网络安全协议

第第4 4章章 网络安全协议网络安全协议第四章网络安全协议第第4 4章章 网络安全协议网络安全协议 Internet在最初建立时的指导思想是资源共享，因此以开放在最初建立时的指导思想是资源共享，因此以开放性和可扩展性为核心。在建立协议模型与协议实现时，更多考性和可扩展性为核心。在建立协议模型与协议实现时，更多考虑到易用性，而在安全性方面考虑存在严重不足，这就给攻击虑到易用性，而在安全性方面考虑存在严重不足，这就给攻击者造成了可乘之机。本章以者造成了可乘之机。本章以TCP/IP协议族结构为指导，自底协议族结构为指导，自底向上分层阐述不同层次的安全协议保障机制，主要包括向上分层阐述不同层次的安全协议保障机制，主要包括PPP、IPSec、SSL/TLS、SET等。等。引言引言第第4 4章章 网络安全协议网络安全协议第4章 网络安全协议 4.1数据链路层安全通信协议数据链路层安全通信协议 PPT协议协议；PPTP协议协议；L2TP协议协议4.2 网络层安全通信协议网络层安全通信协议 IPSec协议簇协议簇4.3传输层安全通信协议传输层安全通信协议 SSL/TSL协议簇协议簇4.4应用层安全通信协议应用层安全通信协议 电子邮件安全协议电子邮件安全协议；SET协议协议；SNMP协议协议；S-HTTP协议协议第第4 4章章 网络安全协议网络安全协议4.1数据链路层安全通信协议数据链路层安全通信协议 数数据据链链路路层层对对网网络络层层显显现现为为一一条条无无错错的的线线路路，主主要要任任务务是是加加强强最最底底层层物物理理层层原原始始传传输输单单位位比比特特的的功功能能，在在两两个个相相邻邻结结点点间间的的线线路路上上无无差差错错地地传传送送以以帧帧为为单单位位的的数数据据，还还要要解解决决由由于于链链路路上上的的通通信信干干扰扰造造成成数数据据帧帧的的破破坏坏、丢失而所需要的数据帧的重发以及流量的调节、出错的处丢失而所需要的数据帧的重发以及流量的调节、出错的处理和信道的共享等问题。理和信道的共享等问题。数据链路层加密就是简单地对要通过物理媒介传输的数据链路层加密就是简单地对要通过物理媒介传输的每一个字节进行加密；解密则在收到时处理。这可以保证每一个字节进行加密；解密则在收到时处理。这可以保证数据在链路上传输时不会被截获。数据在链路上传输时不会被截获。第第4 4章章 网络安全协议网络安全协议4.1数据链路层安全通信协议数据链路层安全通信协议 在数据链路层提供安全机制的优点在数据链路层提供安全机制的优点：无需对其任何上层进行改变就能对所有数据加密，提供链路安全能够由硬件在数据传输和接收时轻易实现，而且它对性能的影响将会很小，能达到的速率最高；它能够和数据压缩很好的结合起来；对流分析能提供最高的保护性；对隐通道能提供最高的保护性；基于网络攻击的途径最少。第第4 4章章 网络安全协议网络安全协议4.1数据链路层安全通信协议数据链路层安全通信协议 在数据链路层提供安全机制的缺点在数据链路层提供安全机制的缺点：它只能应用在两个直连的设备上，而数据在网络上传输时重要的是端到端的安全，在单独的链路上加密并不能保证整个路径的安全性；局域网并不能提供链路层安全，即对内部攻击人员无保护；最高的通信成本；新节点加入时要求电信公司重新配置网络。第第4 4章章 网络安全协议网络安全协议4.1.1 PPP协议 PPP(Point-to-Point Protocol)是“点对点”协议，它提供了基于广域网的网络层数据封装和向上层提供物理透明性的功能。PPP定义一种如何在点到点链路上传输多协议分组的封装机制。第第4 4章章 网络安全协议网络安全协议4.1.1 PPP协议 字段含义：(1)标志字段(Flag)标志帧的开始和结束，为一个字节，值为0 x7e；(2)地址字段(Address)为一个字节，表示链路上站的地址；(3)控制字段：也是一个字节，其值也是固定值，为0 x03；(4)协议字段：两个字节组成，指示所封装在信息字段的数据类型。(5)信息字段(Information)是由0或多个字节组成，由协议字段标志的数据报构成，信息字段的结束是由最近的标志字段位确定的。(6)校验字段(FCS)通常为两个字节，为提高检测能力，可经由协商，使用32位的校验字段。第第4 4章章 网络安全协议网络安全协议4.1.1 PPP协议建立建立失败失败失败失败NCP NCP 配置配置认证成功认证成功通信结束通信结束载波停止载波停止检测到载波检测到载波双方协商一些选项双方协商一些选项认证认证网络网络打开打开终止终止静止静止图4.2 PPP协议的状态图 第第4 4章章 网络安全协议网络安全协议4.1.2 PPTP协议 点到点隧道协议(Point-Point Tunneling Protocol，RFC2637)是 对 PPP的扩展。由 Microsoft和Ascend开 发。P P T P使 用 一 种 增 强 的 G R E（Generic Routing Encapsulation）封装机制使 PPP数据包按隧道方式穿越 IP网络，并对传送的 PPP数据流进行流量控制和拥塞控制。PPTP并 不 对 PPP协议进行任何修改，只提供了一种传送PPP的机制，并增强了 PPP的认证、压缩、加密等功能。由于PPTP基 于 PPP协议，因而它支持多种网络协议，可将 IP、IPX、APPLETALK、NetBEUI的数据包封装于 PPP数据帧中。第第4 4章章 网络安全协议网络安全协议4.1.2 PPTP协议 PPTP是一种用于让远程用户拨号连接到本地ISP（Internet Service Provider，Internet服务提供商），通过因特网安全远程访问公司网络资源的网络技术。PPTP对PPP协议本身并没有做任何修改，只是使用PPP建立拨号连接然后获取这些PPP包并把它们封装进GRE头中。PPTP使用PPP协议的PAP或CHAP进行认证，另外也支持Microsoft公司的点到点加密技术（MPPE）。