第四章-安全协议ppt课件.ppt

《第四章-安全协议ppt课件.ppt》由会员分享，可在线阅读，更多相关《第四章-安全协议ppt课件.ppt（81页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第四章第四章 安全协议安全协议经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用4.1 链路层安全协议链路层安全协议o数据链路层安全性是指在数据链路上各个节点之间能够安数据链路层安全性是指在数据链路上各个节点之间能够安全地交换数据。它表现为以下两个方面：全地交换数据。它表现为以下两个方面：n1、数据机密性：防止在数据交换过程中数据被非法窃听；、数据机密性：防止在数据交换过程中数据被非法窃听；n2、数据完整性：防止在数据交换过程中数据被非法篡改。、数据完整性：防止在数据交换过程中数据被非法篡改。o数据交换过程中数据机

2、密性和完整性主要通过密码技术实数据交换过程中数据机密性和完整性主要通过密码技术实现的，即通信双方必须采用一致的加密算法来解决数据机现的，即通信双方必须采用一致的加密算法来解决数据机密性和完整性的问题。密性和完整性的问题。o数据链路层安全协议增强了数据链路层协议的安全性，即数据链路层安全协议增强了数据链路层协议的安全性，即在数据链路层协议的基础上增加了安全算法协商和数据加在数据链路层协议的基础上增加了安全算法协商和数据加密密/解密处理的功能和过程。解密处理的功能和过程。o本章主要介绍基于本章主要介绍基于PPP的数据链路层安全协议。的数据链路层安全协议。经营者提供商品或者服务有欺诈行为的，应当按照

3、消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用点到点协议点到点协议PPPo介绍基于介绍基于PPP的数据链路层安全协议之前，首先简单介绍的数据链路层安全协议之前，首先简单介绍一下点到点协议一下点到点协议PPP。o在现在的远程通信中，一般采用点到点协议在现在的远程通信中，一般采用点到点协议PPP（Point-to-Point Protocol），它提供了一种在异步或同步串行），它提供了一种在异步或同步串行链路上封装、传输多种协议数据报的标准方法，并且能够链路上封装、传输多种协议数据报的标准方法，并且能够充分地支持充分地支持IP。oPPP主要由三个部分组成：主

4、要由三个部分组成：n1、PPP数据封装方法：用于对多种协议的数据报进行数据封装方法：用于对多种协议的数据报进行PPP封装；封装；n2、连接控制协议、连接控制协议LCP（Link Control Protocol）；用于建立、）；用于建立、终止、配置和测试终止、配置和测试PPP连接；连接；n3、网络控制协议、网络控制协议NCP（Network Control Protocol）：用）：用于在于在PPP连接上建立和配置不同的网络层协议。连接上建立和配置不同的网络层协议。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用

5、o1、PPP封装封装n由于由于PPP可以支持多种协议数据报的传输，它采用了一个统一可以支持多种协议数据报的传输，它采用了一个统一的数据报格式对这些不同协议的数据报进行的数据报格式对这些不同协议的数据报进行PPP封装，这种数封装，这种数据报格式称为据报格式称为PPP数据报，如下图所示：数据报，如下图所示：n协议域：一般为协议域：一般为2个字节，它指出了在信息域中所封装数据报的个字节，它指出了在信息域中所封装数据报的协议类型。协议类型的编码由协议类型。协议类型的编码由IANA统一分配和管理；统一分配和管理；n信息域：可以为信息域：可以为0或多个字节，其中的内容是特定协议类型的数或多个字节，其中的内

6、容是特定协议类型的数据报，而协议类型由协议域指示；据报，而协议类型由协议域指示；n填充域：可以为填充域：可以为0或多个字节。因为或多个字节。因为PPP可以根据需要插入一些可以根据需要插入一些填充字节。填充字节。协议域协议域信息域信息域填充域填充域经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o2、连接控制协议、连接控制协议LCPnLCP主要用于建立、终止、配置和测试主要用于建立、终止

