网络安全协议(PPT 82页)

合集下载

第6讲网络信息安全之安全协议

20
对于隧道模式，去除外部IP头和ESP头，恢复原IP数据报。如果该数据报是一个分段，则插入到IP数据流中
二、AH协议
AH提供了数据完整性、数据源验证及抗重播等安全服务 AH不仅可为上层协议提供认证, 还可以为IP 头某些字段提供认证有些字段在传输中可能会改变(如服务类型、标志、分段偏移、生存期、头校验和等)， AH不能保护这些字段
13
14
ESP协议处理
由于ESP采用密码算法对IP数据报进行加密，并且IP数据报并非顺序到达接收方，因此每个 ESP数据报必须携带能够使接收方建立解密同步的数据, 如初始化向量(IV)
(一) 外出数据报处理
(1) ESP头插入在传输模式下, ESP头插在IP头之后，并填写 ESP头中各个字段值，ESP头的“下一个头” 字段值为6, 表示是TCP
27
在使用SA对数据包进行处理后, 使用选择器在进入SPD中查找处理该数据包的安全策略, 这里使用的是内部IP头中的目的IP地址对于传输模式，数据包只有一个IP头，不会出现上述情况 (2) SA查找利用三元组<SPI，目的IP地址，AH>在SAD 中查找处理这个数据报的SA 如果找到则继续处理，否则丢弃该数据报
7
AH和ESP协议可以分别单独使用，也可以联合使用。每个协议都支持两种应用模式： (1) 传输模式：为上层协议数据提供安全保护 (2) 隧道模式：以隧道方式传输IP报文 AH/ESP的安全性完全依赖于所采用的加密算法。为保证不同实现方案之间的互通性, 必须定义强制实现的加密算法因此，在使用数据认证和加密机制时, 必须解决三个问题：
2
通常安全协议是基于某一通信协议，提供安全机制或服务，并非单独运行按网络体系结构划分，安全协议可以分成数据链路层安全协议、网络层安全协议、传输层安全协议和应用层安全协议数据链路层：PPTP/L2TP协议通过隧道技术在某种程度上增强了PPP协议的安全性网络层：IPSec(IP Security)协议是基于IP协议的安全协议

第9章网络安全协议PPT讲义

SPD：安全策略数据库，存储策略并提供查询支持。通过使用一个或多个选择符来确定每个条目。
3.安全关联与安全策略——安全策略
IPSec策略由“安全策略数据库(Security Policy Database, SPD)”加以维护。在每个条目中定义了要保护什么样的通信、怎样保护它以及和谁共享这种保护。
欺骗：欺骗（Spoofing）可发生在IP系统的所有层次上，物理层、数据链路层、IP层、传输层及应用层都容易受到影响。 IP地址欺骗针对IP协议的攻击——源路由选项攻击针对ARP协议的攻击——ARP欺骗攻击针对TCP 协议的攻击——序列号猜测攻击针对DNS协议的攻击——DNS欺骗
认证攻击：TCP／IP协议只能以IP地址进行鉴别，而不能对节点上的用户进行有效的身份认证，因此服务器无法鉴别登录用户的身份有效性。
SPD：对于通过的流量的策略三种选择：discard, bypass IPSec, apply IPSec
3.安全关联与安全策略——安全策略例子
例子：可在一个安全网关上制定IPSec策略
对在本地保护的子网与远程网关的子网间通信的所有数据，全部采用DES加密，并用HMAC-MD5进行鉴别；
对于需要加密的、发给另一个服务器的所有Web通信均用 3DES加密，同时用HMAC-SHA鉴别。
例如：DNS欺骗攻击
3. TCP/IP体系结构中各层的安全协议
网络安全协议是基于密码学的通信协议，通过信息的安全交换来实现某种安全目的所共同约定的逻辑操作规则。
安全协议的研究目标都与安全性有关，例如，认证主体的身份；在主体之间分配会话密钥；实现机密性、完整性、不可否认性、可用性等。
3. TCP/IP体系结构中各层的安全协议——网络接口层

网络基本安全协议ppt

协议主要过程如下：
◦ ◦ ◦ ◦ ◦ (1) I，A，B，EA(RA，I，A，B)B (2) I，A，B，EA(RA，I，A，B)，EB(RB，I，A，B)T (3) I，EA(RA，K)，EB(RB，K)B (4) I，EA(RA，K)A (5) A解密报文，恢复出她的密钥和随机数，然后她确认协议中的索引号和随机数都没有改变。

