上周 GitHub 热点速览 vol.08：系统设计必看 The System Design Primer

Internet上使用‘<的>’安全“协议”

『网络安全是分层实』现‘<的>’，从<<应用>>层安全到数据链路层安全。

{一}、‘运输层安全“协议”’：（安全套接字）SSL

1.1.简介

• SSL 是安全套接层 (Secure Socket Layer)，可对万维网客户与服务器之间传送‘<的>’数据进行加密《和》鉴别。
• SSL 《〖在〗》双方‘<的>’联络阶段协商将使用‘<的>’加密算法《和》密钥，以及客户与服务器之间‘<的>’鉴别。
• 《〖在〗》联络阶段完成之后[，所有传送‘<的>’数据都使用《〖在〗》联络阶段商定‘<的>’‘会话’密钥。
• SSL 不仅被所有常用‘<的>’浏览器《和》万维网服务器所支持，而且也是‘运输层安全“协议”’ TLS (Transport Layer Security)‘<的>’基础。

1.2.SSL ‘<的>’《‘位’》置

• 《〖在〗》发送方，SSL 接收<应用>层‘<的>’数据（如 HTTP “或” IMAP “报文”），对数据进行加密，然后把加了密‘<的>’数据送往运输层 TCP 套接字。

• 《〖在〗》接收方，SSL 从 TCP 【套接字读取数据】，解密后把数据交给<应用>层。（发送方《和》接收方都有SSL层）

1.3.使用SSL 技术[‘<的>’例子

当我们访问网站时，{一}般不涉及输入账号密码等操作‘<的>’网页使用‘<的>’都是 "HTTP" “协议”（使用80端口），即网站域名开头为：http://；当涉及账号密码等敏感信息‘<的>’操作时，网站{一}般都会使用 "HTTPS"“协议”（使用443端口），"S"表示‘<的>’即是SSL (Secure Socket Layer)，即网站域名开头为：https://。

例如，我们访问中国工商银行‘<的>’官网：

《〖在〗》主页处‘<的>’域名栏中可以发现浏览器提醒‘<的>’ "不安全" 字样，『实际上该主页使用‘<的>’就是』HTTP“协议”，（即不加密信息），明文传输。由于这是谷歌浏览器，没有显示 "http://" ‘<的>’域名前缀。

{当{点击}登录时}，跳转到另外{一}个网页：

从网站域名开头‘<的>’ "https://" 可以看出，涉及到账号密码等敏感信息‘<的>’登录页面使用‘<的>’是HTTPS“协议”，说明网页使用了SSL 技术[。

补充

HTTP“协议”使用了（安全套接字）（SSL）变成了HTTPS“协议”，使用‘<的>’端口由80变为443，其他<应用>层‘<的>’“协议”也可以使用（安全套接字）：

• IMAPS：TCP-993；
• POP3S：TCP-995；
• SMTPS：TCP-465；

1.4.（安全套接字）实现‘<的>’过程：https

https既采用了对称加密‘<的>’效率，也采用了非对称加密‘<的>’安全。

通信前Web服务器先把证书中‘<的>’公钥交给IE浏览器（客户），IE浏览器根据收到‘<的>’公钥生成{一}个对称密钥，然后使用公钥加密对称密钥并发送给Web服务器。

Web服务器使用私钥解密收到‘<的>’加密后‘<的>’对称密钥，随后使用对称密钥加密需要传输‘<的>’数据。《〖在〗》之后‘<的>’通信中都采用该对称密钥对数据加密《和》解密。

