第4章网络安全协议(刘天华编著,科学出版社)

第4章网络安全协议第四章网络安全协议第4章网络安全协议Internet在最初建立时的指导思想是资源共享，因此以开放性和可扩展性为核心。在建立协议模型与协议实现时，更多考虑到易用性，而在安全性方面考虑存在严重不足，这就给攻击者造成了可乘之机。本章以TCP/IP协议族结构为指导，自底向上分层阐述不同层次的安全协议保障机制，主要包括PPP、IPSec、SSL/TLS、SET等。引言第4章网络安全协议第4章网络安全协议4.1数据链路层安全通信协议PPT协议；PPTP协议；L2TP协议4.2网络层安全通信协议IPSec协议簇4.3传输层安全通信协议SSL/TSL协议簇4.4应用层安全通信协议电子邮件安全协议；SET协议；SNMP协议；S-HTTP协议第4章网络安全协议4.1数据链路层安全通信协议数据链路层对网络层显现为一条无错的线路，主要任务是加强最底层物理层原始传输单位比特的功能，在两个相邻结点间的线路上无差错地传送以帧为单位的数据，还要解决由于链路上的通信干扰造成数据帧的破坏、丢失而所需要的数据帧的重发以及流量的调节、出错的处理和信道的共享等问题。数据链路层加密就是简单地对要通过物理媒介传输的每一个字节进行加密；解密则在收到时处理。这可以保证数据在链路上传输时不会被截获。第4章网络安全协议4.1数据链路层安全通信协议在数据链路层提供安全机制的优点：无需对其任何上层进行改变就能对所有数据加密，提供链路安全能够由硬件在数据传输和接收时轻易实现，而且它对性能的影响将会很小，能达到的速率最高；它能够和数据压缩很好的结合起来；对流分析能提供最高的保护性；对隐通道能提供最高的保护性；基于网络攻击的途径最少。第4章网络安全协议4.1数据链路层安全通信协议在数据链路层提供安全机制的缺点：它只能应用在两个直连的设备上，而数据在网络上传输时重要的是端到端的安全，在单独的链路上加密并不能保证整个路径的安全性；局域网并不能提供链路层安全，即对内部攻击人员无保护；最高的通信成本；新节点加入时要求电信公司重新配置网络。第4章网络安全协议4.1.1PPP协议PPP(Point-to-PointProtocol)是“点对点”协议，它提供了基于广域网的网络层数据封装和向上层提供物理透明性的功能。PPP定义一种如何在点到点链路上传输多协议分组的封装机制。第4章网络安全协议4.1.1PPP协议字段含义：(1)标志字段(Flag)标志帧的开始和结束，为一个字节，值为0x7e；(2)地址字段(Address)为一个字节，表示链路上站的地址；(3)控制字段：也是一个字节，其值也是固定值，为0x03；(4)协议字段：两个字节组成，指示所封装在信息字段的数据类型。(5)信息字段(Information)是由0或多个字节组成，由协议字段标志的数据报构成，信息字段的结束是由最近的标志字段位确定的。(6)校验字段(FCS)通常为两个字节，为提高检测能力，可经由协商，使用32位的校验字段。第4章网络安全协议4.1.1PPP协议建立失败失败NCP配置认证成功通信结束载波停止检测到载波双方协商一些选项认证网络打开终止静止图4.2PPP协议的状态图第4章网络安全协议4.1.2PPTP协议点到点隧道协议(Point-PointTunnelingProtocol，RFC2637)是对PPP的扩展。由Microsoft和Ascend开发。PPTP使用一种增强的GRE（GenericRoutingEncapsulation）封装机制使PPP数据包按隧道方式穿越IP网络，并对传送的PPP数据流进行流量控制和拥塞控制。PPTP并不对PPP协议进行任何修改，只提供了一种传送PPP的机制，并增强了PPP的认证、压缩、加密等功能。由于PPTP基于PPP协议，因而它支持多种网络协议，可将IP、IPX、APPLETALK、NetBEUI的数据包封装于PPP数据帧中。