沈鑫剡编著(网络安全)教材配套课件第6章
合集下载
沈鑫剡编著《路由和交换技术》(第2版)配套课件第6章
路由和交换技术
路由协议
一、RIP消息格式
接口地址 224.0.0.9 17 源 IP 目的 IP 协议 地址 地址 520 净荷 520 净荷 IP 分组 UDP 报文
源端 目的端 口号 口号 IP 地址 子网掩码 下一跳 距离 …
路由项 1
RIP 消息 R2 路由项 N
RIP消息封装为IP分组 过程
路由和交换技术
路由协议
一、路由协议分类
内部网关协议 用于建立自治系统内传输路径的路由协议 称作内部网关协议 外部网关协议 用于建立自治系统间传输路径的路由协议 称作外部网关协议
路由和交换技术
路由协议
一、路由协议分类
ASBR
AS IGP IGP EGP
互连网络分成多个自治系统; 用于建立自治系统内端到端路径的路由协议称为内部网关协议; 用于建立自治系统间端到端路径的路由协议称为外部网关协议。
三个路由器建立的链路 状态
路由和交换技术
路由协议
1.链路状态路由协议建立路由表过程
R1 ACK R2
泛洪链路状态 建立前图所示的链路状态信息库
路由和交换技术
路由协议
1.链路状态路由协议建立路由表过程
令D(v)为源结点(路由器R1)到达结点v的距离,它是从源 结点沿着某一路径到达结点v所经过的链路的代价之和, L(i,j)为结点i至结点j的距离。 ①以R1为树根,求出各个结点和根结点之间距离。 D(v)=L(R1,v) 若结点v与R1直接相连
2.路径距离 路径距离可以是传输路径经过的路由器跳数。 代价=108/带宽,路径距离等于传输路径经过的物理链路 的代价和。 路由协议要求代价必须是整数,当物理链路带宽大于 100Mbps时,需要为物理链路定义一个能够反映物理链路 带宽的代价值。
路由协议
一、RIP消息格式
接口地址 224.0.0.9 17 源 IP 目的 IP 协议 地址 地址 520 净荷 520 净荷 IP 分组 UDP 报文
源端 目的端 口号 口号 IP 地址 子网掩码 下一跳 距离 …
路由项 1
RIP 消息 R2 路由项 N
RIP消息封装为IP分组 过程
路由和交换技术
路由协议
一、路由协议分类
内部网关协议 用于建立自治系统内传输路径的路由协议 称作内部网关协议 外部网关协议 用于建立自治系统间传输路径的路由协议 称作外部网关协议
路由和交换技术
路由协议
一、路由协议分类
ASBR
AS IGP IGP EGP
互连网络分成多个自治系统; 用于建立自治系统内端到端路径的路由协议称为内部网关协议; 用于建立自治系统间端到端路径的路由协议称为外部网关协议。
三个路由器建立的链路 状态
路由和交换技术
路由协议
1.链路状态路由协议建立路由表过程
R1 ACK R2
泛洪链路状态 建立前图所示的链路状态信息库
路由和交换技术
路由协议
1.链路状态路由协议建立路由表过程
令D(v)为源结点(路由器R1)到达结点v的距离,它是从源 结点沿着某一路径到达结点v所经过的链路的代价之和, L(i,j)为结点i至结点j的距离。 ①以R1为树根,求出各个结点和根结点之间距离。 D(v)=L(R1,v) 若结点v与R1直接相连
2.路径距离 路径距离可以是传输路径经过的路由器跳数。 代价=108/带宽,路径距离等于传输路径经过的物理链路 的代价和。 路由协议要求代价必须是整数,当物理链路带宽大于 100Mbps时,需要为物理链路定义一个能够反映物理链路 带宽的代价值。
沈鑫剡编著网络安全教材配套PPT课件
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
2.病毒激发机制 嵌入BIOS和引导区; 病毒程序作为自启动项; 修改名字。
计算机网络安全
病入毒侵防防御御技系术统
四、病毒感染和传播
病毒每一次运行过程,或是完成感染和传播过程。 一般情况下,PE病毒感染PE格式文件,宏病毒感染 Office文档,脚本病毒感染HTML文档。蠕虫病毒自动完成 传播过程。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (1)U盘AutoRun病毒
