厦门理工学院-网络安全协议_第1页
厦门理工学院-网络安全协议_第2页
厦门理工学院-网络安全协议_第3页
厦门理工学院-网络安全协议_第4页
厦门理工学院-网络安全协议_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、网络安全协议分析与应用复习大纲OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层。由下而上分别是:物理层,数据链路层,网络层,传输层,会话层,表示层,应用层。TCP协议工作原理。TCP提供两个网络主机之间的点对点通讯。TCP从程序中接收数据并将数据处理成字节流。首先将字节分成段,然后对段进行编号和排序以便传输。在两个TCP主机之间交换数据之前,必须先相互建立会话。TCP会话通过三次握手的完成初始化。这个过程使序号同步,并提供在两个主机之间建立虚拟连接所需的控制信息。TCP在建立连接的时候需要三次确认,俗称“三次握手”,在断开连接的时候需要四次确认,俗称

2、“四次挥手”。UDP与TCP传递数据的差异。UDP和TCP传递数据的差异类似于电话和明信片之间的差异。TCP就像电话,必须先验证目标是否可以访问后才开始通讯。UDP就像明信片,信息量很小而且每次传递成功的可能性很高,但是不能完全保证传递成功。UDP通常由每次传输少量数据或有实时需要的程序使用。常用网络命令。判断主机是否连通的ping指令;查看IP地址配置情况的ipconfig指令;查看网络连接状态的netstat指令;进行网络操作的net指令;进行定时器操作的at指令。 凯撒(Caesar)密码实例。设明文为:CHINA,对应的数字为:2 7 8 13 0。密钥为循环后移3位,解密时则前移3位

3、。加密: C: e32=2+3mod 26=5,对应的字母F;h: e37=7+3mod 26=10,对应的字母K;i: e38=8+3mod 26=11,对应的字母L;n: e313=13+3mod 26=16,对应的字母Q;a: e30=0+3mod 26=3,对应的字母D;所以,明文“China”基于Caesar密码被加密为“FKLQD”。解密过程是加密过程逆过程。解密:F: d35=5-3mod 26=2,对应的字母C;K: d310=10-3mod 26=7,对应的字母H;L: d311=11-3mod 26=8,对应的字母I;Q: d316=16-3mod 26=13,对应的字母N

4、;D: d33=3-3mod 26=0,对应的字母A;Vigenere替换表。数据链路层安全性表现为以下两个方面:一、数据机密性。防止数据交换过程中数据被非法窃听。二、数据完整性。防止在数据交换过程中数据被非法篡改。逻辑链路控制子层的链路服务的分类:无确认无连接,有确认无连接,面向连接服务。第二层转发协议(L2F)允许链路层协议隧道技术。使用这样的隧道,使得把原始拨号服务器位置和拨号协议连接终止与提供的网络访问位置分离成为可能。 第二层隧道协议(L2TP)优势:L2TP支持多种协议;解决了多个PPP链路的捆绑问题;L2TP支持信道认证,并提供差错和流量控制。点对点隧道协议(PPTP):PPTP

5、是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。通过该协议,远程用户能够通过 Microsoft Windows NT 工作站、Windows xp 、 Windows 2000 和windows2003操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地 ISP,通过 Internet 安全链接到公司网络。 无线局域网数据链路层安全协议组网架构:点对点模式(AD Hoc),基础架构模式(Infrastructure) RSA算法。13.1 算法描述密钥的生成首先,选择两个互异的大素数p和q(保密),计算n=pq(公开),n=p-1(q-1)(保密),选择一个随机整数

6、e(0en)(公开),满足gcd(e,n)=1。计算d=e-1mod n(保密)。确定:公钥KU=e,n,私钥KR=d,p,q,或KR=d,n。加密已知:明文Mn(因为所有明文和密文空间均为Zn,即在0n-1的范围内。实际处理时对于Mn的情形,则需要对大报文进行分组,确保每一个分组满足该条件)和公钥KU=e,n。计算密文: C=Me mod n3) 解密已知:密文C和私钥KR=d,n。计算明文:M=Cd mod n13.2 算法证明。下面证明M1=Cd mod n=(Me mod n)d mod n=M在条件:ed1 mod n下成立。证明:M1=Cd mod n=Me mod nd mod