《〖在〗》传输对称密钥‘<的>’过程中使用非对称加密，《〖在〗》传输数据过程中使用对称加密。这样既保证了数据传输‘<的>’安全，也提高了效率。

所以，《〖在〗》使用https通信‘<的>’时候{一}开始都不会太快，因为要协商对称密钥，协商好之后才会快起来。

查看使用https网站‘<的>’证书

例如：《百度》。

{点击} "锁" （图标）。

{点击} "证书" 即可查看到该网站使用‘<的>’证书。

1.5.SSL 实现‘<的>’三个功能

• SSL 服务器鉴别 ：允许用户证实服务器‘<的>’身份。具有 SSL 功能‘<的>’浏览器维持{一}个表，上面有{一}些可信赖‘<的>’【认证中心】 CA (Certificate Authority)《和》它们‘<的>’公钥。
• 加密‘<的>’ SSL ‘会话’ ：客户《和》服务器交互‘<的>’所有数据都《〖在〗》发送方加密，《〖在〗》接收方解密。
• SSL 客户鉴别 ：允许服务器证实客户‘<的>’身份。

上图为颁发给《百度》首页‘<的>’证书，可以看到SSL除了可以加密‘会话’信息之外，还可以鉴别服务器《和》客户身份。

二、网络层安全“协议”：IPSec

『网络安全是分层实』现‘<的>’。

• <<应用>>层安全：「比如微软‘<的>’」 "Outlook" 邮箱，可以通过《〖在〗》<应用>程序中‘<的>’某些设置实现数据传输‘<的>’安全。<<应用>>层安全‘<的>’特点为需要<应用>程序‘<的>’支持。

• 传输层安全：传输安全是通过夹《〖在〗》<应用>层《和》传输层中间‘<的>’SSL层实现‘<的>’，发送方‘<的>’SSL可以将<应用>层‘<的>’数据加密后给传输层，接收方‘<的>’SSL传输层收到‘<的>’数据解密后给<应用>层。SSL安全‘<的>’特点为需要配置相应证书。

• 网络层安全：属于底层安全，‘不需要<应用>程’序支持，也不需要配置证书，对用户来说是透明‘<的>’，即用户并不知道数据《〖在〗》该层进行了加密。

  比如，未加密‘<的>’数据经过发送方‘<的>’网卡实现了加密，接收方‘<的>’网卡实现数据解密，整个过程用户是不知道‘<的>’，是透明‘<的>’，即使数据《〖在〗》传输过程中被截获了，第三方也不能破解其中内容；“或”者数据被篡改了， 接收方也能发现[，这便是网络层安全。

2.1.IPsec与安全关联 SA

网络层保密是指所有《〖在〗》 IP 数据报中‘<的>’数据都是加密‘<的>’。

**IPsec 〖中最主要‘<的>’两个部分〗 **

• 鉴别首部 AH (Authentication Header)： AH鉴别源点《和》检查数据完整性，{但不能保密}。类似于数字签名，用于确保数据‘<的>’来源并判断数据是否被更改。
• 封装安全有效载荷 ESP (Encapsulation Security Payload)：ESP 比 AH 复杂得多，它鉴别源点、「检查数据完整性《和》提供」保密。 类似于既使用数字签名，又使用共享密钥对数据进行加密。

**安全关联 SA(Security Association) **

• 《〖在〗》使用 AH “或” ESP 之前，先要从源主机到目‘<的>’主机建立{一}条网络层‘<的>’逻辑连接。此逻辑连接叫做安全关联 SA

• IPsec 就把传统‘<的>’因特网无连接‘<的>’网络层转换为具有逻辑连接‘<的>’层。

• SA（安全关联）是构成IPSec‘<的>’基础，是两个通信实体经协商（利用IKE“协议”）建立起来‘<的>’{一}种协定，它决定了用来保护数据分组安全‘<的>’安全“协议”（AH“协”议“或”者ESP“协议”）、转码方式、密钥及密钥‘<的>’有效存《〖在〗》时间等。

2.2.安全关联‘<的>’特点

• 安全关联是{一}个单向连接。它由{一}个三元组唯{一}地确定，包括：

  (1) 安全“协议”（使用 AH “或” ESP）‘<的>’标识符；

  (2) 此单向连接‘<的>’源 IP 〖地址〗；

  (3) {一}个 32 《‘位’》‘<的>’连接标识符，称为安全参数索引 SPI (Security Parameter Index)；

• 对于{一}个给定‘<的>’安全关联 SA，每{一}个 IPsec 数据报都有{一}个存放 SPI ‘<的>’字段。通过此 SA <‘<的>’所有数据报都使用同样‘<的>’> SPI 值。

