网络安全协议概述(PPT 93页)

合集下载

第6讲网络信息安全之安全协议

20
对于隧道模式，去除外部IP头和ESP头，恢复原IP数据报。如果该数据报是一个分段，则插入到IP数据流中
二、AH协议
AH提供了数据完整性、数据源验证及抗重播等安全服务 AH不仅可为上层协议提供认证, 还可以为IP 头某些字段提供认证有些字段在传输中可能会改变(如服务类型、标志、分段偏移、生存期、头校验和等)， AH不能保护这些字段
13
14
ESP协议处理
由于ESP采用密码算法对IP数据报进行加密，并且IP数据报并非顺序到达接收方，因此每个 ESP数据报必须携带能够使接收方建立解密同步的数据, 如初始化向量(IV)
(一) 外出数据报处理
(1) ESP头插入在传输模式下, ESP头插在IP头之后，并填写 ESP头中各个字段值，ESP头的“下一个头” 字段值为6, 表示是TCP
27
在使用SA对数据包进行处理后, 使用选择器在进入SPD中查找处理该数据包的安全策略, 这里使用的是内部IP头中的目的IP地址对于传输模式，数据包只有一个IP头，不会出现上述情况 (2) SA查找利用三元组<SPI，目的IP地址，AH>在SAD 中查找处理这个数据报的SA 如果找到则继续处理，否则丢弃该数据报
7
AH和ESP协议可以分别单独使用，也可以联合使用。每个协议都支持两种应用模式： (1) 传输模式：为上层协议数据提供安全保护 (2) 隧道模式：以隧道方式传输IP报文 AH/ESP的安全性完全依赖于所采用的加密算法。为保证不同实现方案之间的互通性, 必须定义强制实现的加密算法因此，在使用数据认证和加密机制时, 必须解决三个问题：
2
通常安全协议是基于某一通信协议，提供安全机制或服务，并非单独运行按网络体系结构划分，安全协议可以分成数据链路层安全协议、网络层安全协议、传输层安全协议和应用层安全协议数据链路层：PPTP/L2TP协议通过隧道技术在某种程度上增强了PPP协议的安全性网络层：IPSec(IP Security)协议是基于IP协议的安全协议

第9章网络安全协议PPT讲义

SPD：安全策略数据库，存储策略并提供查询支持。通过使用一个或多个选择符来确定每个条目。
3.安全关联与安全策略——安全策略
IPSec策略由“安全策略数据库(Security Policy Database, SPD)”加以维护。在每个条目中定义了要保护什么样的通信、怎样保护它以及和谁共享这种保护。
欺骗：欺骗（Spoofing）可发生在IP系统的所有层次上，物理层、数据链路层、IP层、传输层及应用层都容易受到影响。 IP地址欺骗针对IP协议的攻击——源路由选项攻击针对ARP协议的攻击——ARP欺骗攻击针对TCP 协议的攻击——序列号猜测攻击针对DNS协议的攻击——DNS欺骗
认证攻击：TCP／IP协议只能以IP地址进行鉴别，而不能对节点上的用户进行有效的身份认证，因此服务器无法鉴别登录用户的身份有效性。
SPD：对于通过的流量的策略三种选择：discard, bypass IPSec, apply IPSec
3.安全关联与安全策略——安全策略例子
例子：可在一个安全网关上制定IPSec策略
对在本地保护的子网与远程网关的子网间通信的所有数据，全部采用DES加密，并用HMAC-MD5进行鉴别；
对于需要加密的、发给另一个服务器的所有Web通信均用 3DES加密，同时用HMAC-SHA鉴别。
例如：DNS欺骗攻击
3. TCP/IP体系结构中各层的安全协议
网络安全协议是基于密码学的通信协议，通过信息的安全交换来实现某种安全目的所共同约定的逻辑操作规则。
安全协议的研究目标都与安全性有关，例如，认证主体的身份；在主体之间分配会话密钥；实现机密性、完整性、不可否认性、可用性等。
3. TCP/IP体系结构中各层的安全协议——网络接口层

网络基本安全协议ppt

协议主要过程如下：
◦ ◦ ◦ ◦ ◦ (1) I，A，B，EA(RA，I，A，B)B (2) I，A，B，EA(RA，I，A，B)，EB(RB，I，A，B)T (3) I，EA(RA，K)，EB(RB，K)B (4) I，EA(RA，K)A (5) A解密报文，恢复出她的密钥和随机数，然后她确认协议中的索引号和随机数都没有改变。