7、n=Med mod n=M1+kn mod n因为ed1 mod n,k为整数。于是,M1+kn mod n=MMn)k mod n=M(Mn mod n)k mod n =M1kmod n=M (因为Mn)13.3 RSA例子:选p=7,q=17。求n=pq=119,(n)=(p-1)(q-1)=96。取e=5,满足1e(n),且gcd(n),e)=1。确定满足de=1 mod 96且小于96的d,因为775=385=496+1,所以d为77,因此公开钥为5,119,秘密钥为77,119。设明文m=19,则由加密过程得密文为 c195 mod 1192476099 mod 11966解密为

8、6677mod 11919网络层安全协议IPSec:基本工作原理是发送方在数据传输前(即到达网线之前)对数据实施加密。在整个传输过程中,报文都是以密文方式传输,直到数据到达目的节点,才由接收端进行解密。IPSec对数据的加密以数据包而不是整个数据流为单位,这不仅更灵活,也有助于进一步提高IP数据包的安全性。通过提供强有力的加密保护,IPSec可以有效防范网络攻击,保证专用数据在公共网络环境下的安全性。 IPSec标准包含了IP安全体系结构、IP认证AH头、IP封装安全载荷ESP和Internet密钥交换(IKE)4个核心的基本规范,组成了一个完整的安全体系结构。IPSec工作流程:用户甲(在主

9、机A上)向用户乙(在主机B)上发送一消息。主机A上的IPSec驱动程序检查IP筛选器,查看数据包是否需要以及需要受到何种保护。驱动程序通知IKE开始协商。主机B上的IKE收到请求协商通知。两台主机建立第一阶段SA,各自生成共享“主密钥”。若两机在此前通信中已经建立第一阶段SA,则可直接进行第二阶段SA协商。协商建立第二阶段SA对:入栈SA和出栈SA。SA包括密钥和SPI(安全参数索引)。主机A上的IPSec驱动程序使用出栈SA,对数据包进行签名(完整性检查)与加密。驱动程序将数据包递交IP层,再由IP层将数据包转发至主机B。主机B网络适配器驱动程序收到数据包并提交给IPSec驱动程序。主机B上

10、的IPSec驱动程序使用入栈SA,检查签名完整性并对数据包进行解密。驱动程序将解密后的数据包提交上层TCP/IP驱动程序,再由TCP/IP驱动程序将数据包提交主机B的接收应用程序。Diffie-Hellman算法。Diffie-Hellman密钥交换算法的有效性依赖于计算离散对数的难度。算法描述如下:1)有两个全局公开的参数,一个素数q和一个整数,是q的一个原根。2)假设用户A和B希望交换一个密钥,用户A选择一个作为私有密钥的随机数XAq,并计算公开密钥YA=XA mod q。A对XA的值保密存放而使YA能被B公开获得。类似地,用户B选择一个私有的随机数XBq,并计算公开密钥YB=XB mod

11、 q ,B对XB的值保密存放而使YB能被A公开获得。3、用户A产生共享秘密密钥的计算方式是K=(YB)XA mod q。同样,用户B产生共享秘密密钥的计算是K=(YA)XB mod q。这两个计算产生相同的结果:K=YBXA mod q=(aXB mod q)XA mod q=(aXB)XA mod q=aXBXA mod q =(aXA)XB mod q=(aXA mod q)XB mod q=YAXB mod q因此相当于双方已经交换了一个相同的秘密密钥。例子:密钥交换基于素数q = 97和97的一个原根 = 5。A和B分别选择私有密钥XA = 36和XB = 58。每人计算其公开密钥 Y

12、A = 36 mod 97= 50 mod 97=50 YB = 58 mod 97= 44 mod 97=44在他们相互获取了公开密钥之后,各自通过计算得到双方共享的秘密密钥如下:K = (YB)XA mod 97 = 4436 = 75 mod 97=75K = (YA)XB mod 97 = 5058 = 75 mod 97=75从|50,44|出发,攻击者要计算出75很不容易。判断A = a,b,c对于运算*是否构成群: 运算封闭吗?可结合吗?有单位元吗?每个元素都有逆元吗?*abcaabcbbcaccab从表中得出以下结论:1)计算结果仍在A中,满足封闭性。2)a*a=a, a*b=