2.3.查看安全关联

• 《〖在〗》Windows系统开始页面输入命令mmc打开 "Microsoft 管理控制台"，打开 "文件" 选择 "添加/{删除管理单元}"。

• 找到并添加 "IP安全监视器"。

• 回到控制台界面， 可《〖在〗》[IP安全监视器中找到 "安全关联" 选项，选中后可查看已建立‘<的>’安全关联。

2.4.鉴别首部“协议” AH

• 《〖在〗》使用鉴别首部“协议” AH 时，把 AH 首部插《〖在〗》原数据报数据部分‘<的>’前面，同时把 IP 首部中‘<的>’“协议”字段置为 51。
• 《〖在〗》传输过程中，中间‘<的>’路由器都不查看 AH 首部。当数据报到达终点时，目‘<的>’主机才处理 AH 字段，以鉴别源点《和》检查数据报‘<的>’完整性。

AH首部

(1) 下{一}个首部(8 《‘位’》)。标志紧接着本首部‘<的>’下{一}个首部‘<的>’类型（如 TCP “或” UDP）。

(2) 有效载荷长度(8 《‘位’》)，即鉴别数据字段‘<的>’长度，以 32 《‘位’》字为单《‘位’》。

(3) 安全参数索引 SPI (32 《‘位’》)。标志安全关联，两个计算机进行 通讯[时‘<的>’SPI值是固定‘<的>’。

(4) 序号(32 《‘位’》)。鉴别数据字段‘<的>’长度，以32 《‘位’》字为单《‘位’》。

(5) 保留(16 《‘位’》)。为今后用。

(6) 鉴别数据(可变)。为 32 《‘位’》字‘<的>’整数倍，它包含了经数字签名‘<的>’“报文”摘要。因此可用来鉴别源主机《和》检查 IP 数据报‘<的>’完整性。

2.5.封装安全有效载荷 ESP

使用 ESP 时，IP 数据报首部‘<的>’“协议”字段置为 50。当 IP 首部检查到“协议”字段是 50 时，就知道《〖在〗》 IP 首部后面紧接着‘<的>’是 ESP 首部，同时《〖在〗》原 IP 数据报后面增加了两个字段，即 ESP 尾部《和》 ESP 数据。

你应该了解‘<的>’ Java SPI 机制

• **ESP 首部：**里面有标识{一}个安全关联‘<的>’安全参数索引 SPI (32 《‘位’》)，《和》序号(32 《‘位’》)。
• **ESP 尾部：**里面有下{一}个首部（8 《‘位’》，作用《和》 AH 首部‘<的>’{一}样）。ESP 尾部《和》原来数据报‘<的>’数据部分{一}起进行加密，因此攻击者无法得知所使用‘<的>’运输层“协议”。
• **ESP 鉴别：**《和》 AH 中‘<的>’鉴别数据是{一}样‘<的>’。因此，用 ESP 封装‘<的>’数据报既有鉴别源站《和》检查数据报完整性‘<的>’功能，又能提供保密。

2.6.设置本地计算机‘<的>’IP安全策略

• 《〖在〗》计算机‘<的>’ "开始" 界面搜索 "‘本地安全策略’"。

• 右键 "IP安全策略" 打开菜单，选择 "创建 IP 安全策略"。

• 「进入」 "IP安全策略向导" ，创建{一}个自定义‘<的>’ IP安全策略，随后{一}直 "下{一}步" 《结束向导》。

这里‘<的>’ "激活默认规则" 指‘<的>’是，当没有指定规则时，使用默认‘<的>’规则。

• 「进入」自定义IP安全策略‘<的>’【属性】界面，〖去掉〗默认勾选‘<的>’ "使用添加向导" 这样可以看到更多‘<的>’细节，然后{点击} "添加"，添加新‘<的>’IP安全规则。

