【正文】 ESP ESP的認(rèn)證 ESP的認(rèn)證 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 76 / 107 傳輸模式中的 AH ? 傳輸模式中的驗(yàn)證頭 AH （ Authentication Header）用于為 IP 提供數(shù)據(jù)完整性、數(shù)據(jù)原始身份驗(yàn)證和一些可選的、有限的抗重播服務(wù)，但不提供數(shù)據(jù)加密功能 IP頭 AH TCP頭 數(shù) 據(jù) 下一個(gè)頭 負(fù)載長(zhǎng)度 （保留） 安全參數(shù)索引 序列號(hào) 認(rèn)證數(shù)據(jù)（ HMAC） 32 bit Tnbm P774 Fig. 827 在 IPv4的傳輸模式中的IPSec認(rèn)證頭 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 77 / 107 傳輸模式和隧道模式中的 ESP ESP（ Encapsulating Security Payload） ? 屬于 IPSec的一種協(xié)議，可用于確保 IP數(shù)據(jù)包的機(jī)密性（未被別人看過(guò)）、數(shù)據(jù)的完整性以及對(duì)數(shù)據(jù)源的身份驗(yàn)證，此外，也要負(fù)責(zé)對(duì)重播攻擊的抵抗 IP頭 ESP頭 TCP頭 數(shù) 據(jù) 認(rèn)證（ HMAC） 這部分內(nèi)容被加密 Tnbm P775 Fig. 828 新 IP頭 ESP頭 老 IP頭 TCP頭 數(shù) 據(jù) 認(rèn)證（ HMAC） 這部分內(nèi)容被加密 ? 傳輸模式中的 ESP ? 隧道模式中的 ESP 這部分內(nèi)容被認(rèn)證 這部分內(nèi)容被認(rèn)證 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 78 / 107 通信安全 ? IPSec ? 防火墻 ? VPN 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 79 / 107 防火墻 Firewall ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 80 / 107 防火墻的作用 ? 保障內(nèi)部網(wǎng)絡(luò)的安全，不受攻擊 ? 監(jiān)視、記錄進(jìn)出內(nèi)部網(wǎng)的信息，包括流量統(tǒng)計(jì)，設(shè)置訪問(wèn)控制表等 ? 可以設(shè)置 NAT（ Network Address Translate） 網(wǎng)絡(luò)地址轉(zhuǎn)換器，用于節(jié)約 IP地址，使大量用戶使用少量 IP地址，讓用戶僅在出子網(wǎng)時(shí)使用正式的 IP地址，否則使用內(nèi)部的 IP地址，對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu) ? 可采用加密技術(shù)對(duì)信息進(jìn)行加密處理 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 81 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 82 / 107 基于協(xié)議層的防火墻分類 ? 包過(guò)濾器：網(wǎng)絡(luò)層 ? 應(yīng)用網(wǎng)關(guān)：應(yīng)用層 在實(shí)際應(yīng)用中，通常防火墻的安裝位置 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 包過(guò)濾器 包過(guò)濾器 應(yīng)用網(wǎng)關(guān) 防火墻 外部網(wǎng)絡(luò) 企業(yè)內(nèi)網(wǎng) 路由器 防火墻 企業(yè)外網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 83 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 84 / 107 網(wǎng)絡(luò)層防火墻 ? 檢查的項(xiàng)目 源 IP地址 目的 IP地址 TCP/IP協(xié)議及其源、目的端口號(hào) (port number) ? 訪問(wèn)控制表 （ +表示無(wú)限制） action src port des port flag ments allow + 1023 23 tel allow + 1023 25 SMTP allow 1023 119 NNTP allow + + + + ACK 回答響應(yīng) block hackers address + + + 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 85 / 107 網(wǎng)絡(luò)層防火墻 （續(xù)） ? 可能存在的漏洞 ? IP地址欺騙：冒充被授權(quán)或被信任的主機(jī) ? IP分段和重組： IP包的最大長(zhǎng)度為 65535Byte，傳輸過(guò)程中允許分段，如重組后的長(zhǎng)度超過(guò)65535，則 TCP/IP的協(xié)議棧將崩潰 ? 其他安全漏洞 1 2 router 外部網(wǎng) 盜用內(nèi)部IP地址 PSTN 內(nèi)部網(wǎng) 外部網(wǎng) 防火墻 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 86 / 107 防火墻 ? 防火墻的作用 ? 基于協(xié)議層的防火墻分類 ? 網(wǎng)絡(luò)層防火墻 ? 應(yīng)用層防火墻 內(nèi)部網(wǎng) 外部網(wǎng) 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 87 / 107 應(yīng)用層防火墻 ? 采用代理網(wǎng)關(guān)，外部網(wǎng)委托代理執(zhí)行相應(yīng)的操作 內(nèi)部網(wǎng) 外部網(wǎng) 代理 代理 應(yīng)用層防火墻 額外功能： ? 代理可控制一些服務(wù)的子功能，如 FTP，可設(shè)置服務(wù)器只提供 get不提供 put ? 流量、計(jì)費(fèi)等功能 ? 檢查傳輸信息本身，如 mail 對(duì)不同的應(yīng)用，應(yīng)建立不同的應(yīng)用網(wǎng)關(guān)，開(kāi)銷較大，所以通常僅開(kāi)放幾個(gè)常用的應(yīng)用 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 88 / 107 通信安全 ? IPSec ? 