網絡安全設計安全防范⑵安全協議ContentVPN/IPsecSSL/HTTPSOTPAAA/Radius1《網絡安全設計》安全防范⑵安全協議VPNVirtualPrivateNetwork虛擬專用網絡在“不安全”的網絡上建立安全的互連關系采用安全互連協議，實現——通信雙方的身份認證保密通信，保障傳輸信息安全《網絡安全設計》安全防范⑵安全協議2VPN安全隧道安全隧道SecureTunnel《網絡安全設計》安全防范⑵安全協議3VPN應用目的用戶通過Internet安全接入IntranetIntranet之間通過Internet的安全互連通過Internet構造安全的Extranet通過Internet的對等設備安全互連《網絡安全設計》安全防范⑵安全協議4Intranet組網示例《網絡安全設計》安全防范⑵安全協議5Extranet組網示例《網絡安全設計》安全防范⑵安全協議6VPN應用方式端到端VPN（客戶端方式/網絡透明）無明文傳輸階段，安全性最佳使用較靈活，隨時按需調整，且適合不同ISP接入用戶需要自行提供VPN設備用戶需要配置和管理VPN（技術難度較高）ISP-VPN（服務端方式/用戶透明）用戶網絡內部明文傳輸，安全性存在弱點相對固定互連關系用戶毋須VPN設備（由ISP提供）對用戶操作透明《網絡安全設計》安全防范⑵安全協議7安全隧道協議點對點隧道協議（Point-to-PointTunnelProtocol，PPTP）PPTP協議允許對IP、IPX或NetBEUI數據流進行加密，然后封裝在IP包頭中，通過Intranet或Internet相互通信第2層隧道協議（Layer-2TunnelProtocol，L2TP）L2TP協議允許對IP、IPX或NetBEUI數據流進行加密，然后通過支持點對點數據報通信的任意網絡發送，如IP、X.25、FrameRelay或ATM安全IP（SecureIP，IPsec）IPSec隧道模式允許對IP負載數據進行加密，然后封裝在IP包頭中通過Intranet或Internet相互通信安全套接層（SecureSocketLayer，SSL）使用SSL協議，實現移動用戶遠程安全接入內部網絡。尤其是對于基于Web的應用訪問，SSL-VPN方式有更強的靈活性優勢《網絡安全設計》安全防范⑵安全協議8IPsec安全協議SecureIPIP的安全子層（3.5層）——協議安全補丁IPsec協議包括兩部分功能：認證頭部AH（AuthenticationHeader）安全封裝ESP（EncapsulatingSecurityPayload）《網絡安全設計》安全防范⑵安全協議9AH認證模式傳輸模式（TransportMode）不改變IP地址，插入一個AH隧道模式（TunnelMode）生成一個新的IP頭，把AH和原來的整個IP包放到新IP包的載荷數據中《網絡安全設計》安全防范⑵安全協議10AH報頭《網絡安全設計》安全防范⑵安全協議11（傳輸模式AH）⑴數據源鑒別認證聯合數據完整性保護及在發送和接收端使用共享密鑰來保證身份的真實性⑵數據完整性保護通過對數據包長度進行單向散列算法計算進行保護，使用MD5或SHA-1算法○在AH的傳輸模式下，AH散列算法計算范圍是整個數據包（包括IP報頭）中在傳輸過程中不改變的所有域。AH包頭被插入在IP報頭之后，ESP報頭（如果有）和其它高層協議之前○在AH的隧道模式下，AH散列算法計算整個原始數據包，并產生一個新的IP報頭（新IP報頭也在計算范圍內，除易變字段）。AH包頭被插入在新IP報頭之后⑶可選的防重放攻擊保護通過要求接收方在報頭中設置重發比特位以表明包已被看到ESP報文《網絡安全設計》安全防范⑵安全協議12⑴私密性（加密）在IP層通過對數據包進行加密來提供私密性。缺省使用DES，可采用3DES加密。先進行加密后進行鑒別。（防止DoS攻擊時更快）○在ESP傳輸模式下，只有IP凈載荷被加密（不包括IP報頭、ESP報頭），ESP報頭被插入在IP報頭之后、上層協議報頭之前○在ESP隧道模式下，整個IP數據包被加密（不包括ESP報頭），并產生一個新的IP報頭，ESP報頭被插入在新IP報頭之后⑵有限的數據源鑒別認證聯合數據完整性保護及在發送和接收端使用共享密鑰來保證身份的真實性。（只有在ESP的隧道模式下可以對加密后的IP報頭進行鑒別）⑶數據完整性保護ESP通過可選的鑒別域來提供數據包鑒別服務（HMAC），使用MD5和SHA-1算法○在ESP傳輸模式下，散列算法計算范圍是IP凈載及ESP報頭，IP報頭不被鑒別○在ESP隧道模式下，散列算法計算范圍是整個IP數據包及ESP報頭，新IP報頭不被鑒別⑷可選的防重放保護通過要求接收方在報頭中設置重發比特位以表明包已被看到。安全參數索引（SPI）序列號擴展位擴展位長度下一個報頭(TCP/UDP)Hash校驗值SSL安全套接層協議SecureSocketLayer用于在Internet上進行加密的、可信的通信TCP之上的運輸層子層，替代SHTTPSSL的網絡安全功能：SSL服務器鑒別：瀏覽器采用合法可信的CA數字證書及其包含的公鑰，通過SSL對服務器身份進行CA證書鑒別加密SSL會話：生成并安全交換會話密鑰，會話數據由發送方加密，接收方解密，防止信息泄露SSL用戶鑒別：服務器也可以采用數字證書鑒別用戶的身份《網絡安全設計》安全防范⑵安全協議13HTTPS《網絡安全設計》安全防范⑵安全協議14采用SSL安全瀏覽網站網頁Password口令Password/Code/Pin合法身份的認定訪問權限的分配可訪問資源的URL（或IP地址）可訪問資源的類型（Web、Email、FTP等）可訪問的應用系統可訪問的應用系統的功能（或時段）可訪問的應用系統的功能操作方式（R/W，M/A/D）可訪問的應用系統的數據表可訪問的應用系統的數據表的字段《網絡安全設計》安全防范⑵安全協議15口令安全需求《網絡安全設計》安全防范⑵安全協議16口令是系統合法訪問的重要甚至唯一的保障機制針對口令的破解等攻擊不可避免需要安全的口令典型破解手段：●聯想猜測法●黑客字典法●暴力窮舉法采用一次性使用的口令？不易記憶OTP一次性口令OneTimePassword添加不確定因子口令序列（S/KEY）挑戰/回答（Challenge/Answer，CryptoCard）時間同步（TimeSynchronous，SecureID）事件同步（EventSynchronous，SafeWord）使用輔助工具TokenCard（智能卡）SoftToken（軟件虛擬卡）IC