上述协议存在的问题
◦ 如果M破坏了T，整个网络都会遭受损害：他有T与每个用户共享的所有秘密密钥；他可以读所有过去和将来的通信业务。他所做的事情就是对通信线路进行搭线窃听，并监视加密的报文业务。 ◦ 这个系统的另外一个问题是T可能会成为瓶颈：他必须参与每一次密钥交换
采用非对称秘密体制时，通信双方各拥有一对密钥，称为公开密钥和私有密钥。公开密钥可以向外界公布，由其它协议参与者用来对消息进行加密、解密或签名验证;私有密钥不对外公开，由密钥所属者用来相应地对消息进行解密、加密或签名。

也称为Kerberos协议，是一种NeedhamSchroeder协议，面向开放系统的，可以为网络通信提供可信第三方服务的认证机制。协议内容为：
◦ ◦ ◦ ◦ (1) (2) (3) (4) A，BT EA(T，L，K，B)，EB(T，L，K，A)A EK(A，T)，EB(T，L，K，A)B EK(T+1)A

SKEY是一种认证程序，又称为一次性通行字系统(One-Time Password System)，依赖于单向函数的安全性，采用MD4或MD5算法。

基本协议：
◦ (1) 机发送一个随机字符串给A； ◦ (2) A用她的私钥对此随机字符串加密，并将此字符串他和她的名字一起传送回主机； ◦ (3) 主机在它的数据库中查找A的公开密钥，并用公开密钥解密； ◦ (4) 如果解密后的字符串与主机在第一步中发送给A的字符串匹配，则允许A访问系统。

网络协议与安全讲义(PPT 38张)

端口分类和常见端口 FTP:21 20 SSH:22 Telnet:23 SMTP:25 POP3:110 HTTP:80 HTTPS:443 DNS:53 NETBIOS name service:137,138,139 SNMP:161 SOCKS:1080
网络状态的查看：netstat
C:\Documents and Settings\Administrator>netstat -a Active Connections Proto Local Address Foreign Address State TCP WStation:epmap WStation:0 LISTENING TCP WStation:microsoft-ds WStation:0 LISTENING TCP WStation:netbios-ssn WStation:0 LISTENING TCP WStation:1055 183.61.23.250:http CLOSE_WAIT TCP WStation:1082 183.61.32.183:http ESTABLISHED TCP WStation:1084 119.146.200.17:http ESTABLISHED TCP WStation:1085 119.146.200.17:http ESTABLISHED TCP WStation:1099 119.147.32.147:https TIME_WAIT TCP WStation:1100 119.147.32.147:https ESTABLISHED TCP WStation:netbios-ssn WStation:0 LISTENING UDP WStation:microsoft-ds *:* UDP WStation:ntp *:* UDP WStation:netbios-ns *:* UDP WStation:netbios-dgm *:*

第2讲网络安全协议基础-PPT资料142页

6
表示层
5
会话层
对软件提供接口和网络服务
4
传输层
（例如，E-mail,文件传输）
3
网络层
相当于：做什么？
2
数据链路层
1
物理层
4
表示层
7
应用层
6
表示层
5
会话层
4
传输层
3
网络层
2
数据链路层
1
物理层
提供应用程序间通信处理数据格式的转换
格式化数据数据压缩数据加密相当于：对方看起来像什么？
5
会话层
7
应用层
6
表示层
5
会话层
4
传输层
3
网络层
2
数据链路层
1
物理层
提供应用程序间通信处理数据格式建立，维护和管理会话
提供双工协商会话同步相当于：轮到谁讲话？
从何处讲？
6
传输层
7
应用层
6
表示层
5
会话层
4
传输层
3
网络层
2
数据链路层
1
物理层
提供应用程序间通信处理数据格式建立，维护和管理会话端到端透明传输报文的连接
面向连接服务具有连接建立、数据传输、连接释放这三
个阶段。
面向连接服务在网络层中又称为虚电路服务。 30
无连接服务
无连接服务：两个实体之间的通信不需要先建立好一个连接，因此其下层的有关资源不需要事先进行预定保留，这些资源将在数据传输时动态地进行分配。
特点：每个报文都带有完整的目的地址，各报文是独立传送的，不能保证报文到达的先后顺序，即不能保证传输的可靠性。