防火墻 ? VPN 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 89 / 107 VPN ? 在公共網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)的技術(shù)，以取代原來(lái)的專線 ? VPN可建在 ATM或幀中繼上，但目前一般指的是建立在 Inter上，通過(guò)防火墻和隧道技術(shù)保證安全 Inter 防火墻 Tnbm P779 Fig. 830 VPN 防火墻《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 90 / 107 本章將討論： ? 密碼學(xué) ? 對(duì)稱密鑰算法 ? 公開(kāi)密鑰算法 ? 數(shù)字簽名 ? 公鑰管理 ? 通信安全 ? 認(rèn)證協(xié)議 ? Email的安全 ? Web安全 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 91 / 107 認(rèn)證協(xié)議 ? 驗(yàn)證通信對(duì)方是約定的可信任者而不是入侵者 ? 兩種認(rèn)證方法 ? 基于公鑰：用 PKI的機(jī)制 ? 基于對(duì)稱密鑰 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 92 / 107 基于共享密鑰的雙向認(rèn)證 ? 通信雙方 A和 B事先已通過(guò)安全通道交換了一個(gè)共享密鑰 KAB，此時(shí)認(rèn)證可用 challengeresponse協(xié)議 Tnbm P787 Fig. 832 使用 challengeresponse協(xié)議雙向認(rèn)證的方法 Alice Bob A RB KAB(RB) RA KAB(RA) 1 2 3 4 5 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 93 / 107 雙向認(rèn)證過(guò)程說(shuō)明 事先 A和 B已通過(guò)安全通道交換了一個(gè)共享密鑰 KAB 1. Alice向 Bob發(fā)送自己的標(biāo)識(shí) A， Bob收到，但無(wú)法斷定此標(biāo)識(shí) A是Alice發(fā)的還是 Trudy發(fā)的 2. 于是， Bob將已選定的大隨機(jī)數(shù) R，用私有密鑰加密成 RB后發(fā)送 3. Alice收到 RB，由于事先 Alice已與 Bob交換了一個(gè)共享密鑰 KAB，于是， Alice用 KAB對(duì) RB加密后發(fā)還給 Bob， Bob在收到 KAB(RB)后才確認(rèn)對(duì)方是 Alice，因?yàn)?Trudy是沒(méi)有 KAB的 4. 但此時(shí) Alice尚不能斷定和自己通信的是否就是 Bob，于是 Alice也將已選定的大隨機(jī)數(shù) R用私有密鑰加密成 RA后發(fā)送 5. Bob也用 KAB對(duì) RA加密后發(fā)還給 Alice， Alice在收到 KAB(RA)后也確認(rèn)對(duì)方是 Bob，至此，通信雙方 Alice和 Bob得到了雙向認(rèn)證 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 94 / 107 簡(jiǎn)化的雙向認(rèn)證過(guò)程 ? challengeresponse協(xié)議的雙向認(rèn)證過(guò)程可作如下簡(jiǎn)化 Tnbm P787 Fig. 833 雙向 認(rèn)證過(guò)程的簡(jiǎn)化 其實(shí)此雙向認(rèn)證協(xié)議還是存在漏洞的 P788 Alice Bob A, RA RB, KAB(RA) KAB(RB) 1 2 3 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 95 / 107 創(chuàng)建一個(gè)共享密鑰 — DiffieHellman密鑰交換 ? 在一個(gè)不保密的、不受信任的通信信道上（比如Inter），在密鑰交換雙方之間，建立起一個(gè)安全的共享秘密的會(huì)話機(jī)制（用于交換共享密鑰） ? DiffieHellman交換過(guò)程中涉及到的所有參與者，首先都必須隸屬于同一個(gè)組，這個(gè)組定義了一個(gè)大素?cái)?shù) n（并且 (n1)/2也是素?cái)?shù)），以及底數(shù) g 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 96 / 107 DiffieHellman密鑰交換協(xié)議 ? 由發(fā)起者 Alice選擇大素?cái)?shù) n和底數(shù) g，并選擇私鑰 x ? Bob選擇私鑰 y Tnbm P791 Fig. 837 DiffieHellman密鑰交換協(xié)議 Alice Bob n, g, gx mod n gy mod n 1 2 Alice計(jì)算 (gy mod n)x mod n =gxy mod n = w Bob計(jì)算 (gx mod n)y mod n =gxy mod n = w 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 97 / 107 DiffieHellman密鑰交換過(guò)程 在定義了大素?cái)?shù) n和底數(shù) g后， Alice和 Bob需要通信： ? Alice和 Bob都必須選擇一個(gè)大數(shù)作為私鑰（例如長(zhǎng)度為512 bit），假設(shè)： Alice選擇了 x， Bob選擇了 y，并分別進(jìn)行乘冪和求模運(yùn)算， Alice計(jì)算得 A = gx mod n， Bob計(jì)算得 B = gy mod n ? Alice和 Bob相互交換， Alice將 A給 Bob， Bob將 B給 Alice ? Alice和 Bob分別再次執(zhí)行乘冪和求模運(yùn)算，由于 Bx mod n = Ay mod n = gxy mod n = w, 所以雙方的計(jì)算結(jié)果相同，這個(gè)結(jié)果值 w 就是 Alice和 Bob的共享密鑰 《 Computer Networks V4》 2022/5/28 第 8章 網(wǎng)絡(luò)安全 98 / 107 DiffieHellman算法舉例 ? Alice選定大素?cái)?shù) n = 47， g = 3和自己的密鑰 x = 8；并計(jì)算：gx = 38， 38 mod 47 = 28；然后將 (47, 3, 28)發(fā)送給 B