网络信息安全课件教案-第5章物理网络层概述
合集下载
计算机网络技术第5章网络层ppt课件
5.2.1 在节点交换机中查找转发表
1. 广域网中的主机地址结构
+ 分组往往要经过许多节点交换机的存储转发才到达目的地。 + 每一个节点交换机中都有一个转发表,里面存放了到达每一个
主机的路由。那么广域网中的主机越多,查找转发表就越费时 间。 + 在广域网中一般采用层次地址结构:前一部分表示该主机所连接 的分组交换机的编号,后一部分表示所连接的分组交换机的端 口号(或主机号)。
3. 数据报和虚电路优缺点分析
1)传输短报文时数据报服务有优势 + 若报文长度较短,在128个字节之内,可采用128个
字节为分组长度,则往往一次传送一个分组就可以 了。这样,用数据报既迅速又经济。若用虚电路, 为了传送一个分组而建立虚电路和释放虚电路就很 浪费网络资源。 2)虚电路服务减少数据流量的额外开销 + 在交换节点进行数据存储转发时,若使用数据报, 每个分组必须携带完整的地址信息。而使用虚电路 时,每个分组不需要携带完整的目的地址,而仅需 要有个很简单的虚电路号码的标志,这就使分组的 控制信息部分比特数减少,因而减少了额外开销。
完成虚电路服务过程的步骤:
(1) 虚电路的建立 所谓建立一条虚电路,实际上就是填写源节点与目的节
点之间沿途各节点的入口出口表。 (2) 数据传送 虚电路建立后,所有待发的数据分组均由此虚电路传送。
这样,在传输一个分组时,分组头部不需要填入目的节 点的完整地址,只要带上虚电路号就可以了。 (3) 虚电路的释放 当数据传输结束后,源主机发一呼叫清除分组给目的主 机,目的主机送回一清除确认分组给源主机。至此,该 虚电路就释放了,即从入口出口表中删去相应信息。
– 当网络发生拥挤时,数据报服务可以迅速为单 个分组选择流量较少的路径。
第五章 网络层
2. 选择性洪泛算法(selective flooding) 洪泛法的一种改进。将进来的每个包仅发送到 与正确方向接近的线路上。 3. 应用情况 路由器和线路的资源过于浪费,实际很少直接 采用; 具有极好的健壮性,可用于军事应用; 作为衡量标准评价其它路由算法。
基于流量的路由算法 (Flow-Based Routing)
2.
数据报服务(datagram)
提供无连接的服务 主机有数据可随时发送 每个分组携带完整的目的地址,独立进行路由选择
虚电路和数据报比较 (1)
数据报 电路设置 不需要 虚电路 需要
地址
状态信息 路由选择 路由器失败 的影响 拥塞控制
每个分组都有源和目 的端的完整地址
子网不存储状态信息 对每个分组独立进行 除了在崩溃时丢失分 组外,无其它影响 难
每个路由器维护一张表,表中给出了到每个目 的地的已知最佳距离和线路,并通过与相邻路 由器交换距离信息来更新表;
距离向量路由算法(2) (Distance Vector Routing)
以子网中其它路由器为表的索引,表项包括两部 分:到达目的结点的最佳输出线路,和到达目的 结点所需时间或距离; 每隔一段时间,路由器向所有邻居结点发送它到 每个目的结点的距离表,同时它也接收每个邻居 结点发来的距离表; 邻居结点X发来的表中,X到路由器i的距离为Xi, 本路由器到X的距离为m,则路由器经过X到i的 距离为Xi + m。根据不同邻居发来的信息,计算 Xi + m,并取最小值,更新本路由器的路由表;
The environment of the network layer protocols.
5.1 网络层概述(2)
网络-第五章网络层PPT课件
动态路由算法
可从时间或空间上考虑路由的调整。
分布式路由算法
每个结点周期性地从相邻的结点获得网络 状态信息,同时也将本结点获得的路由通知相 邻的各结点,以使这些结点不断地根据网络新 的状态更新其路由。当网络状态发生变化时, 各个结点的路由表相互作用,必然会影响到许 多结点的路由表,因此,要经过一定的时间以 后,各路由表中的数据才能达到稳定的状态。
计算机网络
第五章 网络层
最简单的层次结构地址举例
用二进制数表示的主机地址划分为前后两部分。 前一部分的二进制数表示该主机所连接的分组交 换机的编号。 后一部分的二进制数表示所连接的分组交换机的 端口号,或主机的编号。
所连接的交换机的编号 所连接的交换机端口的编号 计算机在广域网中的地址
每个主机地址中后面的数字是指该交换机的低速端口 主机地址[1, 3]是指连接在交换机 1 的 3 号低速端口 主机地址[3, 2]是指连接在交换机 3 的 2 号低速端口
可使网内的通信量更加平衡,因而可得 到较小的平均分组时延。
分散通信量法
静态路由算法
洪泛法
当某个结点收到一个不是发给它的分组 时,就向所有与此结点相连的链路转发出去。 (振荡)当网络的通信量很小时,可使分组 的时延为最小。此外,在许多条并行发送的 路由中,显然会有一条是最佳的。
它将使网络中的分组数目迅速增长,结 果导致网络出现拥塞现象 。
这里的“最佳”是指以最低的开销 来实现路由算法 。
路由算法的分类
按路由算法能否自动适应网络状态(如通信流 量、拓朴结构等)的变化分为: ➢ 静态路由(非自适应算法) ➢ 动态路由(自适应算法) 按路由算法的作用范围分为: ➢ 内部路由协议(RIP,OSPF) ➢ 外部路由协议(BGP) 动态路由算法又包括: ➢ 距离矢量算法(RIP) ➢ 链路状态算法(OSPF)
计算机网络课件第5章网络层
计算机网络课件第5章网络层计算机网络课件第5章:网络层计算机网络中,网络层是整个网络结构的重要组成部分之一。
网络层的主要功能是实现网络之间的数据传输和路由选择,也是实现端到端通信的重要手段。
