廈門理工學(xué)院-網(wǎng)絡(luò)安全協(xié)議

1、網(wǎng)絡(luò)安全協(xié)議分析與應(yīng)用復(fù)習(xí)大綱OSI參考模型是國際標(biāo)準(zhǔn)化組織制定的模型，把計(jì)算機(jī)與計(jì)算機(jī)之間的通信分成7個互相連接的協(xié)議層。由下而上分別是：物理層，數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層，傳輸層，會話層，表示層，應(yīng)用層。TCP協(xié)議工作原理。TCP提供兩個網(wǎng)絡(luò)主機(jī)之間的點(diǎn)對點(diǎn)通訊。TCP從程序中接收數(shù)據(jù)并將數(shù)據(jù)處理成字節(jié)流。首先將字節(jié)分成段，然后對段進(jìn)行編號和排序以便傳輸。在兩個TCP主機(jī)之間交換數(shù)據(jù)之前，必須先相互建立會話。TCP會話通過三次握手的完成初始化。這個過程使序號同步，并提供在兩個主機(jī)之間建立虛擬連接所需的控制信息。TCP在建立連接的時候需要三次確認(rèn)，俗稱“三次握手”，在斷開連接的時候需要四次確認(rèn)，俗稱

2、“四次揮手”。UDP與TCP傳遞數(shù)據(jù)的差異。UDP和TCP傳遞數(shù)據(jù)的差異類似于電話和明信片之間的差異。TCP就像電話，必須先驗(yàn)證目標(biāo)是否可以訪問后才開始通訊。UDP就像明信片，信息量很小而且每次傳遞成功的可能性很高，但是不能完全保證傳遞成功。UDP通常由每次傳輸少量數(shù)據(jù)或有實(shí)時需要的程序使用。常用網(wǎng)絡(luò)命令。判斷主機(jī)是否連通的ping指令；查看IP地址配置情況的ipconfig指令；查看網(wǎng)絡(luò)連接狀態(tài)的netstat指令；進(jìn)行網(wǎng)絡(luò)操作的net指令；進(jìn)行定時器操作的at指令。 凱撒(Caesar)密碼實(shí)例。設(shè)明文為：CHINA，對應(yīng)的數(shù)字為：2 7 8 13 0。密鑰為循環(huán)后移3位，解密時則前移3位

3、。加密： C: e32=2+3mod 26=5，對應(yīng)的字母F;h: e37=7+3mod 26=10，對應(yīng)的字母K;i: e38=8+3mod 26=11，對應(yīng)的字母L;n: e313=13+3mod 26=16，對應(yīng)的字母Q;a: e30=0+3mod 26=3，對應(yīng)的字母D;所以，明文“China”基于Caesar密碼被加密為“FKLQD”。解密過程是加密過程逆過程。解密：F: d35=5-3mod 26=2，對應(yīng)的字母C;K: d310=10-3mod 26=7，對應(yīng)的字母H;L: d311=11-3mod 26=8，對應(yīng)的字母I;Q: d316=16-3mod 26=13，對應(yīng)的字母N

4、;D: d33=3-3mod 26=0，對應(yīng)的字母A;Vigenere替換表。數(shù)據(jù)鏈路層安全性表現(xiàn)為以下兩個方面：一、數(shù)據(jù)機(jī)密性。防止數(shù)據(jù)交換過程中數(shù)據(jù)被非法竊聽。二、數(shù)據(jù)完整性。防止在數(shù)據(jù)交換過程中數(shù)據(jù)被非法篡改。邏輯鏈路控制子層的鏈路服務(wù)的分類：無確認(rèn)無連接，有確認(rèn)無連接，面向連接服務(wù)。第二層轉(zhuǎn)發(fā)協(xié)議（L2F）允許鏈路層協(xié)議隧道技術(shù)。使用這樣的隧道，使得把原始撥號服務(wù)器位置和撥號協(xié)議連接終止與提供的網(wǎng)絡(luò)訪問位置分離成為可能。 第二層隧道協(xié)議(L2TP)優(yōu)勢：L2TP支持多種協(xié)議；解決了多個PPP鏈路的捆綁問題；L2TP支持信道認(rèn)證，并提供差錯和流量控制。點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)：PPTP

