Proxy ID
在此將分別以RFC標準與VPN設備實際應用兩個角度來說明 proxy-id 的意義.
先從RFC標準角度來說明:
IPSec VPN在建立tunnel時,雙方會先用IKE這個協(xié)定作溝通.
IKE這個協(xié)定,其實是參考了另外三個協(xié)定ISAKMP,OKALEY,SKEME的做法產生出來的.
RFC定義IKE在溝通過程有兩個phase,phase1與phase2
而proxy-id,其實就是在phase2溝通時用的其中一個參數(shù).
ID of source for which ISAKMP is a client
ID of destination for which ISAKMP is a client
參考:RFC2409 page.25,https://www.ietf.org/rfc/rfc2409.txt
可是RFC2409只看到ID這個字,Juniper為何會多了proxy這個字眼呢?
原因是在協(xié)定發(fā)展過程中的draft,先用到proxy這個字眼,但后來被改掉了.
參考:draft-ietf-ipsec-isakmp-oakley-04,page.18
所以早期開發(fā)VPN設備的人,一開始設計就用到這個詞,而延用至今.而目前市面上IPSec VPN用proxy-id這個字眼的廠商不多,且都是師出同門.
例如:Netscreen,juniper,Paloalto
IKE ID
ID 用來識別用戶身份,IKE ID就是在IKE協(xié)商中用來識別雙方身份的ID熏矿。
IKE ID的類型可以是FQDN武通、IP地址讲竿、郵件地址和ASN1-DN(PKI certificates中的識別名(distinguished name)厚脉,比如CN迟杂、OU删铃、O概荷、L螺戳、ST搁宾、C、DC)倔幼。
公鑰基礎設施(PKI)
英文全稱是Public-Key Infrastructure盖腿,簡單的說就是證書各種規(guī)格、規(guī)范的總稱损同,涉及到的角色包括:
- 用戶:使用證書的實體
- 認證機構:頒發(fā)證書的實體
- 倉庫:保存證書的數(shù)據(jù)庫
數(shù)字簽名和證書
數(shù)字簽名
就是將消息的散列值用自己的私鑰進行加密翩腐,然后接收端用對應的公鑰進行解密得出散列值,再和接收端自己計算的散列值做比對膏燃。
整個過程中最為關鍵的是公鑰的正確性茂卦,如果公鑰是中間人的,則可以形成中間人攻擊组哩。
證書
證書就是為了解決上面的公鑰問題的等龙。
證書就是由認證機構對某個公鑰施加數(shù)字簽名处渣,并附上此公鑰所屬人的姓名、組織而咆、郵箱形成的文件霍比。又稱為公鑰證書。
- Certificate ID:CA證書或本地證書的ID暴备,CA ID是CA profile名悠瞬,本地證書ID可以是key-pair名。
- CA ID:CA服務器的ID涯捻,通常為IP地址浅妆。
FQDN
www.google.com: 這是一個常見的網(wǎng)站主機名,這個名稱被稱為:FQDN - Full Qualified Domain Name
CRL
證書吊銷列表(Certificate Revocation List障癌,CRL)是在網(wǎng)絡中使用公鑰結構存取服務器的兩種常用方法中的一個凌外。
出處:ITU/T X.509 | ISO/IEC 9594-8:2001,GB/T 16264.8-2005
定義:一個被簽署的列表涛浙,它指定了一套證書發(fā)布者認為無效的證書康辑。除了普通CRL外,還定義了一些特殊的CRL類型用于覆蓋特殊領域的CRL轿亮。
解釋:CRL一定是被CA所簽署的疮薇,可以使用與簽發(fā)證書相同的私鑰,也可以使用專門的CRL簽發(fā)私鑰我注。CRL中包含了被吊銷證書的序列號按咒。
CDP
The CRL Distribution Point (CDP) is used to retrieve a CA’s latest CRL, usually an LDAP server or HTTP (web) server. The CDP is normally expressed as an ldap://host/dir or http://host/path URL.