修改U盘的AutoRun.inf文件,将病毒程序作为双击U盘 后执行的程序。如果已经启动Windows 的自动播放功能, 当用户打开该U盘时,首先执行病毒程序。 (2)宏病毒
用Office软件打开包含宏病毒的Office文档时,才能执 行包含在Office文档中的宏病毒。 (3)脚本病毒
计算机网络安全
病入毒侵防防御御技系术统
一、病毒存在形式
病毒可以是一段寄生在其他程序和文件中的恶 意代码,也可以是一个完整的程序。 寄生病毒
脚本病毒 宏病毒 PE病毒
非寄生病毒
计算机网络安全
病入毒侵防防御御技系术统
二、病毒植入方式
对于寄生病毒,病毒植入是指将包含病毒的宿主程序 或宿主文件传输到主机系统中的过程。对于非寄生病毒, 病毒植入是指将独立、完整的病毒程序传输到主机系统中 的过程。 移动媒体 访问网页 下载实用程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延
①
黑客终端 启动木马 客户端程序
黑客终端 ③ 客户端出现特 定图标,双击 图标,弹出资 源管理界面
(1)木马病毒结构及功能
病入毒侵防防御御技系术统
三、病毒隐藏和运行
2.病毒激发机制 嵌入BIOS和引导区; 病毒程序作为自启动项; 修改名字。
计算机网络安全
病入毒侵防防御御技系术统
四、病毒感染和传播
病毒每一次运行过程,或是完成感染和传播过程。 一般情况下,PE病毒感染PE格式文件,宏病毒感染 Office文档,脚本病毒感染HTML文档。蠕虫病毒自动完成 传播过程。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (1)U盘AutoRun病毒
修改U盘的AutoRun.inf文件,将病毒程序作为双击U盘 后执行的程序。如果已经启动Windows 的自动播放功能, 当用户打开该U盘时,首先执行病毒程序。 (2)宏病毒
用Office软件打开包含宏病毒的Office文档时,才能执 行包含在Office文档中的宏病毒。 (3)脚本病毒
计算机网络安全
病入毒侵防防御御技系术统
一、病毒存在形式
病毒可以是一段寄生在其他程序和文件中的恶 意代码,也可以是一个完整的程序。 寄生病毒
脚本病毒 宏病毒 PE病毒
非寄生病毒
计算机网络安全
病入毒侵防防御御技系术统
二、病毒植入方式
对于寄生病毒,病毒植入是指将包含病毒的宿主程序 或宿主文件传输到主机系统中的过程。对于非寄生病毒, 病毒植入是指将独立、完整的病毒程序传输到主机系统中 的过程。 移动媒体 访问网页 下载实用程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延
①
黑客终端 启动木马 客户端程序
黑客终端 ③ 客户端出现特 定图标,双击 图标,弹出资 源管理界面
(1)木马病毒结构及功能
网络安全培训教材 ppt课件
二、网络安全的定义
• 网络安全五个特性
业界网络安全三性 CIA
机密性 确保信息在存储、使用、传输过程中不会泄漏给非 ✓机密性(Confidentiality)
授权用户或实体。
指只有授权用户可以获取信息
完整性 可用性
确保信息在存储、使用、传输过程中不会被非授权
用户篡改,同时还要防止授权用户对系统及信息进 ✓完整性(Integrality) 行不恰当的篡改,保持信息内、外部表示的一致性。 指信息在输入和传输的过程中,不
远程控制类
所谓远程控制,是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段,连通需被控制 的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远方计算机进行配置、软件 安装程序、修改等工作,可以进行任何危险操作。
木马、间谍软件、病毒、 APT
一、网络安全业界事件及形势—业界形式
网络安全培训教材
网络安全培训教材 信息安全小组编制
网络安全基础知识培训
培训目的
学习重点
让员工对网络安全有一定了解,并在工作 中按照相应的规范要求进行作业
培训对象
所有入职员工
培训讲师 培训时间
一小时