5、是一種支持多協(xié)議虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù),它工作在第二層。通過該協(xié)議，遠(yuǎn)程用戶能夠通過 Microsoft Windows NT 工作站、Windows xp 、 Windows 2000 和windows2003操作系統(tǒng)以及其它裝有點(diǎn)對點(diǎn)協(xié)議的系統(tǒng)安全訪問公司網(wǎng)絡(luò)，并能撥號連入本地 ISP，通過 Internet 安全鏈接到公司網(wǎng)絡(luò)。 無線局域網(wǎng)數(shù)據(jù)鏈路層安全協(xié)議組網(wǎng)架構(gòu)：點(diǎn)對點(diǎn)模式(AD Hoc)，基礎(chǔ)架構(gòu)模式(Infrastructure) RSA算法。13.1 算法描述密鑰的生成首先，選擇兩個互異的大素數(shù)p和q（保密），計(jì)算n=pq（公開），n=p-1(q-1)（保密），選擇一個隨機(jī)整數(shù)

6、e(0en)（公開），滿足gcd(e,n)=1。計(jì)算d=e-1mod n（保密）。確定：公鑰KU=e,n，私鑰KR=d,p,q，或KR=d,n。加密已知：明文Mn（因?yàn)樗忻魑暮兔芪目臻g均為Zn，即在0n-1的范圍內(nèi)。實(shí)際處理時對于Mn的情形，則需要對大報文進(jìn)行分組，確保每一個分組滿足該條件）和公鑰KU=e,n。計(jì)算密文： C=Me mod n3) 解密已知：密文C和私鑰KR=d,n。計(jì)算明文：M=Cd mod n13.2 算法證明。下面證明M1=Cd mod n=(Me mod n)d mod n=M在條件：ed1 mod n下成立。證明：M1=Cd mod n=Me mod nd mod

7、n=Med mod n=M1+kn mod n因?yàn)閑d1 mod n，k為整數(shù)。于是，M1+kn mod n=MMn)k mod n=M(Mn mod n)k mod n =M1kmod n=M (因?yàn)镸n)13.3 RSA例子：選p=7，q=17。求n=pq=119，(n)=(p-1)(q-1)=96。取e=5，滿足1e(n)，且gcd(n),e)=1。確定滿足de=1 mod 96且小于96的d，因?yàn)?75=385=496+1，所以d為77，因此公開鑰為5，119，秘密鑰為77，119。設(shè)明文m=19，則由加密過程得密文為 c195 mod 1192476099 mod 11966解密為

8、6677mod 11919網(wǎng)絡(luò)層安全協(xié)議IPSec：基本工作原理是發(fā)送方在數(shù)據(jù)傳輸前（即到達(dá)網(wǎng)線之前）對數(shù)據(jù)實(shí)施加密。在整個傳輸過程中，報文都是以密文方式傳輸，直到數(shù)據(jù)到達(dá)目的節(jié)點(diǎn)，才由接收端進(jìn)行解密。IPSec對數(shù)據(jù)的加密以數(shù)據(jù)包而不是整個數(shù)據(jù)流為單位，這不僅更靈活，也有助于進(jìn)一步提高IP數(shù)據(jù)包的安全性。通過提供強(qiáng)有力的加密保護(hù)，IPSec可以有效防范網(wǎng)絡(luò)攻擊，保證專用數(shù)據(jù)在公共網(wǎng)絡(luò)環(huán)境下的安全性。 IPSec標(biāo)準(zhǔn)包含了IP安全體系結(jié)構(gòu)、IP認(rèn)證AH頭、IP封裝安全載荷ESP和Internet密鑰交換(IKE)4個核心的基本規(guī)范，組成了一個完整的安全體系結(jié)構(gòu)。IPSec工作流程：用戶甲（在主

9、機(jī)A上）向用戶乙（在主機(jī)B）上發(fā)送一消息。主機(jī)A上的IPSec驅(qū)動程序檢查IP篩選器，查看數(shù)據(jù)包是否需要以及需要受到何種保護(hù)。驅(qū)動程序通知IKE開始協(xié)商。主機(jī)B上的IKE收到請求協(xié)商通知。兩臺主機(jī)建立第一階段SA，各自生成共享“主密鑰”。若兩機(jī)在此前通信中已經(jīng)建立第一階段SA，則可直接進(jìn)行第二階段SA協(xié)商。協(xié)商建立第二階段SA對：入棧SA和出棧SA。SA包括密鑰和SPI（安全參數(shù)索引）。主機(jī)A上的IPSec驅(qū)動程序使用出棧SA，對數(shù)據(jù)包進(jìn)行簽名（完整性檢查）與加密。驅(qū)動程序?qū)?shù)據(jù)包遞交IP層，再由IP層將數(shù)據(jù)包轉(zhuǎn)發(fā)至主機(jī)B。主機(jī)B網(wǎng)絡(luò)適配器驅(qū)動程序收到數(shù)據(jù)包并提交給IPSec驅(qū)動程序。主機(jī)B上

