網(wǎng)絡安全協(xié)議

內容概要

　　《網(wǎng)絡安全協(xié)議》比較全面地介紹了網(wǎng)絡安全協(xié)議的關鍵技術和主要應用模式。特別對vpn網(wǎng)絡的特點、分類及應用模式等方面進行了比較深入的分析和探討。
　　《網(wǎng)絡安全協(xié)議》對數(shù)據(jù)鏈路層安全協(xié)議、網(wǎng)絡層安全協(xié)議、傳輸層安全協(xié)議、會話層安全協(xié)議和應用層安全協(xié)議等方面進行了比較深入的分析，并介紹了各層協(xié)議的安全缺陷、易受到的攻擊以及在相應層協(xié)議中所增強的安全機制。在網(wǎng)絡安全協(xié)議應用方面，本書重點闡述了3種常見的vpn網(wǎng)絡應用模式，并比較詳細地介紹了vpn網(wǎng)絡的工作原理和配置。
　　《網(wǎng)絡安全協(xié)議》通俗易懂，注重可操作性和實用性。通過對典型vpn網(wǎng)絡應用模式案例的講解，使讀者能夠舉一反三。本書可作為廣大計算機用戶、計算機安全技術人員的技術參考書，特別是可用做信息安全、計算機與其他信息學科本科生的教材，也可用做計算機信息安全職業(yè)培訓的教材。

作者簡介

　　賴英旭
女，博士，1973年6月出生，現(xiàn)為北京工業(yè)大學計算機學院信息安全系副教授。2003年到北京工業(yè)大學信息安全系任教后，一直從事網(wǎng)絡安全、可信計算等方面的科研工作，主持和參與了多個國家及省部級科研項目，包括北京市高等學校人才強教深化計劃、北京市教委面上項目、國家自然科學基金等。相關研究成果已申請專利5項，獲授權2項，國內學報、國際會議論文多篇?，F(xiàn)為中國密碼學會會員、中國計算機學會會員。

書籍目錄

第1章安全標準
1.1國內外發(fā)展現(xiàn)狀
1.2信息技術安全評估通用標準
1.3當前流行操作系統(tǒng)的安全等級
習題1
第2章數(shù)據(jù)鏈路層安全協(xié)議
2.1局域網(wǎng)數(shù)據(jù)鏈層協(xié)議及安全問題
2.2局域網(wǎng)數(shù)據(jù)鏈路層安全協(xié)議
2.3廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議
2.4廣域網(wǎng)數(shù)據(jù)鏈路層安全協(xié)議
2.5無線局域網(wǎng)數(shù)據(jù)鏈路層安全協(xié)議
習題2
第3章網(wǎng)絡層安全協(xié)議
3.1網(wǎng)絡攻擊與防御
3.2ipsec體系結構
3.3ipsec安全協(xié)議
3.4安全關聯(lián)
3.5ipsec密鑰交換機制
3.6linux 2.6內核中ipsec的實現(xiàn)分析
3.7ipsec協(xié)議安全性分析
習題3
第4章傳輸層安全協(xié)議
4.1背景介紹
4.2ssl協(xié)議簡介
4.3ssl握手協(xié)議
4.4ssl記錄協(xié)議
4.5ssl密鑰更改協(xié)議
4.6ssl告警協(xié)議
4.7ssl協(xié)議安全性分析
習題4
第5章會話層安全協(xié)議
5.1背景介紹
5.2ssh協(xié)議簡介
5.3ssh傳輸協(xié)議
5.4ssh身份認證協(xié)議
5.5ssh連接協(xié)議
5.6ssh應用
習題5
第6章應用層安全協(xié)議
6.1背景介紹
6.2應用層安全威脅
6.3電子郵件安全協(xié)議
6.4s-http協(xié)議
習題6
第7章vpn基礎
7.1vpn概念
7.2vpn的工作原理
7.3vpn的特點
7.4vpn的分類
7.5vpn應用領域
7.6vpn的體系結構
7.7vpn設備
7.8vpn網(wǎng)絡使用的安全技術
習題7
第8章vpn的應用案例
8.1企業(yè)內部虛擬網(wǎng)
8.2企業(yè)外部虛擬網(wǎng)
8.3遠程接人vpn
習題8
第9章vpn產品介紹和選購標準
9.1國外主流產品
9.2國內主流產品
9.3選購標準
習題9
中英文對照
參考文獻