第4章网络安全协议4.1.2PPTP协议PPTP是一种用于让远程用户拨号连接到本地ISP（InternetServiceProvider，Internet服务提供商），通过因特网安全远程访问公司网络资源的网络技术。PPTP对PPP协议本身并没有做任何修改，只是使用PPP建立拨号连接然后获取这些PPP包并把它们封装进GRE头中。PPTP使用PPP协议的PAP或CHAP进行认证，另外也支持Microsoft公司的点到点加密技术（MPPE）。PPTP支持的是一种客户--LAN型隧道的VPN实现。第4章网络安全协议4.1.2PPTP协议建立PPTP连接，首先要建立客户端与本地ISP的PPP连接。一旦成功地接入因特网，下一步就是建立PPTP连接。从最顶端PPP客户端、PAC和PNS服务器之间开始，由已经安装好PPTP的PAC建立并管理PPTP任务。如果PPP客户端将PPTP添加到它的协议中，所有列出来的PPTP通信都会在支持PPTP的客户端上开始与终止。由于所有的通信都将在IP包内通过隧道，因此PAC只起着通过PPP连接进因特网的入口点的作用。从技术上讲，PPP包从PPTP隧道的一端传输到另一端，这种隧道对用户是完全透明的。第4章网络安全协议4.1.2PPTP协议PPTP具有两种不同的工作模式：被动模式和主动模式。被动模式的PPTP会话通过一个一般是位于ISP处的前端处理器发起，在客户端不需要安装任何与PPTP有关的软件。在拨号连接到ISP的过程中，ISP为用户提供所有的相应服务和帮助。被动方式好处是降低了对客户的要求，缺点是限制了用户对因特网其它部分的访问。主动方式是由客户建立一个与网络另外一端服务器直接相连的PPTP隧道。这种方式不需要ISP的参与，不再需要位于ISP处的前端处理器，ISP只提供透明的传输通道。这种方式的优点是客户拥有对PPTP的绝对控制，缺点是对用户的要求较高并需要在客户端安装支持PPTP的相应软件。第4章网络安全协议4.1.3L2TP协议第二层隧道协议L2TP（Layer2TunnelingProtocol）是用来整合多协议拨号服务至现有的因特网服务提供商点。IETF(因特网工程任务组)的开放标准L2TP协议结合了PPTP协议和L2F的优点，特别适合于组建远程接入方式的VPN，目前已经成为事实上的工业标准。在由L2TP构建的VPN中，有两种类型的服务器，一种是L2TP访问集中器LAC（L2TPAccessConcentrator），它是附属在网络上的具有PPP端系统和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务；另一种是L2TP网络服务器LNS（L2TPNetworkServer），是PPP端系统上用于处理L2TP协议服务器端部分的软件。第4章网络安全协议4.1.3L2TP协议L2TP特点：（1）差错控制L2TP通过其包头中的两个字段NextReceived和NextSent进行流控制和差错检测。（2）地址分配L2TP支持在NCP协商机制的基础上动态分配客户地址。（3）身份认证具有身份认证功能（4）安全性能采用IPSec对LAC和LNS之间的IP包进行加密传送第4章网络安全协议4.1.3L2TP协议L2TP格式：T位为标识消息类型。数据消息设置为0，控制消息设置为1如果L位为1，表示长度域存在。对于控制消息，必须设置为1；X位是为将来保留的扩展位。所有的保留位在呼出消息中必须设置为0，在呼入消息中必须忽略。若O位(序列号位)为1，则Ns和Nr域存在。对于控制消息来说，该位必须设置为1。Ver(版本号)可以设置为2，标明当前的L2TP版本号为第二版。或者为3，标明当前的L2TP版本号为第三版。Length域标识以八位组表示的消息长度。第4章网络安全协议4.1.3L2TP协议L2TP格式：TunnelID指示控制链接的标识符。只有本地有效的标识符才能用来给L2TPtunnels命名。SessionID指示一个tunnel内的会话标识符。只有本地有效的标识符才能用来给L2TPsession命名。