公开金钥加密法的应用.PPT

* 防火牆 不過代理器防火牆也和應用層過濾防火牆一樣, 軟硬體建置成本都相當高, 而且對於不支援的協定, 應用層過濾防火牆還可以直接設定放行, 但是在代理器防火牆下, 如果某個協定不支援, 用戶端便無法透過該協定連線。此外, 代理器防火牆不具備通透性, 用戶端必須特別設定好應用程式後才能使用。 * 防火牆 本書附錄D 會介紹Windows XP SP2 及 Windows 7 內建的防火牆功能, 供您練習防火牆運作上的相關設定。 * 16-8 加強網路層的安全 - IPsec 有鑑於網際網路的資料安全日益重要, 但是各家廠商往往使用專屬的技術來處理,並無通用的解決方案, 彼此不相容的問題造成使用者的困擾。於是 IETF（Internet Engineering Task Force）組織制定 IPsec 協定, 作為保護 IP 封包安全性的通用標準。 原始的構想是將 IPsec 應用在 IPv6, 不過事實上, 它也可以應用在 IPv4。一般預料, 在未來網際網路的資料安全議題上, IPsec 將佔有舉足輕重的地位。本節將對 IPsec 做一番觀念性的介紹, 以作為日後深入研究的基礎。 * 16-8-1 IPsec 的內容 從技術面來看, IPsec 協定包含了以下 3 種主要協定： ISAKMP（Internet Security Association and Key Management Protocol）協定 主要用來決定加密與解密時所使用的密鑰（Secret Key）。在傳送端和接收端都擁有密鑰之後, 雙方才開始傳輸、接收資料。由於這部分頗為複雜, 因此不在本書說明。有興趣深入瞭解的讀者, 請參考 RFC2408 文件。 * IPsec 的內容 AH（Authent icat ion Header）協定 主要用來執行『身份驗證』與『完整性檢查』（Integrity Check）兩項工作。前者係避免有心人士冒用他人身分, 與自己建立連線、傳輸資料；後者係檢查資料在傳輸過程中, 是否遭到竄改。這部分在 16-8-2 節會詳述。 ESP（Encapsulating Security Payload）協定 主要用來執行『身份驗證』和『資料加密』兩項工作。前者的功用如同 AH 協定；後者則是對於 IP 封包的 Payload 加密（亦即對於 TCP 封包加密）, 以避免IP 封包遭攔截時, 會被攔截者看出資料內容。這部分在 16-8-3 節會詳述。 * IPsec 的內容 此外, IPsec 還有一項特殊之處, 它是一種『連接式』（Connection-Oriented）協定。一般在網路層的協定, 通常都屬於『非連接式』（Connectionless）協定, 例如：IP 協定。IPsec 雖然也屬於網路層的協定, 可是它的傳送端與接收端, 在傳輸之前必須先建立一條『單向』連線, 因此是一種點對點的連接式協定。 而所建立的這條單向連線稱為 SA（Security Association）。舉例而言, 若是 A 電腦和 B 電腦彼此要互相傳送資料, 則必須建立 A→B 和 B→A 兩條 SA 連線, 這種特性和 TCP 連線頗為相似。 * IPsec 的內容 在建立 SA 連線時, 必定會用到 ISAKMP 協定, 至於 AH 協定和 ESP 協定, 可以擇一使用或同時使用。 關於『非連接式』協定和『連接式』協定的說明, 請參考 12-1 節和 12-2 節。 * 16-8-2 AH 協定 AH 協定只定義表頭（Header）, 沒有表尾（Trailer）。 AH 表頭包含 6 個欄位。在此我們僅介紹其中的『Sequence Number』和『Authentication Data』兩個欄位。 * AH 協定 『Sequence Number』（序號）是在 SA 連線中, 每個封包獨有的序號, 不會重複。即使因為封包遺失而重傳相同內容的封包, 也會有不同的序號。主要的目的在於防止重送（Replay）攻擊, 也就是有心人士攔截封包後, 修改其中內容並重送給接收端, 造成接收端的混淆。 如今藉由檢查序號, 接收端若發現所接收的封包, 其序號是先前已經接收過的序號, 便捨棄不處理。 * AH 協定 至於 『Authentication Data』, 又稱為 HMAC（Hashed Message AuthenticationCode）, 簡單說就是一個『雜湊值』（Hash Value）。 因為在計算此雜湊值的過程中, 已經將密鑰和 IP 封包的內容都加入運算, 所以若是使用錯誤的密鑰, 或是修改了封包內容, 產生的雜湊值就會不同。 接收端將收到的封包經過相同的運算,產生一個雜湊值。將該雜湊值與收到的 HMAC 相比較, 兩者若不