freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

網(wǎng)絡(luò)安全的普及宣傳研究畢業(yè)論文(編輯修改稿)

2024-07-20 01:06 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 akley和SKEME這三個(gè)協(xié)議為IKE的基礎(chǔ),IKE沿用了ISAKMP的基礎(chǔ)、Oakley的模式以及SKEME的共享和密鑰更新技術(shù),并定義了自己獨(dú)特的密鑰素材導(dǎo)出方式,以及協(xié)商共享策略的方法。另外IKE定義了它自身的兩種密鑰交換方式。IKE的相關(guān)概述對(duì)于IPSec而言,IKE則定義了其需要的密鑰交換技術(shù)。IKE交換的結(jié)果就是一個(gè)已經(jīng)認(rèn)證的密鑰以及建立在雙方協(xié)議基礎(chǔ)上的服務(wù),即IPSec SA。 IKE協(xié)議簇圖IKE使用了兩個(gè)階段的ISAKMP,其中第1階段建立一個(gè)保密的和已認(rèn)證無誤的通信信道,即IKE SA,以及建立通過認(rèn)證的密鑰,為雙方的IKE通信提供機(jī)密性、消息完整性以及消息源認(rèn)證服務(wù)。第2階段則利用第1階段的IKE SA來協(xié)商建立IPSec 具體的SA。在IKE定義的兩個(gè)階段中, IKE體系結(jié)構(gòu)圖所示,階段1包含兩種模式,筆者稱之為主模式和主動(dòng)模式,而階段2只有一種模式,稱之為快速模式。 IKE體系結(jié)構(gòu)圖在上述所說的階段1為IKE建立的IKE SA提供了一套保護(hù)套件,其中包括各種實(shí)踐中所需的參數(shù),包括加密算法、散列算法、認(rèn)證方法以及DiffieHellman組,其在協(xié)商過程中是作為整個(gè)套件進(jìn)行協(xié)商。IKE的以上交換均屬于信息方面的交換。在這種交換中,IKE通信雙方可相互間傳達(dá)有關(guān)錯(cuò)誤信息和狀態(tài)咨詢,而且一種新的組交換模式可是各方協(xié)商如何在它們之中使用一個(gè)新的DiffieHellman組(以下簡(jiǎn)稱DH組)。DH組決定了在進(jìn)行一次DH交換時(shí)通信雙方需要采用的參數(shù)。IKE中定義了5個(gè)組,并為每個(gè)組分配了獨(dú)有的值。而對(duì)IKE影響最大的當(dāng)屬認(rèn)證方法,通過通信雙方協(xié)商的認(rèn)證方法,可以改變一次IKE交換,常用的認(rèn)證方法有:預(yù)共享密鑰(Preshared Keys,簡(jiǎn)稱PSK)、PKI(系統(tǒng)默認(rèn))、使用RSA或者DES得到的數(shù)字簽名、使用交換加密的Nonce。在通信雙方第一條信息時(shí),通信各方在向?qū)Ψ桨l(fā)送一部分外部可見的特征外,彼此都會(huì)保留一些私密信息,用于認(rèn)證和保護(hù)IKE消息,以及為其他的安全服務(wù)衍生出相應(yīng)的密鑰。這些私密信息包括以下四種:1)SKEID:經(jīng)過交換密鑰信息后得到的共享密鑰ID,后面三種均是建立它之上的。2)SKEYID_d:用于為IPSec和其他協(xié)議的SA衍生出加密的材料;3)SKEYID_a:用來為IKE消息保障數(shù)據(jù)的完整性以及對(duì)數(shù)據(jù)源的身份認(rèn)證;4)SKEYID_e:用于對(duì)IKE消息進(jìn)行加密。SKEID的生成取決于使用何種認(rèn)證方法,其他的以SKEID為基礎(chǔ)的私密信息都是以相同方式衍生出來。對(duì)于SKEID的生成,通信各方都要分別提供一個(gè)Cookie和Nonce。(2)主模式前文中筆者提到,IKE分為兩個(gè)階段,其中第1階段有兩種模式,分別為主模式和主動(dòng)模式,第2階段只有一種模式,則為快速模式。主模式主要應(yīng)用于協(xié)商階段1的ISAKMP SA,其將密鑰交換信息與身份認(rèn)證信息分離開來,保護(hù)了身份信息,而交換的身份信息受到了前面生成的DH共享密鑰的保護(hù),因此這些增加了3個(gè)消息的開銷。