網(wǎng)絡(luò)數(shù)據(jù)安全

????現(xiàn)在在網(wǎng)絡(luò)上兩個節(jié)點A和B之間進行通信的時候，數(shù)據(jù)包經(jīng)過的路徑上很有可能會有很多的路由節(jié)點。在這些中間路由節(jié)點上，A和B之間的IP包是完全可以被截獲、修改、甚至丟棄的，因此在網(wǎng)絡(luò)上的數(shù)據(jù)傳輸并不安全，或者說基本的網(wǎng)絡(luò)7層協(xié)議并不確保數(shù)據(jù)傳輸?shù)陌踩浴?span id="ozvdkddzhkzd" class="Apple-converted-space">?
????數(shù)據(jù)的安全傳輸對用戶來說意義重大，顯然，沒有用戶愿意忍受自己所發(fā)送的每一段消息、傳輸?shù)拿恳环菸募加锌赡鼙涣硗庖粋€不相干的人偷窺。因此，在不安全的網(wǎng)絡(luò)上構(gòu)建安全的通信非常重要。?
????要在網(wǎng)絡(luò)上進行數(shù)據(jù)的安全傳輸，主要需要實現(xiàn)兩個方面：?
（1）身份認證，用于確定你數(shù)據(jù)的來源是你預(yù)想的。?
（2）數(shù)據(jù)加解密，用于對傳輸?shù)臄?shù)據(jù)進行加解密。?
（3）數(shù)據(jù)完整性校驗，用于防止數(shù)據(jù)被篡改。

身份認證

????身份認證是對數(shù)據(jù)的來源進行確認，比如用戶A和用戶B通過網(wǎng)絡(luò)傳輸數(shù)據(jù)，他們都希望自己收到的數(shù)據(jù)是來自B和A，而不是由其他人偽造的；某機構(gòu)發(fā)布了一個文件，用戶A從網(wǎng)上下載了該文件，他希望該文件確實是由該機構(gòu)發(fā)布的，這些都可以通過身份認證來得到保證。?
????現(xiàn)在常用的身份認證方法是使用證書。?
1、證書使用?
????證書就是一個公私鑰對中的公鑰（公私鑰在后續(xù)RSA中會具體講），公私鑰是非對稱加解密的實現(xiàn)方式，公鑰加密的數(shù)據(jù)，只有對應(yīng)的私鑰才能解密，反之亦然。?
如果某機構(gòu)申請了一張屬于自己的證書，然后向互聯(lián)網(wǎng)用戶公開該證書，用戶如果接受，則將證書存在電腦中。之后該機構(gòu)在發(fā)布數(shù)據(jù)的時候，帶上簽名，簽名可以是一個明文字符串X+經(jīng)過該機構(gòu)私鑰對X加密后的結(jié)果Y。當(dāng)用戶收到數(shù)據(jù)之后，通過該機構(gòu)公開的證書（公鑰）對簽名中的Y進行解密得到Z，如果此時Z和X相等，則可以判定該數(shù)據(jù)確實是由該機構(gòu)發(fā)布的。<私鑰加密，公鑰解密>

2、證書申請/頒發(fā)?
????頒發(fā)證書crt，頒發(fā)證書當(dāng)然不是誰想干就能干的，這得有專門的證書頒發(fā)機構(gòu)來執(zhí)行這項權(quán)利。CA(Certificate Authority,證書授權(quán)中心)是負責(zé)管理和簽發(fā)證書的機構(gòu)的第三方機構(gòu)，一般是權(quán)威可信的、經(jīng)過國家認證的部門。?
????如果某機構(gòu)或網(wǎng)站想要一個證書用于向用戶證明自己的身份，它首先要想CA申請，CA如果同意申請，會簽發(fā)一張證書給該機構(gòu)。此時該機構(gòu)或網(wǎng)站有了證書，它向網(wǎng)絡(luò)用戶公開的時候，怎么讓人們相信這張證書確實是CA頒發(fā)的而不是自己偽造的呢？首先，CA是權(quán)威機構(gòu)，它自己也有證書，且證書一般都會被用戶接受存放在電腦中；然后，CA在證書的末尾會添加一段簽名（和上面的X加密得到Y(jié)一個道理），用戶在收到新頒發(fā)的證書之后會通過自己電腦中存放的CA機構(gòu)的證書去解密從而可以校驗該證書是否是CA頒發(fā)。

