目录
一、网络安全协议概述
1. TCP/IP体系结构
2. TCP/IP的安全性分析
3. TCP/IP各层安全协议
二、IPSec(Internet协议安全)
1. IPv4 vs. IPv6
2. IPSec核心功能
3. IPSec核心协议
4. 安全关联(SA)
5. IPSec工作模式
三、TLS/SSL协议
1. 核心概念
2. TLS握手流程
3. TLS子协议
四、SSH协议
1. 核心功能
2. SSH协议栈
3. SSH工作流程
五、VPN技术
5.1 VPN类型
5.2 VPN优势
一、网络安全协议概述
1. TCP/IP体系结构
TCP/IP协议栈分为四层,每层提供不同的功能和安全挑战:
| 层级 | 功能 | 主要协议 |
|---|
| 应用层 | 直接向用户提供服务(如Web浏览、邮件传输) | HTTP、FTP、DNS、SMTP、Telnet、SNMP |
| 传输层 | 提供端到端的数据传输服务(可靠/不可靠) | TCP(面向连接、可靠)、UDP(无连接、不可靠) |
| 网络层 | 负责路由选择、拥塞控制和网络互连 | IP、ICMP、IGMP |
| 网络接口层 | 定义如何通过物理网络传输数据(硬件接口、驱动程序) | ARP、RARP |
数据传输过程:数据从高层向低层传递,每层添加首部(或尾部)信息,最终以比特流形式发送。
2. TCP/IP的安全性分析
2.1 TCP/IP的脆弱性
- 缺乏认证机制:无法验证用户身份。
- 缺乏保密机制:数据明文传输,易被窃听。
- 自身安全漏洞:协议设计缺陷导致攻击风险。
2.2 针对TCP/IP的攻击
| 攻击类型 | 描述 |
|---|
| 窃听攻击 | 明文传输的数据被截获(如HTTP、FTP)。 |
| 欺骗攻击 | 伪造IP地址、ARP表、DNS记录或TCP序列号(如IP欺骗、DNS欺骗)。 |
| 认证攻击 | 仅依赖IP地址认证,无法验证用户身份。 |
3. TCP/IP各层安全协议
| 层级 | 安全协议 | 功能 |
|---|
| 网络接口层 | PPTP(点到点隧道协议) | 建立VPN隧道,保护PPP数据。 |
| 网络层 | AH(认证头)、ESP(封装安全载荷)、IKMP(密钥管理协议) | 提供数据完整性、加密、防重放攻击(IPSec核心协议)。 |
| 传输层 | TLS/SSL | 加密通信、服务器认证、防篡改(如HTTPS)。 |
| 应用层 | SSH(安全Shell)、SHTTP(安全HTTP)、SET(安全电子交易)、PGP(邮件加密) | 提供远程登录、安全Web交易、文件加密等功能。 |
二、IPSec(Internet协议安全)
1. IPv4 vs. IPv6
| 特性 | IPv4 | IPv6 |
|---|
| 地址长度 | 32位(约43亿地址) | 128位(近乎无限地址) |
| 安全性 | 无内置安全机制 | 原生支持IPSec |
2. IPSec核心功能
- 安全服务:
- 机密性(加密)、完整性(防篡改)、认证(防伪造)、防重放攻击。
- 主要用途:
- 建立VPN隧道(站点到站点、端到端)。
- 保证数据来源可靠(通过IKE协商密钥)。
3. IPSec核心协议
| 协议 | 功能 |
|---|
| AH | 提供数据完整性、认证和防重放(不加密)。 |
| ESP | 提供加密+完整性+认证(更常用)。 |
| IKE | 自动协商SA(安全关联),管理密钥生命周期。 |
4. 安全关联(SA)
- 定义:单向通信的安全参数约定(如加密算法、密钥)。
- 管理方式:
- 手工管理:静态配置,易出错。
- IKE自动管理:动态协商,支持生命周期。
- SA数据库(SAD):存储所有SA的列表(如加密算法、密钥、生存期)。
5. IPSec工作模式
| 模式 | 保护范围 | 适用场景 |
|---|
| 传输模式 | 仅保护上层协议(如TCP/UDP数据) | 主机到主机通信(如远程办公)。 |
| 隧道模式 | 保护整个IP包(封装新IP头) | 网关到网关VPN(如企业分支机构互联)。 |
三、TLS/SSL协议
1. 核心概念
- TLS会话:包含会话ID、加密算法、主密钥等参数。
- TLS连接:基于会话建立的实时通信通道。
2. TLS握手流程
- Hello交换:协商加密算法、随机数。
- 密钥交换:生成会话密钥(如RSA、DH)。
- 认证:服务器(必选)和客户端(可选)证书验证。
- 完成:切换至加密通信。
3. TLS子协议
| 协议 | 功能 |
|---|
| 握手协议 | 协商加密参数、认证身份。 |
| 记录协议 | 分段、压缩、加密数据。 |
| 告警协议 | 发送错误通知(如证书失效、连接终止)。 |
四、SSH协议
1. 核心功能
- 加密远程登录(替代Telnet)、文件传输(SFTP)。
- 防御中间人攻击、IP/DNS欺骗。
2. SSH协议栈
| 层级 | 功能 |
|---|
| 传输层协议 | 服务器认证、数据加密/完整性。 |
| 用户认证协议 | 支持密码/公钥认证(如RSA密钥)。 |
| 连接协议 | 多路复用逻辑通道(如远程命令、端口转发)。 |
3. SSH工作流程
- 版本协商:确定协议版本。
- 密钥交换:通过DH算法生成会话密钥。
- 认证:密码或公钥验证用户身份。
- 会话请求:执行加密命令或文件传输。
五、VPN技术
5.1 VPN类型
| 类型 | 协议 | 特点 |
|---|
| IPSec VPN | IPSec | 网络层加密,适合站点到站点互联。 |
| SSL VPN | TLS/SSL | 应用层加密,无需客户端软件(通过浏览器访问)。 |
| PPTP/L2TP | PPTP/L2TP | 链路层隧道,逐渐被IPSec/SSL替代。 |
5.2 VPN优势
- 低成本:利用公共网络替代专线。
- 灵活性:支持远程访问、分支机构互联。
- 安全性:端到端加密(IPSec)或应用层加密(SSL)。
| 协议 | 层级 | 核心功能 | 典型应用 |
|---|
| IPSec | 网络层 | VPN、端到端加密 | 企业内网互联 |
| TLS | 传输层 | Web加密(HTTPS)、邮件安全 | 在线支付、登录认证 |
| SSH | 应用层 | 安全远程管理、文件传输 | 服务器运维、SFTP |
- IPSec适合网络层全局保护,TLS/SSL专注应用层安全,SSH用于特定服务(如远程登录)。
- VPN选择取决于场景:IPSec VPN用于站点互联,SSL VPN适合移动办公。
扫一扫
599
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