「进入」 "新规则 【属性】" 界面，《〖在〗》 "IP《「「筛选器」」列表》" 选项中可选择《和》添加 IP《「「筛选器」」列表》，<它‘<的>’作用是>：指定受此新规则影响‘<的>’网络流量。比如所有‘<的>’ IP 通讯[、所有‘<的>’ ICMP 通讯[等，即设置允许接收从哪里来“或”到哪里去‘<的>’数据。

• {点击} "添加" 「进入」 "IP 《「「筛选器」」列表》"界面，自定义IP 《「「筛选器」」列表》。

• 〖去掉〗默认勾选‘<的>’ "使用添加向导" 选项，继续{点击} "添加" ，「进入」 "IP 「「筛选器」」 【属性】" 界面。该界面可以设置 IP「「筛选器」」 ‘<的>’〖地址〗、“协议”《和》描述信息。

• 《〖在〗》 "〖地址〗" （选项卡‘<的>’） "源〖地址〗" 选项中可以设置 与本计算机通信‘<的>’流量数据中‘<的>’源〖地址〗。

• 同样也可以设置目标〖地址〗。

• 《〖在〗》 "“协议”" “ 选项卡中[”，可以设置通信‘<的>’“协议”类型《和》相应‘<的>’端口。

• 《〖在〗》 "描述" 选项卡可给自定义‘<的>’IP「「筛选器」」添加描述。

• ‘编辑完’ IP 「「筛选器」」【属性】后，回到 "IP《「「筛选器」」列表》" 可看到刚才添加‘<的>’IP「「筛选器」」。

• {点击} "确认" ，回到 "新规则 【属性】" 界面， 可《〖在〗》[ "IP 《「「筛选器」」列表》" 中看到刚才自定义‘<的>’IP《「「筛选器」」列表》。

《〖在〗》 "「「筛选器」」操作" “ 选项卡中[”，可以指定如何保障新建‘<的>’IP《「「筛选器」」列表》‘<的>’网络流量‘<的>’安全，即指定《〖在〗》 "IP 《「「筛选器」」列表》" 中设置‘<的>’允许通行‘<的>’流量使用‘<的>’安全方法（AH“或”ESP等）。同样不使用向导，{点击} "添加"，添加「「筛选器」」‘<的>’操作。

• 《〖在〗》「进入」‘<的>’ "新「「筛选器」」操作 【属性】" 界面中，【可以设置对应‘<的>’】安全方法，比如可以无条件阻止“或”许可之前选定‘<的>’ IP 筛选列表中‘<的>’通信流量，也可以《〖在〗》协商安全‘<的>’情况下进行通信。我们选中 "协商安全" 选项，然后{点击} "添加" ，添加对应‘<的>’安全方法。

• 「进入」 "新增安全方法" 界面，“可以看到有两种安全方法”，{一}种为 "（完整性《和》加密）"，相当于既使用数字签名也使用共享密钥加密；另{一}种为 "仅保持完整性"，相当于数字签名。这便是IPSec中‘<的>’AH“协议”《和》ESP“协议”这两种“协议”。

• 选择 "自定义" 选项，再{点击} "设置" ，「进入」 "自定义安全方法设置" 界面。《〖在〗》该界面中可以选择使用‘<的>’安全“协议”AH“或”者ESP及相应‘<的>’算法，也可以设置‘会话’密钥生成‘<的>’间隔（密钥生成时间）：每传输多少数据“或”每经过多长时间生成新密钥。

• 设置完相应‘<的>’安全方法后回到 "新「「筛选器」」操作 【属性】" 界面， 可以看到刚才自定义‘<的>’安全方法及相应设置。《〖在〗》界面下方‘<的>’三个选项中，前两项设置如字面意思，第三项设置意思为新密钥生成之后，以后加密数据都不会再使用旧密钥。随后{点击} "<应用>" 《和》 "确认" 回到 "新规则 【属性】" 界面。

《〖在〗》 "身份验证方法" “ 选项卡中[”，可以指定通信双方建立信任关系‘<的>’方法，即验证通信双方‘<的>’身份。{点击} "添加" 「进入」 "新身份验证方法 【属性】" 界面。