PPTP支持的是一种客户-LAN型隧道的VPN实现。第第4 4章章 网络安全协议网络安全协议4.1.2 PPTP协议 建立PPTP连接，首先要建立客户端与本地ISP的PPP连接。一旦成功地接入因特网，下一步就是建立PPTP连接。从最顶端PPP客户端、PAC和PNS服务器之间开始，由已经安装好PPTP的PAC建立并管理PPTP任务。如果PPP客户端将PPTP添加到它的协议中，所有列出来的PPTP通信都会在支持PPTP的客户端上开始与终止。由于所有的通信都将在IP包内通过隧道，因此PAC只起着通过PPP连接进因特网的入口点的作用。从技术上讲，PPP包从PPTP隧道的一端传输到另一端，这种隧道对用户是完全透明的。第第4 4章章 网络安全协议网络安全协议4.1.2 PPTP协议 PPTP具有两种不同的工作模式：被动模式和主动模式。被动模式的PPTP会话通过一个一般是位于ISP处的前端处理器发起，在客户端不需要安装任何与PPTP有关的软件。在拨号连接到ISP的过程中，ISP为用户提供所有的相应服务和帮助。被动方式好处是降低了对客户的要求，缺点是限制了用户对因特网其它部分的访问。主动方式是由客户建立一个与网络另外一端服务器直接相连的PPTP隧道。这种方式不需要ISP的参与，不再需要位于ISP处的前端处理器，ISP只提供透明的传输通道。这种方式的优点是客户拥有对PPTP的绝对控制，缺点是对用户的要求较高并需要在客户端安装支持PPTP的相应软件。第第4 4章章 网络安全协议网络安全协议4.1.3 L2TP协议 第二层隧道协议 L2TP（Layer 2 Tunneling Protocol）是用来整合多协议拨号服务至现有的因特网服务提供商点。IETF(因特网工程任务组)的开放标准 L2TP协议结合了 PPTP协议和 L2F的优点，特别适合于组建远程接入方式的 VPN，目前已经成为事实上的工业标准。在由 L2TP构建的 VPN中，有两种类型的服务器，一种是 L2TP访 问 集 中 器LAC（L2TP Access Concentrator），它是附属在网络上的具 有 PPP端系统和 L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务；另一种是 L2TP网络服务器 LNS（L2TP Network Server），是PPP端系统上用于处理 L2TP协议服务器端部分的软件。第第4 4章章 网络安全协议网络安全协议4.1.3 L2TP协议 L2TP特点：（1）差错控制 L2TP通过其包头中的两个字段Next Received和Next Sent进行流控制和差错检测。（2）地址分配 L2TP支持在NCP协商机制的基础上动态分配客户地址。（3）身份认证 具有身份认证功能（4）安全性能 采用IPSec对LAC和LNS之间的IP包进行加密传送 第第4 4章章 网络安全协议网络安全协议4.1.3 L2TP协议 L2TP格式：T位为标识消息类型。数据消息设置为0，控制消息设置为1如果L位为1，表示长度域存在。对于控制消息，必须设置为1；X位是为将来保留的扩展位。所有的保留位在呼出消息中必须设置为0，在呼入消息中必须忽略。若O位(序列号位)为1，则Ns和Nr域存在。对于控制消息来说，该位必须设置为1。Ver(版本号)可以设置为2，标明当前的L2TP版本号为第二版。或者为3，标明当前的L2TP版本号为第三版。Length域标识以八位组表示的消息长度。第第4 4章章 网络安全协议网络安全协议4.1.3 L2TP协议 L2TP格式：Tunnel ID指示控制链接的标识符。只有本地有效的标识符才能用来给L2TP tunnels命名。Session ID指示一个tunnel内的会话标识符。只有本地有效的标识符才能用来给L2TP session命名。Ns指示数据或控制消息的序列号，从0开始，每发送一个消息其值加1。Nr指示下一个期望被收到的控制消息的序列号。Offset Size域如果存在，则表明运送的数据期望开始的地方。第第4 4章章 网络安全协议网络安全协议4.1.3 L2TP协议 L2TP工作流程：隧道建立、会话建立和PPP帧的封装前转 （1）隧道建立 隧道建立就是L2TP控制连接的建立，通过控制连接管理类消息实现，如图4.5所示。LAC和LNS任一端均可发起隧道的建立，它包括两轮消息交换.主要完成如下功能：LAC和LNS相互间的认证，采用CHAP认证算法；LAC和LNS各自为隧道分配隧道ID，并通知对方；确定隧道的承载类型和帧封装类型；确定接收窗口尺寸；隧道终结可用StopCCN消息完成。第第4 4章章 网络安全协议网络安全协议4.1.3 L2TP协议（2）会话建立 会话建立过程由呼叫触发，在拨号接入的情况下，就是由用户至LAC的入呼叫触发，其过程如图4.6所示，由呼叫管理类消息实现，类似隧道建立，消息过程将交换如下信息：LAC和LNS各自为会话分配的会话ID；数据信道的承载类型和帧封装类型；主被叫号码及子地址；收发线路速率；数据消息是否要加序号。第第4 4章章 网络安全协议网络安全协议4.1.3 L2TP协议（3）PPP帧前转 会话建立后进入通信阶段此时LAC收到远端用户发来的PPP帧去除CRC校验字段帧封装字段和规避字段将其封装入L2TP数据消息经隧道前传给LNS反向则执行相反的过程。LAC在会话建立时可置入需要有序AVP则所有数据消息必须加序号如果LAC未作此请求则由LNS控制如果LNS在发出的消息中置序号则LAC在其后发出的消息中亦置序号如果LNS不置序号LAC其后也不再置序号。第第4 4章章 网络安全协议网络安全协议4.1.3 L2TP协议第第4 4章章 网络安全协议网络安全协议4.2 网络层安全通信协议网络层安全通信协议 从从ISO/OSI互互联联参参考考模模型型的的七七层层体体系系结结构构来来看看，网网 络络 层层 是是 网网 络络 传传 输输 过过 程程 中中 非非 常常 重重 要要 的的 一一 个个 功功 能能层层，它它 主主 要要 负负 责责 网网 络络 地地 址址 的的 分分 配配 和和 网网 络络 上上 数数 据据 包包的的路路由由选选择择。