07-网络安全协议课件

19
2018/10/14
封装安全载荷 ESP
20
2018/10/14
ESP
提供保密功能，包括报文内容的机密性和有限的通
信量的机密性，也可以提供鉴别服务（可选）
将需要保密的用户数据进行加密后再封装到一个新
的IP包中，ESP只鉴别ESP头之后的信息
加密算法和鉴别算法由SA指定两种模式：传输模式和隧道模式
42 2018/10/14
SSL的基本原理
采用公开密钥和专有密钥两种加密在建立连接过程中采用公开密钥在会话过程中使用专有密钥（会话密钥）服务器通过以下方法向客户机证实自身给出包含公开密钥的可验证的证明演示它能对公开密钥的报文进行解密
43
2018/10/14
SSL与TCP/IP协议间的关系
40
2018/10/14
课程内容
1 2 3 4 IP安全体系结构 IPSec SSL SET
41
2018/10/14
3.1 SSL协议
SSL（Secure Socket Layer）协议安全套接层协议 Netscape公司1995年推出常用于Web Server方式作用机密性完整性不能保证不可否认性（不可抵赖性）技术公开密钥体制 X.509数字证书
51
2018/10/14
SSL记录格式
+
0 32
Bits 0–7 内容类型 Content Type
8-15 主版本 Version (MSB)
16-23 次版本 Version (LSB) Protocol Message(s)
24–31 长度 Length (MSB)

第2章网络安全协议.ppt

分组标识（Identification）
信源主机在产生 IP 分组时，需要给每个 IP 分组分配一个唯一的标识符，用来区分该主机发送的不同分组。
服务类型（TOS – Type Of Service）
0 1 2 34 567
优先权 D T RC未用
用户希望的传输类型：
D：低时延 T：高吞吐率 R：高可靠性C:最小费用
ping -n 10 -l 1000 10.0.99.221 例子4：要验证目的地10.0.99.221并记录4个跃点的路由，执行以下命令：
ping -r 4 10.0.99.221 例子5：给计算机192.168.0.2频繁发送数据包65535
ping 192.168.0.1 –t –l 65500
以前面的例子介绍：
1.1 IP---实验
例子1：以下范例显示PING的输出： C \>ping
例子2：要验证目的地10.0.99.221并解析10.0.99.221的主机名，执行以下命令： ping -a 10.0.99.221
例子3：要验证带有10个回响请求消息的10.0.99.221，且每个消息的“数据” 字段值为1000字节，执行以下命令：
1.２ ARP/RARP
•ARP/RARP 实现IP 地址与网络物理地址的映射：
IP 地址统一了网际通信的地址形式（IP 层以上的软件都使用 IP 地址），隐藏了原有的物理网络地址；但在网络内部，IP 层通信的实现依赖于底层的物理网络技术，底层必然还要使用物理地址。为了保证通信的一致性，必须要建立各结点 IP 地址与网络物理地址之间的映射，称为地址解析（resolution）。地址解析协议（ARP－Address Resolution Protocol）用于 IP 地址到物理地址的映射；逆向地址解析协议（RARP – Reverse Address Resolution Protocol）用于物理地址到 IP 地址的映射。地址解析是在物理地址上加的一层地址机制，通常被看作是 IP 层以下的功能，可认为是物理网络的一部分。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