1.网络安全业界事件及形势 2.网络安全的定义 3.网络安全基本概念 4.网络安全管理要求 5.日常检查要求
网络安全管理要求-红线
• 管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手 段,连通需被控制的计算机,将被控计算机的桌面环境显示到自己的 计算机上,通过本地计算机对远方计算机进行配置、软件安装程序、 修改等工作
• 员工不得私自使用相机进行拍照 • 非授权人员不得进入华为网站下载相关文件
第6课 网络安全-滇人版八年级信息技术上册课件
3.控制自己的上网时间,在上网之前,把自己要做的事情先 写下来,一件一件地去成,真正将网络作为自己学习、生活、 娱乐的有效工具。
4.多与同学、朋友、父母亲人面对面交流,减少网络聊天的 时间提高自身素质,抵制网络诱惑
我们的行为
全国青少年网络文明公约
陈盈豪
2、木马
木马(Trojan),也称木马病毒,是指通过 特定的程序木马程序来控制另一台计算 机。
木马这个名字来源于古希腊传说荷马史 诗中木马计的故事,Trojan一词的特洛 伊木马本意是特洛伊的,即代指特洛伊 木马,也就是木马计的故事。
木马程序通过将自身伪装吸引用户下载 执行,向施种木马者提供打开被种主机 的门户,可以任意毁坏、窃取被种者的 文件,甚至远程操控被种主机。
黑客攻击常用手法
1、后门程序 2、网络监听 3、信息炸弹 4、拒绝服务
凯文
斯诺登
三、网络安全防范措施
主流的安全防护方法 1、安装工具软件实现安全防护 2、提前做好系统、数据备份 3、通过系统补丁实现安全防护 4、使用移动存储设备前先杀毒。 5、不随意打开不明的文件或邮件。 6、不随便透露个人信息。 7、不浏览不分健康网站。 8、设置好密码,定期更新。
病毒 2 CIH病毒
1998年7月26日,一种名叫CIH 的恶性病毒开始袭击美国,该 病毒 同时对BIOS和硬盘发起攻击。8月 26日,CIH病毒侵入中国,造成严 重损失。为此,公安部发出紧急通 知,各反病毒软件厂商纷纷推出新 版杀毒软件,一时沸沸扬扬,人心 惶惶。
该病毒作者陈盈豪(一台湾大学 生)发表公开道歉:事件发生 于5月 底,病毒先从宿舍内部迅速扩大到 各大网站,因为网络四通八达,病 毒感染力极强,造成始料不及的灾 难......破坏或窃取资料的人。
4.多与同学、朋友、父母亲人面对面交流,减少网络聊天的 时间提高自身素质,抵制网络诱惑
我们的行为
全国青少年网络文明公约
陈盈豪
2、木马
木马(Trojan),也称木马病毒,是指通过 特定的程序木马程序来控制另一台计算 机。
木马这个名字来源于古希腊传说荷马史 诗中木马计的故事,Trojan一词的特洛 伊木马本意是特洛伊的,即代指特洛伊 木马,也就是木马计的故事。
木马程序通过将自身伪装吸引用户下载 执行,向施种木马者提供打开被种主机 的门户,可以任意毁坏、窃取被种者的 文件,甚至远程操控被种主机。
黑客攻击常用手法
1、后门程序 2、网络监听 3、信息炸弹 4、拒绝服务
凯文
斯诺登
三、网络安全防范措施
主流的安全防护方法 1、安装工具软件实现安全防护 2、提前做好系统、数据备份 3、通过系统补丁实现安全防护 4、使用移动存储设备前先杀毒。 5、不随意打开不明的文件或邮件。 6、不随便透露个人信息。 7、不浏览不分健康网站。 8、设置好密码,定期更新。
病毒 2 CIH病毒
1998年7月26日,一种名叫CIH 的恶性病毒开始袭击美国,该 病毒 同时对BIOS和硬盘发起攻击。8月 26日,CIH病毒侵入中国,造成严 重损失。为此,公安部发出紧急通 知,各反病毒软件厂商纷纷推出新 版杀毒软件,一时沸沸扬扬,人心 惶惶。
该病毒作者陈盈豪(一台湾大学 生)发表公开道歉:事件发生 于5月 底,病毒先从宿舍内部迅速扩大到 各大网站,因为网络四通八达,病 毒感染力极强,造成始料不及的灾 难......破坏或窃取资料的人。
沈鑫剡计算机网络技术及应用第6章IP和网络互连.ppt
计算机网络技术及应用
IP和网络互连
三、无分类编址
子网掩码举例
10.1.1.8/255.255.255.0 10.1.1.8/255.255.0.0 10.0.0.0/255.0.0.0 10.0.0.0/8 10/8