上述协议存在的问题
◦ 如果M破坏了T，整个网络都会遭受损害：他有T与每个用户共享的所有秘密密钥；他可以读所有过去和将来的通信业务。他所做的事情就是对通信线路进行搭线窃听，并监视加密的报文业务。 ◦ 这个系统的另外一个问题是T可能会成为瓶颈：他必须参与每一次密钥交换
采用非对称秘密体制时，通信双方各拥有一对密钥，称为公开密钥和私有密钥。公开密钥可以向外界公布，由其它协议参与者用来对消息进行加密、解密或签名验证;私有密钥不对外公开，由密钥所属者用来相应地对消息进行解密、加密或签名。

也称为Kerberos协议，是一种NeedhamSchroeder协议，面向开放系统的，可以为网络通信提供可信第三方服务的认证机制。协议内容为：
◦ ◦ ◦ ◦ (1) (2) (3) (4) A，BT EA(T，L，K，B)，EB(T，L，K，A)A EK(A，T)，EB(T，L，K，A)B EK(T+1)A

SKEY是一种认证程序，又称为一次性通行字系统(One-Time Password System)，依赖于单向函数的安全性，采用MD4或MD5算法。

基本协议：
◦ (1) 机发送一个随机字符串给A； ◦ (2) A用她的私钥对此随机字符串加密，并将此字符串他和她的名字一起传送回主机； ◦ (3) 主机在它的数据库中查找A的公开密钥，并用公开密钥解密； ◦ (4) 如果解密后的字符串与主机在第一步中发送给A的字符串匹配，则允许A访问系统。

网络协议与安全讲义(PPT 38张)

端口分类和常见端口 FTP:21 20 SSH:22 Telnet:23 SMTP:25 POP3:110 HTTP:80 HTTPS:443 DNS:53 NETBIOS name service:137,138,139 SNMP:161 SOCKS:1080
网络状态的查看：netstat
C:\Documents and Settings\Administrator>netstat -a Active Connections Proto Local Address Foreign Address State TCP WStation:epmap WStation:0 LISTENING TCP WStation:microsoft-ds WStation:0 LISTENING TCP WStation:netbios-ssn WStation:0 LISTENING TCP WStation:1055 183.61.23.250:http CLOSE_WAIT TCP WStation:1082 183.61.32.183:http ESTABLISHED TCP WStation:1084 119.146.200.17:http ESTABLISHED TCP WStation:1085 119.146.200.17:http ESTABLISHED TCP WStation:1099 119.147.32.147:https TIME_WAIT TCP WStation:1100 119.147.32.147:https ESTABLISHED TCP WStation:netbios-ssn WStation:0 LISTENING UDP WStation:microsoft-ds *:* UDP WStation:ntp *:* UDP WStation:netbios-ns *:* UDP WStation:netbios-dgm *:*

《网络协议概述》PPT课件

PC导致了局域网的出现
局域网的标准：IEEE802 IEEE802也符合OSI/RM标准开始就建立在标准化的基础上
因特网的标准化工作
因特网协会 ISOC
因特网研究部 IRTF
因特网研究指导小组 IRSG
RG …
RG
因特网体系结构研究委员会 IAB
因特网工程部 IETF
因特网工程指导小组 IESG
Computer Network
Andrew S. Tanebaum
局域网的拓扑
集线器
星形网
总线网
匹配电阻
干线耦合器
环形网
树形网
由局域网和广域网组成互联网
局域网
互联网结点交换机
局域网
路由器
广域网
相距较远的局域网通过路由器与广域网相连组成了一个覆盖范围很广的互联网
T
T
H T
T
C
T
H
T
C
C
通信子
TCP/IP 的三个服务层次
IEPv沙eorvy漏etrh计iEn时vge器royvte形hri状nIgP的 IPIP可屏为蔽各各式种各底TC样程P的/物I应P理协用网议程络序族技提术供差服异务
应用层
HTTP … SMTP
DNS … RTP
运输层
TCP
UDP
网际层
IP
网络接口层
网络接口 1 网络接口 2 … 网络接口 3
• （各层之间）独立性。某一层并不需要知道它的下一层是如何实现的，而仅仅需要知道该层通过层间的接口所提供的服务。
• 灵活性。当某层发生变化（技术原因），只要接口关系保持不变，该层的上下层均不受影响，甚至取消该层。
• 可分割性。各层都可以采用最合适的技术实现。 • 易实现和可维护性。庞大的系统变得较小和易处

网络安全知识培训(ppt 93页)