7、、配置和测试PPP连连接。它提供了一种可扩展的连接参数协商和配接。它提供了一种可扩展的连接参数协商和配置机制，可用于在建立置机制，可用于在建立PPP连接时配置和优化连接时配置和优化连接参数，并且提供了对连接的附加管理能力，连接参数，并且提供了对连接的附加管理能力，以便获得最佳的以便获得最佳的PPP连接传输性能；连接传输性能；nLCP定义了三种定义了三种LCP数据报数据报oLCP配制报文：其中包括配置请求、配置确认、配配制报文：其中包括配置请求、配置确认、配置否认和配置拒绝等四种报文类型，用于建立和配置否认和配置拒绝等四种报文类型，用于建立和配置置PPP连接；连接；经营者提供商品或者服务有欺诈行

8、为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用oLCP终止报文：其中包括终止请求和终止确认两种终止报文：其中包括终止请求和终止确认两种报文，用于终止报文，用于终止PPP连接；连接；oLCP测试报文：其中包括代码拒绝、协议拒绝、回测试报文：其中包括代码拒绝、协议拒绝、回送请求、放弃请求、身份标识和连接剩余时间等报送请求、放弃请求、身份标识和连接剩余时间等报文类型，用于管理和测试文类型，用于管理和测试PPP连接。连接。nLCP数据报文是一种协议域为数据报文是一种协议域为Oxc021的特定的特定数据报，并通过代码域定义了上述各种数据报，并通过代码

9、域定义了上述各种LCP数数据报文，具体如下图所示：据报文，具体如下图所示：Oxc021信息域信息域填充域填充域数据域数据域长度域长度域(2)标识域标识域(2)代码域代码域(2)经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用信息域信息域填充域填充域数据域数据域长度域长度域(10)标识域标识域()代码域代码域(1)Oxc021Type(3)Length(Ox04)C023(PAP)C22

10、3(CHAP)经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o3、网络控制协议、网络控制协议NCPnNCP用于在用于在PPP连接上建立和配置不同的网络层协议，使得连接上建立和配置不同的网络层协议，使得在同一在同一PPP连接上可同时传输多种网络层协议的数据报，但连接上可同时传输多种网络层协议的数据报，但通信双方必须配置和使用相同的网络层协议；通信双方必须配置和使用相同的网络层协议；nNCP包含了一组网络控制协议，分别对应不同的网络层协议，包含了一组网络控制协议，分别对应不同的网络层协议，其中其中IP所对应的网络控

11、制协议是所对应的网络控制协议是IP控制协议控制协议IPCP（IPControlProtocol）；）；nIPCP用于在用于在PPP连接上建立、配置和终止连接上建立、配置和终止IP，只有通信双，只有通信双方使用方使用ICPC配置了配置了IP后，才能在后，才能在PPP连接上发送和接收连接上发送和接收IP数据报；数据报；nIPCP同样定义了一组同样定义了一组IPCP数据报和配置选项，它们都是与数据报和配置选项，它们都是与IP有关，而与建立、终止和配置有关，而与建立、终止和配置PPP连接本身没有关系。连接本身没有关系。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔

12、偿的金额为消费者购买商品的价款或接受服务的费用Ox8021信息域信息域填充域填充域代码域代码域(1)标识域标识域()长度域长度域(10)数据域数据域Type(3)Length(Ox04)Ip Address经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o在缺省情况下在缺省情况下PPP连接不需要进行身份认证。连接不需要进行身份认证。如果需要对某一方或双方身份进行认证，则如果需要对某一方或双方身份进行认证，则必须在建立必须在建立PPP连接时配置连接认证协议。连接时配置连接认证协议。PPP提供了两种可选择的连接认证协