计算机网络技术及应用
IP和网络互连
三、无分类编址
11000000 00000010 00000000 00000000 11000000 00000010 00000001 00000000 11000000 00000010 00000010 00000000 11000000 00000010 00000011 00000000 11000000 00000010 00000100 00000000 11000000 00000010 00000101 00000000 1 192.1.1.0 1 11000000 00000010 00000110 00000000 2 11000000 00000010 00000111 00000000 192.1.1.1
计算机网络技术及应用 (第2版)
第六章
计算机教研室教授 沈鑫剡
© 2006工程兵工程学院 计算机教研室
IP和网络互连
第6章 IP和网络互连
本章主要内容 网络互连; 网际协议(IP); 路由协议建立路由表过程; IP over 以太网技术; Internet控制报文协议(ICMP)。
(4)IP地址分类的原因是 A.减少路由表中的路由项数目 B.适应不同类型传输网络互连 C.实现逐跳转发 D.允许不同的传输网络有着不同的终端数量 。
选择答案,并简要回答为什么?
计算机网络技术及应用
IP和网络互连
沈鑫剡计算机网络技术及应用无线局域网PPT课件
不是
随机生成 退避时间
持续 DIFS 是 信道空闲?
不是
信道不忙 不是 且 NAV=0?
是
持续 DIFS 不是 信道空闲?
是
退避时间 不是 到?
是 信道不忙?
发送数据
• CSMA/CA算法的特点是争用总线, 即信道持续空闲DIFS时间,认为 信道空闲;
• 通过NAV预约信道,预留时间通过 MAC帧中的持续时间字段给出,预 约时间内等同于信道忙;
• 如果终端第一次发送数据时检测到信道忙,在等待信道由忙转为空闲 的时间内,可能有多个终端开始检测信道,因此,发生冲突的概率较 大,需要进入退避时间。
第24页/共42页
三、DCF和CSMA/CA
AP
①
BSS
④ ②⑤ ⑥ ③
①:数据 ②ACK ③:数据 ④:ACK ⑤:数据 ⑥:ACK 终端 A
DCF操作过程
三、无线局域网拓扑结构
AP1 DS
BSS1
终端 B 终端 C
1 S1 2
AP2 BSS2
终端 D 终端 E 终端 F
(3)扩展服务集是一个
。
A.冲突域
B.广播域
C.所有终端都能接收到任何目的地址MAC帧的传输区域
D.多个广播域构成的传输区域
选择答案,并简要回答为什么?
第13页/共42页
四、无线局域网标准
终端 B
终端 C
实现终端A至终端C,终端B至AP的数据传输过 程
第25页/共42页
三、DCF和CSMA/CA
终端 A 检测信道
数据
终端 A
DIFS
信道忙
AP 终端 B 检测信道
时隙
ACK
SIFS
随机生成 退避时间
持续 DIFS 是 信道空闲?
不是
信道不忙 不是 且 NAV=0?
是
持续 DIFS 不是 信道空闲?
是
退避时间 不是 到?
是 信道不忙?
发送数据
• CSMA/CA算法的特点是争用总线, 即信道持续空闲DIFS时间,认为 信道空闲;
• 通过NAV预约信道,预留时间通过 MAC帧中的持续时间字段给出,预 约时间内等同于信道忙;
• 如果终端第一次发送数据时检测到信道忙,在等待信道由忙转为空闲 的时间内,可能有多个终端开始检测信道,因此,发生冲突的概率较 大,需要进入退避时间。
第24页/共42页
三、DCF和CSMA/CA
AP
①
BSS
④ ②⑤ ⑥ ③
①:数据 ②ACK ③:数据 ④:ACK ⑤:数据 ⑥:ACK 终端 A
DCF操作过程
三、无线局域网拓扑结构
AP1 DS
BSS1
终端 B 终端 C
1 S1 2
AP2 BSS2
终端 D 终端 E 终端 F
(3)扩展服务集是一个
。
A.冲突域
B.广播域
C.所有终端都能接收到任何目的地址MAC帧的传输区域
D.多个广播域构成的传输区域
选择答案,并简要回答为什么?