内容
1.网络安全基础知识 2.网络漏洞和网络攻击技术 3.网络安全防御技术－产品 4.网络安全策略-网络安全服务
一、网络安全基础知识
1.网络安全的兴起 2.网络安全的目的 3.网络攻击后果 4.网络安全风险
网络安全的兴起
• Internet 技术迅猛发展和普及 • 有组织、有目的地网络攻击－Hacker出
信息安全的目的
进
拿
改
看
跑
可
不
不
不
不
不
审
来
走
了
懂
了
查
网络攻击后果
攻击发生 (财政影响)
• 财政损失 • 知识产权损失 • 时间消耗 • 由错误使用导致的生产力消耗 • 责任感下降 • 内部争执
利润
Q1 Q2 Q3 Q4
可见的网络攻击影响
网络安全风险
• 安全需求和实际操作脱离 • 内部的安全隐患 • 动态的网络环境 • 有限的防御策略 • 安全策略和实际执行之间的巨大差异 • 用户对安全产品的依赖和理解误差
VPN 最大优势 ---- 投资回报
到2002年，按企业/组织规模大小，实施VPN 比例将达到：
57% ----大型企业 55% ----中心企业 51% ----小型企业
来源: Infonetics Research
• 大幅度减少电信服务费用，尤其针对地域上分散的公司和企业 • 针对远程拨号上网访问的用户，省去了每个月的电信费用
中继
路由
Internet
操作系统
Intranet
• UNIX • Windows • Linux • Freebsd • Macintosh • Novell
应用程序服务的安全漏洞

第2章网络安全协议.ppt

分组标识（Identification）
信源主机在产生 IP 分组时，需要给每个 IP 分组分配一个唯一的标识符，用来区分该主机发送的不同分组。
服务类型（TOS – Type Of Service）
0 1 2 34 567
优先权 D T RC未用
用户希望的传输类型：
D：低时延 T：高吞吐率 R：高可靠性C:最小费用
ping -n 10 -l 1000 10.0.99.221 例子4：要验证目的地10.0.99.221并记录4个跃点的路由，执行以下命令：
ping -r 4 10.0.99.221 例子5：给计算机192.168.0.2频繁发送数据包65535
ping 192.168.0.1 –t –l 65500
以前面的例子介绍：
1.1 IP---实验
例子1：以下范例显示PING的输出： C \>ping
例子2：要验证目的地10.0.99.221并解析10.0.99.221的主机名，执行以下命令： ping -a 10.0.99.221
例子3：要验证带有10个回响请求消息的10.0.99.221，且每个消息的“数据” 字段值为1000字节，执行以下命令：
1.２ ARP/RARP
•ARP/RARP 实现IP 地址与网络物理地址的映射：
IP 地址统一了网际通信的地址形式（IP 层以上的软件都使用 IP 地址），隐藏了原有的物理网络地址；但在网络内部，IP 层通信的实现依赖于底层的物理网络技术，底层必然还要使用物理地址。为了保证通信的一致性，必须要建立各结点 IP 地址与网络物理地址之间的映射，称为地址解析（resolution）。地址解析协议（ARP－Address Resolution Protocol）用于 IP 地址到物理地址的映射；逆向地址解析协议（RARP – Reverse Address Resolution Protocol）用于物理地址到 IP 地址的映射。地址解析是在物理地址上加的一层地址机制，通常被看作是 IP 层以下的功能，可认为是物理网络的一部分。

第6讲络信息安全之安全协议

5
IPSec提供了数据机密性、数据完整性、抗重播保护和接纳控制等安全服务，用于保证IP 协议及上层协议能安全地交换数据 IPSec安全体系由如下部分组成：安全协议(AH/ESP) 安全联盟SA(Security Associations) 安全策略SP(Security Policy) 密钥管理协议(IKE)
19
解密ESP数据报, 解密范围包括载荷数据、填充项、填充长度和下一个头字段等 (6) 填充项处理步骤如果填充项由加密算法指定, 则检查是否符合算法所要求的格式；如果填充项由默认填充方案生成，则检查是否从1开始单向递增的从载荷中去除填充项 (7) 提交IP数据报对于传输模式，将ESP头的“下一个头”字段值复制到IP头的协议字段，并计算出一个新的IP校验和，然后提交给上层协议
8
通信双方必须协商所使用的安全协议、加密算法和密钥必须能方便和安全地交换与更新密钥能对协商的细节和过程进行记录和管理
一、ESP协议
ESP在IP数据报中插入一个协议头，为IP数据报提供数据机密性、数据完整性、抗重播以及数据源认证等安全服务 ESP可用于传输模式和隧道模式两种模式。 ESP可单独使用，也可和AH组合使用
18
(3) 抗重播检查检查ESP头的序列号字段，如果序列号正确, 则继续处理，否则丢弃该数据报
(4) 完整性验证首先提取ESP中验证数据值, 然后使用相同的认证算法进行计算，两者比较，如果匹配, 则继续处理，否则丢弃该数据报
(5) 数据解密步骤通过SA获取解密算法和密钥提取密码同步数据，并输入解密算法
12
填充项长度：指明填充项的长度，接收端利用它恢复载荷数据的实际长度下一个头：指明载荷数据的类型。如果是隧道模式，其值为4，表示IP-in-IP；如果是传输模式，其值为上层协议的类型，如TCP对应的值为6 验证数据：由认证算法对ESP数据报进行散列计算所得到的完整性检查值(ICV)。该字段是可选的，只有对ESP数据报进行完整性认证的 SA才会有该字段。SA使用的认证算法必须指明ICV的长度、比较规则及认证步骤