13、议：提供了两种可选择的连接认证协议：n（1）口令认证协议）口令认证协议PAP（Password Authentication Protocol）n（2）挑战）挑战-握手协议握手协议CHAP（Challenge-Handshake Authentication Protocol）经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o（1）口令认证协议）口令认证协议PAPnPAP是一种两次握手认证协议，被认证方认证方通过交是一种两次握手认证协议，被认证方认证方通过交换一系列换一系列PAP数据报实现身份认证过程；数据报实现

14、身份认证过程；n两次握手认证过程如下：两次握手认证过程如下：oStep1.在建立在建立PPP连接后连接后,首先由被认证方向认证方发送首先由被认证方向认证方发送PAP认证请求报文认证请求报文,PAP认证请求报文中含有表示被认证方认证请求报文中含有表示被认证方身份的用户名和口令等认证信息身份的用户名和口令等认证信息;oStep2.认证方接收到认证方接收到PAP认证请求报文后认证请求报文后,根据认证信息根据认证信息对被认证方的身份合法性进行认证对被认证方的身份合法性进行认证,然后根据认证结果返回然后根据认证结果返回PAP认证确认报文或认证确认报文或PAP认证否认报文认证否认报文;经营者提供商品或者服

15、务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o如果认证方确认了被认证方的身份合法性如果认证方确认了被认证方的身份合法性,则认证则认证过程结束过程结束,准备转入数据报文传输准备转入数据报文传输;否则否则,重复进行重复进行上述认证上述认证,直到确认被认证方的身份合法性直到确认被认证方的身份合法性,或者重或者重复一定次数后复一定次数后,认证方终止认证方终止PPP连接连接.nPAP中用户的用户名和口令在网络上是以明文中用户的用户名和口令在网络上是以明文传输的传输的,这影响了这影响了PAP协议的安全性协议的安全性.经营者提供商品或者服务有

16、欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o(2)挑战挑战-握手协议握手协议CHAPnCHAP是一种三次握手认证协议是一种三次握手认证协议,被认证方和认被认证方和认证方通过交换一系列证方通过交换一系列CHAP报文实现身份认证报文实现身份认证过程过程.n其三次握手认证过程如下其三次握手认证过程如下:oStep1.在建立在建立PPP连接后连接后,首先由认证方向被认首先由认证方向被认证方发送证方发送CHAP挑战报文中含有标识符和挑战值等挑战报文中含有标识符和挑战值等信息信息.其中挑战值是由认证方随即产生的杂乱的字其中挑战值是由认证方随即

17、产生的杂乱的字节流节流,具有全局唯一性和不可预测性具有全局唯一性和不可预测性;经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用oStep2.被认证方接收到被认证方接收到CHAP挑战报文后挑战报文后,根据根据CHAP挑战报文中的标识符和询问值挑战报文中的标识符和询问值,使用单向散使用单向散列函数计算出响应值列函数计算出响应值,并使用单密钥加密算法加密并使用单密钥加密算法加密响应值响应值.然后通过然后通过CHAP响应报文传送给认证方响应报文传送给认证方,以以证明自己的身份证明自己的身份;oStep3.认证方接收到认证

18、方接收到CHAP响应报文后响应报文后,将返回的将返回的响应值与期望的响应值比较响应值与期望的响应值比较.相同相同,则说明对方身份则说明对方身份合法合法;否则否则,非法非法,终止终止PPP连接连接.经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用nCHAP中使用的单向散中使用的单向散列函数是列函数是MD5,因此因此,使用单向散列函数得到使用单向散列函数得到的响应值的长度为的响应值的长度为128位位,即即16个字节个字节.nCHAP中的密钥是不在中的密钥是不在网络上进行传送的网络上进行传送的,因因此此,其安全性要高于

19、其安全性要高于PAP.但计算响应值会但计算响应值会产生的一定的系统延迟产生的一定的系统延迟.初始状态初始状态通信过程通信过程结束结束NCPCHAP认证认证连接建立阶段连接建立阶段(LCP)CHAP经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用点到点隧道协议点到点隧道协议PPTPoPPTP最初由最初由Microsoft公司提出公司提出,并将该协议集成到了并将该协议集成到了Windows NT操作系统中操作系统中.为了推动为了推动PPTP的开发和应用的开发和应用,专专门成立了门成立了PPTP论坛论坛,经过多次修改经

