出版時(shí)間:2012-10 出版社:清華大學(xué)出版社 作者:賴英旭,楊震,劉靜 編著 頁(yè)數(shù):237 字?jǐn)?shù):370000
內(nèi)容概要
《網(wǎng)絡(luò)安全協(xié)議》比較全面地介紹了網(wǎng)絡(luò)安全協(xié)議的關(guān)鍵技術(shù)和主要應(yīng)用模式。特別對(duì)vpn網(wǎng)絡(luò)的特點(diǎn)、分類及應(yīng)用模式等方面進(jìn)行了比較深入的分析和探討。
《網(wǎng)絡(luò)安全協(xié)議》對(duì)數(shù)據(jù)鏈路層安全協(xié)議、網(wǎng)絡(luò)層安全協(xié)議、傳輸層安全協(xié)議、會(huì)話層安全協(xié)議和應(yīng)用層安全協(xié)議等方面進(jìn)行了比較深入的分析,并介紹了各層協(xié)議的安全缺陷、易受到的攻擊以及在相應(yīng)層協(xié)議中所增強(qiáng)的安全機(jī)制。在網(wǎng)絡(luò)安全協(xié)議應(yīng)用方面,本書重點(diǎn)闡述了3種常見的vpn網(wǎng)絡(luò)應(yīng)用模式,并比較詳細(xì)地介紹了vpn網(wǎng)絡(luò)的工作原理和配置。
《網(wǎng)絡(luò)安全協(xié)議》通俗易懂,注重可操作性和實(shí)用性。通過對(duì)典型vpn網(wǎng)絡(luò)應(yīng)用模式案例的講解,使讀者能夠舉一反三。本書可作為廣大計(jì)算機(jī)用戶、計(jì)算機(jī)安全技術(shù)人員的技術(shù)參考書,特別是可用做信息安全、計(jì)算機(jī)與其他信息學(xué)科本科生的教材,也可用做計(jì)算機(jī)信息安全職業(yè)培訓(xùn)的教材。
作者簡(jiǎn)介
賴英旭
女,博士,1973年6月出生,現(xiàn)為北京工業(yè)大學(xué)計(jì)算機(jī)學(xué)院信息安全系副教授。2003年到北京工業(yè)大學(xué)信息安全系任教后,一直從事網(wǎng)絡(luò)安全、可信計(jì)算等方面的科研工作,主持和參與了多個(gè)國(guó)家及省部級(jí)科研項(xiàng)目,包括北京市高等學(xué)校人才強(qiáng)教深化計(jì)劃、北京市教委面上項(xiàng)目、國(guó)家自然科學(xué)基金等。相關(guān)研究成果已申請(qǐng)專利5項(xiàng),獲授權(quán)2項(xiàng),國(guó)內(nèi)學(xué)報(bào)、國(guó)際會(huì)議論文多篇。現(xiàn)為中國(guó)密碼學(xué)會(huì)會(huì)員、中國(guó)計(jì)算機(jī)學(xué)會(huì)會(huì)員。
書籍目錄
第1章安全標(biāo)準(zhǔn)
1.1國(guó)內(nèi)外發(fā)展現(xiàn)狀
1.2信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)
1.3當(dāng)前流行操作系統(tǒng)的安全等級(jí)
習(xí)題1
第2章數(shù)據(jù)鏈路層安全協(xié)議
2.1局域網(wǎng)數(shù)據(jù)鏈層協(xié)議及安全問題
2.2局域網(wǎng)數(shù)據(jù)鏈路層安全協(xié)議
2.3廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議
2.4廣域網(wǎng)數(shù)據(jù)鏈路層安全協(xié)議
2.5無線局域網(wǎng)數(shù)據(jù)鏈路層安全協(xié)議
習(xí)題2
第3章網(wǎng)絡(luò)層安全協(xié)議
3.1網(wǎng)絡(luò)攻擊與防御
3.2ipsec體系結(jié)構(gòu)
3.3ipsec安全協(xié)議
3.4安全關(guān)聯(lián)
3.5ipsec密鑰交換機(jī)制
