Proxy ID

在此將分別以RFC標(biāo)準(zhǔn)與VPN設(shè)備實際應(yīng)用兩個角度來說明 proxy-id 的意義.

先從RFC標(biāo)準(zhǔn)角度來說明:

IPSec VPN在建立tunnel時,雙方會先用IKE這個協(xié)定作溝通.
IKE這個協(xié)定,其實是參考了另外三個協(xié)定ISAKMP,OKALEY,SKEME的做法產(chǎn)生出來的.
RFC定義IKE在溝通過程有兩個phase,phase1與phase2
而proxy-id,其實就是在phase2溝通時用的其中一個參數(shù).
ID of source for which ISAKMP is a client
ID of destination for which ISAKMP is a client
參考:RFC2409 page.25,https://www.ietf.org/rfc/rfc2409.txt

可是RFC2409只看到ID這個字,Juniper為何會多了proxy這個字眼呢?
原因是在協(xié)定發(fā)展過程中的draft,先用到proxy這個字眼,但后來被改掉了.
參考:draft-ietf-ipsec-isakmp-oakley-04,page.18

所以早期開發(fā)VPN設(shè)備的人,一開始設(shè)計就用到這個詞,而延用至今.而目前市面上IPSec VPN用proxy-id這個字眼的廠商不多,且都是師出同門.
例如:Netscreen,juniper,Paloalto

IKE ID

ID 用來識別用戶身份，IKE ID就是在IKE協(xié)商中用來識別雙方身份的ID。
IKE ID的類型可以是FQDN、IP地址、郵件地址和ASN1-DN（PKI certificates中的識別名（distinguished name），比如CN、OU、O、L、ST、C、DC）。

公鑰基礎(chǔ)設(shè)施(PKI)

英文全稱是Public-Key Infrastructure，簡單的說就是證書各種規(guī)格、規(guī)范的總稱，涉及到的角色包括：

• 用戶：使用證書的實體
• 認(rèn)證機(jī)構(gòu)：頒發(fā)證書的實體
• 倉庫：保存證書的數(shù)據(jù)庫

數(shù)字簽名和證書

數(shù)字簽名

就是將消息的散列值用自己的私鑰進(jìn)行加密，然后接收端用對應(yīng)的公鑰進(jìn)行解密得出散列值，再和接收端自己計算的散列值做比對。

整個過程中最為關(guān)鍵的是公鑰的正確性，如果公鑰是中間人的，則可以形成中間人攻擊。

證書

證書就是為了解決上面的公鑰問題的。
證書就是由認(rèn)證機(jī)構(gòu)對某個公鑰施加數(shù)字簽名，并附上此公鑰所屬人的姓名、組織、郵箱形成的文件。又稱為公鑰證書。

• Certificate ID：CA證書或本地證書的ID，CA ID是CA profile名，本地證書ID可以是key-pair名。
• CA ID：CA服務(wù)器的ID，通常為IP地址。

FQDN

www.google.com: 這是一個常見的網(wǎng)站主機(jī)名，這個名稱被稱為：FQDN - Full Qualified Domain Name

CRL

證書吊銷列表（Certificate Revocation List，CRL）是在網(wǎng)絡(luò)中使用公鑰結(jié)構(gòu)存取服務(wù)器的兩種常用方法中的一個。

出處：ITU/T X.509 | ISO/IEC 9594-8：2001，GB/T 16264.8-2005

定義：一個被簽署的列表，它指定了一套證書發(fā)布者認(rèn)為無效的證書。除了普通CRL外，還定義了一些特殊的CRL類型用于覆蓋特殊領(lǐng)域的CRL。

解釋：CRL一定是被CA所簽署的，可以使用與簽發(fā)證書相同的私鑰，也可以使用專門的CRL簽發(fā)私鑰。CRL中包含了被吊銷證書的序列號。

CDP

The CRL Distribution Point (CDP) is used to retrieve a CA’s latest CRL, usually an LDAP server or HTTP (web) server. The CDP is normally expressed as an ldap://host/dir or http://host/path URL.