10、的IPSec驅(qū)動程序使用入棧SA，檢查簽名完整性并對數(shù)據(jù)包進(jìn)行解密。驅(qū)動程序?qū)⒔饷芎蟮臄?shù)據(jù)包提交上層TCP/IP驅(qū)動程序，再由TCP/IP驅(qū)動程序?qū)?shù)據(jù)包提交主機(jī)B的接收應(yīng)用程序。Diffie-Hellman算法。Diffie-Hellman密鑰交換算法的有效性依賴于計(jì)算離散對數(shù)的難度。算法描述如下：1)有兩個全局公開的參數(shù)，一個素數(shù)q和一個整數(shù)，是q的一個原根。2)假設(shè)用戶A和B希望交換一個密鑰，用戶A選擇一個作為私有密鑰的隨機(jī)數(shù)XAq，并計(jì)算公開密鑰YA=XA mod q。A對XA的值保密存放而使YA能被B公開獲得。類似地，用戶B選擇一個私有的隨機(jī)數(shù)XBq，并計(jì)算公開密鑰YB=XB mod

11、 q ,B對XB的值保密存放而使YB能被A公開獲得。3、用戶A產(chǎn)生共享秘密密鑰的計(jì)算方式是K=(YB)XA mod q。同樣，用戶B產(chǎn)生共享秘密密鑰的計(jì)算是K=(YA)XB mod q。這兩個計(jì)算產(chǎn)生相同的結(jié)果：K=YBXA mod q=(aXB mod q)XA mod q=(aXB)XA mod q=aXBXA mod q =(aXA)XB mod q=(aXA mod q)XB mod q=YAXB mod q因此相當(dāng)于雙方已經(jīng)交換了一個相同的秘密密鑰。例子：密鑰交換基于素數(shù)q = 97和97的一個原根 = 5。A和B分別選擇私有密鑰XA = 36和XB = 58。每人計(jì)算其公開密鑰 Y

12、A = 36 mod 97= 50 mod 97=50 YB = 58 mod 97= 44 mod 97=44在他們相互獲取了公開密鑰之后，各自通過計(jì)算得到雙方共享的秘密密鑰如下：K = (YB)XA mod 97 = 4436 = 75 mod 97=75K = (YA)XB mod 97 = 5058 = 75 mod 97=75從|50，44|出發(fā)，攻擊者要計(jì)算出75很不容易。判斷A = a,b,c對于運(yùn)算*是否構(gòu)成群： 運(yùn)算封閉嗎？可結(jié)合嗎？有單位元嗎？每個元素都有逆元嗎？*abcaabcbbcaccab從表中得出以下結(jié)論：1）計(jì)算結(jié)果仍在A中，滿足封閉性。2）a*a=a, a*b=

13、b, a*c=c，所以a是單位元；3） 又由于a*a=a,b*c=c*b=a,所以a的逆元是a，b的逆元是c，c的逆元是b，且滿足交換律。4） a*(b*c)=a*a=a, a*b*c=b*c=a, a*(b*c)=a*b*c。同理可得其他式子滿足結(jié)合律。綜上，A = a,b,c對于運(yùn)算*構(gòu)成群。用多項(xiàng)式構(gòu)造的有限域GF(24)，既約多項(xiàng)式：fx=x4+x+1。GF(24)的16個元素為：(0000)(0001)(0010)(0011)(0100)(0101)(0110)(0111)(1000)(1001)(1010)(1011)(1100)(1101)(1110)(1111)加法:(0110

14、)+(0101)=(0011)（即按位異或或模2加）或：x2+x+x2+1=2x2+x+1=x+1=(0011)乘法：11011001=(x3+x2+1)x3+1 mod f(x) =x3+x2+x+1=(1111)指數(shù)運(yùn)算：如要計(jì)算(0010)5，先計(jì)算：(0010)2=00100010=xx mod fx=x2=(0100)那么，00104=0010200102=x2 x2 mod fx=x+1=0011最后，00105=001040010=x2+x mod fx=x2+x=(0110)乘法的逆元：GF*(24)可以由元素g=x=(0010)生成，g的各次冪為（均是mod f(x)的結(jié)果，

15、fx=x4+x+1）：g0=(0001)g1=(0010)g2=(0100)g3=(1000)g4=(0011)g5=(0110)g6=(1100)g7=(1011)g8=(0101)g9=(1010)g10=(0111)g11=(1110)g12=(1111)g13=(1101)g14=(1001)g15=0001=g0該域的乘法單位元是g0=0001=1。g7=1011的乘法逆元是g-7 mod 15=g8=(0101)。檢驗(yàn):10110101=(x3+x+1)x+1 mod fx =(x5+x2+x+1)mod fx=1 傳輸層安全協(xié)議SSL協(xié)議實(shí)現(xiàn)的六個階段：接通階段：客戶機(jī)通過網(wǎng)絡(luò)向