章節(jié)摘錄

版權頁：   插圖：   3.7 IPSec協(xié)議安全性分析 IPSec協(xié)議的安全特性基本上解決了前述8種網(wǎng)絡攻擊行為，但一些特殊的攻擊還是能夠實現(xiàn)。 1.利用IPSec進行重放攻擊 防重放工作原理是通過丟棄序列號早于本地滑動窗口中最小的序列號分組來實現(xiàn)：在一對一通信時，首先雙方建立SA。然后由發(fā)送方生成每個數(shù)據(jù)包的序號，為防重放做好必要的準備。最后通過接收方利用滑動窗口技術來實現(xiàn)防重放服務。發(fā)送方對輸出包的處理分為4個步驟：查詢SA、生成序號、計算ICV和分片。發(fā)送方的計數(shù)器在建立SA時被初始化為0。發(fā)送方不斷增加該SA的序號，并向“序號”字段中插入新的值。這樣，用給定的SA所發(fā)送的第一個數(shù)據(jù)包的序號就為1。發(fā)送方通過檢查，以保證計數(shù)器在插入新值前沒有出現(xiàn)循環(huán)。如果計數(shù)器出現(xiàn)循環(huán)，那么發(fā)送方就會建立一個新的SA和密鑰。接收方對輸入包的處理分為4個步驟：重組、查詢SA、校驗序號和校驗ICV。建立SA時，接收方的包計數(shù)器初始化為0，然后每接收一個數(shù)據(jù)包，都要首先檢查序號是否出現(xiàn)重復。接收過程主要應用了滑動窗口技術。在這里，窗口大小的最小值為32，默認值為64，接收方也可以選擇其他值。窗口的最大值表示當前SA下有效的最大序號，窗El的最小值表示當前SA下有效的最小序號，兩者之差為窗口大小。而數(shù)據(jù)包“序號”字段中的值如果小于窗口容器的最小值，該包就會被丟棄。只有數(shù)據(jù)包序列號大于窗口最小值，才會繼續(xù)檢查其ICV，如果ICV檢查通過，就更新滑動窗口，即下一個可以接受的序列號范圍，繼續(xù)接收后面的數(shù)據(jù)包。因為序號比目前滑動窗口的最小序號還小的包是已經(jīng)接受過的包，即為重放的包，而這些包又都被丟棄，這樣就防止了重放攻擊。 IPSec協(xié)議的一些重要特性如下。 （1）在安全關聯(lián)中，不包括源地址，每個安全關聯(lián)（SA）都由一個3元組＜SPI，目標地址，所用協(xié)議>唯一標識。其中，安全參數(shù)索引用于區(qū)別具有相同目標地址和相同協(xié)議的不同SA；目標地址表示該SA下接收方的IP地址，當前只能是單播地址；所用協(xié)議是指選用了AH還是ESP，二者必須并且只能選擇其一。但是安全關聯(lián)中并不包括任何與源地址有關的信息。 （2）對特殊ICMP報文建立SA后，不檢查源地址是否匹配，雖然安全關聯(lián)中不包括任何與源地址有關的信息，但是在建立SA之后，本地策略會確定一個SA選擇器，還要檢查數(shù)據(jù)包中的源地址與SA選擇器是否匹配，這樣才可保證源驗證。但是對由路由器生成的受AH或ESP保護的ICMP錯誤消息而言，只能為這種消息報文建立隧道模式的SA，而且此時并不檢查這種ICMP報文中的源地址是否與SA選擇器相匹配。 （3）當建立SA時，通信雙方的序號計數(shù)器都要被始化為0。 利用以上特性，下面兩種方法可以實現(xiàn)對IPSec的重放。 （1）簡單實現(xiàn)。在多對一的通信中，讓多個發(fā)送方都與接收方之間建立同一個SA，就可以簡單實現(xiàn)對IPSec的重放。假設A和B是發(fā)送方，C為接收方，其工作過程如下：A與C建立SA，雙方計數(shù)器歸0，正常收發(fā)若干報文，C的計數(shù)器達到某一值；B截獲到A發(fā)送給C的若干報文，這些報文具有一定的序號；B與C建立同一個SA，此時C的計數(shù)器將再次歸零；B把所截獲的報文重放給C，這些報文的序號就會落在C的滑動接收窗口的內部或右側，而不會被認為是重放的報文。但通過源驗證，就可以知道是誰在進行重放攻擊。 （2）利用ICMP錯誤報文實現(xiàn)。如果利用對ICMP錯誤報文，在隧道模式下建立SA來實現(xiàn)對IPsec保護之下報文的重放，就無法通過源驗證確定誰在進行重放。因為在對這種特殊的ICMP報文進行處理時，并不檢查源地址，也就無法實現(xiàn)源驗證。具體過程如下：捕獲在隧道模式下建立SA的ICMP錯誤報文；與攻擊目標之間建立相同的SA；重放數(shù)據(jù)包，對目標實施重放攻擊。

圖書封面

評論、評分、閱讀與下載

---

    網(wǎng)絡安全協(xié)議 PDF格式下載

---