Proxy ID
在此将分别以RFC标准与VPN设备实际应用两个角度来说明 proxy-id 的意义.
先从RFC标准角度来说明:
IPSec VPN在建立tunnel时,双方会先用IKE这个协定作沟通.
IKE这个协定,其实是参考了另外三个协定ISAKMP,OKALEY,SKEME的做法产生出来的.
RFC定义IKE在沟通过程有两个phase,phase1与phase2
而proxy-id,其实就是在phase2沟通时用的其中一个参数.
ID of source for which ISAKMP is a client
ID of destination for which ISAKMP is a client
参考:RFC2409 page.25,https://www.ietf.org/rfc/rfc2409.txt
可是RFC2409只看到ID这个字,Juniper为何会多了proxy这个字眼呢?
原因是在协定发展过程中的draft,先用到proxy这个字眼,但后来被改掉了.
参考:draft-ietf-ipsec-isakmp-oakley-04,page.18
所以早期开发VPN设备的人,一开始设计就用到这个词,而延用至今.而目前市面上IPSec VPN用proxy-id这个字眼的厂商不多,且都是师出同门.
例如:Netscreen,juniper,Paloalto
IKE ID
ID 用来识别用户身份,IKE ID就是在IKE协商中用来识别双方身份的ID。
IKE ID的类型可以是FQDN、IP地址、邮件地址和ASN1-DN(PKI certificates中的识别名(distinguished name),比如CN、OU、O、L、ST、C、DC)。
公钥基础设施(PKI)
英文全称是Public-Key Infrastructure,简单的说就是证书各种规格、规范的总称,涉及到的角色包括:
- 用户:使用证书的实体
- 认证机构:颁发证书的实体
- 仓库:保存证书的数据库
数字签名和证书
数字签名
就是将消息的散列值用自己的私钥进行加密,然后接收端用对应的公钥进行解密得出散列值,再和接收端自己计算的散列值做比对。
整个过程中最为关键的是公钥的正确性,如果公钥是中间人的,则可以形成中间人攻击。
证书
证书就是为了解决上面的公钥问题的。
证书就是由认证机构对某个公钥施加数字签名,并附上此公钥所属人的姓名、组织、邮箱形成的文件。又称为公钥证书。
- Certificate ID:CA证书或本地证书的ID,CA ID是CA profile名,本地证书ID可以是key-pair名。
- CA ID:CA服务器的ID,通常为IP地址。
FQDN
www.google.com: 这是一个常见的网站主机名,这个名称被称为:FQDN - Full Qualified Domain Name
CRL
证书吊销列表(Certificate Revocation List,CRL)是在网络中使用公钥结构存取服务器的两种常用方法中的一个。
出处:ITU/T X.509 | ISO/IEC 9594-8:2001,GB/T 16264.8-2005
定义:一个被签署的列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。
解释:CRL一定是被CA所签署的,可以使用与签发证书相同的私钥,也可以使用专门的CRL签发私钥。CRL中包含了被吊销证书的序列号。
CDP
The CRL Distribution Point (CDP) is used to retrieve a CA’s latest CRL, usually an LDAP server or HTTP (web) server. The CDP is normally expressed as an ldap://host/dir or http://host/path URL.
LDAP
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,LDAP是从X.500目录访问协议的基础上发展过来的,目前的版本是v3.0。
设备通过LDAP和HTTP连接CDP获得CRL。
目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目录天生是用来查询的,就好象它的名字一样。
目录服务是由目录数据库和一套访问协议组成的系统。类似以下的信息适合储存在目录中:
- 企业员工信息,如姓名、电话、邮箱等;
- 公用证书和安全密钥;
- 公司的物理设备信息,如服务器,它的IP地址、存放位置、厂商、购买时间等;
PEM
Privacy Enhanced Mail安全增强邮件,通过加密算法、证书加密邮件。
DER:
Distinguished Encoding Rules
是BER的子集,BER的Boolean变量编码值1~255,DER变量编码值1
DER使用在有数据签名的场合,以保证数据原文编码后可以保持一致
X.509证书都是DER编码
SCEP
Simple Certificate Enrollment Protocol
简单证书注册协议。基于文件的证书登记方式需要从您的本地计算机将文本文件复制和粘贴到证书发布中心,和从证书发布中心复制和粘贴到您的本地计算机。
SCEP可以自动处理这个过程但是CRLs仍然需要手工的在本地计算机和CA发布中心之间进行复制和粘贴。
PKCS
公钥密码学标准(PKCS)是由RSA实验室与一个非正式联盟合作共同开发的一套公钥密码学的标准。
PKCS包括算法指定(algorithm-specific)和算法独立(algorithm-independent)两种实现标准。多种算法被支持,包括RSA算法和 Diffie-Hellman 密钥交换算法,然而只有后两种才特别详尽。PKCS也为数字签名、数字信封、可扩展证书 定义了一种算法独立(algorithm-independent)的语法;这就意味着任何加密算法都可以实现这套标准的语法,并且因此获得互操作性。
- PKCS #7 为信息定义了大体语法,包括加密增强功能产生的信息,如数字签名和加密
- PKCS #10 描述了认证请求的语法
参考文档
- [译] PKCS 是什么?
- PKCS 系列标准 (此文提到了PKCS数据结构)
- p12文件
- http://baike.baidu.com/item/%E8%AF%81%E4%B9%A6%E5%90%8A%E9%94%80%E5%88%97%E8%A1%A8
- http://www.brocade.com/content/html/en/configuration-guide/NI_05800a_SECURITY/GUID-DCA4F755-E8EA-47ED-B9A5-BBD97ED62A8F.html
- PKI名词解释
- LDAP服务器的概念和原理简单介绍
- Revocation check using LDAP URL fails - Microsoft
- openssl数字证书常见格式与协议介绍
- DNS 服务原理详解
- 图解密码技术学习-第十章 证书
- 图解密码技术学习-第九章 数字签名