第6讲网络信息安全之安全协议精品文档

4
二、IPSec协议
网络层提供了端到端的数据传输服务，而网络层安全协议主要解决两个端点之间的安全交换数据问题, 涉及数据传输的机密性和完整性, 防止在数据交换过程中数据被非法窃听和篡改 IPSec协议是对IP协议的安全性增强,它在网络层协议的基础上增加了安全算法协商和数据加密/解密处理的功能和过程
18
(3) 抗重播检查检查ESP头的序列号字段，如果序列号正确, 则继续处理，否则丢弃该数据报
(4) 完整性验证首先提取ESP中验证数据值, 然后使用相同的认证算法进行计算，两者比较，如果匹配, 则继续处理，否则丢弃该数据报
(5) 数据解密步骤通过SA获取解密算法和密钥提取密码同步数据，并输入解密算法
19
解密ESP数据报, 解密范围包括载荷数据、填充项、填充长度和下一个头字段等 (6) 填充项处理步骤如果填充项由加密算法指定, 则检查是否符合算法所要求的格式；如果填充项由默认填充方案生成，则检查是否从1开始单向递增的从载荷中去除填充项 (7) 提交IP数据报对于传输模式，将ESP头的“下一个头”字段值复制到IP头的协议字段，并计算出一个新的IP校验和，然后提交给上层协议
12
填充项长度：指明填充项的长度，接收端利用它恢复载荷数据的实际长度下一个头：指明载荷数据的类型。如果是隧道模式，其值为4，表示IP-in-IP；如果是传输模式，其值为上层协议的类型，如TCP对应的值为6 验证数据：由认证算法对ESP数据报进行散列计算所得到的完整性检查值(ICV)。该字段是可选的，只有对ESP数据报进行完整性认证的 SA才会有该字段。SA使用的认证算法必须指明ICV的长度、比较规则及认证步骤
15
对于隧道模式, ESP头插在整个IP数据报前面, ESP头的“下一个头”字段值为4, 表示是IP-

