沈鑫剡编著(网络安全)教材配套课件第5章
合集下载
《网上支付与安全》PPT课件
第五章 网上支付与安全
盲签名
• 假设消费者需要从银行支取金额是1元的e现金。首先,用自己的微机 启动e现金软件,发出想要支取的指令。然后,微机内自动产生一个表 示序列号的随机数字串,再与表示1元金额的数字串合并成一个新的数 字串。为了不被他人所知,将该数字串装入电子信封(即加密处理)中, 授信给银行。银行收到之后,不开启信封,透过信封对里面的数字串加 盖电子印鉴,连信封一起传递回消费者处。消费者从信封中取出盖有银 行电子印鉴的数字串,保存到硬盘中。这样就得到了1元金额的e现金。
及到期日的金融数据。 • 无证书SET(Cert Less SET)模式 • 完全SET模式 单纯SSL模式(收银机、POS仿真) SSL协议主要用于浏览器和网络服务器之间的通信。 SSL模式的优点:不必修改现有基础设施;持卡人不需要 电子钱包软件。 SSL模式的缺点:信用卡号码以及相关支付信息对商家可 见
现金的实现手段 第一种手段:将遵循一定规则排列的一定长度的数字串作为代表纸币或
辅币所有信息。 现金是“网络型电子货币”的代表,其特点是电子货币本身保管在微机
的硬盘中,在网络中使电子货币得到传递和流通。
第五章 网上支付与安全
电子货币的分类
电子现金的普及 主要的现金模拟型电子货币:
类型 E现金 Mondex
因素有关。它包括电子商务系统的硬件安全、软件安全、系统安全、立
法安全等。
•
硬件安全是指保护计算机系统硬件(包括外部设备)的安全,保证其
自身的可靠性和为系统提供基本安全机制。
•
软件安全是指保护软件和数据不被窜改、破坏和非法复制。系统软
件安全的目标是使计算机系统逻辑上安全,主要是使系统中信息的存取、
处理和传输满足系统安全策略的要求。
沈鑫剡编著网络安全教材配套课件第5章
描述
0
EAP报文
报文体为EAP报文。
1
EAPOL-Start
鉴别发起报文,用于由用户发起的鉴别过程。
2
EAPOL-Logoff 退出报文,用于退出端口的授权状态。
3
EAPOL-Key
密钥报文,用于交换密钥,用于无线局域网。
4
EAPOL-ASF-Alert 报警报文,当受控端口处于非授权状态时,用于
交换机接收报警消息。
③EK(RA)
1.基于共享密钥 每一方不仅需要证明自己知道共享密钥,还
需证明对方知道共享密钥。
9
计算机网络安全
网络安全基础
四、双向鉴别过程
①RB
主体 A
②用户 A,RA,MD5(RB‖PASSA) 主体 B )
注册用户库
用户名 口令 用户 A PASSA 用户 B PASSB
…
ห้องสมุดไป่ตู้
③MD5(RA‖PASSA)
网络安全基础
5.1 身份鉴别
本讲主要内容 身份鉴别定义和分类; 主体身份标识信息; 单向鉴别过程; 双向鉴别过程; 第三方鉴别过程。
1
计算机网络安全
网络安全基础
一、 身份鉴别定义和分类
1.定义 身份鉴别是验证主体的真实身份与其所声称
的身份是否符合的过程,主体可以是用户、进程 和主机等。
2
30
计算机网络安全
网络安全基础
三、 EAP over PPP
1.PPP封装EAP报文过程
标志 地址 控制 协议
信息
7E FF 03
1 1 12
可变长
CRC 标志 7E
21
C227
编码 标识符 长度 类型 4
沈鑫剡编著教材配套课件第章2
计算机网络安全 第二十九页,编辑于星期五:十二点 四十五分
。
黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
计算机网络安全 第三十页,编辑于星期五:十二点 四十五分。
黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
① 黑客终端发送将IP A和MAC C绑定的ARP请求报 文;
② 路由器缓冲区中记录IP A和MAC C绑定项; ③ 路由器将目的IP地址为IP A的IP分组封装成以
转发项,这些转发项耗尽交换机 转发表的存储空间,当交换机接 收到终端B发送的源MAC地址为