本文将介绍网络层的定义、结构、协议和技术,以及网络层在计算机网络中的作用和重要性。
一、网络层的定义在计算机网络中,网络层是数据传输过程中的一个层次。
它负责将上层传来的数据包进行转发,实现端到端的数据传输。
网络层还负责为每个数据包选择一个最佳的传输路径,以保证数据能够快速准确地传输到目的地。
二、网络层的结构网络层的结构通常由两部分组成:数据包和路由器。
数据包是网络层传输的基本单位,它包含了数据和一些元信息,如源地址、目的地址等。
路由器是网络层的核心设备,它负责数据包的路由选择和转发,是保障数据传输的重要环节。
三、网络层的协议在网络层中,常用的协议有IPv4和IPv6。
IPv4是目前使用最广泛的网络协议之一,它采用32位地址,能够支持约42亿个地址。
IPv6则是IPv4的升级版本,采用了128位地址,能够支持更多数量的地址。
此外,网络层还涉及到一些其他的协议,如ICMP、ARP、RARP等。
ICMP是Internet控制报文协议,主要用于网络故障诊断和错误报告。
ARP(Address Resolution Protocol)是地址解析协议,它解决了网络层地址与物理层地址之间的映射问题。
RARP则是反向地址解析协议,可以根据物理地址找到对应的网络地址。
四、网络层的技术网络层的技术主要涉及到路由选择算法和路由协议。
路由选择算法负责选择最佳的传输路径,其中最常用的算法有Dijkstra算法、Bellman-Ford算法和SPF算法等;而路由协议则负责路由器之间的通信和信息交换,包括OSPF协议、BGP协议、RIP协议等。
此外,网络层还涉及到一些技术,如IP负载均衡、VPN、VLAN等。
IP负载均衡能够将流量分散到多个服务器上,提高服务的可靠性和性能;VPN则提供了网络隔离和保密的功能,适用于企业间互联和远程访问等场景;VLAN则将整个局域网分成若干个虚拟网络,提高了网络的安全性和可维护性。
精品课件-物联网信息安全-第5章 物联网网络层安全
(3) 物联网需要严密的安全性和可控性 物联网中的大多数应用均涉及个人隐私或企业内部机密,因 此,需具有保护个人隐私、防御网络攻击的能力;
物联网网络层安全
物联网网络层安全特点
(4) 多源异构的数据格式使网络安全问题更复杂 物联网在感知层从各种感知节点所采集的数据海量且多源异构, 致使网络接入技术、网络架构、异构网络的融合技术和协同技 术等相关网络安全技术必须符合物联网业务特征;
物联网网络层构成:主要由网络基础设施、网络管理及处理系 统组成。
物联网的承载网络:主要用于连接终端感知网络与服务器,包括 互联网、移动网、WLAN网络和一些专业网;是一个多网络叠加 的开放性网络。
物联网网络层安全
网络层安全技术需求
物联网的特点 物联网具有:由大量机器构成、缺少人对设备的有效监控、 数量庞大、设备集群等特点。
物联网网络层安全需求 物联网安全技术
物联网工程
课程目录
针对物联承网载网络网层络安信全 息传输的攻击
(51.)1对网非络授权层数安据全的需非求法获取 基5.本1.手1段网为络:窃层取安、全篡威改胁或删除链路上的数据;伪装成网络
实体5截.1取.2业网务数络据层;安对全网技络术流和量方进行法分析;
(52.)2对近数距据离完无整线性接的攻入击安全——WLAN安全 攻5.击2.者1对无系线统无局线域链网路W中LA传N的输安的业全务威与胁信令、控制信息等进
(5) 对于网络的实时性、安全可信性、资源保证性方面的要求 均高于传统网络
如:在智能交通应用领域,物联网必须是稳定的;在医疗卫生 应用领域,物联网必须具有很高的可靠性。
基于网络层安全特点的解决方案
物联网网络层安全框架
物联网网络层安全
物联网网络层构成 物联网网络层可分为:业务网、核心网、接入网三部分;
物联网网络层安全
物联网网络层安全特点
(4) 多源异构的数据格式使网络安全问题更复杂 物联网在感知层从各种感知节点所采集的数据海量且多源异构, 致使网络接入技术、网络架构、异构网络的融合技术和协同技 术等相关网络安全技术必须符合物联网业务特征;
物联网网络层构成:主要由网络基础设施、网络管理及处理系 统组成。
物联网的承载网络:主要用于连接终端感知网络与服务器,包括 互联网、移动网、WLAN网络和一些专业网;是一个多网络叠加 的开放性网络。
物联网网络层安全
网络层安全技术需求
物联网的特点 物联网具有:由大量机器构成、缺少人对设备的有效监控、 数量庞大、设备集群等特点。
物联网网络层安全需求 物联网安全技术
物联网工程
课程目录
针对物联承网载网络网层络安信全 息传输的攻击
(51.)1对网非络授权层数安据全的需非求法获取 基5.本1.手1段网为络:窃层取安、全篡威改胁或删除链路上的数据;伪装成网络
实体5截.1取.2业网务数络据层;安对全网技络术流和量方进行法分析;
(52.)2对近数距据离完无整线性接的攻入击安全——WLAN安全 攻5.击2.者1对无系线统无局线域链网路W中LA传N的输安的业全务威与胁信令、控制信息等进
(5) 对于网络的实时性、安全可信性、资源保证性方面的要求 均高于传统网络
如:在智能交通应用领域,物联网必须是稳定的;在医疗卫生 应用领域,物联网必须具有很高的可靠性。
基于网络层安全特点的解决方案
物联网网络层安全框架
物联网网络层安全
物联网网络层构成 物联网网络层可分为:业务网、核心网、接入网三部分;
第5章 网络层协议及分析
5.4.3 IP协议分析
子网地址的获得:IP地址与子网掩码进行“按位 与”的运算 举例:求IP地址为202.112.143.171、子网掩码为 ?
