廈門理工學(xué)院-網(wǎng)絡(luò)安全協(xié)議

《網(wǎng)絡(luò)安全協(xié)議分析與應(yīng)用》復(fù)習(xí)大綱OSI參考模型是國際標(biāo)準(zhǔn)化組織制定的模型，把計算機(jī)與計算機(jī)之間的通信分成7個互相連接的協(xié)議層。由下而上分別是：物理層，數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層，傳輸層，會話層，表示層，應(yīng)用層。TCP協(xié)議工作原理。TCP提供兩個網(wǎng)絡(luò)主機(jī)之間的點對點通訊。TCP從程序中接收數(shù)據(jù)并將數(shù)據(jù)處理成字節(jié)流。首先將字節(jié)分成段，然后對段進(jìn)行編號和排序以便傳輸。在兩個TCP主機(jī)之間交換數(shù)據(jù)之前，必須先相互建立會話。TCP會話通過三次握手的完成初始化。這個過程使序號同步，并提供在兩個主機(jī)之間建立虛擬連接所需的控制信息。TCP在建立連接的時候需要三次確認(rèn)，俗稱“三次握手”，在斷開連接的時候需要四次確認(rèn)，俗稱“四次揮手”。UDP與TCP傳遞數(shù)據(jù)的差異。UDP和TCP傳遞數(shù)據(jù)的差異類似于電話和明信片之間的差異。TCP就像電話，必須先驗證目標(biāo)是否可以訪問后才開始通訊。UDP就像明信片，信息量很小而且每次傳遞成功的可能性很高，但是不能完全保證傳遞成功。UDP通常由每次傳輸少量數(shù)據(jù)或有實時需要的程序使用。常用網(wǎng)絡(luò)命令。判斷主機(jī)是否連通的ping指令；查看IP地址配置情況的ipconfig指令；查看網(wǎng)絡(luò)連接狀態(tài)的netstat指令；進(jìn)行網(wǎng)絡(luò)操作的net指令；進(jìn)行定時器操作的at指令。凱撒(Caesar)密碼實例。設(shè)明文為：CHINA，對應(yīng)的數(shù)字為：278130。密鑰為循環(huán)后移3位，解密時則前移3位。加密：C:e3h:e37=7+3i:e38=8+3n:e313=13+3a:e30=0+3所以，明文“China”基于Caesar密碼被加密為“FKLQD”。解密過程是加密過程逆過程。解密：F:d3K:d3L:d3Q:d3D:d3Vigenere替換表。數(shù)據(jù)鏈路層安全性表現(xiàn)為以下兩個方面：一、數(shù)據(jù)機(jī)密性。防止數(shù)據(jù)交換過程中數(shù)據(jù)被非法竊聽。二、數(shù)據(jù)完整性。防止在數(shù)據(jù)交換過程中數(shù)據(jù)被非法篡改。邏輯鏈路控制子層的鏈路服務(wù)的分類：無確認(rèn)無連接，有確認(rèn)無連接，面向連接服務(wù)。第二層轉(zhuǎn)發(fā)協(xié)議（L2F）允許鏈路層協(xié)議隧道技術(shù)。使用這樣的隧道，使得把原始撥號服務(wù)器位置和撥號協(xié)議連接終止與提供的網(wǎng)絡(luò)訪問位置分離成為可能。第二層隧道協(xié)議(L2TP)優(yōu)勢：L2TP支持多種協(xié)議；解決了多個PPP鏈路的捆綁問題；L2TP支持信道認(rèn)證，并提供差錯和流量控制。點對點隧道協(xié)議(PPTP)：PPTP是一種支持多協(xié)議虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù),它工作在第二層。通過該協(xié)議，遠(yuǎn)程用戶能夠通過MicrosoftWindowsNT工作站、Windowsxp、Windows2000和windows2003操作系統(tǒng)以及其它裝有點對點協(xié)議的系統(tǒng)安全訪問公司網(wǎng)絡(luò)，并能撥號連入本地ISP，通過Internet安全鏈接到公司網(wǎng)絡(luò)。無線局域網(wǎng)數(shù)據(jù)鏈路層安全協(xié)議組網(wǎng)架構(gòu)：點對點模式(ADHoc)，基礎(chǔ)架構(gòu)模式(Infrastructure)RSA算法。13.1算法描述密鑰的生成首先，選擇兩個互異的大素數(shù)p和q（保密），計算n=p?q（公開），φn=p-1?