而在整個(gè)主模式下共有3個(gè)步驟并包含6條消息,三個(gè)步驟分別為SA協(xié)商、1次DH交換和1次Nonce交換以及對(duì)ISAKMP協(xié)商能力的完全利用。、由于本課題方案中采用的是預(yù)共享密鑰認(rèn)證方式,所以下面以預(yù)共享密鑰認(rèn)證為例,來講述主模式的體系結(jié)構(gòu),而其他認(rèn)證方式的主模式交換體系結(jié)構(gòu)與此類似。 主模式交換結(jié)構(gòu)圖 IKE協(xié)商會(huì)話,下面將針對(duì)圖中的6條消息進(jìn)行闡述。消息1和消息2發(fā)起者首先向響應(yīng)者發(fā)送其所有的SA載荷信息,響應(yīng)者收到發(fā)起者的消息1之后,將向發(fā)起者發(fā)送1個(gè)SA載荷,用于說明它所接受的正在協(xié)商的SA。在本次交換中通信雙方需要協(xié)商IKE SA的各項(xiàng)參數(shù),并對(duì)交換的其余部分?jǐn)M定規(guī)范。消息3和消息4發(fā)起者和響應(yīng)者交換DH公開值和輔助數(shù)據(jù),如Nonce,Nonce是計(jì)算共享秘密(用來生成加密密鑰和認(rèn)證密鑰)所必需的。本次交換中通信雙方會(huì)交換DH公開值以及偽隨機(jī)Nonce,并生成SKEYID狀態(tài)。消息5和消息6發(fā)起者和響應(yīng)者交換標(biāo)識(shí)數(shù)據(jù)并認(rèn)證DH交換。這兩條消息中傳遞的信息是經(jīng)過加密的,而用于加密的密鑰來自于消息3和消息4中交換的密鑰信息,因此身份信息受到了保護(hù)。本次交換中通信雙方各自標(biāo)定自己的身份,并相互交換認(rèn)證散列摘要,交換過程中,用SKEYID_e進(jìn)行加密。對(duì)于各種認(rèn)證方式的主模式交換,可用一個(gè)比較形象且易于理解的圖示來說明。(3)主動(dòng)模式主動(dòng)模式和主模式的作用相同,都是建立一個(gè)已認(rèn)證的SA和密鑰,隨后IKE可用它們?yōu)槠渌麉f(xié)議建立SA。二者的主要差別在于主動(dòng)模式只需用到主模式一半的消息。由于對(duì)消息的數(shù)量進(jìn)行了限制,主動(dòng)模式同時(shí)也限制了它的協(xié)商能力,而且不會(huì)提供身份保護(hù)。主動(dòng)模式允許同時(shí)傳送與SA、密鑰交換和認(rèn)證相關(guān)的載荷,而將這些載荷組合到一條信息中,減少了信息的交換次數(shù),但這樣正如前述而無法提供身份保護(hù)。主動(dòng)模式運(yùn)用的場(chǎng)合很少,但在實(shí)際應(yīng)用當(dāng)中也能碰到,比如在需要運(yùn)行遠(yuǎn)程訪問的環(huán)境下,由于發(fā)起者的地址是響應(yīng)者無法預(yù)先知曉,而且雙方都打算使用預(yù)共享密鑰認(rèn)證方法,則要想建立IKE SA,主動(dòng)模式便是唯一可行的交換方式。另外,如果發(fā)起者已知響應(yīng)者的策略,或者對(duì)策略有著非常全面的理解,此時(shí)發(fā)起方?jīng)]有必要利用IKE和響應(yīng)者協(xié)商全部功能,則此時(shí)也可以用主動(dòng)模式交換,這樣它們可以更加快捷地建立IKE SA。(4)快速模式在經(jīng)過階段1建立好IKE SA之后,可用這些IKE SA為其他安全協(xié)議生成相應(yīng)的SA,而這些SA則是通過快速模式交換建立起來的。同時(shí),在單獨(dú)一個(gè)IKE SA的保護(hù)下,可以執(zhí)行一次甚至并發(fā)地執(zhí)行多次快速模式交換。在本模式交換中,通信雙方需要協(xié)商擬定IPSec SA的各項(xiàng)特征,并為其生成密鑰。IKE保護(hù)快速模式的方式主要是對(duì)其進(jìn)行加密,并對(duì)消息進(jìn)行認(rèn)證。