20、过多次修改,于于1999年年7月公布了月公布了PPTP标准文档标准文档-RFC2637.oPPTP是是PPP的扩展的扩展,提供了一种通过提供了一种通过IP网络传送网络传送PPP数据报数据报文的方法文的方法.oPPTP采用了采用了Client/Server体系结构体系结构,定义了两个基本构件定义了两个基本构件:一是客户端的一是客户端的PPTP访问集中器访问集中器PAC(PPTP Access Connectrator);二是服务器端的二是服务器端的PPTP网络服务器网络服务器PNS(PPTP Network Server).o它采用了一种增强的通用路由封装它采用了一种增强的通用路由封装GRE(G

21、eneric Routing Encapsulation)协议在协议在PAC和和PNS之间建立了一个基于之间建立了一个基于PPP会话的传输隧道会话的传输隧道,提供了多协议封装和多提供了多协议封装和多PPP通道捆绑传通道捆绑传输功能输功能,同时提供了对封装的同时提供了对封装的PPP报文的流量控制和拥塞控制报文的流量控制和拥塞控制机制机制.经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用oPPTP由两部分组成由两部分组成:一是在一是在PAC-PNS之之间的控制连接间的控制连接,负责建立、管理和释放一个负责建立、管理和

22、释放一个PPP会话；二是在会话；二是在PAC-PNS之间构造一个之间构造一个传输隧道，通过传输隧道，通过IP网络传送网络传送PPP数据报文。数据报文。oPPTP应用过程如下：应用过程如下：n1、在、在PAC和和PNS之间建立一个之间建立一个TCP会话，这会话，这个个TCP会话的目的端口是固定的，为会话的目的端口是固定的，为1723，源端口可以是任意的空闲端口；源端口可以是任意的空闲端口；n2、通过这个、通过这个TCP会话，会话，PAC和和PNS之间通过之间通过控制连接管理报文，建立控制连接；（控制连接管理报文，建立控制连接；（PAC和和PNS也可以通过控制连接管理报文释放、测试也可以通过控制连

23、接管理报文释放、测试控制连接）控制连接）经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用n3、控制连接建立以后，、控制连接建立以后，PAC和和PNS之间就可之间就可以进行呼叫的管理，包括建立呼入、呼出，释以进行呼叫的管理，包括建立呼入、呼出，释放呼叫等等。此处的呼入、呼出是相对于放呼叫等等。此处的呼入、呼出是相对于PNS而言的；例如，当通过而言的；例如，当通过PSTN与与PAC相连的用相连的用户客户端拨号时，户客户端拨号时，PAC的相应的接入线路就会的相应的接入线路就会产生震铃，此时，产生震铃，此时，PAC就是向

24、就是向PNS发出一个呼发出一个呼入请求消息，入请求消息，PNS如果确认可以接入，就会向如果确认可以接入，就会向PAC返回一个成功的呼入应答消息，返回一个成功的呼入应答消息，PAC收到收到后就会响应用户客户端的拨号，在用户客户端后就会响应用户客户端的拨号，在用户客户端和和PAC之间建立连接，同时之间建立连接，同时PAC向向PNS发送一发送一个呼入连接消息，表示与用户客户端的连接已个呼入连接消息，表示与用户客户端的连接已经建立；经建立；经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o4、到此时，用户客户端和远程服务

25、器的物理连接、到此时，用户客户端和远程服务器的物理连接实际上已经建立起来了。用户客户端此时就可以用实际上已经建立起来了。用户客户端此时就可以用PPP协议和远程服务器端进行通信了，包括协议和远程服务器端进行通信了，包括PPP连接的建立、实际的数据报文的交换等等，这个实连接的建立、实际的数据报文的交换等等，这个实际数据报文在到达际数据报文在到达PAC之间是封装在之间是封装在PPP报文中。报文中。当这些当这些PPP报文到达报文到达PAC后，都将被放入隧道中后，都将被放入隧道中传输到传输到PNS端，即这些端，即这些PPP报文都会被增强的报文都会被增强的GRE协议封装起来，在协议封装起来，在PAC和和P