MAC B的MAC帧时,由于转发表 的存储空间已经耗尽,因此, 无法添加新的MAC地址为MAC B 的转发项,导致交换机以广播 方式完成MAC帧终端A至终端B传
输过程。
计算机网络安全 第十五页,编辑于星期五:十二点 四十五分。
黑客攻击机制
一、 嗅探攻击原理和后果
2.嗅探攻击后果 嗅探攻击后果有以下三点。一是破坏
信息的保密性。二是嗅探攻击是实现数据 流分析攻击的前提。三是实施重放攻击。
计算机网络安全 第十二页,编辑于星期五:十二点 四十五分。
黑客攻击机制
二、集线器和嗅探攻击
由于集线器接收到MAC
帧后,通过除接收端口以外
MAC C为目的MAC地址的MAC帧。
计算机网络安全 第三十一页,编辑于星期五:十二点 四十五分
。
黑客攻击机制
四、 ARP欺骗攻击
3.ARP欺骗攻击防御机制
终端没有鉴别ARP请求和响应报文中IP地址 与MAC地址绑定项真伪的功能,因此,需要以太 网交换机提供鉴别ARP请求和响应报文中IP地 址与MAC地址绑定项真伪的功能,以太网交换机 只继续转发包含正确的IP地址与MAC地址绑定项 的ARP请求和响应报文。
。
黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
计算机网络安全 第三十页,编辑于星期五:十二点 四十五分。
黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
① 黑客终端发送将IP A和MAC C绑定的ARP请求报 文;
② 路由器缓冲区中记录IP A和MAC C绑定项; ③ 路由器将目的IP地址为IP A的IP分组封装成以
转发项,这些转发项耗尽交换机 转发表的存储空间,当交换机接 收到终端B发送的源MAC地址为
MAC B的MAC帧时,由于转发表 的存储空间已经耗尽,因此, 无法添加新的MAC地址为MAC B 的转发项,导致交换机以广播 方式完成MAC帧终端A至终端B传
输过程。
计算机网络安全 第十五页,编辑于星期五:十二点 四十五分。
黑客攻击机制
一、 嗅探攻击原理和后果
2.嗅探攻击后果 嗅探攻击后果有以下三点。一是破坏
信息的保密性。二是嗅探攻击是实现数据 流分析攻击的前提。三是实施重放攻击。
计算机网络安全 第十二页,编辑于星期五:十二点 四十五分。
黑客攻击机制
二、集线器和嗅探攻击
由于集线器接收到MAC
帧后,通过除接收端口以外
MAC C为目的MAC地址的MAC帧。
计算机网络安全 第三十一页,编辑于星期五:十二点 四十五分
。
黑客攻击机制
四、 ARP欺骗攻击
3.ARP欺骗攻击防御机制
终端没有鉴别ARP请求和响应报文中IP地址 与MAC地址绑定项真伪的功能,因此,需要以太 网交换机提供鉴别ARP请求和响应报文中IP地 址与MAC地址绑定项真伪的功能,以太网交换机 只继续转发包含正确的IP地址与MAC地址绑定项 的ARP请求和响应报文。
计算机网络安全课件(沈鑫剡)第5章PPT课件
第五章 无线局域网安全技术
•无线局域网的开放性; •WEP加密认证机制; •WEP的安全缺陷; •802.11i。 无线局域网的开放性对移动通信带来了便利,但 也产生了严重的安全问题,WEP加密和认证机 制就用于解决因为开放性带来的安全问题,但 WEP技术本身存在严重的安全缺陷,802.11i是 目前解决无线局域网安全问题的理想技术。
• 明文由源和目的MAC地址、优先级、净荷和MIC组成(如果明文是这些内容 分段后的某个段,需要将所有段重新拼装成原始格式),然后根据源和目的 MAC地址、优先级、净荷与MIC密钥计算MIC,将计算结果和MAC帧携带 的MIC比较,如果相同,表示源和目的MAC地址、优先级、净荷在传输过程 中未被篡改;
第12页/共37页
5.3 WEP的安全缺陷
•共享密钥认证机制的安全缺陷; •一次性密钥字典; •完整性检测缺陷。 WEP安全缺陷起因于以下几点:一是一次性密 钥和初始向量一一对应,发送端通过明文传输 初始向量,且密文和明文的异或操作结果即是 一次性密钥;二是一次性密钥的空间只有224, 且伪随机数生成器根据伪随机数种子生成一次 性密钥机制使得各个一次性密钥之间存在相关 性;三是用循环冗余检验码作为完整性检测码, 容易实现同时篡改密文和加密后的ICV。