255.255.255.224时的子网地址写成二进制的形式: IP地址的二进制形式为: 11001010.01110000.10001111.10101011 子网掩码的二进制形式为: 11111111.11111111.11111111.11100000 运行“按位与”的操作后,得到子网的地址为: 11001010.01110000.10001111.10100000 写成十进制的形式是:202.112.143.160, 即为子网地址
私有地址:
5.4.3 IP协议分析
IP地址的分配举例:
INTERNET
DDN
路由器 Ethernet
路由器 Ethernet PSTN X.25
主机
主机
路由器 Ethernet
IP主机 主机... 主机
普通 终端 IP主机 X.25 普通 终端 终端
主机 主机
图5.20 四个网络的互连
5.4.3 IP协议分析
特殊格式的地址形式:: 网络地址:若主机地址为全0,则表示一个网络地 址 直接广播地址:用主机地址为全1作为全网的广播 地址 有限广播地址:若地址全为1,则作为本网的广播 地址 本机地址:若地址全为0代表本机地址(这种方式 在启动时应用) 回送地址:对于网号全为1的网络地址为回送地址 (用于测试网络通信进程)
5.4.3 IP协议分析
特殊IP地址:
º ã º Ë ¸ Ã Ä × â Ò °² Ò Ê Ó µ Ì Ê
ø ç Å Í Â ¹ È « È « È « 0 0 1 ÷ú Å Ö º ¹ È « 0 ´ ¾ Ô Õ É Ã ¿ Ó É Ã ¿ Ó º É Ã ² ¿ Ó º É Ã ² ¿ Ó É Ã ¿ Ó ¿ Ä ¾ Ä µ Õ º É Ã ² ¿ Ó º É Ã ² ¿ Ó É Ã ¿ Ó É Ã ¿ Ó É Ã ¿ Ó
物联网网络层安全培训教材.pptx
2020/8/28 16/49
5.2.3 健壮网络安全RSN
(1) IEEE 802.1X 工作原理无线网络关联 Nhomakorabea认证
AP
无线终端 STA
访问网络 资源
认证 服务器AS
LAN
2020/8/28 17/49
5.2.3 健壮网络安全RSN
(2) 扩展认证协议EAP
扩展认证协议EAP是一种认证框架,由RFC 3748定义。 支持多种认证方法,如EAP-MD5 、EAP-TLS、EAP-IKE
1.RSNA建立
方 法 2 : 基 于 预 共 享 密 钥 PSK (Pre-Shared Key) 建 立 RSNA,实现认证和密钥管理。
基本过程与方法1一致,不同之处是不需要密钥协商,直接使 用预共享密钥PSK作为初始主密钥PMK。
2020/8/28 14/49
5.2.3 健壮网络安全RSN
2.认证
RSNA无线网络安全协议栈
无线终端 STA
80820.21.11XX((EEAAPPooLL))
802.11
访问节点 AP
EAP-TLS
EAP
认证 服务器AS
RADIUS UDP/IP
2020/8/28 15/49
5.2.3 健壮网络安全RSN
(1) IEEE 802.1X
一种基于端口的网络接入控制协议,提供一种对入网设备的 认证机制。
WPA可选采用IEEE 802.1X 和扩展认证协议EAP 对每 一次关联实现更强的认证,并协商生成一个新鲜的共享密 钥。
2020/8/28 10/49
5.2.3 健壮网络安全RSN
无线保护接入WPA
WPA采用临时密钥完整性协议TKIP实现数据保密性和完整性 保护,仍使用RC4算法加密数据,但包括一个密钥混合函数和 一个扩展的初始向量空间,用于构造非关联且新鲜的每包密钥。
5.2.3 健壮网络安全RSN
(1) IEEE 802.1X 工作原理无线网络关联 Nhomakorabea认证
AP
无线终端 STA
访问网络 资源
认证 服务器AS
LAN
2020/8/28 17/49
5.2.3 健壮网络安全RSN
(2) 扩展认证协议EAP
扩展认证协议EAP是一种认证框架,由RFC 3748定义。 支持多种认证方法,如EAP-MD5 、EAP-TLS、EAP-IKE
1.RSNA建立
方 法 2 : 基 于 预 共 享 密 钥 PSK (Pre-Shared Key) 建 立 RSNA,实现认证和密钥管理。
基本过程与方法1一致,不同之处是不需要密钥协商,直接使 用预共享密钥PSK作为初始主密钥PMK。
2020/8/28 14/49
5.2.3 健壮网络安全RSN
2.认证
RSNA无线网络安全协议栈
无线终端 STA
80820.21.11XX((EEAAPPooLL))
802.11
访问节点 AP
EAP-TLS
EAP
认证 服务器AS
RADIUS UDP/IP
2020/8/28 15/49
5.2.3 健壮网络安全RSN
(1) IEEE 802.1X
一种基于端口的网络接入控制协议,提供一种对入网设备的 认证机制。
WPA可选采用IEEE 802.1X 和扩展认证协议EAP 对每 一次关联实现更强的认证,并协商生成一个新鲜的共享密 钥。
2020/8/28 10/49
5.2.3 健壮网络安全RSN
无线保护接入WPA
WPA采用临时密钥完整性协议TKIP实现数据保密性和完整性 保护,仍使用RC4算法加密数据,但包括一个密钥混合函数和 一个扩展的初始向量空间,用于构造非关联且新鲜的每包密钥。
第5章 网络层教案(计算机网络)
第5章网络层教学目标:1、掌握网络层功能2、理解IP地址分类3、理解划分子网的方法4、了解路由器的功能5、掌握路由和路由协议的概念6、理解网络层协议和功能教学重点:1、IP地址分类2、划分子网3、路由和路由协议的概念教学难点:子网的划分教学课时:2课时教学方法:讲授法、讲解法、演示法、讨论法、练习法教学过程及内容:第5章网络层5.2 网络层功能一、网络层功能:完成数据包寻址和路由的功能走哪一条?二、网络层地址:1、网络层协议定义了识别网络中主机的地址2、地址包括网络部分和主机部分三、网络层协议:在TCP/IP协议栈中,运行在网络层的协议主要有:⏹IP(Internet Protocol )协议:负责网络层寻址、路由选择、分段及包重组。