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

• 在SSLv3之后，TLS 1.0开始出现，TLS(Transport Layer Security)安全传输层协议是SSLv3发展的新阶段， TLS 1.0就等于SSLv3.1。
的数据加密两端均使用SSL3.0)，便可以成功获取到
传输数据(例如cookies)。
•
BEAST既是此种攻击，攻击者可获取SSL通信中
的部分信息的明文，对明文内容的完全控制。而另一种POODLE攻击是针对SSLv3中CBC模式加密算法，和BEAST不同的是，它不需要对明文内容的完全控制。问题的原因出在SSL设计上:：SSL先进行认证之后再加密，SSL的加密和认证过程搞反了。
可靠性和分片的问题，这同时也增加了它的复
杂性和处理开销。相对而言，SSL/TLS依靠更高
层的TCP(OSI的第四层)来管理可靠性和分片。
IPSec 基于端对端的安全模式，在源 IP 和目标
IP 地址之间建立信任和安全性。只有发送和接
收的计算机需要知道通讯是安全的。
•
IPSec 协议不是一个单独的协议，它给出
3、认证性：防止非法的通信者进入。进行通信时，必须先确认通信双方的真实身份。甲乙双方进行通信，必须确认甲乙是真正的通信双方，防止除甲乙以外的人冒充甲或乙的身份进行通信。
网络安全协议按照其完成的功能可以分为:
（1）密钥建立协议 :一般情况下是在参与协议的两个或者多个实体之间建立共享的秘密，通常用于建立在一次通信中所使用的会话密钥。已有密钥建立协议，如Diffie-Hellman协议，Blom协议，MQV协议，端—端协议、MTI协议等。
6.2 网络安全协议的类型-IPSec
• IPSec是IP Security的缩写。为了加强 Internet的安全性，Internet安全协议工程任务组研究制定了IPSec协议用于保护IP层通信的安全协议。
•
IPsec协议工作在OSI 模型的第三层，与传
输层或更高层的协议相比，IPsec协议必须处理
（2）认证协议:认证协议中包括实体认证（身份认证）协议、消息认证协议、数据源认证和数据目的认证协议等，用来防止假冒、篡改、否认等攻击。最具代表性的身份认证协议有两类：一类是1984年Shamir提出的基于身份的身份认证协议；另一类是1986年Fiat等人提出的零知识身份认证协议。随后，人们在这两类协议的基础上又提出了新的使用的身份认证协议：Schnorr协议、Okamoto协议、Guillou-Quisquater协议和 Feige-Fiat-Shamir协议等。
高层的协议。SSL握手协议准许服务器端与客户端在
开始传输数据前，能够通过特定的加密算法相互鉴
别。SSL的先进之处在于它是一个独立的应用协议，
其它更高层协议能够建立在SSL协议上。
目前大部分的Web Server及Browser大多支持SSL
的资料加密传输协定。因此，可以利用这个功能，
将部分具有机密性质的网页设定在加密的传输模式，
常见的认证密钥交换协议有：互联网密钥交换（IKE）协议、分布式认证安全服务（DASS）协议、 Kerberos协议、X.509协议。
(4)电子商务协议这类协议用于电子商务系统中以确保电子支付和电子交易的安全性、可靠性、公平性。常见的协议有：SET协议、iKP协议和电子现金等。
(5)安全通信协议这类协议用于计算机通信网络中保证信息的安全交换。常见的协议有： PPTP/L2PP 协议、IPSEC协议、SSL/TLS协议、PGP协议、SIME协议、S-HTTP协议等。
了应用于IP层上网络数据安全的一整套体系结
构，包括网络认证协议 Authentication
Header(AH)、封装安全载荷协议。
•
Encapsulating Security Payload(ESP)、密钥
管理协议Internet Key Exchange (IKE)和用于网络
认证及加密的一些算法等。这些协议用于提供
数字签名协议主要有两类：一类是普通数字签名协议，通常称为数字签名算法，如RSA数字签名算法、DSA等；另一类是特殊数字签名协议，如不可否认的数字签名协议、Fail-Stop数字签名协议、群数字签名协议等。
（3）认证和密钥交换协议：将认证和密钥交换协议结合在一起，是网络通信中最普遍应用的安全协议。该类协议首先对通信实体的身份进行认证，如果认证成功，进一步进行密钥交换，以建立通信中的工作密钥，也叫密钥确认协议。
6.1 概述
• 网络安全协议就是在协议中采用了若干密码算法协议——加密技术、认证技术、以保证信息安全交换的网络协议。
• 安全协议具有以下三种特点：
1、保密性：即通信的内容不向他人泄漏。为了维护个人权利，必须确保通信内容发给所指定的人，同时还必须防止某些怀有特殊目的的人的“窃听”。
2、完整性：把通信的内容按照某种算法加密，生成密码文件即密文进行传输。在接收端对通信内容进行破译，必须保证破译后的内容与发出前的内容完全一致。
数据认证、数据完整性和加密性三种保护形式。
AH和ESP都可以提供认证服务，但AH提供的认证服务要强于ESP。而IKE主要是对密钥进行交
换管理，对算法、协议和密钥3个方面进行协商。
6.2 网络安全协议的类型-SSL
•
SSL协议由两层组成，底层是建立在可靠的传输
协议（例如：TCP）上的是SSL的记录层，用来封装
如此即可避免资料在网络上传送时被其他人窃
听。它利用公开密钥的加密技术（RSA）来作为用
户端与主机端在传送机密资料时的加密通讯协定。
•
2014年10月15日，Google发布简要分析报告。该报告认为
SSLv3漏洞贯穿于所有的SSLv3版本中，利用该漏洞，
黑客可以通过中间人攻击等类似的方式(只要劫持到
第六章网络安全协议
网络层的安全协议：IPSec，传输层的安全协议：SSL/TLS，应用层的安全协议：
SET（信用卡支付安全协议） SHTTP（Web安全协议） PGP(电子邮件安全协议) S/MIME(电子邮件安全协议) PEM(电子邮件安全协议) SSH（远程登录安全协议） Kerberos(网络认证协议)等。