因因此此，在在网网络络层层提提供供安安全全服服务务实实现现网网络络的的安安全全访访问问具具有有很很多多先先天天性性的的优优点点。常常见见的的安安全全认认证证、数数据据加加密密、访访问问控控制制、完完整整性性鉴鉴别别等等，都都可可以以在在网网络络层层实实现现。该该层的安全协议主要有层的安全协议主要有IPSec等。等。第第4 4章章 网络安全协议网络安全协议IPSec的优点提供强大的安全性，应用于防火墙和路由器防火墙内部的IPSec可以抵制旁路IPSec在传输层以下，对应用程序透明IPSec对终端用户透明需要时可以为单个用户提供安全性路由选择应用，IPSec保证：路由器的通告(新的路由器通告它的存在)来自被认可的路由器邻站通告(一个路由器尝试与另一个路由选择域的一台路由器建立或维护邻站关系)来自被认可的路由器重定向报文来自于原始报文发给它的路由器路由选择更新不会被假造4.2 网络层安全通信协议网络层安全通信协议 第第4 4章章 网络安全协议网络安全协议4.2 网络层安全通信协议网络层安全通信协议 在网络层提供安全机制的缺点在于很难解决像数据的不可否认之类的问题。因为若在网络层来解决该类问题，则很难在一个多用户的机器上实现对每个用户的控制。但是我们也可以在终端主机上提供相应的机制实现以用户为基础的安全保障。因此，通过上面的比较如果想要实现网络安全服务而又不愿意重写很多系统和应用程序的话，唯一可行的方案就是在比较低的网络层中加入安全服务，它能够提供所有的配置方案，如主机对主机、路由器对路由器、路由器对主机。第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec（Internet Protocol Security）是IETF为了在IP层提供通信安全而制定的一套协议簇。它包括安全协议部分和密钥协商部分：安全协议部分定义了对通信的安全保护机制；密钥协商部分定义了如何为安全协议协商保护参数以及如何对通信实体的身份进行鉴别。IPSec安全协议部分给出了封装安全载荷ESP(Encapsulation Security Payload)和鉴别头AH(Authentication Header)两种通信保护机制。其中ESP机制为通信提供机密性和完整性保护，AH机制为通信提供完整性保护。IPSec密钥协商部分使用IKE(Internet Key Exchange)协议实现安全协议的自动安全参数协商，IKE协商的安全参数包括加密机制散列机制、认证机制、Diffie-Hellman组密钥资源以及IKE SA协商的时间限制等，同时IKE还负责这些安全参数的刷新。第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 体系结构：一般性概念、安全需求、定义和机制封装化安全净荷ESP认证头标AH加密算法：不同的加密算法如何应用于ESP认证算法：不同的鉴别算法如何应用于AH和ESP密钥管理：密钥管理机制解释域DOI：包含了其他文档需要的为了彼此之间相互联系的一些值第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec在TCP/IP 协议簇中的位置 第第4 4章章 网络安全协议网络安全协议关联是在发送者和为进出通信提供安全服务的接收者之间的一种单向关系，如果需要一个对等的关系用于双向的安全交换，就要两个关联。提供给一个SA的安全服务用于AH或ESP，但不能同时用于两者。安全关联由三个参数标识安全参数索引SPI：SPI加载在AH和ESP的首部，使接收系统能够选择SA来处理接收的分组IP目的地址：SA的目的地址，端用户或网络安全协议标识符：指出这个关联是否AH或ESP安全关联 AH:Authentication Header ESP:Encapsulation Security Payload安全关联(Security Associations)4.2.1 IPSec协议簇 第第4 4章章 网络安全协议网络安全协议序号计数器溢出：用于指示序号计数器的溢出是否生成可检查的事件，防止在这个SA上继续传输反重放窗口：确定进入的AH或ESP分组是否是重放分组AH信息：认证算法、密钥及密钥生存期等ESP信息：加密和认证算法、密钥及密钥生存期等安全关联生存期：一个时间区间或字节计数，在这之后，SA被一个新的SA和新的SPI代替或终止IPSec协议方式：隧道方式、传输或通配符方式Path路径MTU：可观察的路径的最大传输单元SA参数4.2.1 IPSec协议簇 第第4 4章章 网络安全协议网络安全协议IP通信量和特定的SA相联系的方式是名义上的安全策略数据库SPD，每个SPD项通过IP和称为选择器的上层协议字段值的集合来定义。实际上这些选择器是用来过滤输出通信量的，目的是将其映射到特定的SA。对于每个IP分组，输出处理遵从以下顺序：将分组相应字段的值与SPD比较以找到匹配的SPD项，后者将指向0个或多个SA如果这个分组存在SA，确定SA和它关联的SPI完成需要的IPSec处理，即AH或ESPSA选择器4.2.1 IPSec协议簇 第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec处理过程 第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec处理过程 IPSec输入模块执行如下：（1）从AH协议头或ESP协议头中取安全参数索引SPI，并从IP协议头中取得目标IP地址以及协议类型。（2）以三元组为选择符查询安全联盟数据库SADB，得到所需的安全联盟SA。（3）如果查询SADB返回为NULL，表明记录出错这个报文被丢弃。（4）如果查询SADB返回一个SA项，则根据该项指示的变换策略调用相应的AH认证或ESP解密操作。