26、NS之间的之间的IP网络网络上进行传输。上进行传输。o5、在完成数据传输后，、在完成数据传输后，PNS和和PAC中的任何一方中的任何一方都可以使用相应的控制消息释放这个都可以使用相应的控制消息释放这个PPP会话。会话。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o从从PPTP的应用过程中可以发现，的应用过程中可以发现，PPTP中没有身中没有身份认证和消息完整性的保护，份认证和消息完整性的保护，PPP数据报文在数据报文在GRE隧道中进行传输也是明文方式的，并没有进隧道中进行传输也是明文方式的，并没有进行任何的加

27、密保护措施，存在着信息可能被窃听或行任何的加密保护措施，存在着信息可能被窃听或篡改的安全隐患。篡改的安全隐患。oPPTP需要依靠需要依靠PPP中的中的PAP或或CHAP进行身份进行身份认证；认证；o在一些实际的在一些实际的PPTP系统中，主要通过一个附加的系统中，主要通过一个附加的端到端加密协议来解决数据传送的机密性问题。如端到端加密协议来解决数据传送的机密性问题。如在在Microsoft和和PPTP系统中，通过微软点到点加系统中，通过微软点到点加密密MPPE协议提供了数据加密传送的方法。协议提供了数据加密传送的方法。MPPE假设通信双方存在共享的密钥，并使用假设通信双方存在共享的密钥，并使用

28、RC4密码算密码算法来加密数据报。法来加密数据报。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o使用使用PPTP协议来为远端用户访问外地服务器提供协议来为远端用户访问外地服务器提供了一些便利；了一些便利；n在在PPTP出现以前，一个公司员工出差到外地，如果需出现以前，一个公司员工出差到外地，如果需要访问公司的局域网，则需要拨一个长途号码来连接公要访问公司的局域网，则需要拨一个长途号码来连接公司的接入服务器；而利用司的接入服务器；而利用PPTP协议，该员工只需拨当协议，该员工只需拨当地地ISP提供的号码，然后利

29、用提供的号码，然后利用IP 网络连接到公司局域网。网络连接到公司局域网。既节省了费用，也提供了一定的安全性；既节省了费用，也提供了一定的安全性；n如果某一个公司的局域网络不是如果某一个公司的局域网络不是IP网络，公司员工的网络，公司员工的Laptop使用的也不是使用的也不是IP网络，此时，公司员工想要直网络，此时，公司员工想要直接通过互联网网络公司局域网是不可能的。接通过互联网网络公司局域网是不可能的。PPTP则提则提供了一种手段，它利用隧道的方式屏蔽了网络协议所造供了一种手段，它利用隧道的方式屏蔽了网络协议所造成的路由障碍。成的路由障碍。n通过通过PPTP协议，远程访问公司局域网和在本地访问

30、基协议，远程访问公司局域网和在本地访问基本上是透明的。好象提供了一条专用通道，实际上本上是透明的。好象提供了一条专用通道，实际上PPTP也是实现也是实现VPN的一种方式。的一种方式。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用L2TP协议协议oL2TP也是一种基于也是一种基于PPP的隧道传输协议，通过在的隧道传输协议，通过在IP、ATM、帧中继等公用网络上建立传输隧道来、帧中继等公用网络上建立传输隧道来传送传送PPP数据报文。数据报文。oL2TP是由是由Cisco、Ascend、Microsoft和和RedB