3.6linux 2.6內(nèi)核中ipsec的實(shí)現(xiàn)分析
3.7ipsec協(xié)議安全性分析
習(xí)題3
第4章傳輸層安全協(xié)議
4.1背景介紹
4.2ssl協(xié)議簡(jiǎn)介
4.3ssl握手協(xié)議
4.4ssl記錄協(xié)議
4.5ssl密鑰更改協(xié)議
4.6ssl告警協(xié)議
4.7ssl協(xié)議安全性分析
習(xí)題4
第5章會(huì)話層安全協(xié)議
5.1背景介紹
5.2ssh協(xié)議簡(jiǎn)介
5.3ssh傳輸協(xié)議
5.4ssh身份認(rèn)證協(xié)議
5.5ssh連接協(xié)議
5.6ssh應(yīng)用
習(xí)題5
第6章應(yīng)用層安全協(xié)議
6.1背景介紹
6.2應(yīng)用層安全威脅
6.3電子郵件安全協(xié)議
6.4s-http協(xié)議
習(xí)題6
第7章vpn基礎(chǔ)
7.1vpn概念
7.2vpn的工作原理
7.3vpn的特點(diǎn)
7.4vpn的分類
7.5vpn應(yīng)用領(lǐng)域
7.6vpn的體系結(jié)構(gòu)
7.7vpn設(shè)備
7.8vpn網(wǎng)絡(luò)使用的安全技術(shù)
習(xí)題7
第8章vpn的應(yīng)用案例
8.1企業(yè)內(nèi)部虛擬網(wǎng)
8.2企業(yè)外部虛擬網(wǎng)
8.3遠(yuǎn)程接人vpn
習(xí)題8
第9章vpn產(chǎn)品介紹和選購(gòu)標(biāo)準(zhǔn)
9.1國(guó)外主流產(chǎn)品
9.2國(guó)內(nèi)主流產(chǎn)品
9.3選購(gòu)標(biāo)準(zhǔn)
習(xí)題9
中英文對(duì)照
參考文獻(xiàn)
章節(jié)摘錄
版權(quán)頁(yè): 插圖: 3.7 IPSec協(xié)議安全性分析 IPSec協(xié)議的安全特性基本上解決了前述8種網(wǎng)絡(luò)攻擊行為,但一些特殊的攻擊還是能夠?qū)崿F(xiàn)。 1.利用IPSec進(jìn)行重放攻擊 防重放工作原理是通過丟棄序列號(hào)早于本地滑動(dòng)窗口中最小的序列號(hào)分組來實(shí)現(xiàn):在一對(duì)一通信時(shí),首先雙方建立SA。然后由發(fā)送方生成每個(gè)數(shù)據(jù)包的序號(hào),為防重放做好必要的準(zhǔn)備。最后通過接收方利用滑動(dòng)窗口技術(shù)來實(shí)現(xiàn)防重放服務(wù)。發(fā)送方對(duì)輸出包的處理分為4個(gè)步驟:查詢SA、生成序號(hào)、計(jì)算ICV和分片。發(fā)送方的計(jì)數(shù)器在建立SA時(shí)被初始化為0。發(fā)送方不斷增加該SA的序號(hào),并向“序號(hào)”字段中插入新的值。這樣,用給定的SA所發(fā)送的第一個(gè)數(shù)據(jù)包的序號(hào)就為1。發(fā)送方通過檢查,以保證計(jì)數(shù)器在插入新值前沒有出現(xiàn)循環(huán)。如果計(jì)數(shù)器出現(xiàn)循環(huán),那么發(fā)送方就會(huì)建立一個(gè)新的SA和密鑰。接收方對(duì)輸入包的處理分為4個(gè)步驟:重組、查詢SA、校驗(yàn)序號(hào)和校驗(yàn)ICV。建立SA時(shí),接收方的包計(jì)數(shù)器初始化為0,然后每接收一個(gè)數(shù)據(jù)包,都要首先檢查序號(hào)是否出現(xiàn)重復(fù)。接收過程主要應(yīng)用了滑動(dòng)窗口技術(shù)。在這里,窗口大小的最小值為32,默認(rèn)值為64,接收方也可以選擇其他值。窗口的最大值表示當(dāng)前SA下有效的最大序號(hào),窗El的最小值表示當(dāng)前SA下有效的最小序號(hào),兩者之差為窗口大小。