(q-1)（保密），選擇一個隨機(jī)整數(shù)e(0<e<φn)公鑰KU={e,n}，私鑰KR={d,p,q}，或KR={d,n}。加密已知：明文M<n（因為所有明文和密文空間均為Zn，即在圍內(nèi)。實際處理時對于M≥n的情形，則需要對大報文進(jìn)行分組，確保每一個分組滿足該條件）和公鑰KU={e,n}。計算密文：C=3)解密已知：密文C和私鑰KR={d,n}。計算明文：M=13.2算法證明。下面證明M1=C證明：M因為ed≡1modφ于是，M=13.3RSA例子：選p=7，q=17。求n=p×q=119，φ(n)=(p-1)(q-1)=96。取e=5，滿足1<e<φ(n)，且gcd(φ(n),e)=1。確定滿足d·e=1mod96且小于96的d，因為77×5=385=4×96+1，所以d為77，因此公開鑰為{5，119}，秘密鑰為{77，119}。設(shè)明文m=19，則由加密過程得密文為c≡195mod119≡2476099mod119≡66解密為6677mod119≡19網(wǎng)絡(luò)層安全協(xié)議IPSec：基本工作原理是發(fā)送方在數(shù)據(jù)傳輸前（即到達(dá)網(wǎng)線之前）對數(shù)據(jù)實施加密。在整個傳輸過程中，報文都是以密文方式傳輸，直到數(shù)據(jù)到達(dá)目的節(jié)點，才由接收端進(jìn)行解密。IPSec對數(shù)據(jù)的加密以數(shù)據(jù)包而不是整個數(shù)據(jù)流為單位，這不僅更靈活，也有助于進(jìn)一步提高IP數(shù)據(jù)包的安全性。通過提供強有力的加密保護(hù)，IPSec可以有效防范網(wǎng)絡(luò)攻擊，保證專用數(shù)據(jù)在公共網(wǎng)絡(luò)環(huán)境下的安全性。IPSec標(biāo)準(zhǔn)包含了IP安全體系結(jié)構(gòu)、IP認(rèn)證AH頭、IP封裝安全載荷ESP和Internet密鑰交換(IKE)4個核心的基本規(guī)范，組成了一個完整的安全體系結(jié)構(gòu)。IPSec工作流程：用戶甲（在主機(jī)A上）向用戶乙（在主機(jī)B）上發(fā)送一消息。主機(jī)A上的IPSec驅(qū)動程序檢查IP篩選器，查看數(shù)據(jù)包是否需要以及需要受到何種保護(hù)。驅(qū)動程序通知IKE開始協(xié)商。主機(jī)B上的IKE收到請求協(xié)商通知。兩臺主機(jī)建立第一階段SA，各自生成共享“主密鑰”。若兩機(jī)在此前通信中已經(jīng)建立第一階段SA，則可直接進(jìn)行第二階段SA協(xié)商。協(xié)商建立第二階段SA對：入棧SA和出棧SA。SA包括密鑰和SPI（安全參數(shù)索引）。主機(jī)A上的IPSec驅(qū)動程序使用出棧SA，對數(shù)據(jù)包進(jìn)行簽名（完整性檢查）與加密。驅(qū)動程序?qū)?shù)據(jù)包遞交IP層，再由IP層將數(shù)據(jù)包轉(zhuǎn)發(fā)至主機(jī)B。主機(jī)B網(wǎng)絡(luò)適配器驅(qū)動程序收到數(shù)據(jù)包并提交給IPSec驅(qū)動程序。主機(jī)B上的IPSec驅(qū)動程序使用入棧SA，檢查簽名完整性并對數(shù)據(jù)包進(jìn)行解密。驅(qū)動程序?qū)⒔饷芎蟮臄?shù)據(jù)包提交上層TCP/IP驅(qū)動程序，再由TCP/IP驅(qū)動程序?qū)?shù)據(jù)包提交主機(jī)B的接收應(yīng)用程序。Diffie-Hellman算法。Diffie-Hellman密鑰交換算法的有效性依賴于計算離散對數(shù)的難度。算法描述如下：1)有兩個全局公開的參數(shù)，一個素數(shù)q和一個整數(shù)，是q的一個原根。2)假設(shè)用戶A和B希望交換一個密鑰，用戶A選擇一個作為私有密鑰的隨機(jī)數(shù)XA<q，并計算公開密鑰YA=αXAmodq。A對XA的值保密存放而使YA能被B公開獲得。類似地，用戶BYB=αXBmodq,B對XB3、用戶A產(chǎn)生共享秘密密鑰的計算方式是K=(YB)XK==因此相當(dāng)于雙方已經(jīng)交換了一個相同的秘密密鑰。例子：密鑰交換基于素數(shù)q=97和97的一個原根=5。A和B分別選擇私有密鑰XA=36和XB=58。每人計算其公開密鑰