第4章网络安全协议
4.1.2 PPTP协议
建立PPTP连接，首先要建立客户端与本地ISP的PPP连接。一旦成功地接入因特网，下一步就是建立PPTP连接。从最顶端PPP客户端、PAC和PNS服务器之间开始，由已经安装好PPTP的PAC建立并管理PPTP任务。如果PPP客户端将PPTP添加到它的协议中，所有列出来的PPTP通信都会在支持PPTP的客户端上开始与终止。由于所有的通信都将在IP包内通过隧道，因此PAC只起着通过PPP连接进因特网的入口点的作用。从技术上讲，PPP包从PPTP隧道的一端传输到另一端，这种隧道对用户是完全透明的。
数据链路层加密就是简单地对要通过物理媒介传输的每一个字节进行加密；解密则在收到时处理。这可以保证数据在链路上传输时不会被截获。
第4章网络安全协议
4.1数据链路层安全通信协议
在数据链路层提供安全机制的优点：无需对其任何上层进行改变就能对所有数据加密，提供链路安全能够由硬件在数据传输和接收时轻易实现，而且它对性能的影响将会很小，能达到的速率最高；它能够和数据压缩很好的结合起来；对流分析能提供最高的保护性；对隐通道能提供最高的保护性；基于网络攻击的途径最少。
第4章网络安全协议
4.1.3 L2TP协议
（2）会话建立会话建立过程由呼叫触发，在拨号接入的情况下，就是由用户至
LAC的入呼叫触发，其过程如图4.6所示，由呼叫管理类消息实现，类似隧道建立，消息过程将交换如下信息：LAC和LNS各自为会话分配的会话ID；数据信道的承载类型和帧封装类型；主被叫号码及子地址；收发线路速率；数据消息是否要加序号。
第4章网络安全协议
4.1.2 PPTP协议
PPTP具有两种不同的工作模式：被动模式和主动模式。被动模式的PPTP会话通过一个一般是位于ISP处的前端处理器发起，在客户端不需要安装任何与PPTP有关的软件。在拨号连接到ISP的过程中，ISP为用户提供所有的相应服务和帮助。被动方式好处是降低了对客户的要求，缺点是限制了用户对因特网其它部分的访问。主动方式是由客户建立一个与网络另外一端服务器直接相连的PPTP隧道。这种方式不需要ISP的参与，不再需要位于ISP处的前端处理器，ISP只提供透明的传输通道。这种方式的优点是客户拥有对PPTP的绝对控制，缺点是对用户的要求较高并需要在客户端安装支持PPTP的相应软件。
因此，通过上面的比较如果想要实现网络安全服务而又不愿意重写很多系统和应用程序的话，唯一可行的方案就是在比较低的网络层中加入安全服务，它能够提供所有的配置方案，如主机对主机、路由器对路由器、路由器对主机。
第4章网络安全协议
4.2.1 IPSec协议簇
IPSec（Internet Protocol Security）是IETF为了在IP层提供通信安全而制定的一套协议簇。它包括安全协议部分和密钥协商部分：安全协议部分定义了对通信的安全保护机制；密钥协商部分定义了如何为安全协议协商保护参数以及如何对通信实体的身份进行鉴别。
第4章网络安全协议
4.1.3 L2TP协议
（3） PPP帧前转会话建立后进入通信阶段此时LAC收到远端用户发来的PPP
帧去除CRC校验字段帧封装字段和规避字段将其封装入L2TP数据消息经隧道前传给LNS反向则执行相反的过程。LAC在会话建立时可置入需要有序AVP则所有数据消息必须加序号如果LAC未作此请求则由LNS控制如果LNS在发出的消息中置序号则LAC在其后发出的消息中亦置序号如果LNS不置序号LAC其后也不再置序号。
第4章网络安全协议
第四章
网络安全协议
第4章网络安全协议
引言
Internet在最初建立时的指导思想是资源共享，因此以开放性和可扩展性为核心。在建立协议模型与协议实现时，更多考虑到易用性，而在安全性方面考虑存在严重不足，这就给攻击者造成了可乘之机。本章以TCP/IP协议族结构为指导，自底向上分层阐述不同层次的安全协议保障机制，主要包括PPP、 IPS 网络安全协议
4.2 网络层安全通信协议
• IPSec的优点
– 提供强大的安全性，应用于防火墙和路由器 – 防火墙内部的IPSec可以抵制旁路 – IPSec在传输层以下，对应用程序透明 – IPSec对终端用户透明 – 需要时可以为单个用户提供安全性
• 路由选择应用，IPSec保证：
– 路由器的通告(新的路由器通告它的存在)来自被认可的路由器
第4章网络安全协议
4.1.3 L2TP协议
L2TP格式： Tunnel ID指示控制链接的标识符。只有本地有效的标识符才能用来给L2TP tunnels命名。 Session ID指示一个tunnel内的会话标识符。只有本地有效的标识符才能用来给L2TP session命名。 Ns指示数据或控制消息的序列号，从0开始，每发送一个消息其值加1。Nr 指示下一个期望被收到的控制消息的序列号。 Offset Size域如果存在，则表明运送的数据期望开始的地方。