CardUSB

Key《網絡安全設計》安全防范⑵安全協議17OTP方法一《網絡安全設計》安全防范⑵安全協議18Password1Password2Password3···passwordNPassword1Password2Password3···passwordN每次一個順序使用OTP方法二《網絡安全設計》安全防范⑵安全協議19passwordsalttimeHashpasswordtimeHash比較如何避免時間不同步問題？OTP方法三《網絡安全設計》安全防范⑵安全協議203274576214…286613789137…21…5517830649…07ABCDE…Z12…nC2Password＋78OTP方法四《網絡安全設計》安全防范⑵安全協議21Password⊕379648379648偽隨機數生成算法379648⊕Password比較AAA驗證、授權和記賬

Authentication，AuthorizationandAccounting網絡系統訪問的登錄認證方法常用協議：RADIUS（RemoteAuthenticationDial-InUserService）PPP（PointtoPointProtocol）PPPoE（PPPoverEthernet）《網絡安全設計》安全防范⑵安全協議22Radius系統圖示《網絡安全設計》安全防范⑵安全協議23PPPPAP（PasswordAuthenticationProtocol）(P=0xc023)用戶以明文的形式傳遞用戶名和口令服務端把用戶名和加密過的口令傳遞給RADIUS服務器，根據返回結果決定是否允許用戶訪問CHAP（ChallengeHandshakeAuthenticationProtocol）(P=0xc223)當用戶請求訪問時，服務端產生一個16字節隨機碼給用戶用戶端得到這個包后使用專用的設備或軟件對相關信息進行加密，生成響應回傳給服務端服務端將這些數據傳遞給RADIUS服務器進行同樣的運算并比較，如果相同表