YA=36mod97=50mod97=50

YB=58mod97=44mod97=44在他們相互獲取了公開密鑰之后，各自通過計算得到雙方共享的秘密密鑰如下：

K=(YB)XAmod97=4436=75mod97=75

K=(YA)XBmod97=5058=75mod97=75從|50，44|出發(fā)，攻擊者要計算出75很不容易。

判斷A={a,b,c}對于運算*是否構(gòu)成群：運算封閉嗎？可結(jié)合嗎？有單位元嗎？每個元素都有逆元嗎？*abcaabcbbcaccab從表中得出以下結(jié)論：1）計算結(jié)果仍在A中，滿足封閉性。2）a*a=a,a*b=b,a*c=c，所以a是單位元；3）又由于a*a=a,b*c=c*b=a,所以a的逆元是a，b的逆元是c，c的逆元是b，且滿足交換律。4）a*(b*c)=a*a=a,a*b*c=b*c=a,a*(b*c)=a*b*c。同理可得其他式子滿足結(jié)合律。綜上，A={a,b,c}對于運算*構(gòu)成群。用多項式構(gòu)造的有限域GF(24)，既約多項式：fx=(0000)(0001)(0010)(0011)(0100)(0101)(0110)(0111)(1000)(1001)(1010)(1011)(1100)(1101)(1110)(1111)加法:(0110)+(0101)=(0011)（即按位異或或模2加）或：x乘法：1101=指數(shù)運算：如要計算(0010)5(0010)那么，0010最后，0010乘法的逆元：GF*(24)可以由元素g=x=(0010)gggggggggggggggg該域的乘法單位元是

