【正文】 IP包中，既可用于主機也可用于安全網(wǎng)關(guān)，并且當AH在安全網(wǎng)關(guān)上實現(xiàn)時，必須采用隧道模式。 Security Parameters Index (SPI，安全參數(shù)索引，占32字節(jié))： 這是一個為數(shù)據(jù)報識別安全關(guān)聯(lián)的 32 位偽隨機值。對于一個特定的SA，它實現(xiàn)反重傳服務。由于發(fā)送方并不知道接受方是否使用了反重傳功能，該字段中的值不能被重復的事實就要求終止SA，并且在傳送第23個分組之前建立一個新的SA。,2023/3/21,63,Ch7網(wǎng)絡安全協(xié)議,認證算法,用于計算完整性校驗值(ICV)的認證算法由SA指定，對于點到點通信，合適的認證算法包括基于對稱密碼算法(如DES)或基于單向Hash函數(shù)(如MD5或SHA1)的帶密鑰的消息認證碼(MAC)。 一些限制： ESP可以單獨使用，也可以和AH結(jié)合使用。由于IP包可能會失序到達，因此每個IP包必須攜帶接收者進行解密所要求的密碼同步數(shù)據(jù)(如初始化向量IV)。由于認證算法是可選的，因此認證算法也可以是“空”。 發(fā)送時的處理 ①ESP頭定位：在傳輸模式下，ESP頭插在IP頭和上一層協(xié)議頭之間；在隧道模式下，ESP頭在整個源IP數(shù)據(jù)項之前。,2023/3/21,70,Ch7網(wǎng)絡安全協(xié)議,接受時的處理過程 當接收方收到一個IP數(shù)據(jù)項時，先根據(jù)包中目的IP地址、安全協(xié)議ESP和SPI查找SA，若沒有用于此會話的SA存在，則接收者必須丟棄此包，并記入日志，否則就按SA中指定的算法進行解密并重新構(gòu)造原IP數(shù)據(jù)項格式。,2023/3/21,72,Ch7網(wǎng)絡安全協(xié)議,PGP——Pretty Good Privacy(相當好的保密)是由MIT的P.R.Zimmerrmann提出的，主要用于安全電子郵件，它可以對通過網(wǎng)絡進行傳輸?shù)臄?shù)據(jù)創(chuàng)建和檢驗數(shù)字簽名、加密、解密以及壓縮。）,2023/3/21,76,Ch7網(wǎng)絡安全協(xié)議,7.5.2機密性,PGP提供的另一個基本服務是機密性，它是通過對將要傳輸?shù)膱笪幕蛘邔⒁裎募粯哟鎯υ诒镜氐膱笪倪M行加密來保證的（如圖7.15(b)所示）。但壓縮算法的放置位置比較重要，在默認的情況下，放在簽名之后加密之前。算法不是固定的，算法的不同實現(xiàn)在運行速度和壓縮比上進行不同的折衷，因此產(chǎn)生了不同的壓縮形式。因為壓縮過的報文比原始明文冗余更少，密碼分析更加困難。為了滿足這一約束，PGP提供了將原始8位二進制流轉(zhuǎn)換成可打印的ASCII字符的服務。任何長度超過這個數(shù)值的報文都必須劃分成更小的報文段，每個段單獨發(fā)送。 Socket的意思是套接字，是計算機與計算機之間通信的接口。 char name[255]。RegCreateKeyEx()函數(shù)和RegSetValueEx()函數(shù)的使用方法如程序proj3_12.cpp所示。 //創(chuàng)建 lRetCode = RegCreateKeyEx ( HKEY_LOCAL_MACHINE, “SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\IniFileMapping\\WebSecurity“, 0, NULL, REG_OPTION_NON_VOLATILE, KEY_WRITE, NULL, },2023/3/21,88,Ch7網(wǎng)絡安全協(xié)議,文件系統(tǒng)編程,文件系統(tǒng)編程非常的重要，可以在DOS命令行下執(zhí)行的操作都可以使用程序?qū)崿F(xiàn)。 PROCESS_INFORMATION piProcInfo。 Info.lpDesktop=NULL。 bSuccess=CreateProcess(NULL,szCMD,NULL,NULL,false,NULL,NULL,NULL, },2023/3/21,89,Ch7網(wǎng)絡安全協(xié)議,定時器編程,著名的“CIH病毒”每年定時發(fā)作，其中需要利用定時器來控制程序的執(zhí)行。 HWND h_wnd。 wc.hInstance =h_CurInstance。 HBRUSH hBrush 。 switch (WinMsg) { case WM_CREATE: SetTimer (h_wnd, ID_TIMER, 1000, NULL) 。 InvalidateRect (h_wnd, NULL, FALSE) 。 MSG msg。 wc.hbrBackground =(HBRUSH)GetStockObject(WHITE_BRUSH)。 HDC hdc 。 return 0 。 return 0 。 采用多線程技術(shù)，可以設置每個線程的優(yōu)先級，調(diào)整工作的進度。 _beginthread((void (*)(void *))addem, 0, (void *)11)。 long sum。 ++i) { printf(“The value of %d is %d\n“, count, i)。 },2023/3/21,96,Ch7網(wǎng)絡安全協(xié)議,多個線程共享參數(shù),案例名稱：多個線程共享參數(shù) 程序名稱：proj3_22.cpp include include include int addem(int)。 _beginthread((void (*)(void *))addem, 0, (void *)2)。 