第13页/共42页
四、无线局域网标准
终端 B
终端 C
实现终端A至终端C,终端B至AP的数据传输过 程
第25页/共42页
三、DCF和CSMA/CA
终端 A 检测信道
数据
终端 A
DIFS
信道忙
AP 终端 B 检测信道
时隙
ACK
SIFS
网络安全基础教程第6章 网络安全专题.ppt
上一页 下一页 返 回
6.1 防火墙技术
6.1.2 防火墙的功能
再者,隐私是内部网络非常关心的问题,一个内部网络中不引 人注意的细节可能包含了重要的信息而引起外部攻击者的兴趣, 甚至因此而暴露了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节的服务,如Finger、 DNS等服务。Finger显示了主机的所有用户的注册名、真名、 最后登录时间和使用shell类型等,但是Finger显示的信息非常 容易被攻击者所获悉,攻击者可以知道一个系统使用的频繁程 度,这个系统是否有用户正在连线上网,这个系统是否在被攻 击时引起注意等。
上一页 下一页 返 回
6.1 防火墙技术
6.1.3 防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监测并过 滤所有通向外部网和从外部网传来的信息,只允许授权的数据 通过,防火墙还能够记录有关的连接来源、服务器提供的通信 量以及试图闯入者的任何企图,以方便管理员监测和跟踪,并 且防火墙本身也必须能够避免被渗透。
第6章 网络安全专题
6.1 防火墙技术 6.2 病毒防火墙 6.3 防火墙的设计和实现 6.4 防火墙的结构类型 6.5 防火墙的选购、安装和维护 6.6 防火墙产品介绍 6.7 入侵检测技术 6.8 数据加密技术 6.9 一次性口令身份认证技术
6.1 防火墙技术
6.1.1 防火墙的概念
防火墙是一种网络安全技术,最初它被定义为一个实施某些安 全策略以保护一个可信网络,用以防止来自一个不可信的网络 (如Internet)攻击的装置。那么防火墙的名称是从何而来的 呢?在房屋还多为木质结构的时代,人们将石块堆砌在房屋周 围用来防止火灾的发生,这种墙被称为防火墙。
上一页 下一页 返 回
6.1 防火墙技术
6.1.2 防火墙的功能
再者,隐私是内部网络非常关心的问题,一个内部网络中不引 人注意的细节可能包含了重要的信息而引起外部攻击者的兴趣, 甚至因此而暴露了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节的服务,如Finger、 DNS等服务。Finger显示了主机的所有用户的注册名、真名、 最后登录时间和使用shell类型等,但是Finger显示的信息非常 容易被攻击者所获悉,攻击者可以知道一个系统使用的频繁程 度,这个系统是否有用户正在连线上网,这个系统是否在被攻 击时引起注意等。
上一页 下一页 返 回
6.1 防火墙技术
6.1.3 防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监测并过 滤所有通向外部网和从外部网传来的信息,只允许授权的数据 通过,防火墙还能够记录有关的连接来源、服务器提供的通信 量以及试图闯入者的任何企图,以方便管理员监测和跟踪,并 且防火墙本身也必须能够避免被渗透。
第6章 网络安全专题
6.1 防火墙技术 6.2 病毒防火墙 6.3 防火墙的设计和实现 6.4 防火墙的结构类型 6.5 防火墙的选购、安装和维护 6.6 防火墙产品介绍 6.7 入侵检测技术 6.8 数据加密技术 6.9 一次性口令身份认证技术
6.1 防火墙技术
6.1.1 防火墙的概念
防火墙是一种网络安全技术,最初它被定义为一个实施某些安 全策略以保护一个可信网络,用以防止来自一个不可信的网络 (如Internet)攻击的装置。那么防火墙的名称是从何而来的 呢?在房屋还多为木质结构的时代,人们将石块堆砌在房屋周 围用来防止火灾的发生,这种墙被称为防火墙。
