网络安全协议
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全协议
应用相关: https、
SOCKS
动态包过滤Hale Waihona Puke Baidu火墙 静态包过滤防火墙
信道加密
传输层 网络层 链路层 物理层
SSL/TLS
IPSec PPTP/L2TP
OSI七层协议与信息安全
15
TCP/IP参考模型的安全协议分层
协议层
针对的实体
安全协议 S-HTTP SET PGP
主要实现的安全策略 信息加密、数字签名、数据完整性验证 信息加密、身份认证、数字签名、数据完整性验证 信息加密、数字签名、数据完整性验证 信息加密、数字签名、数据完整性验证 信息加密、身份认证
IPSec安全体系
封装安全载荷(ESP)
认证头(AH)
加密算法
认证算法
解析域(DOI)
密钥交换与管理(IKE)
安全关联(SA)
19
IPSec的主要目标
期望安全的用户能够使用基于密码学的安全 机制
应能同时适用于IPv4和IPv6. 算法独立 有利于实现不同安全策略 对没有采用该机制的用户不会有负面影响
网络安全协议
苏兆品
1
什么是协议?
一系列步骤,包括两方或多方,设计的目的 是完成一项任务 协议的特点
每人了解协议,知道所有步骤 同意并遵守 协议对每一步的操作都进行明确定义 协议是完整的,考虑每种可能的情况
2
协议的目的
完成用户不用考虑就可以做的事情 公平和安全 根据某一任务的机理,抽象出具体过程
11
。。。。。。 综上,因特网需要网络安全协议
12
主要内容
网络安全协议概述
IPSEC协议 SSL协议
13
1 网络安全协议概述
在信息网络中,可以在ISO七层协议中的任 何一层采取安全措施。
14
OSI协议层
加密/安全技术
代理防火墙/保密网关
信源加密 会话层
OSI协议层
应用层 表示层
连接请求
SYN, SEQ = x
确认
确认
ACK, SEQ = x + 1, ACK = y 1
6
没有任何认证机制 TCP会话劫持
所谓会话,就是两台主机之间的一次通讯。
例如Telnet到某台主机,这就是一次Telnet会话; 浏览某个网站,这就是一次HTTP会话。
会话劫持(Session Hijack),就是在一次正常的会话 过程当中,攻击者作为第三方参与到其中,他可以在 正常数据包中插入恶意数据,也可以在双方的会话当 中进行监听,甚至可以是代替某一方主机接管会话。
3
因特网协议
TCP/IP是一组通信协议的缩写 OSI模型及其与TCP/IP的关系
FTP、Telnet、 SMTP、HTTP、 DNS
4
HTTP攻击
HTTP代理攻击:CC攻击
脚本语言,数据库架构的服务器 不断地“刷新”:查询等 量大,速度快
慢DOS攻击:slowhttptest工具
9
IP协议
IP数据包中含有源地址和目的地址
而高层在接受服务时通常假设源地址是有效的 IP地址成为认证的基础
不可靠协议,没有做任何事情来确认数据包 是否按顺序或是未被破坏 IP协议存在的安全问题不少
10
IP欺骗
攻击者通过伪造一个可信任地址的数据包,以使一台机 器认证另一台机器的攻击技术 攻击是利用应用程序之间基于IP地址的认证机制,攻击 者通过IP地址欺骗获得远程系统的非法授权访问。
产生:IPv6的制定过程中 作用:提供IP层的安全性,是IPv4的一个可 选扩展协议 目的: IP数据包的安全,尽量使下层的安 全与上层的应用程序及用户独立,使应用程 序和用户不必了解底层什么样的安全技术和 手段,就能保证数据传输的可靠性及安全性。
18
特点: 一组IP安全协议集 多种安全方案:认证、 加密等 保障主机之间、安全 网关之间或主机与安 全网关之间的数据包 安全 经过IPsec封装之后 仍然是IP包,嵌套提 供安全服务
7
原因:
TCP假定只要接受到 的数据包含有正确的 序列号就认为数据是 可以接受的。 一旦连接建立,服务 器无法确定进入的数 据包是否来自真实的 机器。
8
会话劫持防范
防范会话劫持是一个比较大的工程。 最根本的解决办法是采用加密通讯,使用SSH代替 Telnet、使用SSL加强HTTP,或者干脆使用 IPSec/VPN。 其次,监视网络流量,如发现网络中出现大量的ACK 包,则有可能已被进行了会话劫持攻击。 完善认证措施,不仅仅在建立会话时进行认证
Slowloris: \r\n\r\n Slow HTTP POST: HTTP的头中声明content-length Slow Read attack:调整TCP协议中的滑动窗口大小
5
TCP协议
TCP连接的不可靠
初始化连接:三次握手,确保双方做好传输准备,统 一序列号。 主机 A 主机 B 半连接攻击: SYN泛洪,端口扫描
WEP
WPA
信息加密、访问控制、数据完整性验证
信息加密、身份认证、访问控制、数据完整性验证
16
2 IPSec协议(IP Security,IPSec)
IPSec概述 IPSec体系结构 IPSec工作模式 相关协议:ESP,AH,SA IPSec实施 IPSec实现
17
2.1 IPSec综述
20
IPSEC的服务内容
数据加密:由ESP(Encapsulating Security Payload, 封装安全载荷)协议提供,算法采用CBC方式, 这样确保了即使信息在传输过程中被窃听,非法 用户也无法得知信息的真实内容。
21
Cipher Block Chaining,加密块链接
数据源地址验证、数据完整性检查:由HMAC (Hash-Base Message Authentication Code)进行 数据验证。 防止重放攻击:AH(Authentication Header,认证 头)为每个SA(Security Association,安全关联) 建立系列号,而接收端采用滑动窗口技术,丢弃 所有的重复的包,因此可以防止重放攻击。
应用层
应用程序
S/MIME Kerberos
SSH
传输层 网际层 端进程 主机 SSL/TLS SOCKS IPSec PAP CHAP PPTP 网络接口层 端系统 L2F L2TP
信息加密、身份认证、数据完整性验证
信息加密、身份认证、数据完整性验证 访问控制、穿透防火墙 信息加密、身份认证、数据完整性验证 身份认证 身份认证 传输隧道 传输隧道 传输隧道