TA TK
MAC 帧中 SA、DA 优先级和 净荷字段
MIC 密钥
TSC 32 16
第1级 密钥混 TTAK 合函数
WEP 密钥
第2级 密钥混 合函数 IV
WEP 加密
michael
MIC 分段 数据 TSC
密钥混合函数是伪 随机数生成器, Michael是简化的报 文摘要算法,但完 整性检测能力远远 超过循环冗余检验 码;
AP
关联请求
•无线局域网的开放性; •WEP加密认证机制; •WEP的安全缺陷; •802.11i。 无线局域网的开放性对移动通信带来了便利,但 也产生了严重的安全问题,WEP加密和认证机 制就用于解决因为开放性带来的安全问题,但 WEP技术本身存在严重的安全缺陷,802.11i是 目前解决无线局域网安全问题的理想技术。
• 明文由源和目的MAC地址、优先级、净荷和MIC组成(如果明文是这些内容 分段后的某个段,需要将所有段重新拼装成原始格式),然后根据源和目的 MAC地址、优先级、净荷与MIC密钥计算MIC,将计算结果和MAC帧携带 的MIC比较,如果相同,表示源和目的MAC地址、优先级、净荷在传输过程 中未被篡改;
第12页/共37页
5.3 WEP的安全缺陷
•共享密钥认证机制的安全缺陷; •一次性密钥字典; •完整性检测缺陷。 WEP安全缺陷起因于以下几点:一是一次性密 钥和初始向量一一对应,发送端通过明文传输 初始向量,且密文和明文的异或操作结果即是 一次性密钥;二是一次性密钥的空间只有224, 且伪随机数生成器根据伪随机数种子生成一次 性密钥机制使得各个一次性密钥之间存在相关 性;三是用循环冗余检验码作为完整性检测码, 容易实现同时篡改密文和加密后的ICV。
TA TK
MAC 帧中 SA、DA 优先级和 净荷字段
MIC 密钥
TSC 32 16
第1级 密钥混 TTAK 合函数
WEP 密钥
第2级 密钥混 合函数 IV
WEP 加密
michael
MIC 分段 数据 TSC
密钥混合函数是伪 随机数生成器, Michael是简化的报 文摘要算法,但完 整性检测能力远远 超过循环冗余检验 码;
AP
关联请求
计算机网络安全课件(沈鑫剡)第4章PPT课件
LAN 4
终端 A IP A
R1 IP H
LAN4 1
黑客终端
R2
R3
终端 B
IP B
黑客终端伪造路由项过程
• 黑客终端伪造和LAN4直接相连的路由项,并通过路由消息将该路由 项组播给路由器R1、R2;
• 路由器R1将通往LAN4传输路径的下一跳改为黑客终端; • 所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客
路由器 R1 正确路由表
路由器 R1 错误路由表
子网 距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 3
下一跳 直接 直接
IP R IP R
子网 距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 2
下一跳 直接 直接
IP R IP HLAN 1LAN 2 IP RLAN 3
第1页/共38页
4.1 以太网安全技术
• 以太网接入控制 ➢ 访问控制列表; ➢ 安全端口; ➢ 802.1X接入控制过程。 • 以太网其他安全功能 ➢ 防站表溢出攻击功能; ➢ 防DHCP欺骗; ➢ 防ARP欺骗攻击。
第2页/共38页
以太网接入控制
• 黑客攻击内部网络的第一步是接入内部网络,而以太网是最常见的直接用于接入用 户终端的网络,只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤;
IP 接口
VLAN 2 VLAN 3
192.1.2.254 192.1.3.254
192.1.2.0/24
192.1.3.0/24
终端 B 终端 C
Web 接口 192.1.1.0/24
终端 A
终端 A 终端 B 终端 C 终端 D
物理网络
沈鑫剡计算机网络技术及应用无线局域网PPT课件
不是
随机生成 退避时间
持续 DIFS 是 信道空闲?
