廈門(mén)理工學(xué)院-網(wǎng)絡(luò)安全協(xié)議

1、網(wǎng)絡(luò)安全協(xié)議分析與應(yīng)用復(fù)習(xí)大綱OSI參考模型是國(guó)際標(biāo)準(zhǔn)化組織制定的模型，把計(jì)算機(jī)與計(jì)算機(jī)之間的通信分成7個(gè)互相連接的協(xié)議層。由下而上分別是：物理層，數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層，傳輸層，會(huì)話(huà)層，表示層，應(yīng)用層。TCP協(xié)議工作原理。TCP提供兩個(gè)網(wǎng)絡(luò)主機(jī)之間的點(diǎn)對(duì)點(diǎn)通訊。TCP從程序中接收數(shù)據(jù)并將數(shù)據(jù)處理成字節(jié)流。首先將字節(jié)分成段，然后對(duì)段進(jìn)行編號(hào)和排序以便傳輸。在兩個(gè)TCP主機(jī)之間交換數(shù)據(jù)之前，必須先相互建立會(huì)話(huà)。TCP會(huì)話(huà)通過(guò)三次握手的完成初始化。這個(gè)過(guò)程使序號(hào)同步，并提供在兩個(gè)主機(jī)之間建立虛擬連接所需的控制信息。TCP在建立連接的時(shí)候需要三次確認(rèn)，俗稱(chēng)“三次握手”，在斷開(kāi)連接的時(shí)候需要四次確認(rèn)，俗稱(chēng)

2、“四次揮手”。UDP與TCP傳遞數(shù)據(jù)的差異。UDP和TCP傳遞數(shù)據(jù)的差異類(lèi)似于電話(huà)和明信片之間的差異。TCP就像電話(huà)，必須先驗(yàn)證目標(biāo)是否可以訪(fǎng)問(wèn)后才開(kāi)始通訊。UDP就像明信片，信息量很小而且每次傳遞成功的可能性很高，但是不能完全保證傳遞成功。UDP通常由每次傳輸少量數(shù)據(jù)或有實(shí)時(shí)需要的程序使用。常用網(wǎng)絡(luò)命令。判斷主機(jī)是否連通的ping指令；查看IP地址配置情況的ipconfig指令；查看網(wǎng)絡(luò)連接狀態(tài)的netstat指令；進(jìn)行網(wǎng)絡(luò)操作的net指令；進(jìn)行定時(shí)器操作的at指令。 凱撒(Caesar)密碼實(shí)例。設(shè)明文為：CHINA，對(duì)應(yīng)的數(shù)字為：2 7 8 13 0。密鑰為循環(huán)后移3位，解密時(shí)則前移3位

3、。加密： C: e32=2+3mod 26=5，對(duì)應(yīng)的字母F;h: e37=7+3mod 26=10，對(duì)應(yīng)的字母K;i: e38=8+3mod 26=11，對(duì)應(yīng)的字母L;n: e313=13+3mod 26=16，對(duì)應(yīng)的字母Q;a: e30=0+3mod 26=3，對(duì)應(yīng)的字母D;所以，明文“China”基于Caesar密碼被加密為“FKLQD”。解密過(guò)程是加密過(guò)程逆過(guò)程。解密：F: d35=5-3mod 26=2，對(duì)應(yīng)的字母C;K: d310=10-3mod 26=7，對(duì)應(yīng)的字母H;L: d311=11-3mod 26=8，對(duì)應(yīng)的字母I;Q: d316=16-3mod 26=13，對(duì)應(yīng)的字母N