（5）AH验证和ESP解密操作成功后需检查对这个报文应用的策略是否正确，根据验证和解密后数据报文的内部IP地址查询安全策略库SPDB，如果对这个报文的安全服务与相应SPDB项相符则说明处理正确，并将外部IP头连同IPSec头一起剥去将内部IP报文传回IP层处理。第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec处理过程 IPSec输出处理模块以（源IP地址，目的IP地址，安全协议标识符端口号）为参数调用配置查询模块，查询对应的SPDB策略。若用户没有定义安全策略数据库或者在查询时未找到对应的SPDB项，则丢弃报文，否则按以下三种情况处理：（1）如果策略指明需丢弃该报文，就返回IP层的调用进程说明希望丢弃该报文。（2）如果策略指明无需安全保护，就返回调用进程以普通方式传输此报文。（3）如果策略指明需要安全保护，这时需要验证SA是否已建立如果已建立，就调用相应的ESP或AH函数对IP报文进行变换处理，并将结果返回IP层调用进程（多个SA需要进行多次变换处理）。如果SA尚未建立，策略引擎根据用户配置的安全策略，通知Internet密钥协商（IKE）模块创建SA。第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec中的主要协议 （1）AH(Authentieation Header)AH协议为IP报文提供数据完整性、数据源验证以及可选择的抗重放攻击保护，但不提供数据加密服务。对AH的详细描述在RFC2402中。AH协议使用散列技术来验证数据完整性和验证数据源。常用的散列函数有MD5、SHA-1、HMAC-MD5、HMAC-SHA-1等。注意：AH不对受保护的IP数据报的任何部分进行加密。由于AH不提供机密性保证，所以它也不需要加密算法。AH可用来保护一个上层协议(传输模式)或一个完整的IP数据报(隧道模式)它既可以单独使用也可以和ESP联合使用。第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec中的主要协议 （1）AH(Authentieation Header)第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec中的主要协议 （1）AH(Authentieation Header)AH封装划分为两种模式：传输模式和隧道模式。如果将AH头插入IP头和路由扩展头之后，上层协议数据和端到端扩展头之前，则称这种封装为传输模式；如果将AH头插入原IP分组的IP头之前，并在AH头之前插入新的IP头，则称这种封装为隧道模式。第第4 4章章 网络安全协议网络安全协议传输方式和隧道方式第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec中的主要协议 （2）ESP(Encapsulating Security Payload)ESP协议为保证重要数据在公网传输时不被他人窃取，除了提供AH提供的所有服务外还提供数据加密服务。常用的数据加密方法有：DES，3DES等。ESP通过使用消息码提供认证服务，常用的认证算法有：HMAC-MD5，HMAC-SHA-1等。ESP是一个通用的易扩展的安全机制，它把基本的ESP定义和实际提供安全服务的算法分开。其加密算法和认证算法是由ESP安全联盟的相应组件所决定的。同样，ESP通过插入一个唯一的单向递增的序列号提供抗重放攻击的服务。第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec中的主要协议 （2）ESP(Encapsulating Security Payload)第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 （2）ESP(Encapsulating Security Payload)ESP封装的两种模式：传输模式和隧道模式。第第4 4章章 网络安全协议网络安全协议IPSec Services第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec中的主要协议 （3）IKE（Internet Key Exchange）Internet密钥交换协议(IKE)是一个以受保护方式为SA协商并提供经认证的密钥信息的协议。用IPSec保护一个IP包之前，必须先建立一个安全关联(SA)。正如前面指出的那样，SA可以手工建立或动态建立。IKE用于动态建立SA。IKE代表IPSec对SA进行协商，并对安全关联数据库(SADB)进行填充。IKE由RFC2409文件描述。IKE实际上是一种混合型协议，它建立在由Internet安全关联和密钥管理协议(ISAKMP，Internet Security Association and Key Management Protocol)定义的一个框架上。同时IKE还实现了两种密钥管理协议（Oakley和SKEME）的一部分。IKE协商的安全参数包括加密机制、散列机制、认证机制、Diffie-Hellman组、密钥资源以及IKE SA协商的时间限制等。其交换的最终结果是一个通过验证的密钥以及建立在双方同意基础上的安全联盟。由于IKE同时借鉴了ISAKMP SA中的“阶段”概念和OAKLEY协议中的“模式”概念，所以在IKE的分阶段交换中，每个阶段都存在不同的交换模式。第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec中的主要协议 （3）IKE（Internet Key Exchange）IKE将密钥交换分成两个阶段，在第一个阶段，就是ISAKMP SA的建立阶段，通信实体之间建立一个经过认证的安全通道，用于保护阶段2中消息的安全。