⏹地址解析协议(ARP ,Address Resolution Protocol):负责把网络层地址解析成物理地址,比如MAC地址。
⏹逆向地址解析协议(RARP ,Reverse ARP):负责把硬件地址解析成网络层地址。
⏹Internet控制信息协议(ICMP ,Internet Control Message Protocol):负责提供诊断功能,报告由于IP数据包投递失败而导致的错误。
⏹Internet组管理协议(IGMP ,Internet Group Management Protocol):负责管理IP组播组。
5.3 IP地址一、IP地址的概念:1、IP地址的结构:IP地址是32位的二进制数。
每个IP地址被分为两部分,网络ID和主机ID网络ID主机ID2、 IP 地址的表示方法:在计算机内部,IP 地址是用二进制数表达的,共32bit 。
例如:11000000 10101000 00000101 01111011;然而,使用二进制表示,很不方便我们记忆,通常把32位的IP 地址分成四段,每个8个二进制为一段,每段二进制分别转换为我们习惯的十进制数。
并用点隔开。
课件:第05章 网络层
网络层
19
IP 地址中的网络号字段和主机号字段
A 类地址 0
net-id 8 bit
host-id 24 bit
B 类地址 1 0
E 类n1地6etb-i址idt 保留为今后使用
host-id 16 bit
C 类地址 1 1 0
net-id 24 bit
host-id 8 bit
D 类地址 1 1 1 0
A 类地址 0
net-id 8 bit
host-id 24 bit
B 类地址 1 0
net-id 16 bit
host-id 16 bit
C 类地址 1 1 0
net-id 24 bit
host-id 8 bit
D 类地址B1类1 1地0 址的网络号字多段播 n地e址t-id 为 2 字节
E 类地址 1 1 1 1 0
网络层
9
IP 地址的编址方法
• 分类的 IP 地址。这是最基本的编址方法, 在 1981 年就通过了相应的标准协议。
• 子网的划分。这是对最基本的编址方法的 改进,其标准[RFC 950]在 1985 年通过。
• 构成超网。这是比较新的无分类编址方法。 1993 年提出后很快就得到推广应用。
网络层
7
5.2 IP地址基本概念
• TCP/IP协议的网络层使用的地址标 识符
• IPv4/IPv6协议IP地址长度 • ICANN (Internet Corporation for
Assigned Names and Numbers)
网络层
8
点分十进制记法
机器中存放的 IP 地址 是 32 bit 二进制代码
E 类地址 1 1 1 1 0
网络与信息安全基础知识概述(PPT-65页)
抗干扰能力强
距离中等
可靠性好
铜芯
绝缘层 外导体 屏蔽层
保护套
3.网络通信设备
a). 网络适配器(网卡)
网卡通过总线与计算机设备接口相连,另一方面又通过电缆接口与网络传输 媒介相连。
有线介质
插入主机扩展槽中
b).集线器(HUB) 网络传输媒介的中间节点,具有信号再生转发功能。
集线器类型
无源 有源 智能
主页文件缺省名:Index.htm 或 Default.htm
浏览器
浏览器是是一种专门用于定位和访问Web信息,获取自己希望得到的资源的导航工具, 它是一种交互式的应用程序。
双浏击I览nte网rn站et Ex用plUorReLr图直标接连接主,页可启动浏览器IE。
通过超链接 搜索引擎
Http//
FTP服务器
上载
FTP
下载
INTERNET
使用FTP传送文件要求在远程机上有一个帐号 提供匿名FTP服务的主机上有一个公共的anonymous帐号
匿名FTP服务
帐号:Anonymous 口令:有效的Email地址或Guest
FTP
INTERNET
远程登录Telnet
本地计算机通过网络,连接到远端的另一台计算机上去,作为这台远程主机的终端。
网络体系结构:指计算机网络的各个层和在各层上使用的协议。
开放系统互连OSI参考模型
应用层 表示层 会话层 传输层
应用层
资
表示层
源
子
会话层
网
传输层
网络层 链路层 物理层
网络层
通
链路层
信
子
物理层
网
互连物理传输媒体
沈鑫剡编著(网络安全)教材配套课件第5章
计算机网络安全
网络安全基础
二、 EAP操作过程
计算机网络安全
1.EAP操作模型
鉴别者负责对用 户身份进行鉴别,用 户只有通过鉴别者的 身份鉴别后才能接入。鉴别者向用户发 送请求报文,用户向 鉴别者回送响应报文。请求报文和响应报文 的内容与双方采用的 鉴别机制有关,不同 的鉴别机制有着不同 的请求/响应过程,有的鉴别机制可能需要经过多次请求/响应过程才能完成用户身份鉴别。
网络安全基础
二、RADIUS消息格式、类型和封装过程
计算机网络安全
2.RADIUS消息格式和类型
标识符字段用于匹配请求接入消息和对应的响应消息。长度字段给出RADIUS消息的总长。鉴别信息字段用于鉴别发送响应消息的鉴别服务器,响应消息中的鉴别信息=MD5(响应消息‖对应请求接入消息的鉴别信息‖共享密钥K),响应消息指响应消息中除鉴别信息字段外的所有其他字段信息,包括编码、标识符、长度和所有属性字段。属性字段给出用户身份标识信息和NAS标识信息。
计算机网络安全
23
EAPOL-Logoff EAPOL-Key
退出报文,用于退出端口的授权状态。密钥报文,用于交换密钥,用于无线局域网。
4
EAPOL-ASF-alert
报警报文,当受控端口处于非授权状态时,用于
交换机接收报警消息。
网络安全基础
四、802.1X操作过程
3.802.1X鉴别接入用户身份的过程
网络安全基础