13、b, a*c=c,所以a是单位元;3) 又由于a*a=a,b*c=c*b=a,所以a的逆元是a,b的逆元是c,c的逆元是b,且满足交换律。4) a*(b*c)=a*a=a, a*b*c=b*c=a, a*(b*c)=a*b*c。同理可得其他式子满足结合律。综上,A = a,b,c对于运算*构成群。用多项式构造的有限域GF(24),既约多项式:fx=x4+x+1。GF(24)的16个元素为:(0000)(0001)(0010)(0011)(0100)(0101)(0110)(0111)(1000)(1001)(1010)(1011)(1100)(1101)(1110)(1111)加法:(0110

14、)+(0101)=(0011)(即按位异或或模2加)或:x2+x+x2+1=2x2+x+1=x+1=(0011)乘法:11011001=(x3+x2+1)x3+1 mod f(x) =x3+x2+x+1=(1111)指数运算:如要计算(0010)5,先计算:(0010)2=00100010=xx mod fx=x2=(0100)那么,00104=0010200102=x2 x2 mod fx=x+1=0011最后,00105=001040010=x2+x mod fx=x2+x=(0110)乘法的逆元:GF*(24)可以由元素g=x=(0010)生成,g的各次幂为(均是mod f(x)的结果,

15、fx=x4+x+1):g0=(0001)g1=(0010)g2=(0100)g3=(1000)g4=(0011)g5=(0110)g6=(1100)g7=(1011)g8=(0101)g9=(1010)g10=(0111)g11=(1110)g12=(1111)g13=(1101)g14=(1001)g15=0001=g0该域的乘法单位元是g0=0001=1。g7=1011的乘法逆元是g-7 mod 15=g8=(0101)。检验:10110101=(x3+x+1)x+1 mod fx =(x5+x2+x+1)mod fx=1 传输层安全协议SSL协议实现的六个阶段:接通阶段:客户机通过网络向

16、服务器打招呼,服务器回应; 二、密码交换阶段:客户机与服务器之间交换双方认可的密码,一般选用RSA密码算法; 三、会谈密码阶段:客户机器与服务器间产生彼此交谈的会谈密码;四、检验阶段:客户机检验服务器取得的密码;五、客户认证阶段:服务器验证客户机的可信度;六、结束阶段:客户机与服务器之间相互交换结束的信息。21. 利用SSH本地端口转发功能构建安全VPN的一个实例。无线移动柜台前硬件设备是一台装有无线网卡的笔记本计算机,一台网络终端通过以太网卡和一根直连双绞线连接到笔记本上,网络终端接有读卡器等设备。笔记本通过无线上网,笔记本上运行OpenSSH客户端程序,事先生成的密钥经过安全认证,通过因特

17、网连接到银行机房的后台OpenSSH服务端,并获得一个通信加密密钥。然后按照配置的端口监听并接收来自网络终端的登录请求,用通信加密密钥加密后送往后台OpenSSH服务端。后台设备,即SSH安全认证服务器安装在中心机房。系统内置安装了OpenSSH服务端软件,该服务器装有两块网卡,一块经过防火墙连接因特网,另一块通过内部专网连接柜面业务系统的UNIX主机。OpenSSH服务进程从因特网接收无线移动柜台传上来,经过SSH协议加密的Telnet登录请求,经解密,将登录请求转发到柜面业务系统前台的UNIX主机。这样,无线移动柜台就成功登录到柜面业务系统前台UNIX主机,成为UNIX主机的一个远程终端,

18、可以运行柜面业务系统前台程序,办理银行业务。这就相当于利用SSH,在银行现场业务员和银行柜台业务系统之间建立了一条虚拟的安全通信链路。22. VPN功能。一、数据机密性保护。二、数据完整性保护。三、数据源身份认证。四、重放攻击保护。23.面向连接的C/S程序工作流程图(TCP)。24. 用椭圆曲线(ECC)加解密过程。给定曲线参数p、a、b、元素G,y2x3axb mod p A有自己的私钥Na,并产生公钥PaNaG B有自己的私钥Nb,并产生公钥PbNbG 加密 (A要给B发送消息)对明文m的编码点Pm,选择随机数k,密文CC1,C2 kG,PmkPb解密:编码点PmC2NbC1,因为 (PmkPb)NbkG PmkNbGNbkG Pm 25.简述拒绝服务的种类与原理。原理:凡是造成目标系统拒绝提供服务的攻击都称为Dos攻击,其目的是使目标计算机或网络无法提供正常的服务。最常见的Dos攻击是计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,最终导致合法用户的请求无法通过;连通性攻击是指用大量的连接请求冲击计算机,最终导致计算

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论