4、;D: d33=3-3mod 26=0，對(duì)應(yīng)的字母A;Vigenere替換表。數(shù)據(jù)鏈路層安全性表現(xiàn)為以下兩個(gè)方面：一、數(shù)據(jù)機(jī)密性。防止數(shù)據(jù)交換過(guò)程中數(shù)據(jù)被非法竊聽(tīng)。二、數(shù)據(jù)完整性。防止在數(shù)據(jù)交換過(guò)程中數(shù)據(jù)被非法篡改。邏輯鏈路控制子層的鏈路服務(wù)的分類(lèi)：無(wú)確認(rèn)無(wú)連接，有確認(rèn)無(wú)連接，面向連接服務(wù)。第二層轉(zhuǎn)發(fā)協(xié)議（L2F）允許鏈路層協(xié)議隧道技術(shù)。使用這樣的隧道，使得把原始撥號(hào)服務(wù)器位置和撥號(hào)協(xié)議連接終止與提供的網(wǎng)絡(luò)訪(fǎng)問(wèn)位置分離成為可能。 第二層隧道協(xié)議(L2TP)優(yōu)勢(shì)：L2TP支持多種協(xié)議；解決了多個(gè)PPP鏈路的捆綁問(wèn)題；L2TP支持信道認(rèn)證，并提供差錯(cuò)和流量控制。點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)：PPTP

5、是一種支持多協(xié)議虛擬專(zhuān)用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù),它工作在第二層。通過(guò)該協(xié)議，遠(yuǎn)程用戶(hù)能夠通過(guò) Microsoft Windows NT 工作站、Windows xp 、 Windows 2000 和windows2003操作系統(tǒng)以及其它裝有點(diǎn)對(duì)點(diǎn)協(xié)議的系統(tǒng)安全訪(fǎng)問(wèn)公司網(wǎng)絡(luò)，并能撥號(hào)連入本地 ISP，通過(guò) Internet 安全鏈接到公司網(wǎng)絡(luò)。 無(wú)線(xiàn)局域網(wǎng)數(shù)據(jù)鏈路層安全協(xié)議組網(wǎng)架構(gòu)：點(diǎn)對(duì)點(diǎn)模式(AD Hoc)，基礎(chǔ)架構(gòu)模式(Infrastructure) RSA算法。13.1 算法描述密鑰的生成首先，選擇兩個(gè)互異的大素?cái)?shù)p和q（保密），計(jì)算n=pq（公開(kāi)），n=p-1(q-1)（保密），選擇一個(gè)隨機(jī)整數(shù)

6、e(0en)（公開(kāi)），滿(mǎn)足gcd(e,n)=1。計(jì)算d=e-1mod n（保密）。確定：公鑰KU=e,n，私鑰KR=d,p,q，或KR=d,n。加密已知：明文Mn（因?yàn)樗忻魑暮兔芪目臻g均為Zn，即在0n-1的范圍內(nèi)。實(shí)際處理時(shí)對(duì)于Mn的情形，則需要對(duì)大報(bào)文進(jìn)行分組，確保每一個(gè)分組滿(mǎn)足該條件）和公鑰KU=e,n。計(jì)算密文： C=Me mod n3) 解密已知：密文C和私鑰KR=d,n。計(jì)算明文：M=Cd mod n13.2 算法證明。下面證明M1=Cd mod n=(Me mod n)d mod n=M在條件：ed1 mod n下成立。證明：M1=Cd mod n=Me mod nd mod

7、n=Med mod n=M1+kn mod n因?yàn)閑d1 mod n，k為整數(shù)。于是，M1+kn mod n=MMn)k mod n=M(Mn mod n)k mod n =M1kmod n=M (因?yàn)镸n)13.3 RSA例子：選p=7，q=17。求n=pq=119，(n)=(p-1)(q-1)=96。取e=5，滿(mǎn)足1e(n)，且gcd(n),e)=1。確定滿(mǎn)足de=1 mod 96且小于96的d，因?yàn)?75=385=496+1，所以d為77，因此公開(kāi)鑰為5，119，秘密鑰為77，119。設(shè)明文m=19，則由加密過(guò)程得密文為 c195 mod 1192476099 mod 11966解密為