上一页 下一页 返 回
《计算机网络安全》教学大纲
《计算机网络安全》一、说明:(一)课程性质《计算机网络安全》是为我院计算机科学与技术专业网络方向开设的一门专业课,属于计算机网络安全范畴,是培养学生计算机网络安全基本理论素质和应用能力的一门必修课,是在学习其它计算机类课程的基础上展开的。
本课程对于培养学生的理论思维、实践能力、创新能力,分析和解决问题的能力都起到重要作用,对网络方向的学生培养目标的实现都起到关键作用的课程。
(二)课程目的本课程的教学目的是使学生掌握计算机网络安全基础理论知识,具备熟练操作和使用计算机进行网络安全攻防的能力,为培养网络安全管理员奠定理论基础和培养应用技能。
(三)教学内容1.掌握网络安全的研究体系、了解实验环境的配置2.熟练掌握网络安全协议基础知识;3.掌握网络安全编程基础;4.熟练掌握网络扫描与网络监听原理和操作方法;5.熟练掌握网络入侵原理和操作方法;6.熟练掌握网络后门与网络隐身原理和操作方法;7.掌握操作系统安全配置方案基本知识;(四)教学时数60学时(理论40学时,实践20学时)(五)教学方式“理论联系实际,并有所发展”是本课程的指导方针:(1)“理论”即计算机网络以及网络安全的理论.(2)“实际”即众多的网络安全攻防工具。
(3)“发展”即利用编程技术编写一些网络安全工具.本课程具有基础理论知识广泛、操作性强的特点,是一门理论性和实践性很强的课程。
在教学过程中,应注重学生基本操作能力和解决实际问题能力的培养,既要重视基础理论、基础知识的教学,又要重视上机实验与实践教学环节。
课堂讲授与上机实验课时比例应保持在2:1.采用多媒体教学课件、网络、模拟实验等现代化教学手段,充分利用多媒体网络教学系统和大屏幕投影进行教学。
积极采用案例教学方法,逐步建立以学生为主体的互动式教学模式。
二、本文理论部分第一章网络安全概述与环境配置教学要点:1.了解研究网络安全的必要性;2.掌握网络安全研究的体系;3.理解应用软件的安全等级;4.了解研究网络安全社会意义;5.了解目前计算机网络安全的相关法规;6.具备实验环境的配置能力;7.能够进行简单的抓取网络数据包实验。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机网络安全
网络安全基础
一、IPSec概述
1.安全关联
(3)安全关联相关参数
序号:32位长度,用于防止重放攻击。 防重放攻击窗口:用于确定接收到的AH或ESP报文是否是重放报文。 AH信息:消息鉴别码(MAC)算法,MAC密钥,MAC密钥寿命,及其他 用于AH的参数。 ESP信息:加密算法和加密密钥,MAC算法和MAC密钥,密钥寿命,及 其他用于ESP的参数。 安全关联寿命:可以是一段用于确定安全关联存在时间的时间间隔, 也可以是安全关联允许发送的字节数。 IP Sec协议模式:目前定义了两种模式,传输和隧道。 路径最大传送单元(MTU):不用分段可以在安全关联绑定的发送端 和接收端之间传输的最大分组长度。
网络安全基础
三、安全协议体系结构
安全协议体系结构 HTTPS PGP SET SSL 或 TLS IP Sec IP over 以太网 不同传输网络 对应的安全协议
应用层 TCP IP IP over ATM ATM IP over SDH SDH … … UDP
应用层 传输层 网际层 网络接口层 不同类型网络
IP 首部
净荷
ESP ESP 尾部 MAC
隧道模式下,净荷是包括内层IP首部在内的整个IP分组。
计算机网络安全
网络安全基础
三、ESP
加密 IP 首部 ESP 首部 净荷 ESP ESP 尾部 MAC 鉴别数据 96b
安全参数索引(SPI) 32b
序号 32b
填充
填充长度 下一个首部 8b 8b