阶段1的交换模式有两种：分别是主模式和积极模式：主模式实际上是ISAKMP中定义的身份保护交换模式的一个具体实例化，它提供了对交换实体的身份保护，交换双方在主模式中要交换三对共六条消息，头两条消息进行cookie交换和协商策略，包括加密算法、散列算法及认证方法等；中间两条用于交换Diffie-Hellman公开值和一些必要的辅助数据，例如现时载荷Nonce等；最后两条消息用于验证DH交换和身份信息。第第4 4章章 网络安全协议网络安全协议4.2.1 IPSec协议簇 IPSec中的主要协议 （3）IKE（Internet Key Exchange）积极模式则是ISAKMP中积极交换模式的具体实例化，积极模式通常要求交换三条消息，前两条消息用于安全策略协商，交换DH公开值和一些辅助数据，并且在第二条消息中还要认证响应者的身份；第三条消息用于对发起者的身份进行认证，并提供参与交换的证据。由此可见，积极模式能够减少协商的步骤并加快协商的过程。阶段2是在阶段1建立起的ISAKMP SA的基础上，为特定的协议协商SA，用于保护通信双方的数据传输安全。阶段2的交换模式为“快速交换模式”。在阶段2中，可由通信的任何一方发起一个快速模式(Quick Mode)交换，其目的是建立针对某一安全协议的SA，即建立用于保护通信数据的IPSecSA。一个阶段1协商可以用于保护多个阶段2协商，一个阶段2协商可以同时请求多个安全关联。第第4 4章章 网络安全协议网络安全协议4.3 传输层安全通信协议传输层安全通信协议 传输层的任务就是提供主机中两个进程之间的通信，其数据传输单位是报文段，而网络层是提供主机与主机之间的逻辑通信。在协议栈中，传输层正好位于网络层之上，传输层安全协议是为进程之间的数据通信增加安全属性，如SSL/TLS等。在传输层提供安全机制的优点在于：它不需要强制为每个应用作安全方面的改进；传输层能够为不同的通信应用配置不同的安全策略和密钥。在传输层提供安全机制的缺点在于传输层不可能提供类似于“隧道”(路由器对路由器)和“防火墙”(路由器对主机)这样的服务。第第4 4章章 网络安全协议网络安全协议4.3.1 SSL/TLS协议簇 1995年，Netscape公司在浏览器Netscape1.1中加入了安全套接层协议SSL(Secure Socket Layer)，以保护浏览器和Web服务器之间重要数据的传输，该协议的第一个成熟的版本是SSL2.0版，并被集成到Netscape公司的Internet产品中，包括Navigator浏览器和Web服务器产品等。SSLv2.0的出现，基本上解决了Web通信协议的安全问题，很快引起了大家的关注。1996年，Netscape公司发布了SSLv3.0draft-freier-ssl-version3-02：The SSL Protocol Version 3.0，该版本相比SSLv2.0更加成熟和稳定，因此，很快就成为了事实上的工业标准。第第4 4章章 网络安全协议网络安全协议SSL and TLS SSL was originated by NetscapeTLS working group was formed within IETFFirst version of TLS can be viewed as an SSLv3.1SSL ArchitectureIPHTTP/S-HTTPFTPSMTPTCPSSL or TLS4.3.1 SSL/TLS协议簇 第第4 4章章 网络安全协议网络安全协议SSL会话和SSL连接连接：提供恰当类型服务的传输会话：客户和服务器之间的关联，通过握手协议来创建会话状态的定义会话标识符、对方证书、压缩方法、密文规约、主密码、可重新开始连接状态的定义服务器和客户机的随机数、服务器写MAC密码、客户写MAC密码、服务器写密钥、客户写密钥、初始化向量、序号4.3.1 SSL/TLS协议簇 第第4 4章章 网络安全协议网络安全协议SSL记录协议为SSL连接提供两种服务机密性：握手协议定义了共享的、可以用于对SSL有效载荷进行常规加密的密钥报文完整性：握手协议定义了共享的、可以用来形成报文的鉴别码MAC的密钥4.3.1 SSL/TLS协议簇 第第4 4章章 网络安全协议网络安全协议4.3.1 SSL/TLS协议簇 第第4 4章章 网络安全协议网络安全协议握手协议握手协议 握手协议是SSL/TLS中最为重要的一个协议，它负责在建立安全连接之前在SSL/TLS客户代理和SSL/TLS服务器之间鉴别双方身份、协商加密算法和密钥参数，为建立一条安全的通信连接做好准备。握手消息的结构如图4.20所示 四个阶段：建立安全能力、服务器鉴别和密钥交换、客户鉴别和密钥交换、结束4.3.1 SSL/TLS协议簇 第第4 4章章 网络安全协议网络安全协议SSL握手协议报文的类型4.3.1 SSL/TLS协议簇 第第4 4章章 网络安全协议网络安全协议握手协议过程第第4 4章章 网络安全协议网络安全协议阶段1：建立安全能力开始逻辑连接并建立和这个连接关联的安全能力，客户发送client_hello报文发起交换，包括参数版本、随机数、安全ID、密文族、压缩方式，然后等待server_hello报文密钥交换方式，包括RSA、固定的Diffie-Hellman、短暂的Diffie-Hellman、匿名Diffie-Hellman、Fortezza密文规约CipherSpec，包括加密算法、MAC算法、加密类型、输出(真或假)、散列大小、密钥素材、IV大小阶段2：服务器鉴别和密钥交换发送server_key_exchange报文非匿名服务器向客户请求证书certificate_request结束报文certificate_done第第4 4章章 网络安全协议网络安全协议阶段3：客户鉴别和密钥交换客户验证服务器是否提供了合法证书，检查服务器Hello参数是可接受的，发送报文给服务器如果服务器请求证书，客户通过发送certificate报文来开始这个阶段；如无合适证书，发送no_alert发送client_key_exchange，密钥交换方式包括RSA、固定的Diffie-Hellman、短暂的Diffie-Hellman、匿名Diffie-Hellman、Fortezza最后发送certificate_verify报文提供验证阶段4：结束，完成握手协议（完成安全连接的建立）客户发送change_cipher_spec报文，将挂起的CipherSpec复制到当前的CipherSpec发送finished，验证密钥交换和鉴别过程是成功的服务器客户发送change_cipher_spec报文，将挂起的CipherSpec复制到当前的CipherSpec服务器发送finished报文，握手完成，开始交换应用层数据第第4 4章章 网络安全协议网络安全协议 网络层安全协议只是为主机与主机的数据通信增加安全性，而传输层安全协议是为进程之间的数据通信增加安全属性。