8、6677mod 11919網(wǎng)絡(luò)層安全協(xié)議IPSec：基本工作原理是發(fā)送方在數(shù)據(jù)傳輸前（即到達(dá)網(wǎng)線(xiàn)之前）對(duì)數(shù)據(jù)實(shí)施加密。在整個(gè)傳輸過(guò)程中，報(bào)文都是以密文方式傳輸，直到數(shù)據(jù)到達(dá)目的節(jié)點(diǎn)，才由接收端進(jìn)行解密。IPSec對(duì)數(shù)據(jù)的加密以數(shù)據(jù)包而不是整個(gè)數(shù)據(jù)流為單位，這不僅更靈活，也有助于進(jìn)一步提高IP數(shù)據(jù)包的安全性。通過(guò)提供強(qiáng)有力的加密保護(hù)，IPSec可以有效防范網(wǎng)絡(luò)攻擊，保證專(zhuān)用數(shù)據(jù)在公共網(wǎng)絡(luò)環(huán)境下的安全性。 IPSec標(biāo)準(zhǔn)包含了IP安全體系結(jié)構(gòu)、IP認(rèn)證AH頭、IP封裝安全載荷ESP和Internet密鑰交換(IKE)4個(gè)核心的基本規(guī)范，組成了一個(gè)完整的安全體系結(jié)構(gòu)。IPSec工作流程：用戶(hù)甲（在主

9、機(jī)A上）向用戶(hù)乙（在主機(jī)B）上發(fā)送一消息。主機(jī)A上的IPSec驅(qū)動(dòng)程序檢查IP篩選器，查看數(shù)據(jù)包是否需要以及需要受到何種保護(hù)。驅(qū)動(dòng)程序通知IKE開(kāi)始協(xié)商。主機(jī)B上的IKE收到請(qǐng)求協(xié)商通知。兩臺(tái)主機(jī)建立第一階段SA，各自生成共享“主密鑰”。若兩機(jī)在此前通信中已經(jīng)建立第一階段SA，則可直接進(jìn)行第二階段SA協(xié)商。協(xié)商建立第二階段SA對(duì)：入棧SA和出棧SA。SA包括密鑰和SPI（安全參數(shù)索引）。主機(jī)A上的IPSec驅(qū)動(dòng)程序使用出棧SA，對(duì)數(shù)據(jù)包進(jìn)行簽名（完整性檢查）與加密。驅(qū)動(dòng)程序?qū)?shù)據(jù)包遞交IP層，再由IP層將數(shù)據(jù)包轉(zhuǎn)發(fā)至主機(jī)B。主機(jī)B網(wǎng)絡(luò)適配器驅(qū)動(dòng)程序收到數(shù)據(jù)包并提交給IPSec驅(qū)動(dòng)程序。主機(jī)B上

10、的IPSec驅(qū)動(dòng)程序使用入棧SA，檢查簽名完整性并對(duì)數(shù)據(jù)包進(jìn)行解密。驅(qū)動(dòng)程序?qū)⒔饷芎蟮臄?shù)據(jù)包提交上層TCP/IP驅(qū)動(dòng)程序，再由TCP/IP驅(qū)動(dòng)程序?qū)?shù)據(jù)包提交主機(jī)B的接收應(yīng)用程序。Diffie-Hellman算法。Diffie-Hellman密鑰交換算法的有效性依賴(lài)于計(jì)算離散對(duì)數(shù)的難度。算法描述如下：1)有兩個(gè)全局公開(kāi)的參數(shù)，一個(gè)素?cái)?shù)q和一個(gè)整數(shù)，是q的一個(gè)原根。2)假設(shè)用戶(hù)A和B希望交換一個(gè)密鑰，用戶(hù)A選擇一個(gè)作為私有密鑰的隨機(jī)數(shù)XAq，并計(jì)算公開(kāi)密鑰YA=XA mod q。A對(duì)XA的值保密存放而使YA能被B公開(kāi)獲得。類(lèi)似地，用戶(hù)B選擇一個(gè)私有的隨機(jī)數(shù)XBq，并計(jì)算公開(kāi)密鑰YB=XB mod

11、 q ,B對(duì)XB的值保密存放而使YB能被A公開(kāi)獲得。3、用戶(hù)A產(chǎn)生共享秘密密鑰的計(jì)算方式是K=(YB)XA mod q。同樣，用戶(hù)B產(chǎn)生共享秘密密鑰的計(jì)算是K=(YA)XB mod q。這兩個(gè)計(jì)算產(chǎn)生相同的結(jié)果：K=YBXA mod q=(aXB mod q)XA mod q=(aXB)XA mod q=aXBXA mod q =(aXA)XB mod q=(aXA mod q)XB mod q=YAXB mod q因此相當(dāng)于雙方已經(jīng)交換了一個(gè)相同的秘密密鑰。例子：密鑰交換基于素?cái)?shù)q = 97和97的一個(gè)原根 = 5。A和B分別選擇私有密鑰XA = 36和XB = 58。每人計(jì)算其公開(kāi)密鑰 Y

