9第九讲 安全协掖葱麻.pptVIP

*;无论是OSI参考模型还是TCP／IP参考模型，它们在设计之初都没有充分考虑网络通信中存在的安全问题。因此，只要在参考模型的任何一个层面发现安全漏洞，就可以对网络实施攻击。 多层多种安全协议是必须的！ 不同的协议层实现的安全功能是不一样的！ 比如，虽然网络层安全可以提供数据加密、IP地址认证等，但无法进行应用层用户的认证（如电子商务应用）。也无法防止这些数据（如email应用）里面是否有有害的内容。由于数据经过加密，因此无法在网络层对此加以检查 ;应用层;TCP／IP参考模型的安全协议分层;二、网络接口层安全协议; CHAP（Challenge Handshake Authentication Protocol）是一种被广泛支持的身份验证方法。 在验证过程中，远程访问服务器将质询字符串发送给远程访问客户端。远程访问客户端使用质询字符串和用户密码，计算出“消息摘要”(MD5散列值) 。远程访问服务器执行相同的散列计算，并将计算的结果与客户端发回的散列相比较。如果两者匹配，则认为远程访问客户端的身份凭据可信。 CHAP采用是三次握手验证，服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字符串来防止受到重发攻击（replay attack）。在整个连接过程中，CHAP将不定时地向客户端重复发送挑战口令，从而避免第3方冒充远程客户进行攻击。 ;第一步，当被验证客户要求与验证服务器连接时，先由验证方服务器产生一个挑战报文（Challenge），该报文中包含有服务器的主机名和一个随机数。验证方服务器将挑战报文发给被验证客户，要求进行身份认证。 第二步，被验证客户得到挑战报文后，便根据报文中验证方服务器的主机名和自己的用户表中查找对应此服务器上的用户帐户和口令。如找到对应的用户帐户，便利用接收到的随机数和该用户的口令，以MD5算法生成应答（Response），随后将应答和自己的主机名组成应答报文发送给验证服务器。 第三步，验证服务器接到应答报文后，再利用被验证客户的用户名在服务器上的用户表中查找该用户的口令，找到后再用该口令和随机报文以MD5算法生成结果，与应答报文的内容进行比较。验证成功验证服务器会发送一条认证通过报文（Success），否则会发送一条认证失败报文（Failure）。;隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。 被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。隧道技术是指包括数据封装，传输和解包在内的全过程。;二、网络接口层安全协议;隧道协议： 为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。 隧道技术可以分别以第2层或第3层隧道协议为基础（按照OSI参考模型划分）。 PPTP，L2TP和L2F（第2层转发）都属于第2层隧道协议（对应OSI模型中的数据链路层），使用帧作为数据交换单位，即将数据封装在点对点协议（PPP）帧中通过互联网络发送。 IPSec属于第3层隧道协议，第3层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。;PPTP（Point-to-Point Tunneling Protocol，点对点隧道协议） PPTP是用于PPP协议帧传输的一种隧道机制。 为PPP提供身份验证、加密和协议配置功能。 PPTP控制连接使用GRE（Generic Routing Encapsulation，通用路由封装）对PPP帧进行封装。PPP帧的有效载荷在封装前，首先必须经过加密、压缩或是两者的混合处理。 PPTP控制连接建立在PPTP客户机和PPTP服务器之间。PPTP客户机使用动态分配的TCP端口号，而PPTP服务器则使用TCP 1723端口。PPTP控制连接消息携带PPTP呼叫控制和管理信息，用于维护PPTP隧道，其中包括周期性地发送回送请求和回送应答消息，以期检测出客户机与服务器之间可能出现的连接中断。 PPTP的包格式如下：;L2F（Level 2 Forwarding protocol） 由Cisco公司提出的可以在多种传输网络上建立多协议的安全虚拟专用网的通信隧道的一种协议，远程用户能够透过拨号方式接入公共网络。 L2F可以在多种传输介质（如ATM、帧中