这两个安全协议并不区分一个具体应用程序的要求，只要在主机之间或进程之间建立起一条安全通道，那么根据此协议，所有通过该安全通道的信息都要自动用同一种方式进行数据安全加密。如果要根据某个具体的应用程序对安全的实际要求来进行安全加密的话，就必须要借助于应用层的安全协议，也只有应用层才能够对症下药，才能够提供这种特定的安全服务。应用层安全协议主要有：S/MIME、PGP、PEM、SET、Kerberos、SHTTP、SSH等。4.4 应用层安全通信协议应用层安全通信协议 第第4 4章章 网络安全协议网络安全协议4.4 应用层安全通信协议应用层安全通信协议 在应用层提供安全机制的优点在于：以用户为背景执行，因此更容易访问用户凭据，比如私人密钥等；对用户想保护的数据具有完整的访问权，简化了提供某些特殊的服务的工作，比如不可抵赖性；应用可自由扩展，不必依赖操作系统来提供。由此可见安全服务直接在应用层上处理单独应用需求是最灵活的方法，例如一个邮件系统可能需要对发出的邮件进行签名这在由低层提供安全服务的情况下是无法实现的，因为它不知道邮件的结构和哪些部分需要签名。所以无论低层协议能提供何种形式的安全功能，在应用层提供安全服务是有理由的。在应用层提供安全机制的缺点在于：针对每个应用，都要单独设计一套安全机制。这意味着对现有的很多应用来说，必须进行修改才能提供安全保障。第第4 4章章 网络安全协议网络安全协议 1.PGP PGP(Pretty Good Privacy)是Phillip Zimmerman在1991年提出来的，它既是一种规范也是一种应用，已经成为全球范围内流行的安全邮件系统之一。PGP是一个完整的电子邮件安全软件包，它包含四个密码单元：对称加密算法、非对称加密算法、单向散列算法以及随机数产生器。它的特点是通过单向散列算法对邮件体进行签名，以保证邮件体无法修改，使用对称和非对称密码相结合的技术保证邮件体保密且不可否认。通信双方的公钥发布在公开的地方，如FTP站点，而公钥本身的权威性则可由第三方（特别是收信方信任的第三方）进行签名认证。4.4.1 电子邮件安全协议电子邮件安全协议 第第4 4章章 网络安全协议网络安全协议PGP(Pretty Good Privacy)Philip R.Zimmerman的主要工作选择了最好的加密算法作为基础构件集成加密算法，形成通用的应用程序制作软件包和文档，包括源码，免费提供提供完全兼容的低价格的商用版本PGP快速发展和流行的原因免费获得，运行不同平台的多个版本建立在普遍认为非常安全的算法的基础上应用范围广泛不受任何组织和政府控制第第4 4章章 网络安全协议网络安全协议 PGP的加密解密过程：（1）根据一些随机的环境数据（如击键信息）产生一个密钥。（2）发送者采用对称加密算法，使用会话密钥对报文进行加密。（3）发送者采用非对称加密算法，使用接收者的公开密钥对会话密钥进行加密，并与加密报文结合。（4）接收者采用同一非对称密码算法，使用自己的私有密钥解密和恢复会话密钥。（5）接收者使用会话密钥解密报文。4.4.1 电子邮件安全协议电子邮件安全协议 第第4 4章章 网络安全协议网络安全协议第第4 4章章 网络安全协议网络安全协议 PGP的签名验证过程：（1）PGP根据报文内容，利用单向hash函数计算出定长的报文摘要。（2）发送者用自己的私钥对报文摘要进行加密得到数字签名。（3）发送者把报文和数字签名一起打包传送给接收者。（4）接收者用相同的单向hash函数计算接收到的报文的摘要。（5）接收者用发送者的公钥解密接收到的数字签名。（6）接收者比较（4）、（5）步计算的结果是否相同，相同则表示验证通过，否则拒绝。4.4.1 电子邮件安全协议电子邮件安全协议 第第4 4章章 网络安全协议网络安全协议PGP提供的服务第第4 4章章 网络安全协议网络安全协议 2.S/MIME S/MIME是Secure/Multipurpose Internet Mail Extension的简称。它是从 PEM（Privacy Enhanced Mail）和 MIME(Internet邮件的附件 标 准)发 展 而 来 的。S/M I M E集 成 了 三 类 标 准：MIME（RFC1521），加密消息语法标准（Cryptographic Message Syntax Standard）和证书请求语法标准（Certification Request Syntax Standard）。S/MIME与PGP主要有两点不同：它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织（根证书）之间相互认证，整个信任关系基本是树状的，这就是所谓的 Tree of Trust。还 有，S/MIME将信件内容加密签名后作为特殊的附件传送，它的证书格式采用X.509 V3相符的公钥证书。