12、A = 36 mod 97= 50 mod 97=50 YB = 58 mod 97= 44 mod 97=44在他們相互獲取了公開(kāi)密鑰之后，各自通過(guò)計(jì)算得到雙方共享的秘密密鑰如下：K = (YB)XA mod 97 = 4436 = 75 mod 97=75K = (YA)XB mod 97 = 5058 = 75 mod 97=75從|50，44|出發(fā)，攻擊者要計(jì)算出75很不容易。判斷A = a,b,c對(duì)于運(yùn)算*是否構(gòu)成群： 運(yùn)算封閉嗎？可結(jié)合嗎？有單位元嗎？每個(gè)元素都有逆元嗎？*abcaabcbbcaccab從表中得出以下結(jié)論：1）計(jì)算結(jié)果仍在A(yíng)中，滿(mǎn)足封閉性。2）a*a=a, a*b=

13、b, a*c=c，所以a是單位元；3） 又由于a*a=a,b*c=c*b=a,所以a的逆元是a，b的逆元是c，c的逆元是b，且滿(mǎn)足交換律。4） a*(b*c)=a*a=a, a*b*c=b*c=a, a*(b*c)=a*b*c。同理可得其他式子滿(mǎn)足結(jié)合律。綜上，A = a,b,c對(duì)于運(yùn)算*構(gòu)成群。用多項(xiàng)式構(gòu)造的有限域GF(24)，既約多項(xiàng)式：fx=x4+x+1。GF(24)的16個(gè)元素為：(0000)(0001)(0010)(0011)(0100)(0101)(0110)(0111)(1000)(1001)(1010)(1011)(1100)(1101)(1110)(1111)加法:(0110

14、)+(0101)=(0011)（即按位異或或模2加）或：x2+x+x2+1=2x2+x+1=x+1=(0011)乘法：11011001=(x3+x2+1)x3+1 mod f(x) =x3+x2+x+1=(1111)指數(shù)運(yùn)算：如要計(jì)算(0010)5，先計(jì)算：(0010)2=00100010=xx mod fx=x2=(0100)那么，00104=0010200102=x2 x2 mod fx=x+1=0011最后，00105=001040010=x2+x mod fx=x2+x=(0110)乘法的逆元：GF*(24)可以由元素g=x=(0010)生成，g的各次冪為（均是mod f(x)的結(jié)果，

15、fx=x4+x+1）：g0=(0001)g1=(0010)g2=(0100)g3=(1000)g4=(0011)g5=(0110)g6=(1100)g7=(1011)g8=(0101)g9=(1010)g10=(0111)g11=(1110)g12=(1111)g13=(1101)g14=(1001)g15=0001=g0該域的乘法單位元是g0=0001=1。g7=1011的乘法逆元是g-7 mod 15=g8=(0101)。檢驗(yàn):10110101=(x3+x+1)x+1 mod fx =(x5+x2+x+1)mod fx=1 傳輸層安全協(xié)議SSL協(xié)議實(shí)現(xiàn)的六個(gè)階段：接通階段：客戶(hù)機(jī)通過(guò)網(wǎng)絡(luò)向

16、服務(wù)器打招呼，服務(wù)器回應(yīng)； 二、密碼交換階段：客戶(hù)機(jī)與服務(wù)器之間交換雙方認(rèn)可的密碼，一般選用RSA密碼算法； 三、會(huì)談密碼階段：客戶(hù)機(jī)器與服務(wù)器間產(chǎn)生彼此交談的會(huì)談密碼；四、檢驗(yàn)階段：客戶(hù)機(jī)檢驗(yàn)服務(wù)器取得的密碼；五、客戶(hù)認(rèn)證階段：服務(wù)器驗(yàn)證客戶(hù)機(jī)的可信度；六、結(jié)束階段：客戶(hù)機(jī)與服務(wù)器之間相互交換結(jié)束的信息。21. 利用SSH本地端口轉(zhuǎn)發(fā)功能構(gòu)建安全VPN的一個(gè)實(shí)例。無(wú)線(xiàn)移動(dòng)柜臺(tái)前硬件設(shè)備是一臺(tái)裝有無(wú)線(xiàn)網(wǎng)卡的筆記本計(jì)算機(jī)，一臺(tái)網(wǎng)絡(luò)終端通過(guò)以太網(wǎng)卡和一根直連雙絞線(xiàn)連接到筆記本上，網(wǎng)絡(luò)終端接有讀卡器等設(shè)備。筆記本通過(guò)無(wú)線(xiàn)上網(wǎng)，筆記本上運(yùn)行OpenSSH客戶(hù)端程序，事先生成的密鑰經(jīng)過(guò)安全認(rèn)證，通過(guò)因特