其中消息的認(rèn)證時(shí)通過相關(guān)散列函數(shù)進(jìn)行,來自IKE SA的SKEYID_a的值作為一個(gè)密鑰,對(duì)快速模式進(jìn)行相關(guān)認(rèn)證,這樣除了保障了快速模式下數(shù)據(jù)的完整性之外,還能提供對(duì)數(shù)據(jù)源的身份認(rèn)證。因?yàn)樵谙⑹盏街?,只有來自通過認(rèn)證的實(shí)體,而且消息在傳輸過程中并未發(fā)生改變。至于加密則是通過使用SKEYID_e的值來完成的。:1)消息1,發(fā)起者向接收者分別發(fā)送散列載荷、SA載荷、Nonce載荷各一個(gè),以及可選的密鑰交換信息和標(biāo)識(shí)信息。如果需要PFS,則此消息中必須包含密鑰交換信息。散列載荷中包含信息摘要,它是使用前面協(xié)商好的偽隨機(jī)函數(shù)對(duì)頭中的消息ID連同散列載荷后面的全部消息部分(包括所有載荷頭)進(jìn)行計(jì)算的結(jié)果。2)消息2消息2中的載荷和消息1中的載荷類型。散列2中包含指紋的生成和散列1中的類似,只是除去了載荷頭的發(fā)起者Nonce,Ni插入在消息ID之后、其他部分之前。3)消息3消息3是用于對(duì)前面的交換進(jìn)行認(rèn)證,僅由ISAKMP和散列載荷組成。本章簡(jiǎn)要地介紹了GRE與IPSec相關(guān)技術(shù),下一張將結(jié)合前一章和本章內(nèi)容,來對(duì)本課題案例的系統(tǒng)進(jìn)行分析和概要設(shè)計(jì)。 第三章 系統(tǒng)VPN分析與概要設(shè)計(jì)前面兩章介紹了VPN的基本概念,以及GRE與IPSec相關(guān)技術(shù),后續(xù)內(nèi)容將從本章開始,結(jié)合合肥百大集團(tuán)網(wǎng)絡(luò)拓?fù)?,開始本課題的設(shè)計(jì)與仿真。隨著合肥百大集團(tuán)不斷的壯大發(fā)展,不但在合肥擁有眾多百貨大樓,同時(shí)在安徽蚌埠、蕪湖、淮南、黃山等多個(gè)縣市擁有業(yè)務(wù)分支。根據(jù)業(yè)務(wù)的需要,為了更好更穩(wěn)定的保證總部與分支的數(shù)據(jù)通訊,分支和中心之間采用OSPF動(dòng)態(tài)路由協(xié)議。由于網(wǎng)絡(luò)接入形式的多樣化,在考慮使用VPN對(duì)專線備份,來滿足業(yè)務(wù)延展性的需要,對(duì)網(wǎng)絡(luò)的實(shí)現(xiàn)形式也增加了限制條件。如何在開放的Internet網(wǎng)絡(luò)上建立私有數(shù)據(jù)傳輸通道,將遠(yuǎn)程的分支連接起來,同時(shí)又要保證數(shù)據(jù)傳輸?shù)陌踩??以下將根?jù)實(shí)際需求和相關(guān)技術(shù)的優(yōu)勝劣汰進(jìn)行闡述,以最終選擇出適合本課題的最佳技術(shù)方案。由于合肥百大集團(tuán)已經(jīng)發(fā)展到全省的各個(gè)市縣區(qū)均有業(yè)務(wù)分支機(jī)構(gòu),分支機(jī)構(gòu)與合肥總部中心之間的數(shù)據(jù)交互密不可分,這樣就需要專門的鏈路來使得總部與各分支機(jī)構(gòu)之間互聯(lián)。然而,在實(shí)際應(yīng)用當(dāng)中,就如同前文所述(),穿越整個(gè)互聯(lián)網(wǎng),是不可能鋪設(shè)專門的物理鏈路來滿足業(yè)務(wù)的需求,因?yàn)榧茉O(shè)專用鏈路所需的代價(jià)太高,顯然這樣的設(shè)計(jì)是不切實(shí)際的。因此需要一種VPN技術(shù)來滿足集團(tuán)的業(yè)務(wù)需求。但是,前文中已經(jīng)描述過,VPN技術(shù)由很多種(),如何在諸多種VPN技術(shù)中選擇出適合本集團(tuán)所需的VPN技術(shù)呢,這要根據(jù)集團(tuán)網(wǎng)絡(luò)實(shí)際設(shè)計(jì)和需求來決定。由于合肥百大集團(tuán)在分支與中心之間采用三層路由協(xié)議,顯然就應(yīng)該使用三層VPN技術(shù),從而淘汰前文所述的二層VPN技術(shù),如PPTP VPN、L2F VPN和L2TP VPN等,同時(shí)也可以淘汰掉SSL VPN技術(shù),因?yàn)镾SL是高于IP層的第四層協(xié)議。