LDAP

LDAP是輕量目錄訪問協(xié)議(Lightweight Directory Access Protocol)的縮寫，LDAP是從X.500目錄訪問協(xié)議的基礎(chǔ)上發(fā)展過來的，目前的版本是v3.0。

設(shè)備通過LDAP和HTTP連接CDP獲得CRL。

目錄是一個為查詢、瀏覽和搜索而優(yōu)化的專業(yè)分布式數(shù)據(jù)庫，它呈樹狀結(jié)構(gòu)組織數(shù)據(jù)，就好象Linux/Unix系統(tǒng)中的文件目錄一樣。目錄數(shù)據(jù)庫和關(guān)系數(shù)據(jù)庫不同，它有優(yōu)異的讀性能，但寫性能差，并且沒有事務(wù)處理、回滾等復(fù)雜功能，不適于存儲修改頻繁的數(shù)據(jù)。所以目錄天生是用來查詢的，就好象它的名字一樣。

目錄服務(wù)是由目錄數(shù)據(jù)庫和一套訪問協(xié)議組成的系統(tǒng)。類似以下的信息適合儲存在目錄中：

• 企業(yè)員工信息，如姓名、電話、郵箱等；
• 公用證書和安全密鑰；
• 公司的物理設(shè)備信息，如服務(wù)器，它的IP地址、存放位置、廠商、購買時間等；

PEM

Privacy Enhanced Mail安全增強(qiáng)郵件，通過加密算法、證書加密郵件。

DER:

Distinguished Encoding Rules

是BER的子集，BER的Boolean變量編碼值1~255，DER變量編碼值1

DER使用在有數(shù)據(jù)簽名的場合，以保證數(shù)據(jù)原文編碼后可以保持一致

X.509證書都是DER編碼

SCEP

Simple Certificate Enrollment Protocol
簡單證書注冊協(xié)議?；谖募淖C書登記方式需要從您的本地計算機(jī)將文本文件復(fù)制和粘貼到證書發(fā)布中心，和從證書發(fā)布中心復(fù)制和粘貼到您的本地計算機(jī)。

SCEP可以自動處理這個過程但是CRLs仍然需要手工的在本地計算機(jī)和CA發(fā)布中心之間進(jìn)行復(fù)制和粘貼。

PKCS

公鑰密碼學(xué)標(biāo)準(zhǔn)（PKCS）是由RSA實驗室與一個非正式聯(lián)盟合作共同開發(fā)的一套公鑰密碼學(xué)的標(biāo)準(zhǔn)。

PKCS包括算法指定（algorithm-specific）和算法獨立（algorithm-independent）兩種實現(xiàn)標(biāo)準(zhǔn)。多種算法被支持，包括RSA算法和 Diffie-Hellman 密鑰交換算法，然而只有后兩種才特別詳盡。PKCS也為數(shù)字簽名、數(shù)字信封、可擴(kuò)展證書 定義了一種算法獨立（algorithm-independent）的語法；這就意味著任何加密算法都可以實現(xiàn)這套標(biāo)準(zhǔn)的語法，并且因此獲得互操作性。

• PKCS #7 為信息定義了大體語法，包括加密增強(qiáng)功能產(chǎn)生的信息，如數(shù)字簽名和加密
• PKCS #10 描述了認(rèn)證請求的語法

參考文檔

• [譯] PKCS 是什么？
• PKCS 系列標(biāo)準(zhǔn) (此文提到了PKCS數(shù)據(jù)結(jié)構(gòu)）
• p12文件
• http://baike.baidu.com/item/%E8%AF%81%E4%B9%A6%E5%90%8A%E9%94%80%E5%88%97%E8%A1%A8
• http://www.brocade.com/content/html/en/configuration-guide/NI_05800a_SECURITY/GUID-DCA4F755-E8EA-47ED-B9A5-BBD97ED62A8F.html
• PKI名詞解釋
• LDAP服務(wù)器的概念和原理簡單介紹
• Revocation check using LDAP URL fails - Microsoft
• openssl數(shù)字證書常見格式與協(xié)議介紹
• DNS 服務(wù)原理詳解
• 圖解密碼技術(shù)學(xué)習(xí)-第十章 證書
• 圖解密碼技術(shù)學(xué)習(xí)-第九章 數(shù)字簽名