针对WWW的技术。前者的技术。前者主要指防火墙技术，后者包括根据主要指防火墙技术，后者包括根据WWW技术的特技术的特点改进点改进HTTP协议或者利用代理服务器、插入件协议或者利用代理服务器、插入件（plug in）、中间件等技术来实现的安全技术。）、中间件等技术来实现的安全技术。HTTP协议目前已经有了协议目前已经有了3个版本，分别是个版本，分别是HTTP0.9、HTTP1.0、HTTP1.1。HTTP1.0中提供了一个基于口令的基本认证方法中提供了一个基于口令的基本认证方法（Basic Authe

49、ntication Scheme）,目前，所有目前，所有Web服务器都可以通过服务器都可以通过“基本身份认证基本身份认证”支持访问控制。支持访问控制。浏览器将用户输入的用户名和口令经过一定的编码浏览器将用户输入的用户名和口令经过一定的编码传给服务器方。在检验了用户身份和口令后，服务传给服务器方。在检验了用户身份和口令后，服务器方才发送回所请求的页面或者执行器方才发送回所请求的页面或者执行CGI程序。用程序。用户也可以选择使用户也可以选择使用SSL建立加密信道传输。建立加密信道传输。HTTP1.1在身份认证上，针对基本认证方法以明文在身份认证上，针对基本认证方法以明文传输口令这一最大弱点补充了摘

50、要认证方法传输口令这一最大弱点补充了摘要认证方法（Digest Authentication Scheme）,不再传递口令的不再传递口令的明文，而是将口令经过散列函数变换以后传递它的明文，而是将口令经过散列函数变换以后传递它的摘要。使用摘要认证，攻击者再也不能截获口令，摘要。使用摘要认证，攻击者再也不能截获口令，最多只能进行重放攻击，而且这种攻击也被限定在最多只能进行重放攻击，而且这种攻击也被限定在很短时间内，并只能用于同样的访问请求。很短时间内，并只能用于同样的访问请求。从安全角度来看，从安全角度来看，HTTP协议中的基本身份认证存协议中的基本身份认证存在不少潜在的问题，浏览器以明文的方式传