另外,MPLS VPN在此也不大適合集團(tuán)的VPN設(shè)計(jì),因?yàn)镸PLS是獨(dú)立于二層和三層的協(xié)議,其適合更大的機(jī)構(gòu)網(wǎng)絡(luò)運(yùn)用,因?yàn)榇笮途W(wǎng)絡(luò)要結(jié)合IGP和BGP,而MPLS就是由于此種需求應(yīng)運(yùn)而生的,因此在本案例設(shè)計(jì)中,也不應(yīng)該用此技術(shù)。同時(shí),綜合上述淘汰的諸多VPN技術(shù),而產(chǎn)生的相互嵌套結(jié)合的VPN技術(shù)也隨之被棄選。因此,鑒于以上分析,適合三層VPN技術(shù)的有GRE VPN技術(shù)和IPSec VPN技術(shù)。但是如何在這兩種技術(shù)之間進(jìn)行優(yōu)選的決策呢?從前面章節(jié)(第二章)我們可以知道,IPSec VPN具有完好的加密認(rèn)證技術(shù),但是其IP路由只支持靜態(tài)路由,顯然對(duì)于像百大集團(tuán)這樣一個(gè)大型公司來說,靜態(tài)路由指派顯然是一件效率極其低下的事情。在IPSec協(xié)議的實(shí)現(xiàn)過程中,研究機(jī)構(gòu)為了彌補(bǔ)IPSec的這種缺陷,也相繼研究出實(shí)現(xiàn)IPSec協(xié)議支持動(dòng)態(tài)路由協(xié)議的特性,即IPSec Profile。但是這種技術(shù)即使實(shí)現(xiàn)了IPSec支持動(dòng)態(tài)路由協(xié)議的功能,也無法滿足百大集團(tuán)的現(xiàn)實(shí)需求,因?yàn)樵诂F(xiàn)有的網(wǎng)絡(luò)設(shè)備的軟件版本來說,很多版本并不支持這種技術(shù)。所以需要選擇另外的、比較傳統(tǒng)的隧道技術(shù)來結(jié)合傳統(tǒng)的IPSec協(xié)議,這種比較傳統(tǒng)且較為常用的技術(shù)就是GRE隧道技術(shù)。由上一章關(guān)于GRE與IPSec的介紹,我們不難總結(jié)出關(guān)于這兩種協(xié)議的優(yōu)缺點(diǎn):GRE優(yōu)點(diǎn):支持單播、組播、廣播和非IP數(shù)據(jù)流。 缺點(diǎn):不提供安全加密功能。 適用場(chǎng)合:適用于復(fù)雜的網(wǎng)絡(luò)拓?fù)?、IP或非IP網(wǎng)絡(luò)及高安全性 能的網(wǎng)絡(luò)環(huán)境。 IPSec優(yōu)點(diǎn):為數(shù)據(jù)提供加密、完整性、源認(rèn)證和防重放功能。 缺點(diǎn):只支持單播和IP數(shù)據(jù)流。 適用場(chǎng)合:適用于高安全性能、簡(jiǎn)單拓?fù)渑渲玫腎P網(wǎng)絡(luò)環(huán)境。因此,結(jié)合1和2關(guān)于GRE與IPSec優(yōu)缺點(diǎn)的描述來看,為了滿足本案例的業(yè)務(wù)需求,可將GRE與IPSec相結(jié)合而互補(bǔ)優(yōu)缺點(diǎn)。經(jīng)過以上分析可知,GRE協(xié)議和IPSec協(xié)議具有互補(bǔ)性,結(jié)合二者這種互補(bǔ)性,可以滿足百大集團(tuán)的關(guān)于同時(shí)支持動(dòng)態(tài)路由協(xié)議和安全加密認(rèn)證的需求。而關(guān)于這兩種VPN技術(shù)的結(jié)合,有兩者結(jié)合方式,亦即GRE over IPSec VPN和IPSec over GRE VPN。關(guān)于這兩種技術(shù)(即GRE over IPSec VPN技術(shù)和IPSec over GRE VPN技術(shù))的細(xì)則問題,則后文第四章的相關(guān)章節(jié)有詳細(xì)的介紹,此處不多做解釋,而最終的選擇則是GRE over IPSec VPN技術(shù),下面將針對(duì)此技術(shù)進(jìn)行本系統(tǒng)的規(guī)劃和設(shè)計(jì)。