3、證書層級與信任鏈?
????證書是分層級的，每份證書（除了根證書）都會指定其上級CA（頒發(fā)該證書的CA）的名字，系統(tǒng)根據(jù)名字定位到系統(tǒng)中的CA證書；其上級CA的證書也會指定其對應(yīng)的再上一級CA的名字.....直到根證書，根證書是不需要證明的。?
-windows系統(tǒng)自帶了一些CA證書，大部分是美國的CA頒發(fā)，中國用戶應(yīng)該先安裝一個工信部的根證書，該證書應(yīng)該是美國的CA簽發(fā)，國內(nèi)的其他機構(gòu)再向工信部申請證書。?
????根證書一定是可信的，這是證書安全體系的根本。根證書信任的那些證書也應(yīng)該是安全的，根證書信任的那些證書信任的證書也應(yīng)該是安全的，這樣一級一級往下傳.... 如果中間有證書不遵守規(guī)則，信任了不安全的證書，那么后續(xù)的證書鏈均有可能不安全......比如前段時間支付寶偷偷在用戶的電腦里添加根證書，這種行為私自修改的信任鏈規(guī)則，添加的根證書可能會信任一些不安全的證書，從而給系統(tǒng)帶來隱患。

使用證書進行身份認證

使用公開的證書

????https協(xié)議中，瀏覽器就是通過證書來驗證服務(wù)器是否合法的。?
????服務(wù)器首先會向CA申請證書（如果沒有向CA申請，則在訪問的時候瀏覽器會提示用戶是否信任該服務(wù)器提供的證書）；瀏覽器在訪問https服務(wù)器的時候，https服務(wù)器最開始就將自己的證書發(fā)送給瀏覽器，如果服務(wù)器的證書是向CA申請過的，瀏覽器可以通過本地機器上CA的證書對服務(wù)器的證書進行確認（通過CA的公鑰進行解密，判斷簽名是否一致）；如果服務(wù)器的證書沒有向CA申請過，則瀏覽器會發(fā)出警告，此時可以將該證書添加到“受信任的根證書頒發(fā)機構(gòu)”存儲區(qū)，就不會再收到安全提示了（當(dāng)然要確定該網(wǎng)站確實沒有問題）。?
????確認了證書沒有問題之后，我們怎么確定證書確實是由服務(wù)器發(fā)送過來的，而不是另外一個網(wǎng)站提前獲得了證書，然后再發(fā)給瀏覽器的呢？（如果是那樣，則說明瀏覽器建立連接的對象搞錯了。之后即使瀏覽器進行對稱加密的密鑰不會被假冒的服務(wù)器獲得，因為瀏覽器會用正確網(wǎng)站的證書公鑰加密，而只有擁有私鑰的正確的網(wǎng)站才能夠解密，但是至少瀏覽器無法正常的通信...)?
????可以這樣，瀏覽器先隨機生成一個字符串，然后傳送給服務(wù)器，服務(wù)器用私鑰加密，并將加密之后的結(jié)果返回給瀏覽器，瀏覽器用公鑰解密，查看是否是之前隨機生成的字符串。假冒的服務(wù)器沒有私鑰，因此無法對字符串進行正確的加密，從而瀏覽器會得出錯誤的結(jié)果。這樣，就可以通過證書驗證對方就是真正的服務(wù)器。?
????當(dāng)然，上面的過程也可能被一個假冒的服務(wù)器破壞：瀏覽器發(fā)送字符串給假冒的服務(wù)器，假冒的服務(wù)器沒有私鑰因此無法加密，但是它可以直接將字符串發(fā)送給真正的服務(wù)器，真正的服務(wù)器返回結(jié)果之后再將結(jié)果轉(zhuǎn)發(fā)給瀏覽器，這樣仍然可以欺騙瀏覽器讓它以為自己是和真正的服務(wù)器在通信。但是，這樣做對假冒服務(wù)器來說除了破壞了瀏覽器的通信之外，并無法獲取、篡改機密信息，因為瀏覽器在建立和服務(wù)器（無論是真正的服務(wù)器還是假冒的服務(wù)器），都會再生成一個對稱加密的密鑰，之后在通信的時候都使用這個密鑰進行加密，而只有真正的服務(wù)器才能夠通過私鑰解開這個密鑰，假冒的服務(wù)器除了獲得加密之后的數(shù)據(jù)之外，其他什么也做不了（當(dāng)然，它可以修改數(shù)據(jù)，但是這可以通過數(shù)據(jù)的完整性校驗被發(fā)現(xiàn)）。因此，只要身份認證沒有問題，中間人攻擊就無法進行。