31、ack等公司共同发起制定的，于等公司共同发起制定的，于1999年年8月公布了月公布了L2TP标准文档标准文档-RFC2661。oL2TP同样采用了同样采用了Client/Server体系结构，定体系结构，定义了两个基本构件：义了两个基本构件：n1、客户端的、客户端的L2TP访问集中器访问集中器LAC（L2TP Access Concentrator），用于发起呼叫和建立隧道；），用于发起呼叫和建立隧道；n2、服务器端的、服务器端的L2TP网络服务器网络服务器LNS（L2TP Network Server），提供了隧道传输服务，也是所），提供了隧道传输服务，也是所有隧道的终点。有隧道的终点。经营

32、者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用oL2TP综合了综合了PPTP和和Cisco公司的公司的L2F（Layer Two Forwarding）协议）协议的优点，功能和技术更加全面，可以看作是的优点，功能和技术更加全面，可以看作是PPTP的改进方案；的改进方案；oL2TP和和PPTP非常相似，主要在以下一些非常相似，主要在以下一些方面存在差异：方面存在差异：n1、L2TP支持支持PSTN、ISDN和和ADSL；而；而PPTP只支持只支持PSTN和和ISDN线路；线路；n2、L2TP可以在可以在IP网络（使用

33、网络（使用UDP封装）上、封装）上、帧中继网络的永久虚电路（帧中继网络的永久虚电路（PVC）、）、X.25网络网络的虚电路（的虚电路（VC）上和）上和ATM网络的虚电路上建立网络的虚电路上建立隧道；而隧道；而PPTP只能在只能在IP网络上建立隧道；网络上建立隧道；经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用n3、L2TP可以在两个端点间使用多个隧道，用可以在两个端点间使用多个隧道，用户可以针对不同的服务质量创建不同的隧道；户可以针对不同的服务质量创建不同的隧道；而而PPTP只能在两端点之间建立单一隧道；只能在

34、两端点之间建立单一隧道；n4、L2TP提供了包头压缩功能；而提供了包头压缩功能；而PPTP不支不支持包头压缩功能；持包头压缩功能；n5、L2TP提供了隧道认证功能；而提供了隧道认证功能；而PPTP则不则不支持隧道认证。支持隧道认证。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用4.2网络层安全协议网络层安全协议o网络层，对于网络层，对于Internet而言就是而言就是IP层，它层，它的安全性包括认证、保密和密钥管理三方面。的安全性包括认证、保密和密钥管理三方面。n认证认证可保证收到的可保证收到的IP数据报的确是

35、由数据报的确是由IP报头所报头所标识的数据源发来的，而且可以保证数据报在标识的数据源发来的，而且可以保证数据报在传输期间未被篡改；传输期间未被篡改；n保密保密保证数据在传输过程中不被第三方窃听；保证数据在传输过程中不被第三方窃听；n密钥管理密钥管理则解决密钥的安全交换问题。则解决密钥的安全交换问题。nIP如同邮政服务中的如同邮政服务中的“标准信封标准信封”，是一个有，是一个有效的、基本的传送机制，也是一个廉价的初级效的、基本的传送机制，也是一个廉价的初级邮件服务，不提供任何安全保障。邮件服务，不提供任何安全保障。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加

36、赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用IPSec概述概述oIPSec通过在通过在IP报文中插入报文中插入IPSec报头（报头（AH或或ESP）来提供）来提供IP层的安全性的；层的安全性的；oIPSec的工作原理类似于包过滤防火墙，可以看作是对包过滤的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展；防火墙的一种扩展；oIPSec通过通过查询安全策略数据库查询安全策略数据库（Security Policy Database，SPD）决定对接收到

37、）决定对接收到IP数据包的处理：丢弃、数据包的处理：丢弃、转发或进行转发或进行IPSec处理。处理。o安全关联数据库安全关联数据库（Security Associationa Database，SAD）中定义了每一个）中定义了每一个SA的参数值，包括的参数值，包括AH信息、信息、ESP信息、信息、IPSec的协议模式等。的协议模式等。SA定义了由定义了由IPSec提供安全服务的业提供安全服务的业务流的发方到接方的一个单向逻辑关系。务流的发方到接方的一个单向逻辑关系。o只有只有对对IP数据报实施了加密和认证数据报实施了加密和认证以后，才能保证在外部网络以后，才能保证在外部网络传输的数据报的机密性

