SecurityAssociationSAIPSec通过查询安全策略数据库决定对.PPT

① 体系结构（Architecture）： ② ESP封装安全有效负载（Encapsulating Security Payload）： ③ AH验证头（Authentication Header）： ④ 加密算法（Encapsulation Algorithm）： ⑤ 验证算法（Authentication Algorithm）： ⑥ 密钥管理（Key Management）： ⑦ 解释域（Domain of Interpretation，DOI）： （1）SA参数 SA一般由下面的参数定义。 ① 序数计数器： ② 计数器溢出位： ③ 防重放窗口： ④ AH信息： ⑤ ESP信息： ⑥ SA的生存期： ⑦ IPSec协议模式： ⑧ 路径MTU： （1）下一报头（Next，8位）： （2）有效载荷长度（Payload Length，8位）： （3）保留（保留，16位）： （4）序列号（Sequence Number，32位）： （5）验证数据（Authentication Data，可变）： 2．AH模式 （1）传输模式 （2）隧道模式 3．报文的处理过程 4．防重放服务 （1）如果接收到的包落入窗口范围内并且是新的，则检查MAC。 （2）如果接收到的包路落在窗口右边并且是新的，那么已经检查了MAC。 （3）如果接收到的包在窗口左边，或是如果验证失败，则丢弃包，这是可审核的事件。 5．完整性检查值 MAC的计算基于下面的数据位。 （1）IP报头字段在传送过程中没有改变（不可改变）或是在到达AH SA端点时其值可预测。 （2）AH报头而不是验证数据字段。 （3）全部上层协议数据，它们假定在传送时不能改变（例如，TCP部分或隧道模式的内部IP包）。 4．IKE的实现 （1）IKE与内核的接口 ① 同SPD通信的双向接口。 ② 同SAD通信的双向接口。 （2）IKE对等实体间接口 ⑦ 服务器和客户机随机（Server and client random）： ⑧ 服务器写MAC秘密（Server and MAC sercet）： ⑨ 客户机写MAC秘密（Client write MAC secret）： ⑩ 服务器写密钥（Server write key）： ? 客户机写密钥（Client write key）： ?初始化向量（Initialization vectors）： ?序列号（Sequence number）： SSL记录协议包括了对记录头和记录数据格式的规定。 （1）SSL记录头格式 （2）SSL记录数据的格式 （3）SSL数据单元的形成过程 （4）MAC的计算过程 （5）消息加密过程 （6）生成报头 6．相关技术 （1）加密算法和会话密钥 （2）认证算法 认证算法采用X.509电子证书标准，通过使用RSA算法进行数字签名来实现。 ① 服务器的认证 ② 客户的认证 TLS握手协议提供的安全连接主要有以下3个特点。 （1）使用对称密钥加密算法或公开密钥加密算法来鉴别对等实体的身份，鉴别的方式是可选的，但是必须至少有一方要鉴别另一方的身份。 （2）协商共享安全信息的方法是安全的，协商的秘密不能够被窃听，而且即使攻击者能够接触连接的路径，也不能获得任何有关连接鉴别的秘密。 （3）协商是可靠的，没有攻击者能够在不被双方察觉的情况下修改通信信息。 2．Telnet的安全问题 对于出站Telnet服务，一个本地客户进入到一个远程服务器，需要处理系统输出和输入数据包，输出数据包含有用户键入的内容，它具有以下几个特点。 ① 数据包的IP源地址是Telnet客户机的地址。 ② 数据包的IP目的地址是Telnet服务器的地址。 ③ Telnet的数据包类型为TCP。 ④ 一般情况下，目标端口为23，但Telnet服务器可以自己设置。 ⑤ 源端口为一个大于1 023的随机数。 ⑥ 第一个数据包没有设置ACK位，而其余的包将设置了ACK位。 而对于出站服务的输入数据包含有的显示到用户屏幕上的数据具有以下特点。 ① 输入数据包的IP源地址是Telnet服务器的地址。 ② 数据包的IP目的地址是Telnet客户机的地址。 ③ Telnet的数据包类型为TCP。 ④ 一般情况下，源端口为23，但Telnet服务器可以自己设置。 ⑤ 目标端口为一大于1 023的随机数。 ⑥ 所有的输入数据包都设置ACK位。 入站Telnet服务是一个远程客户机和防火墙里面的Telnet服务器通信。入站的Telnet服务的输入数据包含有远程用户键入的内容，具有以下特点。 ① 输入数据包的IP源地址是Telnet客户机（远程主机）的地址。 ② 数据包的IP目的地址是Telnet服务器（本地主机）的地址。 ③ Telnet的数据包类型为TCP。 ④