二、RADIUS消息格式、类型和封装过程
1.RADIUS消息封装过程
RADIUS属于应用层协议,因此,RADIUS消息先封装成传输层报文,然后把传输层报文封装成IP分组。
计算机网络安全
网络安全基础
二、RADIUS消息格式、类型和封装过程
网络安全基础
二、 EAP操作过程
计算机网络安全
1.EAP操作模型
鉴别者负责对用 户身份进行鉴别,用 户只有通过鉴别者的 身份鉴别后才能接入。鉴别者向用户发 送请求报文,用户向 鉴别者回送响应报文。请求报文和响应报文 的内容与双方采用的 鉴别机制有关,不同 的鉴别机制有着不同 的请求/响应过程,有的鉴别机制可能需要经过多次请求/响应过程才能完成用户身份鉴别。
网络安全基础
二、RADIUS消息格式、类型和封装过程
计算机网络安全
2.RADIUS消息格式和类型
标识符字段用于匹配请求接入消息和对应的响应消息。长度字段给出RADIUS消息的总长。鉴别信息字段用于鉴别发送响应消息的鉴别服务器,响应消息中的鉴别信息=MD5(响应消息‖对应请求接入消息的鉴别信息‖共享密钥K),响应消息指响应消息中除鉴别信息字段外的所有其他字段信息,包括编码、标识符、长度和所有属性字段。属性字段给出用户身份标识信息和NAS标识信息。
计算机网络安全
23
EAPOL-Logoff EAPOL-Key
退出报文,用于退出端口的授权状态。密钥报文,用于交换密钥,用于无线局域网。
4
EAPOL-ASF-alert
报警报文,当受控端口处于非授权状态时,用于
交换机接收报警消息。
网络安全基础
四、802.1X操作过程
3.802.1X鉴别接入用户身份的过程
网络安全基础
二、RADIUS消息格式、类型和封装过程
1.RADIUS消息封装过程
RADIUS属于应用层协议,因此,RADIUS消息先封装成传输层报文,然后把传输层报文封装成IP分组。
计算机网络安全
网络安全基础
二、RADIUS消息格式、类型和封装过程
P5_网络层课件(1)-20101121 (1)
11282010输入输出输入输出输入输出h1513数据报和虚电路网络的比较比较项目数据报网络虚电路网络电路建立不需要需要延时分组传输延时电路建立分组传输延时地址每个分组携带完整的源地址和目的地址每个分组携带一个很短的虚电路号状态信息路由器不保留状态信息每个路由器需要保存一张虚电路表路由选择每个分组单独选择路由在建立虚电路时选择路由此后所有分组使用该路由路由器失效的影响除了在路由器崩溃时正在传输的分组丢失之外无其他影响经过失效路由器的所有虚电路都将中断服务质量很难实现如果能提前为每条虚电路分配足够的资源则容易实现拥塞控制很难实现如果能提前为每条虚电路分配足够的资源则容易实现1128201052标准分类的ip地址1128201010ip地址处理方法的演变过程1128201011标准分类的ip地址1128201012ip地址的表示方法用点分十进制表示用二进制表示1298162510000001000010000001000000011001105200001010000000100000000000110100126
11/28/2010
12
1 特殊IP地址
网络号 主机号 源地址 目的地址 含义 0 0 0 host-id 可用 可用 不可用 不可用 即0.0.0.0,指在本网络上的本主机 在本网络上的某个主机host-id,如 A类地址0.2.3.4、B类地址0.0.16.84、 C类地址0.0.0.21 即255.255.255.255,受限广播。 只在本网络上进行广播,各路由器都不转发 直接广播:对网络号net-id上的所有主机进行广 播,如A类地址110.255.255.255、B类地址 180.31.255.255、C类地址210.31.32.255 回送测试:用于网络软件测试和本地进程间通 信,如127.0.0.1
11/28/2010
12
1 特殊IP地址
网络号 主机号 源地址 目的地址 含义 0 0 0 host-id 可用 可用 不可用 不可用 即0.0.0.0,指在本网络上的本主机 在本网络上的某个主机host-id,如 A类地址0.2.3.4、B类地址0.0.16.84、 C类地址0.0.0.21 即255.255.255.255,受限广播。 只在本网络上进行广播,各路由器都不转发 直接广播:对网络号net-id上的所有主机进行广 播,如A类地址110.255.255.255、B类地址 180.31.255.255、C类地址210.31.32.255 回送测试:用于网络软件测试和本地进程间通 信,如127.0.0.1
计算机网络PPT课件第五章网络层(新)
如从5出发到4:
数据包从51,2;23,6;36,4;63,7;74
要解决的问题:数据包重复到达某一节点,如3,6
扩散法(续)
解决方法
在数据包头设一计数器,每经过一个节点 自动加1,达到规定值时,丢弃数据包 在每个节点上建立登记表,则数据包再次 经过时丢弃
缺点:重复数据包多,浪费带宽 优点:可靠性高,路径最短,常用于军事
si1:从节点i到节点1的一条最小时延路径上的下一个节点 si2:从节点i到节点2的一条最小时延路径上的下一个节点
其中:n —网络中的节点数 Di—节点i的时延向量 dij—节点i到j的最小时延的当前估计值 Si—节点i的后继节点向量 sij—从节点i到j的最小时延路径上的下一节点
路由表的更新
dij = min(dix + dxj)
静态或动态的? 静态: 路由变化较少的情况 动态: 路由变化较快的情况 定期更新 为了响应链路成本的 变化
介绍相关的路由算法
最短路径算法(Dijkstra) 扩散法(flooding) 距离矢量算法 链路状态算法
最短路由选择
Dijkstra算法(1959):通过用边的权值作为 距离的度量来计算最短路径,有最少边数的路 径不一定是最短路径 如下图:5和4之间边数最少的路径是5234 但最短路径是523674
数据报和虚电路比较
数据报还是VC网络: why?