38、、真实性和完整性，通过互联网的安全传输的数据报的机密性、真实性和完整性，通过互联网的安全的通信才成为可能。的通信才成为可能。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用SA的基本组合的基本组合 实线表物理网络连接，单虚线表SA的逻辑连接，双虚线表隧道SA，*表该设备需实现IPSec经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购

39、买商品的价款或接受服务的费用o无论采用无论采用AH或或ESP，IPSec都有两种工作模式。都有两种工作模式。n1、传输模式。只对、传输模式。只对IP数据报的有效负载进行加密或认数据报的有效负载进行加密或认证。此时，继续使用以前的证。此时，继续使用以前的IP头部，只对头部，只对IP头部的部头部的部分域进行修改，而分域进行修改，而IPSec协议头部插入到协议头部插入到IP头部和传头部和传输层头部之间。输层头部之间。源源IP头头ESP尾尾ESP头头源源IP头头数据内容数据内容数据内容数据内容TCP/UDP头头TCP/UDP头头经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损

40、失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用原原IP头头原原IP头头数据内容数据内容数据内容数据内容TCP/UDP头头TCP/UDP头头经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用n2、隧道模式。对整个、隧道模式。对整个IP数据报进行加密或认数据报进行加密或认证。此时，需要新产生一个证。此时，需要新产生一个IP头部，而原来的头部，而原来的IP数据报成了新数据报成了新IP头部后面的有效载荷。头部后面的有效载荷。IPSec协议头部被插入到新的协议头部被插入到新的IP头部和以前的头部和以前的IP数据报之

41、间。数据报之间。原原IP头头原原IP头头TCP/UDP头头TCP/UDP头头数据内容数据内容数据内容数据内容经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用原原IP头头原原IP头头TCP/UDP头头TCP/UDP头头数据内容数据内容数据内容数据内容经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用IPSec中的主要协议中的主要协议oIPSec主要功能是认证和加密。为了进行认证和加主要功能是认证和加密。为了进行认证和加密，密，IPSec

42、还需要有密钥的管理和交换功能。以上还需要有密钥的管理和交换功能。以上三方面的工作分别由三方面的工作分别由AH、ESP和和IKE3个协议规个协议规定。定。o1、AH（Authenticaion Header）nAH的服务包括无连接的完整性；数据源的验证；一个可的服务包括无连接的完整性；数据源的验证；一个可选的反重放服务；选的反重放服务；n如前所述，如前所述，AH的实现方式有两种：传输方式和隧道方式；的实现方式有两种：传输方式和隧道方式；nAH只涉及认证，不涉及加密；只涉及认证，不涉及加密；AH除了对除了对IP的有效负载的有效负载进行认证外，还可以对进行认证外，还可以对IP头部实施认证；头部实施认

43、证；nAH的长度是可变的，但必须是的长度是可变的，但必须是32位比特的倍数。位比特的倍数。AH头头的具体字段分布见下图：的具体字段分布见下图：经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用IP头头TCP/UDP头头数据内容数据内容认证数据（认证数据（32位的倍数）位的倍数）序列号域（序列号域（32位位)安全参数索引（安全参数索引（SPI,32位）位）保留以后使用保留以后使用（16位）位）载荷长度载荷长度（8位）位）下一个头下一个头（8位）位）经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到

44、的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o载荷长度：为载荷长度：为32位字的位字的AH长度减长度减2.如认证数据部如认证数据部分的长度为分的长度为96位，即位，即3字，此时字，此时AH总长度为总长度为6，所以载荷长度为所以载荷长度为4；o安全参数索引：对接收到的数据报选择在哪个安全参数索引：对接收到的数据报选择在哪个SA下进行处理；下进行处理；o认证数据：本数据报所用的完整性检验值认证数据：本数据报所用的完整性检验值ICV。nICV是由是由MAC算法产生的消息认证码。算法产生的消息认证码。MAC算算法的输入为：法的输入为：o1）IP包头中在传输期间不变的字段，其他字段全包头