• 《〖在〗》该界面中，可以指定身份验证方法。例如通过设置共享密钥，来实现身份验证。

• 设置完成后{点击} "确认" 可回到 "新规则 【属性】" 界面，可看到新增‘<的>’身份验证方法。

"新规则 【属性】" 界面‘<的>’ "隧道设置" 选项卡可设置IPSec隧道相关【属性】。

"新规则 【属性】" 界面‘<的>’ "连接类型" 选项卡可指定使用新规则‘<的>’连接类型。

• 这样便完成了新规则‘<的>’【属性】设置，回到自定义IP安全策略‘<的>’【属性】界面，可以看到添加‘<的>’自定义列表。

• {点击} "确定"，回到 "‘本地安全策略’" 界面，可看到新增‘<的>’ "toServer" 安全策略，此时该安全策略还未生效。右键选择 "分配" {可指派该策}略，使计算机使用该安全策略进行通信。

2.7.仿真练习

把本地计算机当作Web服务器，按图中要求设置Web服务器到三台计算机‘<的>’安全策略，其中计算机XP1‘<的>’IP〖地址〗为192.168.80.101，XP2为192.168.80.102，XP3为192.168.80.103 。

• 设置Web服务器到计算机XP1‘<的>’安全策略：

  《〖在〗》 "新规则 【属性】" 界面‘<的>’ "IP《「「筛选器」」列表》" “〖中添加〗新列表”，指定通信‘<的>’目标〖地址〗为XP1‘<的>’IP〖地址〗：192.168.80.101 。

  

  

  《〖在〗》 "IP《「「筛选器」」列表》" 中选中 "toXP1" ‘<的>’情况下，《〖在〗》 "「「筛选器」」操作" 〖中添加〗安全方法名称为改为AH。

  

  

  

  《〖在〗》 "IP《「「筛选器」」列表》" 中选中 "toXP1" 《和》 "「「筛选器」」操作" 中选中 "AH"‘<的>’情况下，《〖在〗》 "身份验证方法" 〖中添加〗Web服务器到XP1‘<的>’身份验证方法：使用共享密钥aaa。

  

  

  "隧道设置" 《和》 "连接类型" 两项该例中不用设置，由此完成从Web服务器到XP1安全策略‘<的>’设置。

• 设置Web服务器到计算机XP2《和》XP3‘<的>’安全策略与到XP1‘<的>’设置同理。最后，Web服务器把到XP1~XP3‘<的>’安全策略都按要求添加了。

• 回到 "‘本地安全策略’" 界面，选中新增‘<的>’ "toXPS" 安全策略，右键 "分配" ，该安全策略生效，即按要求完成了Web服务器‘<的>’安全策略设置。

设置完之后，当Web〖服务〗器与XP1《和》XP2‘通信时’，使用装包工具抓到‘<的>’数据包只能看到加密后‘<的>’数据；当Web〖服务〗器与XP3‘通信时’，由于没有加密，所以抓包工具抓到‘<的>’数据包能看到传输‘<的>’明文。 可《〖在〗》[虚拟机中模拟四台计算机进行验证，这里就不展开了。

2.8.关于IP安全规则冲突『问题』

如下图所示，《〖在〗》IP安全规则中勾选‘<的>’ "所有 IP 通讯[量" 是否与其他勾选‘<的>’安全规则冲突呢？是不冲突‘<的>’，选择IP安全规则时采用‘<的>’是最佳匹配原则。比如：老师说中午12点下课，班干部11：30开完会后可以离开，张三11点就能走，虽然时间不同，但是每个学生都清楚自己几点可以走，这就是最佳匹配。‘通信时’，如果是与XP2通信，那么计算机就采用 "toXP2" 安全规则；与XP3通信，则采用 "toXP3" 安全规则；如果都不是，才采用 "所有 IP 通讯[量" 安全规则。

,

Sunbet

Sunbet www.xzsxzxx.cn是Sunbet娱乐‘<的>’官方网站,是亚洲唯{一}‘<的>’Sunbet。“公司业务主要范围”:Sunbet、Sunbet、sunbet娱乐等。