而數(shù)據(jù)包“序號(hào)”字段中的值如果小于窗口容器的最小值,該包就會(huì)被丟棄。只有數(shù)據(jù)包序列號(hào)大于窗口最小值,才會(huì)繼續(xù)檢查其ICV,如果ICV檢查通過,就更新滑動(dòng)窗口,即下一個(gè)可以接受的序列號(hào)范圍,繼續(xù)接收后面的數(shù)據(jù)包。因?yàn)樾蛱?hào)比目前滑動(dòng)窗口的最小序號(hào)還小的包是已經(jīng)接受過的包,即為重放的包,而這些包又都被丟棄,這樣就防止了重放攻擊。 IPSec協(xié)議的一些重要特性如下。 (1)在安全關(guān)聯(lián)中,不包括源地址,每個(gè)安全關(guān)聯(lián)(SA)都由一個(gè)3元組<SPI,目標(biāo)地址,所用協(xié)議>唯一標(biāo)識(shí)。其中,安全參數(shù)索引用于區(qū)別具有相同目標(biāo)地址和相同協(xié)議的不同SA;目標(biāo)地址表示該SA下接收方的IP地址,當(dāng)前只能是單播地址;所用協(xié)議是指選用了AH還是ESP,二者必須并且只能選擇其一。但是安全關(guān)聯(lián)中并不包括任何與源地址有關(guān)的信息。 (2)對(duì)特殊ICMP報(bào)文建立SA后,不檢查源地址是否匹配,雖然安全關(guān)聯(lián)中不包括任何與源地址有關(guān)的信息,但是在建立SA之后,本地策略會(huì)確定一個(gè)SA選擇器,還要檢查數(shù)據(jù)包中的源地址與SA選擇器是否匹配,這樣才可保證源驗(yàn)證。但是對(duì)由路由器生成的受AH或ESP保護(hù)的ICMP錯(cuò)誤消息而言,只能為這種消息報(bào)文建立隧道模式的SA,而且此時(shí)并不檢查這種ICMP報(bào)文中的源地址是否與SA選擇器相匹配。 (3)當(dāng)建立SA時(shí),通信雙方的序號(hào)計(jì)數(shù)器都要被始化為0。 利用以上特性,下面兩種方法可以實(shí)現(xiàn)對(duì)IPSec的重放。 (1)簡(jiǎn)單實(shí)現(xiàn)。在多對(duì)一的通信中,讓多個(gè)發(fā)送方都與接收方之間建立同一個(gè)SA,就可以簡(jiǎn)單實(shí)現(xiàn)對(duì)IPSec的重放。假設(shè)A和B是發(fā)送方,C為接收方,其工作過程如下:A與C建立SA,雙方計(jì)數(shù)器歸0,正常收發(fā)若干報(bào)文,C的計(jì)數(shù)器達(dá)到某一值;B截獲到A發(fā)送給C的若干報(bào)文,這些報(bào)文具有一定的序號(hào);B與C建立同一個(gè)SA,此時(shí)C的計(jì)數(shù)器將再次歸零;B把所截獲的報(bào)文重放給C,這些報(bào)文的序號(hào)就會(huì)落在C的滑動(dòng)接收窗口的內(nèi)部或右側(cè),而不會(huì)被認(rèn)為是重放的報(bào)文。但通過源驗(yàn)證,就可以知道是誰在進(jìn)行重放攻擊。 (2)利用ICMP錯(cuò)誤報(bào)文實(shí)現(xiàn)。如果利用對(duì)ICMP錯(cuò)誤報(bào)文,在隧道模式下建立SA來實(shí)現(xiàn)對(duì)IPsec保護(hù)之下報(bào)文的重放,就無法通過源驗(yàn)證確定誰在進(jìn)行重放。因?yàn)樵趯?duì)這種特殊的ICMP報(bào)文進(jìn)行處理時(shí),并不檢查源地址,也就無法實(shí)現(xiàn)源驗(yàn)證。具體過程如下:捕獲在隧道模式下建立SA的ICMP錯(cuò)誤報(bào)文;與攻擊目標(biāo)之間建立相同的SA;重放數(shù)據(jù)包,對(duì)目標(biāo)實(shí)施重放攻擊。
圖書封面
評(píng)論、評(píng)分、閱讀與下載
網(wǎng)絡(luò)安全協(xié)議 PDF格式下載