第4章网络安全协议
第4章网络安全协议
4.1数据链路层安全通信协议 PPT协议；PPTP协议；L2TP协议
4.2 网络层安全通信协议 IPSec协议簇
4.3传输层安全通信协议 SSL/TSL协议簇
4.4应用层安全通信协议电子邮件安全协议；SET协议； SNMP协议；S-HTTP协议
第4章网络安全协议
4.1数据链路层安全通信协议
数据链路层对网络层显现为一条无错的线路，主要任务是加强最底层物理层原始传输单位比特的功能，在两个相邻结点间的线路上无差错地传送以帧为单位的数据，还要解决由于链路上的通信干扰造成数据帧的破坏、丢失而所需要的数据帧的重发以及流量的调节、出错的处理和信道的共享等问题。
第4章网络安全协议
4.1.3 L2TP协议
第二层隧道协议L2TP（Layer 2 Tunneling Protocol）是用来整合多协议拨号服务至现有的因特网服务提供商点。 IETF(因特网工程任务组)的开放标准L2TP协议结合了PPTP 协议和L2F的优点，特别适合于组建远程接入方式的VPN，目前已经成为事实上的工业标准。在由L2TP构建的VPN中，有两种类型的服务器，一种是L2TP访问集中器LAC （L2TP Access Concentrator），它是附属在网络上的具有 PPP端系统和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务；另一种是L2TP网络服务器LNS（L2TP Network Server），是 PPP端系统上用于处理L2TP协议服务器端部分的软件。
第4章网络安全协议
4.1数据链路层安全通信协议
在数据链路层提供安全机制的缺点：它只能应用在两个直连的设备上，而数据在网络上传输时重要的是端到端的安全，在单独的链路上加密并不能保证整个路径的安全性；局域网并不能提供链路层安全，即对内部攻击人员无保护；最高的通信成本；新节点加入时要求电信公司重新配置网络。
第4章网络安全协议
4.1.3 L2TP协议
第4章网络安全协议
4.2 网络层安全通信协议
从ISO/OSI互联参考模型的七层体系结构来看，网络层是网络传输过程中非常重要的一个功能层，它主要负责网络地址的分配和网络上数据包的路由选择。因此，在网络层提供安全服务实现网络的安全访问具有很多先天性的优点。常见的安全认证、数据加密、访问控制、完整性鉴别等，都可以在网络层实现。该层的安全协议主要有IPSec等。
第4章网络安全协议
4.1.3 L2TP协议
L2TP格式： T位为标识消息类型。数据消息设置为0，控制消息设置为1如果L位为1，表示长度域存在。对于控制消息，必须设置为1； X位是为将来保留的扩展位。所有的保留位在呼出消息中必须设置为0，在呼入消息中必须忽略。若O位(序列号位)为1，则Ns和Nr域存在。对于控制消息来说，该位必须设置为1。 Ver(版本号)可以设置为2，标明当前的L2TP版本号为第二版。或者为3，标明当前的L2TP版本号为第三版。 Length域标识以八位组表示的消息长度。
– 邻站通告(一个路由器尝试与另一个路由选择域的一台路由器建立或维护邻站关系)来自被认可的路由器
– 重定向报文来自于原始报文发给它的路由器 – 路由选择更新不会被假造
第4章网络安全协议
4.2 网络层安全通信协议
在网络层提供安全机制的缺点在于很难解决像数据的不可否认之类的问题。因为若在网络层来解决该类问题，则很难在一个多用户的机器上实现对每个用户的控制。但是我们也可以在终端主机上提供相应的机制实现以用户为基础的安全保障。
第4章网络安全协议
4.1.3 L2TP协议
L2TP特点：（1）差错控制
L2TP通过其包头中的两个字段Next Received和Next Sent进行流控制和差错检测。（2）地址分配
L2TP支持在NCP协商机制的基础上动态分配客户地址。（3）身份认证
具有身份认证功能（4）安全性能
采用IPSec对LAC和LNS之间的IP包进行加密传送
第4章网络安全协议
4.1.3 L2TP协议
L2TP工作流程：隧道建立、会话建立和PPP帧的封装前转（1）隧道建立
隧道建立就是L2TP控制连接的建立，通过控制连接管理类消息实现，如图4.5所示。LAC和LNS任一端均可发起隧道的建立，它包括两轮消息交换.主要完成如下功能：LAC和LNS相互间的认证，采用CHAP认证算法；LAC和LNS各自为隧道分配隧道ID，并通知对方；确定隧道的承载类型和帧封装类型；确定接收窗口尺寸；隧道终结可用StopCCN消息完成。
第4章网络安全协议
4.1.1 PPP协议
检测到载波
静止载波停止
双方协商一些选项
建立失败
认证失败