網(wǎng)絡(luò)設(shè)備的互聯(lián),則表示的是合肥百大集團(tuán)GRE over IPSec VPN的公網(wǎng)接入拓?fù)鋱D,其中路由器Center代表百大集團(tuán)在合肥的總部中心路由器,而VPN1~VPN5的五個(gè)路由器則分別代表分布在全省各個(gè)市縣區(qū)的分支機(jī)構(gòu)的接入網(wǎng)路由器(此處只選擇其中的五個(gè),因?yàn)槊總€(gè)分支機(jī)構(gòu)的配置都大同小異),亦即經(jīng)OSPF劃分區(qū)域后,這些路由器則為普通區(qū)域與骨干區(qū)域的邊界路由器。路由器ISP則代表互聯(lián)網(wǎng),其接口serial0/0~s1/1則代表運(yùn)營(yíng)商提供給總部和每個(gè)分支機(jī)構(gòu)的出口,、。與路由器ISP的接口serial0/0~s1/1直連的總部以及分支機(jī)構(gòu)的接入網(wǎng)路由器的接口,除總部路由器Center接口為serial0/0外,其余分支機(jī)構(gòu)的分別為每個(gè)分支機(jī)構(gòu)路由器的接口serial0/0,、。整個(gè)網(wǎng)絡(luò)進(jìn)行OSPF區(qū)域劃分合肥總部網(wǎng)絡(luò)中心的區(qū)域?yàn)锳rea 6,其中服務(wù)器分別為WWW服務(wù)器、Email服務(wù)器、FTP服務(wù)器以及Database服務(wù)器,;,依次分別為Area Area Area Area Area 5,;穿越互聯(lián)網(wǎng)的區(qū)域?yàn)锳rea 0。同時(shí),Area 1~ Area 6與Area 、。GRE隧道設(shè)計(jì)合肥總部路由器Center的接口serial0/0與各個(gè)分支機(jī)構(gòu)的OSPF區(qū)域邊界路由器的接口serial0/0,通過互相指派為源和目的來建立GRE隧道,然后在每個(gè)隧道運(yùn)行0SPF協(xié)議,使得能夠動(dòng)態(tài)學(xué)習(xí)到相關(guān)的網(wǎng)段。IPSec隧道設(shè)計(jì)由于本系統(tǒng)相關(guān)技術(shù)是基于GRE over IPSec VPN技術(shù),故而在各個(gè)分支機(jī)構(gòu)內(nèi)部以及總部的內(nèi)部網(wǎng)絡(luò)中的主機(jī)傳輸?shù)臄?shù)據(jù),到達(dá)邊界路由器時(shí)便通過GRE隧道接口進(jìn)行GRE封裝,然后將經(jīng)過封裝后的GRE數(shù)據(jù)包再通過IPSec隧道接口進(jìn)行加密封裝。由此可見,針對(duì)于GRE數(shù)據(jù)包,各分支機(jī)構(gòu)的邊界路由器與總部的邊界路由器之間相互通信的加密點(diǎn)和通信點(diǎn)均落在所有的邊界路由器上,故而可以選擇的IPSec的數(shù)據(jù)包封裝模式為傳輸模式,而不是選擇隧道模式,主要是因?yàn)樗淼滥J揭葌鬏斈J蕉嗔艘粋€(gè)20B的、和傳輸模式一樣的報(bào)頭,這樣就使得每個(gè)隧道模式的數(shù)據(jù)包比傳輸模式的數(shù)據(jù)包少傳輸20B的數(shù)據(jù),影響到數(shù)據(jù)的傳輸速率。同時(shí),隧道模式因?yàn)槎嘣黾恿藬?shù)據(jù)報(bào)頭,就會(huì)增加網(wǎng)絡(luò)設(shè)備的內(nèi)存和CPU資源,影響網(wǎng)絡(luò)設(shè)備的整體性能,增大網(wǎng)絡(luò)傳輸?shù)难舆t,等等。鑒于上述原因,最終選擇了GRE over IPSec VPN技術(shù)中的IPSec傳輸模式。對(duì)于IPSec通信對(duì)等點(diǎn),總部路由器的接口serial0/0與各個(gè)分支機(jī)構(gòu)路由器的接口serial0/0之間相互認(rèn)證為IPS
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1