因特网
ATM
数据交换在计算机之间进行 “弹性”服务,没有严格的实 时性要求 “聪明”的端系统 (计算机) 可进行自适应,执行控制, 出 错恢复 网络内部比较简单, “边缘上” 比较复杂 利用了许多链路类型 各具有不同的特性 统一服务标准十分困难
《osi物理层介绍》课件
物理层的错误检测和纠正
1
校验和
将数据进行一定的算法运算,以得到一组校验和,接收端通过再次进行算法运算, 来判断是否出现错误。
2
循环冗余检验(CRC)
将数据看作多项式系数,通过异或运算来寻找是否存在多项式因式,以判断是否 出错。
3
海明码
将数据分段并加入部分冗余的校验码,可以检测和纠正多个比特的错误。
3
无线电波
4
用于移动通信、广播电视和卫星通信等 场景。
双绞线
用于传输数字和模拟信号的低成本传输 介质。
光纤
用于高速数字通信、互联网接入和长距 离电话网络。
物理层的编码方式
非归零编码
利用波形的上升或下降来表示比特值。
曼彻斯特编码
通过波形的变化来表示比特值,有较高的信号 带宽和抗干扰能力。
差分曼彻斯特编码
4 电气规范
定义传输介质和信号电气特性,以确保数据 的可靠传输。
物理层的基本单位
比特(Bit)
最基本的计量单位,表示电子数 据在物理层面上的存储和传输。
字节(Byte)
由八个比特组成,表示计算机系 统中的数据量。
赫兹(Hz)
表示信号的频率,即单位时间内 变化的次数。
物理层的传输介质
1
同轴电缆
2
用于高速数字通信和广播电视信号传输。
《OSI物理层介绍》PPT课 件
物理层是OSI模型的第一层,负责处理物理层面上的数据传输以及设备之间的 物理连接。
物理层的功能
1 数据传输
将数据从计算机转换为信号,并通过传输介 质传输到其他设备。
2 物理连接
在设备之间建立物理连接,使它们能够互相 通信。
3 时序控制
《网络层技术》课件
QoS
QoS(Quality of Service)是一种用于提供不同服务质量的技术,以满足网络中不同应用的需求。其包括 服务类别、队列和调度算法,以及DiffServ和IntServ两种不同的服务模型。
VPN技术
VPN(Virtual Private Network)是一种通过公共网络构建私密通信通道的技术。它可以提供安全的远程 访问和数据传输。VPN分为远程访问VPN和站点到站点VPN,具有广泛的应用场景和不断发展的趋势。
《网络层技术》PPT课件
网络层技术是计算机网络中非常重要的一部分,涉及到了IP协议、路由选择协 议、网络地址转换、IP多播、QoS、VPN技术等内容。
什么是网络层?
网络层是计算机网络的一层,负责将数据包从源主机传输到目标主机。它通过实现IP协议和路由选择协 议等技术,实现了跨网络的通信和数据传输。
IP协议
IP协议是网络层最核心的协议,它负责为数据包分配IP地址,并将数据包从源主机传输到目标主机。 IPv4和IPv6是IP协议的两个重要版本。 区别:IPv4使用32位地址,IPv6使用128位地址;IPv4地址正在枯竭,IPv6地址更加充裕。
路由选择协议
路由选择协议是网络层中的关键技术,它决定了数据包在网络中的传输路径。 常用的路由选择协议有RIP、OSPF和BGP。
RIP协议适用于小型网络,OSPF协议适用于中型网络,BGP协议适用于大型网 络。
网络地址转换
网络地址转换(NAT)是一种将内部IP地址转换为公共IP地址的技术,用于解决IPv4地址短缺的问题。 NAT有多多播
IP多播是一种在单个数据包中同时传输给多个目标主机的通信方式。它可以有 效节省网络带宽和传输成本。IGMP协议和PIM协议是实现IP多播的关键技术。
物联网网络层安全培训课件(PPT41张)
(IMSI)发给VLR。 ⑵VLR收到该注册请求后,向用户的HLR发送该用户的IMSI,请
求对该用户进行认证。 ⑶HLR收到VLR的认证请求后,生成序列号SQN和随机数RAND,
计算认证向量AV发送给VLR。其中, AV=RAND||XRES||CK||IK||AUTN。
如何计算AV各字段?
3G(UMTS)认证与密钥协商协议
传 输 层 安 全 协 议 通 常 指 的 是 套 接 层 安 全 协 议 SSL 和 传 输 层 安 全 协 议 TLS两 个 协 议 。 SSL是 美 国 Netscape 公 司 于 1994 年 设 计 的,为 应 用 层 数 据 提 供 安 全 服 务 和 压 缩 服 务 。SSL 虽 然 通 常 是 从 HTTP 接 收 数 据 , 但 SSL 其 实 可 以 从 任 何 应 用 层 协 议 接 收 数 据 。 IETF 于 1999 年 将 SSL 的 第 3 版 进 行 了 标 准 化,确 定 为 传 输 层 标 准 安 全 协 议 TLS。TLS 和 SSL 第 3 版 只 有 微 小 的 差 别,故 人 们 通 常 把 它 们 一 起 表 示 为 SSL/TLS 。另 外,在 无 线 环 境 下,由 于 手 机 及 手 持 设 备 的 处 理 和 存 储 能 力 有 限 , 原 WAP 论 坛 在 TLS 的 基 础 上 做 了 简 化 , 提 出 了 WTLS协议(Wireless Transport Layer Security),以 适 应 无 线 网络的特殊环境。
2021/1/12
3
本节课学习内容
5.4 网络层核心网安全
5.4.1 核心IP骨干网安全 5.4.2 6LoWPAN适配层的安全
2021/1/12
求对该用户进行认证。 ⑶HLR收到VLR的认证请求后,生成序列号SQN和随机数RAND,
计算认证向量AV发送给VLR。其中, AV=RAND||XRES||CK||IK||AUTN。
如何计算AV各字段?