4.4.1 电子邮件安全协议电子邮件安全协议 第第4 4章章 网络安全协议网络安全协议表4.2 S/MIME的各种服务4.4.1 电子邮件安全协议电子邮件安全协议 MISE内容类型MISE子类型S/MIME类型S/MIME服务附件扩展名应用PKcs7-MIMS签名数据保证数据的完整性、认证和无法否认接收；使用不透明签名.p7m封装数据保证数据的真实性.p7m复合SignedNA保证数据的完整性，认证和无法否认接收；使用透明签名NA应用Pkcs7-signatureNA保证数据的完整性，认证和无法否认接收；使用透明签名.p7s第第4 4章章 网络安全协议网络安全协议4.4.2 SET协议协议 SET(Secure Electronic Transaction)协议是由VISA和MasterCard等国际信用卡组织于1997年提出的一种电子商务协议，它被设计为开放的电子交易信息加密和安全的规范，可为Internet公网上的电子交易提供整套安全解决方案：确保交易信息的保密性和完整性；确保交易参与方身份的合法性；确保交易的不可抵赖性。SET本身不是一个支付系统，它是一个安全协议和格式规范的集合。它可以使用户以一种安全的方式在公共、开放的Internet上传送银行帐户等敏感信息。从本质上讲，SET提供了三种服务：在参与交易的各方之间建立安全的通信信道。通过使用符合X.509规定的数字证书来提供身份认证和信任。为了保证安全性，只有在必要的时候、必要的交易阶段才向必要的交易参与方提供必要的交易信息。第第4 4章章 网络安全协议网络安全协议4.4.2 SET协议协议 SET协议主要特征：（1）信息的保密性。即客户的帐号、密码等支付信息在通过网络传输的时候应该是安全的。它区别于SSL 的一个最重要的特征是，防止商家得到客户的信用卡号码。因为支付信息应该是只有银行才可以看到的。同样，也应该防止银行看到客户的订单信息，订单信息应该是只有商家才可以看到的。这样明显的职责分割将提高整个交易过程的保密性。（2）数据的完整性。即客户的订单信息和支付信息，以及商家向银行所发出的支付授权的内容均应该在传输的过程中保持原来的样子，而不能被不怀好意的人修改。而且还应该保证，即使被别人修改之后，在交易的下一个环节中，交易参与方可以及时的发现并中止本次电子交易的过程，然后等待有效信息的到来。（3）不可抵赖性。即可在交易过程中判断当前交易的参与方是否是合法认证证书的持有者，以及是否是他所声称的那个人。这样，通过身份认证的交易参与方将对交易过程中发生的一切相关责任负责。第第4 4章章 网络安全协议网络安全协议SET Participants第第4 4章章 网络安全协议网络安全协议Sequence of events for transactions1.The customer opens an account.2.The customer receives a certificate.3.Merchants have their own certificates.4.The customer places an order.5.The merchant is verified.6.The order and payment are sent.7.The merchant request payment authorization.8.The merchant confirm the order.9.The merchant provides the goods or service.10.The merchant requests payments.第第4 4章章 网络安全协议网络安全协议第第4 4章章 网络安全协议网络安全协议第第4 4章章 网络安全协议网络安全协议4.4.3 SNMP协议协议 SNMP协议在研发之初并没有过多地考虑协议本身的安全问题，因为当时网络规模比较小。而当Internet的迅猛发展，网络规模不断扩大，SNMP安全问题越来越成为其发展的障碍，为此IETF工作组在不断努力，试图改变这种局面。在IETF的努力下，从SNMPv2开始，在研发SNMP协议时，安全问题得到充分考虑。SNMPv3在安全方面发挥到了目前情况下SNMP协议的极致。本节主要介绍SNMP协议的安全机制。第第4 4章章 网络安全协议网络安全协议4.4.3 SNMP协议协议 1.SNMPv1安全机制 SNMPv1的安全机制很简单，只是验证SNMP消息中的团体名。属于同一团体的管理和被管理代理才能互相作用，发送给不同团体的报文被忽略。（1）团体（Community）：SNMP的团体是一个代理和多个管理站之间的认证和访问控制关系。（2）简单的认证服务一般来说，认证服务的目的是保证通信是经过授权的。在SNMP中，认证服务主要是保证接收的报文来自它所声称的源。第第4 4章章 网络安全协议网络安全协议4.4.3 SNMP协议协议 2SNMPv2安全机制 为了解决SNMPv1安全问题，SNMPv2发展可谓曲折漫长，先后开发了如下的协议版本：基于参加者SNMPsec、基于参加者SNMPv2p、基于共同体名的SNMPv2c、基于用户的SNMPv2u、基于用户的SNMPv2*等。SNMPv2加密报文如图4.27所示：privDst：指向目标参加者的对象标识符，即报文的接收者，这一部分是明文。privData(SnmpAuthMsg)：经过加密的报文，接收者需解密后才可以阅读。被加密报文为SnmpAuthMsg，包含下列内容：第第4 4章章 网络安全协议网络安全协议4.4.3 SNMP协议协议 authInfo：认证信息，由消息摘要authDigest，以及目标方和源方的时间戳authDstTimestamp和authSrcTimestamp组成。authData(SnmpMgmtCom)：即经过认证的管理消息，包含目标参加者dstParty、源参加者srcParty、上下文context，以及协议数据单元pdu等4部分。第第4 4章章 网络安全协议网络安全协议4.4.3 SNMP协议协议 SNMPv2加密报文操作如下：发送实体首先构造管理通信消息SnmpMgmtCom，这需要查找本地数据库，发现合法的参加者和上下文。