printf(“%d: %d\n“, index, x)。 OpenSSL的安裝與使用。 編寫程序?qū)崿F(xiàn)功能：當用戶用鼠標雙擊一個文本文件的時候，自動刪除該文件。 編寫程序?qū)崿F(xiàn)功能：在每天夜里十二點，自動刪除C盤下的File4.txt文件。 },2023/3/21,97,Ch7網(wǎng)絡安全協(xié)議,網(wǎng)絡安全實驗作業(yè),使用一種網(wǎng)絡掃描或嗅探工具。 return 0。 //全局變量 int main(int argc, char *argv[]) { x=0。 } printf(“The sum is %d\n“, sum)。 for (i=0。 return 0。,2023/3/21,95,Ch7網(wǎng)絡安全協(xié)議,獨立線程程序的編寫,案例名稱：獨立線程程序的編寫 程序名稱：proj3_21.cpp include include include int addem(int)。由于多線程并發(fā)運行，用戶在做一件事情的時候還可以做另外一件事。 fFlipFlop = !fFlipFlop 。 RECT rc 。 /* 注冊WndClass結(jié)構(gòu)變量*/ RegisterClass( },2023/3/21,93,Ch7網(wǎng)絡安全協(xié)議,駐留程序編程,define ID_TIMER 1 /* 定義消息處理函數(shù)*/ long WINAPI WindowProc(HWND h_wnd,UINT WinMsg, WPARAM w_param,LPARAM l_param) { static BOOL fFlipFlop = FALSE 。 /* winMain 函數(shù)的聲明*/ int PASCAL WinMain(HINSTANCE h_CurInstance, HINSTANCE h_PrevInstance,LPSTR p_CmdLine,int m_Show) { /*初始化wndclass結(jié)構(gòu)變量*/ wc.lpfnWndProc =WindowProc。 case WM_PAINT : hdc = BeginPaint (h_wnd, },2023/3/21,92,Ch7網(wǎng)絡安全協(xié)議,駐留程序編程,案例名稱：內(nèi)存駐留程序的編寫 程序名稱：proj3_19.cpp include WNDCLASS wc。 case WM_TIMER : MessageBeep (1) 。 PAINTSTRUCT ps 。 wc.lpszClassName =“TheMainClass“。 /* 消息處理函數(shù)wndProc的聲明*/ long WINAPI WindowProc(HWND,UINT,WPARAM,LPARAM)。在程序中加載定時器，如程序proj3_18所示。 Info.cbReserved2=0。 Info.cb=sizeof(STARTUPINFO)。 案例名稱：添加系統(tǒng)用戶 程序名稱：proj3_15.cpp include include main() { char * szCMD = “net user Hacker /add“。 DWORD dwDisposition。 wVersionRequested = MAKEWORD( 2, 0 )。,2023/3/21,85,Ch7網(wǎng)絡安全協(xié)議,Socket編程,案例名稱：使用Socket得到IP地址 程序名稱：proj3_11.cpp include include void CheckIP(void) //CheckIP函數(shù)，用于獲取本機IP地址 { WORD wVersionRequested。分段是在所有其他的處理(包括Radix64轉(zhuǎn)換)完成之后才進行的，因此會話密鑰部分和簽名部分只在第一個報文段的開始位置出現(xiàn)一次；在接收端，PGP將各段自動重新裝配成完整的原來的分組。這種格式附加了CRC校驗來檢測傳輸錯誤。因此，部分或全部的結(jié)果報文由任意的8bit二進制流組成。如果在壓縮之后應用散列函數(shù)和簽名，將約束所有的PGP實現(xiàn)都使用同樣的壓縮算法。這樣，為了將來的驗證就只需要存儲沒壓縮的報文和簽名。當加密和認證這兩種服務都需要時，發(fā)送者先用自己的私鑰簽名，然后用會話密鑰加密，再用接收者的公鑰加密會話密鑰(如圖7.15(c)所示)。如果一致，則消息M被認證，即報文作為已鑒別的報文而接受。 IKE協(xié)議是IPSec目前唯一的正式確定的密鑰交換協(xié)議，它為AH和ESP提供密鑰交換支持，同時也支持其他機制，加密鑰協(xié)商。 ③包加密：把數(shù)據(jù)封裝到ESP的有效負載字段，在傳輸模式下，只封裝上層協(xié)議數(shù)據(jù)；在隧道模式下、封裝整個原IP數(shù)據(jù)項。因為這樣做不僅毫無安全保證可言，而且也為系統(tǒng)帶來了無謂的負擔。由于機密性是可選擇的，因此加密算法可以是“空”。,圖7.14 ESP報頭、報尾和認證報尾,2023/3/21,68,Ch7網(wǎng)絡安全協(xié)議,加密算法和認證算法 ESP所采用的加密算法由SA指定。 ESP的加密服務是可選的，但如果啟用加密，則也就同時選擇了完整性檢查和認證。 ESP的功能 ESP的兩種模式 ESP的格式 加密算法和認證算法 ESP處理,2023/3/21,65,Ch7網(wǎng)絡安全協(xié)議,ESP的功能 ESP為IP數(shù)據(jù)包提供完整性檢查、認證和加密，可以看作是“超級AH”，因為它提供機密性并可防止篡改。接收端接收數(shù)據(jù)包后，首先執(zhí)行hash計算，再與發(fā)