3G(UMTS)认证与密钥协商协议
传 输 层 安 全 协 议 通 常 指 的 是 套 接 层 安 全 协 议 SSL 和 传 输 层 安 全 协 议 TLS两 个 协 议 。 SSL是 美 国 Netscape 公 司 于 1994 年 设 计 的,为 应 用 层 数 据 提 供 安 全 服 务 和 压 缩 服 务 。SSL 虽 然 通 常 是 从 HTTP 接 收 数 据 , 但 SSL 其 实 可 以 从 任 何 应 用 层 协 议 接 收 数 据 。 IETF 于 1999 年 将 SSL 的 第 3 版 进 行 了 标 准 化,确 定 为 传 输 层 标 准 安 全 协 议 TLS。TLS 和 SSL 第 3 版 只 有 微 小 的 差 别,故 人 们 通 常 把 它 们 一 起 表 示 为 SSL/TLS 。另 外,在 无 线 环 境 下,由 于 手 机 及 手 持 设 备 的 处 理 和 存 储 能 力 有 限 , 原 WAP 论 坛 在 TLS 的 基 础 上 做 了 简 化 , 提 出 了 WTLS协议(Wireless Transport Layer Security),以 适 应 无 线 网络的特殊环境。
2021/1/12
3
本节课学习内容
5.4 网络层核心网安全
5.4.1 核心IP骨干网安全 5.4.2 6LoWPAN适配层的安全
2021/1/12
第 网络层PPT学习教案
调整系统操作以更正问题。
第13页/共33页
5.3.3 拥塞预防策略
层次
策略
传输层 网络层 数据链路层
• 重发策略 • 乱序缓存策略 • 确认策略 • 流量控制策略 • 超时终止
• 子网内的虚电路与数据报 • 分组排队和服务策略 • 分组丢弃策略 • 路由选择算法 • 分组生命期管理
• 重发策略 • 乱序缓存策略 • 确认策略 • 流量控制策略
5.2.1 结点交换机中的路由表 5.2.2 路由选择的一般原理
第7页/共33页
5.2.1 结点交换机中的路由 广域网在给接入到网络表的每一台计算机进行
编址时,采用“层次结构的编址方案”。 最简单的层次编址方案就是把一个地址分成 前后两部分。前一部分表示分组交换机,后 一部分表示连接在分组交换机上的计算机。 结点交换机的一个重要作用就是提供一个路 由表,供转发分组时使用。路由表中没有源 站地址。在专门研究广域网的路由问题时, 可用图论中的“图”来表示整个广域网。用 结点表示广域网上的结点交换机,用结点之 间的连线表示广域网中的链路。在路由表中 默认路由的目的站记为符号“*”。
第14页/共33页
5.4 INTERNET 网际 协议IP
5.4.1 TCP/IP参考模型及协议栈 5.4.2 IP地址及其转换
5.4.3 IP地址的分配与管理 5.4.4 IP数据报的格式与工作原理
* 5.4.5 ICMP简介 退出
第15页/共33页
5.4.1 TCP/IP模型及协议栈
TCP/IP体系结构与协议栈之间的关系:
IP地址:130.10.4.1 子网掩码:255.255.252.0
第20页/共33页
3. 动态IP地址 在IP地址资源较少,网络中的设备较多的情况下,
第13页/共33页
5.3.3 拥塞预防策略
层次
策略
传输层 网络层 数据链路层
• 重发策略 • 乱序缓存策略 • 确认策略 • 流量控制策略 • 超时终止
• 子网内的虚电路与数据报 • 分组排队和服务策略 • 分组丢弃策略 • 路由选择算法 • 分组生命期管理
• 重发策略 • 乱序缓存策略 • 确认策略 • 流量控制策略
5.2.1 结点交换机中的路由表 5.2.2 路由选择的一般原理
第7页/共33页
5.2.1 结点交换机中的路由 广域网在给接入到网络表的每一台计算机进行
编址时,采用“层次结构的编址方案”。 最简单的层次编址方案就是把一个地址分成 前后两部分。前一部分表示分组交换机,后 一部分表示连接在分组交换机上的计算机。 结点交换机的一个重要作用就是提供一个路 由表,供转发分组时使用。路由表中没有源 站地址。在专门研究广域网的路由问题时, 可用图论中的“图”来表示整个广域网。用 结点表示广域网上的结点交换机,用结点之 间的连线表示广域网中的链路。在路由表中 默认路由的目的站记为符号“*”。
第14页/共33页
5.4 INTERNET 网际 协议IP
5.4.1 TCP/IP参考模型及协议栈 5.4.2 IP地址及其转换
5.4.3 IP地址的分配与管理 5.4.4 IP数据报的格式与工作原理
* 5.4.5 ICMP简介 退出
第15页/共33页
5.4.1 TCP/IP模型及协议栈
TCP/IP体系结构与协议栈之间的关系:
IP地址:130.10.4.1 子网掩码:255.255.252.0
第20页/共33页
3. 动态IP地址 在IP地址资源较少,网络中的设备较多的情况下,
计算机网络课件:06-网络层技术(1)
• 变长,长度为4字节的倍数,不够则填充,最长为40字节;
13-10-30
计算机网络
16
IP协议(续)
• IP地址(IP Address)
– 地址组成:网络号 + 主机号;
– 地址表示采用用点分隔的十进制表示法,如 166.111.68.3;
13-10-30
计算机网络
17
IP协议(续)
– DF:Don’t Fragment;
• 所有机器必须能够接收小于等于576字节的段
– MF:More Fragments
• 除最后一个段外的所有段都要置MF位。
– 段偏移量(Fragment offset)
• 除最后一个段外的所有段的长度必须是8字节(基本 段长)的倍数。