LDAP
LDAP是輕量目錄訪問協(xié)議(Lightweight Directory Access Protocol)的縮寫,LDAP是從X.500目錄訪問協(xié)議的基礎上發(fā)展過來的但骨,目前的版本是v3.0励七。
設備通過LDAP和HTTP連接CDP獲得CRL。
目錄是一個為查詢奔缠、瀏覽和搜索而優(yōu)化的專業(yè)分布式數(shù)據(jù)庫掠抬,它呈樹狀結構組織數(shù)據(jù),就好象Linux/Unix系統(tǒng)中的文件目錄一樣校哎。目錄數(shù)據(jù)庫和關系數(shù)據(jù)庫不同剿另,它有優(yōu)異的讀性能,但寫性能差贬蛙,并且沒有事務處理雨女、回滾等復雜功能,不適于存儲修改頻繁的數(shù)據(jù)阳准。所以目錄天生是用來查詢的氛堕,就好象它的名字一樣。
目錄服務是由目錄數(shù)據(jù)庫和一套訪問協(xié)議組成的系統(tǒng)野蝇。類似以下的信息適合儲存在目錄中:
- 企業(yè)員工信息讼稚,如姓名括儒、電話、郵箱等锐想;
- 公用證書和安全密鑰帮寻;
- 公司的物理設備信息,如服務器赠摇,它的IP地址固逗、存放位置、廠商藕帜、購買時間等烫罩;
PEM
Privacy Enhanced Mail安全增強郵件,通過加密算法洽故、證書加密郵件贝攒。
DER:
Distinguished Encoding Rules
是BER的子集,BER的Boolean變量編碼值1~255时甚,DER變量編碼值1
DER使用在有數(shù)據(jù)簽名的場合隘弊,以保證數(shù)據(jù)原文編碼后可以保持一致
X.509證書都是DER編碼
SCEP
Simple Certificate Enrollment Protocol
簡單證書注冊協(xié)議』氖剩基于文件的證書登記方式需要從您的本地計算機將文本文件復制和粘貼到證書發(fā)布中心梨熙,和從證書發(fā)布中心復制和粘貼到您的本地計算機。
SCEP可以自動處理這個過程但是CRLs仍然需要手工的在本地計算機和CA發(fā)布中心之間進行復制和粘貼吻贿。
PKCS
公鑰密碼學標準(PKCS)是由RSA實驗室與一個非正式聯(lián)盟合作共同開發(fā)的一套公鑰密碼學的標準。
PKCS包括算法指定(algorithm-specific)和算法獨立(algorithm-independent)兩種實現(xiàn)標準哑子。多種算法被支持舅列,包括RSA算法和 Diffie-Hellman 密鑰交換算法,然而只有后兩種才特別詳盡卧蜓。PKCS也為數(shù)字簽名帐要、數(shù)字信封、可擴展證書 定義了一種算法獨立(algorithm-independent)的語法弥奸;這就意味著任何加密算法都可以實現(xiàn)這套標準的語法榨惠,并且因此獲得互操作性。
- PKCS #7 為信息定義了大體語法盛霎,包括加密增強功能產生的信息赠橙,如數(shù)字簽名和加密
- PKCS #10 描述了認證請求的語法
參考文檔
- [譯] PKCS 是什么?
- PKCS 系列標準 (此文提到了PKCS數(shù)據(jù)結構)
- p12文件
- http://baike.baidu.com/item/%E8%AF%81%E4%B9%A6%E5%90%8A%E9%94%80%E5%88%97%E8%A1%A8
- http://www.brocade.com/content/html/en/configuration-guide/NI_05800a_SECURITY/GUID-DCA4F755-E8EA-47ED-B9A5-BBD97ED62A8F.html
- PKI名詞解釋
- LDAP服務器的概念和原理簡單介紹
- Revocation check using LDAP URL fails - Microsoft
- openssl數(shù)字證書常見格式與協(xié)議介紹
- DNS 服務原理詳解
- 圖解密碼技術學習-第十章 證書
- 圖解密碼技術學習-第九章 數(shù)字簽名