使用預(yù)設(shè)置的證書

????在搭建vpn服務(wù)器的時候，也可以通過手動在本地存儲對方服務(wù)器的證書，從而在之后進行雙方服務(wù)器的身份認證。服務(wù)器都先在本地生成公私鑰對，然后將公鑰拷貝到對方的機器上，這樣之后在進行通信的時候，就可以使用公私鑰對來進行身份確認。

使用臨時分配的證書

????有可能通信雙方需要臨時在網(wǎng)絡(luò)上交換公鑰，他們網(wǎng)絡(luò)比較安全，交換的公鑰并不會被竊取，但實際并不是這樣，此時就會出現(xiàn)一種更為可怕的中間人攻擊：

假如A和B認為，任何網(wǎng)站都是不可靠的，他們從未并且今后也不會在網(wǎng)上公布自己的公鑰。為了加密通信，A需要親自告訴B他的公鑰，B也需要親自告訴A自己的公鑰。收到公鑰后，雙方便用對方的公鑰加密進行數(shù)據(jù)傳輸。因為用這個公鑰加密后，只有對方才能解開密碼，因此雙方都認為這條通信線路是安全的。其實，他倆的麻煩大了。這條線路并不是安全的，第三者可以用一種很搞笑的方式來竊聽消息。假設(shè)有一個人C知道A和B之間將有一次加密通話。C劫持了A和B之間的通訊線路。現(xiàn)在，A把他的公鑰發(fā)給B，這個公鑰傳到一半時被C攔截下來，于是C獲得了A的公鑰；C再把他自己的公鑰發(fā)給B，讓B把C的公鑰錯當(dāng)成A的公鑰。同樣地，B把他自己的公鑰發(fā)給A，被C攔截下來。C把自己的公鑰發(fā)給A，讓A以為那是B的公鑰。以后，每當(dāng)A給B發(fā)加密消息時，A其實是用C的公鑰在加密；C把A的消息解密后，再用B的公鑰加密后傳給B。類似地，一旦B給A發(fā)送消息，C都可以將消息解密，并用A的公鑰進行加密后傳過去。此時，A和B都以為自己在用對方的公鑰加密，并都能用自己的私有鑰匙解開對方傳來的密文；殊不知，這中間有人僅僅用了一點雕蟲小技，無聲無息地竊走了所有的信息。C正是利用了公鑰加密術(shù)“誰都可以加密”的性質(zhì)，結(jié)結(jié)實實地玩弄了A和B。

????那么，如何防范這種中間人攻擊呢？

中間人之所以能夠得逞，關(guān)鍵就是，無論是網(wǎng)絡(luò)通話還是國際象棋，雙方總是一先一后地發(fā)送信息。不過，在網(wǎng)絡(luò)通訊中，我們有一種很特別的辦法，他可以迫使中間人無法再扮演“即時翻譯”的角色。首先，A把想說的話（最好是能夠證明自己身份的話）進行加密，同時B也完成相同的工作。然后，A把他的加密消息的前面一半傳給B，B收到后也把他的密文的一半傳給A；A再把剩下的部份傳給B，之后B也把他的密文的另一半回傳給A。此時，A和B分別用自己的私鑰進行解密，查看對方發(fā)來的消息。這帶給中間人C一個不可逾越的障礙：兩段密文要合在一起才能解開，中間人拿著其中一半密文，那是一點辦法都沒有。此時，中間人陷入了一個非常窘迫的境地，他只有兩條路可選：要么硬著頭皮把這半截密文發(fā)給B，當(dāng)B得到全部密文后會發(fā)現(xiàn)用他自己的私鑰根本解不開，從而意識到中間有人搗亂；要么就忽略這半截密文，自己編幾句A想跟B說的話，用B的公鑰加密并發(fā)一半給B。如此一來，中間人需要編造所有A和B之間的對話，這需要相當(dāng)厚的臉皮，風(fēng)險異常之大，要不了多久便會露出馬腳。

參考

身份驗證、中間人攻擊和數(shù)字簽名：淺談密碼學(xué)（中）

總結(jié)

以上是生活随笔為你收集整理的网络安全(1)-身份认证的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。