16、服務(wù)器打招呼，服務(wù)器回應(yīng)； 二、密碼交換階段：客戶機(jī)與服務(wù)器之間交換雙方認(rèn)可的密碼，一般選用RSA密碼算法； 三、會談密碼階段：客戶機(jī)器與服務(wù)器間產(chǎn)生彼此交談的會談密碼；四、檢驗(yàn)階段：客戶機(jī)檢驗(yàn)服務(wù)器取得的密碼；五、客戶認(rèn)證階段：服務(wù)器驗(yàn)證客戶機(jī)的可信度；六、結(jié)束階段：客戶機(jī)與服務(wù)器之間相互交換結(jié)束的信息。21. 利用SSH本地端口轉(zhuǎn)發(fā)功能構(gòu)建安全VPN的一個實(shí)例。無線移動柜臺前硬件設(shè)備是一臺裝有無線網(wǎng)卡的筆記本計(jì)算機(jī)，一臺網(wǎng)絡(luò)終端通過以太網(wǎng)卡和一根直連雙絞線連接到筆記本上，網(wǎng)絡(luò)終端接有讀卡器等設(shè)備。筆記本通過無線上網(wǎng)，筆記本上運(yùn)行OpenSSH客戶端程序，事先生成的密鑰經(jīng)過安全認(rèn)證，通過因特

17、網(wǎng)連接到銀行機(jī)房的后臺OpenSSH服務(wù)端，并獲得一個通信加密密鑰。然后按照配置的端口監(jiān)聽并接收來自網(wǎng)絡(luò)終端的登錄請求，用通信加密密鑰加密后送往后臺OpenSSH服務(wù)端。后臺設(shè)備，即SSH安全認(rèn)證服務(wù)器安裝在中心機(jī)房。系統(tǒng)內(nèi)置安裝了OpenSSH服務(wù)端軟件，該服務(wù)器裝有兩塊網(wǎng)卡，一塊經(jīng)過防火墻連接因特網(wǎng)，另一塊通過內(nèi)部專網(wǎng)連接柜面業(yè)務(wù)系統(tǒng)的UNIX主機(jī)。OpenSSH服務(wù)進(jìn)程從因特網(wǎng)接收無線移動柜臺傳上來，經(jīng)過SSH協(xié)議加密的Telnet登錄請求，經(jīng)解密，將登錄請求轉(zhuǎn)發(fā)到柜面業(yè)務(wù)系統(tǒng)前臺的UNIX主機(jī)。這樣，無線移動柜臺就成功登錄到柜面業(yè)務(wù)系統(tǒng)前臺UNIX主機(jī)，成為UNIX主機(jī)的一個遠(yuǎn)程終端，

18、可以運(yùn)行柜面業(yè)務(wù)系統(tǒng)前臺程序，辦理銀行業(yè)務(wù)。這就相當(dāng)于利用SSH，在銀行現(xiàn)場業(yè)務(wù)員和銀行柜臺業(yè)務(wù)系統(tǒng)之間建立了一條虛擬的安全通信鏈路。22. VPN功能。一、數(shù)據(jù)機(jī)密性保護(hù)。二、數(shù)據(jù)完整性保護(hù)。三、數(shù)據(jù)源身份認(rèn)證。四、重放攻擊保護(hù)。23.面向連接的C/S程序工作流程圖（TCP）。24. 用橢圓曲線(ECC)加解密過程。給定曲線參數(shù)p、a、b、元素G，y2x3axb mod p A有自己的私鑰Na，并產(chǎn)生公鑰PaNaG B有自己的私鑰Nb，并產(chǎn)生公鑰PbNbG 加密 （A要給B發(fā)送消息）對明文m的編碼點(diǎn)Pm，選擇隨機(jī)數(shù)k，密文CC1，C2 kG，PmkPb解密：編碼點(diǎn)PmC2NbC1，因?yàn)?(PmkPb)NbkG PmkNbGNbkG Pm 25.簡述拒絕服務(wù)的種類與原理。原理：凡是造成目標(biāo)系統(tǒng)拒絕提供服務(wù)的攻擊都稱為Dos攻擊，其目的是使目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的Dos攻擊是計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最終導(dǎo)致合法用戶的請求無法通過；連通性攻擊是指用大量的連接請求沖擊計(jì)算機(jī)，最終導(dǎo)致計(jì)算