g0=0001=1。1011=(x傳輸層安全協(xié)議SSL協(xié)議實現(xiàn)的六個階段：接通階段：客戶機(jī)通過網(wǎng)絡(luò)向服務(wù)器打招呼，服務(wù)器回應(yīng)；二、密碼交換階段：客戶機(jī)與服務(wù)器之間交換雙方認(rèn)可的密碼，一般選用RSA密碼算法；三、會談密碼階段：客戶機(jī)器與服務(wù)器間產(chǎn)生彼此交談的會談密碼；四、檢驗階段：客戶機(jī)檢驗服務(wù)器取得的密碼；五、客戶認(rèn)證階段：服務(wù)器驗證客戶機(jī)的可信度；六、結(jié)束階段：客戶機(jī)與服務(wù)器之間相互交換結(jié)束的信息。21.利用SSH本地端口轉(zhuǎn)發(fā)功能構(gòu)建安全VPN的一個實例。無線移動柜臺前硬件設(shè)備是一臺裝有無線網(wǎng)卡的筆記本計算機(jī)，一臺網(wǎng)絡(luò)終端通過以太網(wǎng)卡和一根直連雙絞線連接到筆記本上，網(wǎng)絡(luò)終端接有讀卡器等設(shè)備。筆記本通過無線上網(wǎng)，筆記本上運行OpenSSH客戶端程序，事先生成的密鑰經(jīng)過安全認(rèn)證，通過因特網(wǎng)連接到銀行機(jī)房的后臺OpenSSH服務(wù)端，并獲得一個通信加密密鑰。然后按照配置的端口監(jiān)聽并接收來自網(wǎng)絡(luò)終端的登錄請求，用通信加密密鑰加密后送往后臺OpenSSH服務(wù)端。后臺設(shè)備，即SSH安全認(rèn)證服務(wù)器安裝在中心機(jī)房。系統(tǒng)內(nèi)置安裝了OpenSSH服務(wù)端軟件，該服務(wù)器裝有兩塊網(wǎng)卡，一塊經(jīng)過防火墻連接因特網(wǎng)，另一塊通過內(nèi)部專網(wǎng)連接柜面業(yè)務(wù)系統(tǒng)的UNIX主機(jī)。OpenSSH服務(wù)進(jìn)程從因特網(wǎng)接收無線移動柜臺傳上來，經(jīng)過SSH協(xié)議加密的Telnet登錄請求，經(jīng)解密，將登錄請求轉(zhuǎn)發(fā)到柜面業(yè)務(wù)系統(tǒng)前臺的UNIX主機(jī)。這樣，無線移動柜臺就成功登錄到柜面業(yè)務(wù)系統(tǒng)前臺UNIX主機(jī)，成為UNIX主機(jī)的一個遠(yuǎn)程終端，可以運行柜面業(yè)務(wù)系統(tǒng)前臺程序，辦理銀行業(yè)務(wù)。這就相當(dāng)于利用SSH，在銀行現(xiàn)場業(yè)務(wù)員和銀行柜臺業(yè)務(wù)系統(tǒng)之間建立了一條虛擬的安全通信鏈路。22.VPN功能。一、數(shù)據(jù)機(jī)密性保護(hù)。二、數(shù)據(jù)完整性保護(hù)。三、數(shù)據(jù)源身份認(rèn)證。四、重放攻擊保護(hù)。23.面向連接的C/S程序工作流程圖（TCP）。24.用橢圓曲線(ECC)加解密過程。給定曲線參數(shù)p、a、b、元素G，y2≡x3＋ax＋bmodpA有自己的私鑰Na，并產(chǎn)生公鑰Pa＝Na×GB有自己的私鑰Nb，并產(chǎn)生公鑰Pb＝Nb×G加密（A要給B發(fā)送消息）對明文m的編碼點Pm，選擇隨機(jī)數(shù)k，密文 C＝{C1，C2}＝{k×G，Pm＋k×Pb}解密：編碼點Pm＝C2－Nb×C1，因為 ＝(Pm＋k×Pb)－Nb×k×G ＝Pm＋k×Nb×G－Nb×k×G＝Pm25.簡述拒絕服務(wù)的種類與原理。原理：凡是造成目標(biāo)系統(tǒng)拒絕提供服務(wù)的攻擊都稱為Dos攻擊，其目的是使目標(biāo)計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的Dos攻擊是計算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最終導(dǎo)致合法用戶的請求無法通過；連通性攻擊是指用大量的連接請求沖擊計算機(jī)，最終導(dǎo)致計算機(jī)無法再處理合法用戶的請求。26.求最大公約數(shù)（輾轉(zhuǎn)相除法）。輾轉(zhuǎn)相除法是利用以下性質(zhì)來確定兩個正整數(shù)a和b的最大公約數(shù)。1)若r是a÷b的余數(shù),則gcd(a,b)=gcd(b,r)2)a和其倍數(shù)之最大公約數(shù)為a。另一種寫法是：1)a÷b，令r為所得余數(shù)（0≤r<b）若r=0，算法結(jié)束；b即為答案。2)互換：置a←b，b←r，并返回第一步。代碼實現(xiàn)：intgcd(inta,intb){intr;if(a>0&&b>0){r=a%b;if(r==0)returnb;else returngcd(b,r);}else{printf(“輸入值非法！\n”); return-1;}}27.請將RC4加密算法用偽代碼實現(xiàn)。密鑰編排算法KSA。密鑰編排算法用來初始化字節(jié)代替表S。描述如下：forifrom0to255S[i]:=iendforj:=0forifrom