Ns指示数据或控制消息的序列号，从0开始，每发送一个消息其值加1。Nr指示下一个期望被收到的控制消息的序列号。OffsetSize域如果存在，则表明运送的数据期望开始的地方。第4章网络安全协议4.1.3L2TP协议L2TP工作流程：隧道建立、会话建立和PPP帧的封装前转（1）隧道建立隧道建立就是L2TP控制连接的建立，通过控制连接管理类消息实现，如图4.5所示。LAC和LNS任一端均可发起隧道的建立，它包括两轮消息交换.主要完成如下功能：LAC和LNS相互间的认证，采用CHAP认证算法；LAC和LNS各自为隧道分配隧道ID，并通知对方；确定隧道的承载类型和帧封装类型；确定接收窗口尺寸；隧道终结可用StopCCN消息完成。第4章网络安全协议4.1.3L2TP协议（2）会话建立会话建立过程由呼叫触发，在拨号接入的情况下，就是由用户至LAC的入呼叫触发，其过程如图4.6所示，由呼叫管理类消息实现，类似隧道建立，消息过程将交换如下信息：LAC和LNS各自为会话分配的会话ID；数据信道的承载类型和帧封装类型；主被叫号码及子地址；收发线路速率；数据消息是否要加序号。第4章网络安全协议4.1.3L2TP协议（3）PPP帧前转会话建立后进入通信阶段此时LAC收到远端用户发来的PPP帧去除CRC校验字段帧封装字段和规避字段将其封装入L2TP数据消息经隧道前传给LNS反向则执行相反的过程。LAC在会话建立时可置入需要有序AVP则所有数据消息必须加序号如果LAC未作此请求则由LNS控制如果LNS在发出的消息中置序号则LAC在其后发出的消息中亦置序号如果LNS不置序号LAC其后也不再置序号。第4章网络安全协议4.1.3L2TP协议第4章网络安全协议4.2网络层安全通信协议从ISO/OSI互联参考模型的七层体系结构来看，网络层是网络传输过程中非常重要的一个功能层，它主要负责网络地址的分配和网络上数据包的路由选择。因此，在网络层提供安全服务实现网络的安全访问具有很多先天性的优点。常见的安全认证、数据加密、访问控制、完整性鉴别等，都可以在网络层实现。该层的安全协议主要有IPSec等。第4章网络安全协议•IPSec的优点–提供强大的安全性，应用于防火墙和路由器–防火墙内部的IPSec可以抵制旁路–IPSec在传输层以下，对应用程序透明–IPSec对终端用户透明–需要时可以为单个用户提供安全性•路由选择应用，IPSec保证：–路由器的通告(新的路由器通告它的存在)来自被认可的路由器–邻站通告(一个路由器尝试与另一个路由选择域的一台路由器建立或维护邻站关系)来自被认可的路由器–重定向报文来自于原始报文发给它的路由器–路由选择更新不会被假造4.2网络层安全通信协议第4章网络安全协议4.2网络层安全通信协议在网络层提供安全机制的缺点在于很难解决像数据的不可否认之类的问题。因为若在网络层来解决该类问题，则很难在一个多用户的机器上实现对每个用户的控制。但是我们也可以在终端主机上提供相应的机制实现以用户为基础的安全保障。因此，通过上面的比较如果想要实现网络安全服务而又不愿意重写很多系统和应用程序的话，唯一可行的方案就是在比较低的网络层中加入安全服务，它能够提供所有的配置方案，如主机对主机、路由器对路由器、路由器对主机。第4章网络安全协议4.2.1IPSec协议簇IPSec（InternetProtocolSecurity）是IETF为了在IP层提供通信安全而制定的一套协议簇。它包括安全协议部分和密钥协商部分：安全协议部分定义了对通信的安全保护机制；密钥协商部分定义了如何为安全协议协商保护参数以及如何对通信实体的身份进行鉴别。IPSec安全协议部分给出了封装安全载荷ESP(EncapsulationSecurityPayload)和鉴别头AH(AuthenticationHeader)两种通信保护机制。其中ESP机制为通信提供机密性和完整性保护，AH机制为通信提供完整性保护。IPSec密钥协商部分使用IKE(InternetKeyExchan