ESP首部包含安全参数索引(SPI)和序号,它们的作用和AH 相同。 ESP尾部包括填充数据、8位的填充长度字段和8位的下一个首 部字段。填充长度字段值以字节为单位给出填充数据长度,下一 个首部字段给出净荷的协议类型。 计算鉴别数据时覆盖的字段只包括ESP首部+净荷+ESP尾部。
终端 A 3.3.3.3 终端 A(IDA) 的公钥是 PKA CA 签名
Web 服务器 B 7.7.7.7 Web 服务器 B(IDB) 的公钥是 PKB CA 签名
建立终端A至web服务器的动态安全关联,采用证书+私钥 方式鉴别对方身份。
计算机网络安全
网络安全基础
四、IKE
2.IKE相关配置
终端A和Web服务器B与第一阶段有关的配置如下。
计算机网络安全
网络安全基础
四、IKE
1.静态安全关联和动态安全关联 静态安全关联建立机制由人工完成发送端和接收端 中安全关联数据库(SAD)的配置过程。 动态安全关联建立机制根据安全传输数据的需要, 通过协议建立发送端至接收端的安全关联,协商与该安 全关联相关的参数。
计算机网络安全
网络安全基础
四、IKE
以太网
每一种传输网络有着该传输网络对应的安全协议; 网际层有Internet安全协议(IPSec) ; 传输层有安全协议安全插口层(SSL),或者传输层安全(TLS) ; 应用层有实现电子邮件安全传输的PGP,用于实现电子安全支付的安全电 子交易(SET),用于安全访问网站的基于SSL/TLS的HTTP(HTTPS)等。
鉴别数据:消息鉴别码(MAC),用于鉴别源端身份和实现数 据完整性检测。
计算机网络安全
网络安全基础
二、AH
2.AH应用实例
终端 A 至 web 服务器安全关联 终端 A 3.3.3.3 IP 分组分类 安全关联标识符 安全关联参数 MAC 算法=HMAC-MD5-96 MAC 密钥=7654321 序号=7890 Web 服务器 7.7.7.7 安全关联标识符 SPI=1234 目的 IP 地址=7.7.7.7 安全协议标识符=AH 安全关联参数 MAC 算法=HMAC-MD5-96 MAC 密钥=7654321
如果报文序号小于N-W+1, 或者该序号对应的报文已经正确 接收,丢弃该报文。 如果报文序号在窗口范围内, 且未接收过该序号对应的报文, 接收该报文并将该序号对应的标 志改为已正确接收该序号对应的 报文。 如果报文序号大于N,假定 为L(L>N),将窗口改为L- W+1~L,并将序号L对应的标志 改为已正确接收该序号对应的报 文。
DES,MD5,YA,NA DES,MD5,YB,NB,证书请求 EK(AH,HAMC-MD5,IDA,IDB,证书,证书请求,数字签名) EK(AH,HAMC-MD5,SPI=1234,IDA,IDB,证书,数字签名)
IKE动态建立安全关联过程分为两个阶段,第一个阶段是建 立安全传输通道,第二个阶段是建立安全关联。建立安全传输 通道的目的是可以安全传输为建立安全关联而相互交换的信息。
计算机网络安全
网络安全基础
一、IPSec概述
3.防重放攻击过程
黑客终端
实际传输路径 网络 正常传输路径 源端 目的端
黑客可以重复转发截获的AH或ESP报文,或是延迟一 段时间后,再转发截获的AH或ESP报文。
计算机网络安全
网络安全基础
一、IPSec概述
3.防重放攻击过程
W
目的端每接收到一个AH或ESP 报文,执行如下操作:
TLS 记录协议 TCP IP
TLS记录协议用于封装上层协议消息,通过TLS记录协 议传输的上层消息可以实现源端鉴别、保密性和完整性。
协议类型=TCP SPI=1234 源 IP 地址=3.3.3.3/32 目的 IP 地址=7.7.7.7 目的 IP 地址=7.7.7.7/32 安全协议标识符=AH 目的端口号=80