• 该地址与下一项Oxford的掩码做AND操作,得到 11000010 00011000 00010000 00000000 与Oxford的地址相同,匹配成功。
• 继续匹配,最后选择前缀最长的路由表项
13-10-30
计算机网络
24
Internet控制协议
• Internet控制消息协议ICMP(Internet Control Message Protocol)
length ID fragflag offset =1500 =x =1 =185
length ID fragflag offset =1040 =x =0 =370
13-10-30
计算机网络
15
IP协议(续)
– 生存期(Time to live) • 实际实现中,IP包每经过一个路由器TTL减1,为0则丢弃,并给 源主机发送一个告警包。 • 最大值为255。源主机设定初始值,Windows操作系统一般为 128,UNIX操作系统一般为255,Linux一般为64。
13-10-30
计算机网络
16
IP协议(续)
• IP地址(IP Address)
– 地址组成:网络号 + 主机号;
– 地址表示采用用点分隔的十进制表示法,如 166.111.68.3;
13-10-30
计算机网络
17
IP协议(续)
– DF:Don’t Fragment;
• 所有机器必须能够接收小于等于576字节的段
– MF:More Fragments
• 除最后一个段外的所有段都要置MF位。
– 段偏移量(Fragment offset)
• 除最后一个段外的所有段的长度必须是8字节(基本 段长)的倍数。
• 该地址与下一项Oxford的掩码做AND操作,得到 11000010 00011000 00010000 00000000 与Oxford的地址相同,匹配成功。
• 继续匹配,最后选择前缀最长的路由表项
13-10-30
计算机网络
24
Internet控制协议
• Internet控制消息协议ICMP(Internet Control Message Protocol)
length ID fragflag offset =1500 =x =1 =185
length ID fragflag offset =1040 =x =0 =370
13-10-30
计算机网络
15
IP协议(续)
– 生存期(Time to live) • 实际实现中,IP包每经过一个路由器TTL减1,为0则丢弃,并给 源主机发送一个告警包。 • 最大值为255。源主机设定初始值,Windows操作系统一般为 128,UNIX操作系统一般为255,Linux一般为64。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于验证的攻击
设备验证:无线设备与AP互相验证
AP配置验证:访问配置菜单,试图修改AP的网络安全特性
恶意接入点:合法用户擅自安装AP并隐瞒 AP有安全隐患,为攻击者埋下伏笔 允许用户绕过内部安全网络,降低整体安全性 对策:NAC,防止未授权用户访问有线网络;扫描发现恶意AP
非法接入点:攻击者将自己的AP伪装成有效AP 不加密AP
协议更复杂 帧格式更复杂 漏洞更多 攻击更常见
基于头部的攻击
无线以太网帧头部大多数域由硬件控制器控制 基于头部的攻击有限 导致攻击设备不能正常通信
基于协议的攻击
协议主要由硬件实现,实施攻击较复杂
攻击:
将数据包嵌入介质中 探测/钓鱼 发送大量信号引起阻塞
减少探测的方法:
加密 NAC(Network Access Control) 避免使用人名、公司名、家庭地址作为SSID
基于协议的攻击(无) 网络控制器故障
基于验证的攻击(较难) ARP攻击 填满交换机地址表 源地址与其中一台设备相同 对策:网络访问控制NAC 验证连接ISP的设备
基于流量的攻击(容易) 流量嗅探 用大类的流量造成网络崩溃 对策:加密,VLAN
无线以太网协议?
802.11(a-z)
Wifi 802.11a或802.11b 11Mbps~54Mbps 100m
网络嗅探
AP (Access Point)访D:Service Set ID
发现AP--接入网络--发送流量
CSMA/CA 介质空闲,等待随机时间片
无线以太网 VS 有线以太网
验证密钥 会话密钥 对抗流量嗅探
常用对策——VLAN
虚拟局域网VLAN
静态VLAN 基于固定端口 对抗ARP攻击 防止端口映射表攻击
动态VLAN 基于设备的硬件地址 根据硬件地址验证设备
常用对策——NAC
网络访问控制NAC 验证每一台设备 使用动态VLAN强制通过基于策略分割的设备执行策略 如果为授权则不允许访问网络或隔离为一个独立的网络
第5章 物理网络层概述
针对物理网络层常见的攻击方法
硬件地址欺骗 网络嗅探 物理攻击
以太网
Q:接收方如何知道帧的长度?
CSMA/CD载波侦听多路访问/冲突检测 先听后说,边说边听 改善:以太网交换机,端口表
针对有线网络协议的攻击?
基于头部的攻击(有限) 源地址与目标地址设成相同 过短或过长数据包(>1500B, <46B) 依靠设备自身安全
本章小结
本次课需要熟练掌握物理网络层存在的漏洞与攻击,了解对策及相关技 术。
课后作业
1、教材P82课后作业11-14 2、预习附录A 密码学 3、复习第5章,下次课测验,准备空白纸一张。
获取AP访问控制权 对策:修改AP默认密码,加密
基于流量的攻击
无线网络流量嗅探
对策:加密
WEP:Wired Equivalent Privacy有线等效保密。对在两台设备之间无线 传输的数据进行加密,防止窃听或入侵
WPA:Wi-Fi Protect Access, Wi-Fi访问保护协议,同时使用验证和加密, 为家庭或企业设计