文章目录
安全协议概述
安全协议(又称密码协议)。安全协议是建立在密码体制基础上的一种交互通信协议
,它运用密码算法
和协议逻辑
来实现认证和密钥的分配
等目标。
TCP/IP安全分析
由于TCP/IP协议簇在早期设计时是以面向应用为根本目的的,因此未能充分考虑到安全性及协议自身的脆弱性、不完备性,导致网络中存在着许多可能遭受攻击的漏洞。
网络层协议安全隐患
- IP协议没有为通信提供良好的数据源认证机制(只是采用IP地址)。
- IP协议没有为数据提供强的完整性保护机制(只是提供了IP头的校验,且校验和可伪造)。
- IP协议没有为数据提供任何形式的机密性保护。
传输层安全隐患
TCP
服务器端维持大量的半连接列表
而耗费一定的资源。
UDP
不确认报文是否到达
不进行流量控制
不作纠错和重传
应用层安全隐患
- 大部分协议以超级管理员的权限运行,一旦这些程序存在安全漏洞且被攻击者利用,极有可能取得整个系统的控制权。
- 许多协议采用简单的身份认证方式,并且在网络中以明文方式传输。
安全协议与网络各层次的关系
TCP/IP安全体系结构
IPSec协议
IETF的IPsec工作组于1998年制定了一组基于密码学的安全的开放网络安全协议,总称IP安全体系结构,简称IPsec。(就是IPv6,增加了对网络安全的设置
)
IPSec协议族的体系结构
IPSec协议组
- 认证头协议AH(Authentication Header)
- 载荷封装协议
- 安全关联
- 安全数据库
- 密钥管理与密钥交换
- IPSec的典型应用
VPN
概述
虚拟专用网络
“虚拟” (Virtual)
指的是一种逻辑连接,“专用或私有”(Private)
指的是排他性的连接,“网络”(Network)
指按某种协议进行通信的计算机集合。
- 实现不同网络间组件和资源的相互连接
- 提供与专用网络一样的安全与功能保障
- 远程连接方法之一
VPN的意义
- 以安全的方式通过公共互联网网络远程访问企业资源
- 性价比高,节省费用
VPN实现方式?
- 专线连接到本地ISP
- 拨号连接到本地ISP
VPN连接图
VPN基本要求
- 用户验证
- 地址管理
- 数据加密
- 密钥管理
- 多协议支持
VPN基本信息处理过程
VPN基本原理
- 主机A建立分组,将其IP地址作为源地址,将主机B的IP地址作为目标地址,将分组发送到
VPN设备1
,通常是网关。 - 分组到达VPN设备1,VPN设备1在分组中增加一新头。在此分组中,将分组的源IP地址写为自己的IP地址V1,目标地址写为对等VPN设备2的IP地址V2,然后发送。
- 分组通过Internet到达VPN设备2,VPN设备2能够识别新增的头部,对其进行拆除,从而得到第1步由主机A生成的原分组,然后根据分组的IP地址信息,进行正常的转发。
VPN关键技术——隧道化协议
隧道技术
是分组封装(Capsule)的技术,它是VPN实现以内部网地址通信与多协议通信的重要功能,PPTP、L2TP、IPSec、GRE和GTP被广泛采用。
认证技术
认证技术可以防止数据被伪造和篡改,它采用一种被称为“摘要”的技术。“摘要”技术在VPN 中有两个用途:验证数据的完整性和进行用户认证。
加密技术
IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法,如DES 、3DES等。
隧道技术
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的技术。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包
重新封装在新的包头中发送。新的包头提供了路由信息
,从而使封装的负载数据能够通过互联网络传递。
原理图
隧道的基本要求
- 用户验证
- 令牌卡(Tokencard)支持
- 动态地址分配
- 数据压缩
- 数据加密
- 密钥管理
- 多协议支持
隧道协议分类
二层隧道协议
,封装的是数据链路层的数据包
,即OSI开放系统互联模型中的第2层的数据包,所以称之为第2层隧道协议,PPTP,L2F,L2TP主要用于构建远程访问型的VPN;
三层隧道协议
,如IPSec、GRE等,由网络层的各种协议直接封装到隧道协议中进行传输,由于被封装的是第3层的网络协议,所以称为第3层隧道协议。它主要应用于构建LAN-LAN型的VPN。
PPP协议
- PPP协议可以对IP、IPX、Apple Talk和NetBEUI协议的数据包进行再次封装,并把新的数据包再嵌入IP报文、帧中继或ATM中进行传输。
- 通过拨号或专线方式来建立
PPTP是第2层的协议
,它将PPP数据帧封装在IP数据报中,并通过IP网络(如Internet)传送。PPTP还可用于专用局域网络之间的连接。PPTP使用TCP连接对隧道进行维护,使用通用路由封装(GRE-Generic Routing Encapsulation)技术把数据封装成PPP数据帧通过隧道传送。同时也可以对封装在PPP帧中的负载数据进行加密或压缩。
PPP协议传输过程
- 创建PPP链路
- 用户验证
(1) 口令验证协议(PAP)
(2) 挑战-握手验证协议(CHAP)
(3) 微软挑战-握手验证协议(MS-CHAP) - PPP回叫控制(Call Back Control)
- 调用网络层协议
- 数据传输阶段
L2TP协议
- L2TP协议继承了PPTP协议的封装和传输机制,同时L2TP协议在通信的两端采用
挑战—握手协议
CHAP来验证对方的身份。 L2TP是一种二层隧道协议
,支持封装的PPP帧在IP、X.25、帧中继和ATM等网络上进行传送。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。- L2TP使用
UDP
和一系列的L2TP消息对隧道进行维护。L2TP同样使用UDP,将L2TP协议封装的PPP帧通过隧道进行发送。同样也可以对封装在PPP帧中的负载数据进行加密或压缩
。
PPTP和L2TP协议主要区别
IPSec的优缺点
优点
- 节省成本
- 实现网络安全
- 简化网络结构
- 连接的随意性
- 掌握自主权
缺点
- 兼容性欠佳
- 相应的应用产品不够丰富
- 对公网依赖性强
- 稳定性不如专线
今日加密算法——AES
简介
AES分组长度、 密钥长度、 轮数的关系
AES加密流程图
AES运算方法
- 轮密钥加
- 字节代换
- 行位移
- 列混淆