终端A与Web服务器之间建立终端A至web服务器的安全关联, 用SPI=1234、目的IP地址=7.7.7.7和安全协议标识符=AH唯一 标识该安全关联。经过安全关联传输的IP分组封装成AH报文。 建立安全关联时双方约定MAC算法为HMAC-MD5-96,MAC密钥为 7654321。
计算机网络安全
网络安全基础
6.2 IPSec
本讲主要内容 IPSec概述; AH; ESP; IKE。
计算机网络安全
网络安全基础
一、IPSec概述
1.安全关联 (1)安全关联定义 这种以实现源端鉴别、数据加密和完整性检 测为目的的关联称为安全关联(SA)。安全关联 是单向的。 安全关联用安全参数索引(SPI)、目的IP 地址和安全协议标识符唯一标识。
计算机网络安全
网络安全基础
6.3 TLS
本讲主要内容 TLS引出原因和发展过程; TLS协议结构; TLS记录协议; 握手协议实现身份鉴别和安全参数协商过程; HTTPS。
计算机网络安全
网络安全基础
一、TLS引出原因和发展过程
1.引出原因 对于许多客户/服务器(C/S)应用结构,实 现双向身份鉴别与保证相互交换的数据的保密性 和完整性是非常重要的。 必须有一套用于完成双向身份鉴别和安全参 数协商的协议。
计算机网络安全
网络安全基础
一、IPSec概述
2.传输模式和隧道模式
安全关联 网络 源端 目的端
传输模式用于保证数据端到端安全传输,并 对数据源端进行鉴别,这种模式下,IPSec所保 护的数据就是作为IP分组净荷的上层协议数据, 如TCP、UDP报文和其他基于IP的上层协议报文。
计算机网络安全
网络安全基础
一、IPSec概述
2.传输模式和隧道模式
安全关联
内部网络 源端 路由器 R1
隧道 公共网络 路由器 R2
内部网络 目的端
安全关联的两端是隧道的两端。 源端至目的端的IP分组作为净荷封装在以路由器R1 的全球IP地址为源IP地址,路由器R2的全球IP地址为目 的IP地址的IP分组中,这种将整个IP分组作为另一个IP 分组的净荷的封装方式就是隧道格式。
网络安全
第六章
© 2006工程兵工程学院 计算机教研室
网络安全基础
第6章 安全协议
本章主要内容 安全协议概述; IPSec; TLS; 应用层安全协议; IPSec、TLS和应用层安全协议比较。
计算机网络安全
网络安全基础
6.1 安全协议
本讲主要内容 产生安全协议的原因; 安全协议功能; 安全协议体系结构。
AH
IP 首部
净荷
隧道模式下,整个IP分组作为隧道格式的净荷,在外层IP 首部和净荷之间插入鉴别首部AH。
计算机网络安全
网络安全基础
二、AH
1.AH报文格式
8位 下一个首部 8位 鉴别首部长度 16 位 保留
安全参数索引(SPI) 序号 鉴别数据
隧道模式下,整个IP分组作为隧道格式的净荷,在外层IP 首部和净荷之间插入鉴别首部AH。
计算机网络安全
网络安全基础
一、TLS引出原因和发展过程
2.TLS发展过程 TLS的前生是安全插口层(SSL) 。 IETF在SSL v3.0的基础上提出了TLS 1.0,目 前TLS的最新版本是TLS 1.2。
计算机网络安全
网络安全基础
二、 TLS协议结构
TLS 握手协议 TLS 改变 密码规范协议 TLS 报警协议 HTTP
计算机网络安全
网络安全基础
二、AH
2.AH应用实例
7654321 HMAC -MD5 相等,源端鉴别和 完整性检测通过 不相等,源端鉴别和 完整性检测没有通过 AH 报文 HMAC -MD5 AH 报文 鉴别 数据 AH 报文 鉴别 数据
7654321
(a)发送端操作过程
(b)接收端操作过程
AH源端鉴别和完整性检测过程
计算机网络安全
网络安全基础
一、IPSec概述
1.安全关联
发送者 A SPI 目的 IP 地址 安全协议标识符
安全关联
接收者 A
发送者 B 源 IP 地址 目的 IP 地址 源端口号 目的端口号 传输层协议 服务类型 安全协议 接收者 B