45、中在传输期间不变的字段，其他字段全置置0；o2）AH包头中除包头中除“认证字段认证字段”以外其他所有字段，以外其他所有字段，“认证字段认证字段”被置为被置为0；o3）所有的上层协议数据。）所有的上层协议数据。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用n前面提到前面提到AH有两种模式。传输模式用于两个主有两种模式。传输模式用于两个主机之间的端到端通信，而网关可以不支持传输机之间的端到端通信，而网关可以不支持传输模式。在传输模式中，将模式。在传输模式中，将AH插到原始插到原始IP数据报数据报的后面，主要是对的后

46、面，主要是对IP报文中除可变字段外的其报文中除可变字段外的其他所有字段提供认证功能；他所有字段提供认证功能；原原IP头头原原IP头头TCP/UDP头头TCP/UDP头头数据内容数据内容数据内容数据内容经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用n隧道模式用于隧道模式用于SA关系中至少有一方是一个安全关系中至少有一方是一个安全网关。这是将需要保护的原始数据报用一个新网关。这是将需要保护的原始数据报用一个新的数据报封装，即将原始数据报作为新数据报的数据报封装，即将原始数据报作为新数据报的载荷。的载荷。AH对新数据

47、报中除可变字段外的所有对新数据报中除可变字段外的所有字段进行认证，包括了原始数据报中的所有字字段进行认证，包括了原始数据报中的所有字段。段。原原IP头头原原IP头头TCP/UDP头头TCP/UDP头头数据内容数据内容数据内容数据内容经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用n防重放攻击：防重放攻击：AH中的中的“序列号序列号”字段用于防止攻击者截字段用于防止攻击者截获已经认证过的数据报后实施重放攻击：获已经认证过的数据报后实施重放攻击：o在新的在新的SA建立时，发送方将系列号计数器的初始值置建立时，发送方将

48、系列号计数器的初始值置为为0；o每当在这个每当在这个SA上发送一个数据报，就将计数器的值加上发送一个数据报，就将计数器的值加1；o计数器的值是不应该重复的，当达到最大值时，需要新计数器的值是不应该重复的，当达到最大值时，需要新建一个新的建一个新的SA；o由于由于IP服务是无连接的、不可靠的，不能保证所有的数服务是无连接的、不可靠的，不能保证所有的数据报按序到达，因此，接收方建立了一个窗口，窗口长据报按序到达，因此，接收方建立了一个窗口，窗口长度为度为W，如下图所示。图中，如下图所示。图中N为目前收到的数据报的最为目前收到的数据报的最大序列号，所以窗口中序列号的范围为大序列号，所以窗口中序列号的

49、范围为N-W+1到到N。一个数据报如果其序列号落在窗口内且认证数据正确，一个数据报如果其序列号落在窗口内且认证数据正确，则有效，否则，认为无效数据报，丢弃。则有效，否则，认为无效数据报，丢弃。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o2、ESPn封装安全负载封装安全负载ESP用于提供保密性业务，包括用于提供保密性业务，包括对消息内容的保密性和通信流量的保密性。对消息内容的保密性

50、和通信流量的保密性。nESP数据报格式如下图所示：数据报格式如下图所示：安全参数索引（安全参数索引（SPI,32位）位）序列号域（序列号域（32位）位）变长的有效负载数据变长的有效负载数据变长的认证数据变长的认证数据填充长度填充长度填充填充下一负载头下一负载头0-255个字节的填充个字节的填充经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用o安全序列号安全序列号SPI：字段长：字段长32位，用于标识位，用于标识SA关联；关联；o序列号：字段长序列号：字段长32位，单增，用于防止重放攻击；位，单增，用于防止重放攻击