17、網(wǎng)連接到銀行機(jī)房的后臺(tái)OpenSSH服務(wù)端，并獲得一個(gè)通信加密密鑰。然后按照配置的端口監(jiān)聽(tīng)并接收來(lái)自網(wǎng)絡(luò)終端的登錄請(qǐng)求，用通信加密密鑰加密后送往后臺(tái)OpenSSH服務(wù)端。后臺(tái)設(shè)備，即SSH安全認(rèn)證服務(wù)器安裝在中心機(jī)房。系統(tǒng)內(nèi)置安裝了OpenSSH服務(wù)端軟件，該服務(wù)器裝有兩塊網(wǎng)卡，一塊經(jīng)過(guò)防火墻連接因特網(wǎng)，另一塊通過(guò)內(nèi)部專(zhuān)網(wǎng)連接柜面業(yè)務(wù)系統(tǒng)的UNIX主機(jī)。OpenSSH服務(wù)進(jìn)程從因特網(wǎng)接收無(wú)線(xiàn)移動(dòng)柜臺(tái)傳上來(lái)，經(jīng)過(guò)SSH協(xié)議加密的Telnet登錄請(qǐng)求，經(jīng)解密，將登錄請(qǐng)求轉(zhuǎn)發(fā)到柜面業(yè)務(wù)系統(tǒng)前臺(tái)的UNIX主機(jī)。這樣，無(wú)線(xiàn)移動(dòng)柜臺(tái)就成功登錄到柜面業(yè)務(wù)系統(tǒng)前臺(tái)UNIX主機(jī)，成為UNIX主機(jī)的一個(gè)遠(yuǎn)程終端，

18、可以運(yùn)行柜面業(yè)務(wù)系統(tǒng)前臺(tái)程序，辦理銀行業(yè)務(wù)。這就相當(dāng)于利用SSH，在銀行現(xiàn)場(chǎng)業(yè)務(wù)員和銀行柜臺(tái)業(yè)務(wù)系統(tǒng)之間建立了一條虛擬的安全通信鏈路。22. VPN功能。一、數(shù)據(jù)機(jī)密性保護(hù)。二、數(shù)據(jù)完整性保護(hù)。三、數(shù)據(jù)源身份認(rèn)證。四、重放攻擊保護(hù)。23.面向連接的C/S程序工作流程圖（TCP）。24. 用橢圓曲線(xiàn)(ECC)加解密過(guò)程。給定曲線(xiàn)參數(shù)p、a、b、元素G，y2x3axb mod p A有自己的私鑰Na，并產(chǎn)生公鑰PaNaG B有自己的私鑰Nb，并產(chǎn)生公鑰PbNbG 加密 （A要給B發(fā)送消息）對(duì)明文m的編碼點(diǎn)Pm，選擇隨機(jī)數(shù)k，密文CC1，C2 kG，PmkPb解密：編碼點(diǎn)PmC2NbC1，因?yàn)?(PmkPb)NbkG PmkNbGNbkG Pm 25.簡(jiǎn)述拒絕服務(wù)的種類(lèi)與原理。原理：凡是造成目標(biāo)系統(tǒng)拒絕提供服務(wù)的攻擊都稱(chēng)為Dos攻擊，其目的是使目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見(jiàn)的Dos攻擊是計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最終導(dǎo)致合法用戶(hù)的請(qǐng)求無(wú)法通過(guò)；連通性攻擊是指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，最終導(dǎo)致計(jì)算