然后，如果需要认证协议，则在 SnmpMgmtCom前面加上认证信息authInfo，构成认证报文 SnmpAuthMsg，否则把 authInfo置为长度为0的 字 节 串（OCTET STRING）。若 参 加 者 的 认 证 协 议 为v2md5Authprotocol，则由本地实体按照 MD5算法计算产生 16个字节的消息摘要，作为认证信息中的 authDigest。第三步是检查目标参加者 的 加 密 协 议，如 果 需 要 加 密，则 采 用 指 定 的 加 密 协 议 对SnmpAuthMsg加 密，生 成 privData(SnmpAuthMsg)。最 后privDst=dstParty，组成完整的 SNMPv2报文，并经过 BER编码发送出去。目标方实体接收到 SnmpPrivMsg后首先检查报文格式，如果这一检查通过，则查找本地数据库，发现需要的验证信息。根据本地数据库记录，可能需要使用加密协议对报文解密，对认证码进行验证，检查源方参加者的访问特权和上下文是否符合要求等。一旦这些检查 全 部 通 过，就 可 以 执 行 协 议 请 求 的 操 作。第第4 4章章 网络安全协议网络安全协议4.4.3 SNMP协议协议 3.SNMPv3安全机制 1998年1月，IETF SNMPv3工作组公布了SNMPv3。它由RFC2271-2275组成，SNMPv3参考了SNMPv2*与SNMPv2u，采用基于用户的管理框架。SNMPv3主要在安全性和管理机制方面扩展了SNMPv2，而并未定义新的PDU格式，继续使用SNMPv1和SNMPv2的PDU格式。RFC 2271定义了SNMPv3的体系结构，体现出模块化设计思想，可以简单地实现功能的增加和修改。SNMP代理和SNMP管理站通称为SNMP实体，由SNMP引擎和SNMP应用程序两部分组成，如图4.28所示。SNMP引擎由4组件组成：调度器、消息处理子系统、安全子系统和访问控制子系统。SNMPv3应用程序是SNMP实体内的应用程序，当前定义了5类应用程序：命令生成器、命令响应器、通知发生器、通知接收器和代理转发器。第第4 4章章 网络安全协议网络安全协议4.4.3 SNMP协议协议 第第4 4章章 网络安全协议网络安全协议4.4.3 SNMP协议协议 SNMP协议从SNMPv1、SNMPv2，再到SNMPv3，安全性能有所加强，特别是SNMPv3增加了基于用户的安全模型USM和基于视图的访问控制模型VACM，大大增强了SNMP安全性。但是USM中使用的认证方式是基于代理的，认证是单向的，因为管理站被看作是经过授权的，因此它可以免于认证。由于认证是单向的，所以这也给某些攻击提供了条件；再有就是认证中的消息摘要使用的MD5算法，这种算法的原理已经泄露，同样给网络安全管理带来了难度。SNMPv3中对信息的加密使用的是DES算法，该算法使用的密钥是单一密钥，也就是说加密和解密使用同一个密钥，密钥的保密是一个问题，一旦密钥丢失，则加密信息不再具有保密性了。再有密钥在线路上传输也存在被窃取的可能，如果传输线路没有被加密的话。DES算法的密钥长度仅有56位，密钥长度不够长，同样也存在安全隐患。因此，网络安全管理需加强。第第4 4章章 网络安全协议网络安全协议4.4.4 S-HTTP协议协议 S-HTTP(The Secure HyperText Transfer Protocol，安全HTTP协议)是IETF(Internet Engineering Task Force)制订的一种带有身份认证、数据加密、数据完整性功能的应用层协议。S-HTTP是对HTTP的改进，加入了对安全功能的支持。在早期的WWW访问协议HTTP中，并没有考虑到安全问题，WWW服务的安全就只能依赖于服务器和客户的其它方面设置。1999年，IETF发布了RFC 2660，The Secure HyperText Transfer Protocol，即安全HTTP协议(简称S-HTTP)。S-HTTP协议支持通信双方利用公钥算法和PKI数字证书进行身份认证、加密算法和MAC(Message Authenticity Check)算法协商，建立安全可信的连接。第第4 4章章 网络安全协议网络安全协议4.4.4 S-HTTP协议协议 S-HTTP连接的建立过程大致如下：(1)客户对服务器进行认证；服务器对客户的认证则是可选的。(2)利用认证过程得到的数字证书，双方进行对称加密算法、会话密钥和MAC算法的协商。(3)根据协商的结果进行协议数据的加密传输，并且由MAC算法保证数据完整性。S-HTTP协议的通信都是经过加密的，其机密性由协商使用的对称加密算法来保证。因为S-HTTP协议中引入PKI技术，在认证和密钥协商过程中使用PKI数字证书，使得事先没有建立直接联系的双方可以利用数字证书建立安全可信的连接，只要双方都信任对方的根CA；非常适合于大规模WWW服务的应用环境。第第4 4章章 网络安全协议网络安全协议小结小结 身份认证身份认证应应用用层层代代理理或网管或网管用用户户授授权权与与访问控制访问控制电电路路层层防防火火墙墙（如（如SOCKSSOCKS）应应用用层层安安全全通信协议通信协议传传输输层层安安全全 通信协议通信协议数字签名数字签名第三方公证第三方公证主主机机和和服服务务的的审审计计记录分析记录分析应应用用系系统统的的容容 错错 容容 灾灾、服务管理服务管理应应用用系系统统主主机机、路路由由器器等源发认证等源发认证相相邻邻节节点点间间的认证的认证包包 过过 滤滤防火墙防火墙主主机机或或路路由由器器间间IPSecIPSec等协议等协议点点到到点点之之间间的链路加密的链路加密流流量量分分析析入入侵检测侵检测网网络络结结构构设设计计，路路由由系系统统安安全全，基基础础服服务务安安全全，网络管理网络管理网网络络平平台台认认证证访访问问控控制制数数据据完完整整性性数数据据保保密密性性抗抗抵抵赖赖审审计计可可用用性性数据链数据链路层与路层与物理层物理层网络层网络层传输层传输层应用层应用层图4.29 网络不同层次的安全服务