不是
信道不忙 不是 且 NAV=0?
是
持续 DIFS 不是 信道空闲?
是
退避时间 不是 到?
是 信道不忙?
发送数据
• CSMA/CA算法的特点是争用总线, 即信道持续空闲DIFS时间,认为 信道空闲;
• 通过NAV预约信道,预留时间通过 MAC帧中的持续时间字段给出,预 约时间内等同于信道忙;
• 如果终端第一次发送数据时检测到信道忙,在等待信道由忙转为空闲 的时间内,可能有多个终端开始检测信道,因此,发生冲突的概率较 大,需要进入退避时间。
第24页/共42页
三、DCF和CSMA/CA
AP
①
BSS
④ ②⑤ ⑥ ③
①:数据 ②ACK ③:数据 ④:ACK ⑤:数据 ⑥:ACK 终端 A
DCF操作过程
三、无线局域网拓扑结构
AP1 DS
BSS1
终端 B 终端 C
1 S1 2
AP2 BSS2
终端 D 终端 E 终端 F
(3)扩展服务集是一个
。
A.冲突域
B.广播域
C.所有终端都能接收到任何目的地址MAC帧的传输区域
D.多个广播域构成的传输区域
选择答案,并简要回答为什么?
第13页/共42页
四、无线局域网标准
终端 B
终端 C
实现终端A至终端C,终端B至AP的数据传输过 程
第25页/共42页
三、DCF和CSMA/CA
终端 A 检测信道
数据
终端 A
DIFS
信道忙
AP 终端 B 检测信道
时隙
ACK
SIFS
随机生成 退避时间
持续 DIFS 是 信道空闲?
不是
信道不忙 不是 且 NAV=0?
是
持续 DIFS 不是 信道空闲?
是
退避时间 不是 到?
是 信道不忙?
发送数据
• CSMA/CA算法的特点是争用总线, 即信道持续空闲DIFS时间,认为 信道空闲;
• 通过NAV预约信道,预留时间通过 MAC帧中的持续时间字段给出,预 约时间内等同于信道忙;
• 如果终端第一次发送数据时检测到信道忙,在等待信道由忙转为空闲 的时间内,可能有多个终端开始检测信道,因此,发生冲突的概率较 大,需要进入退避时间。
第24页/共42页
三、DCF和CSMA/CA
AP
①
BSS
④ ②⑤ ⑥ ③
①:数据 ②ACK ③:数据 ④:ACK ⑤:数据 ⑥:ACK 终端 A
DCF操作过程
三、无线局域网拓扑结构
AP1 DS
BSS1
终端 B 终端 C
1 S1 2
AP2 BSS2
终端 D 终端 E 终端 F
(3)扩展服务集是一个
。
A.冲突域
B.广播域
C.所有终端都能接收到任何目的地址MAC帧的传输区域
D.多个广播域构成的传输区域
选择答案,并简要回答为什么?
第13页/共42页
四、无线局域网标准
终端 B
终端 C
实现终端A至终端C,终端B至AP的数据传输过 程
第25页/共42页
三、DCF和CSMA/CA
终端 A 检测信道
数据
终端 A
DIFS
信道忙
AP 终端 B 检测信道
时隙
ACK
SIFS
沈鑫剡编著网络安全教材配套PPT课件
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
2.病毒激发机制 嵌入BIOS和引导区; 病毒程序作为自启动项; 修改名字。
计算机网络安全
病入毒侵防防御御技系术统
四、病毒感染和传播
病毒每一次运行过程,或是完成感染和传播过程。 一般情况下,PE病毒感染PE格式文件,宏病毒感染 Office文档,脚本病毒感染HTML文档。蠕虫病毒自动完成 传播过程。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (1)U盘AutoRun病毒
修改U盘的AutoRun.inf文件,将病毒程序作为双击U盘 后执行的程序。如果已经启动Windows 的自动播放功能, 当用户打开该U盘时,首先执行病毒程序。 (2)宏病毒
用Office软件打开包含宏病毒的Office文档时,才能执 行包含在Office文档中的宏病毒。 (3)脚本病毒
计算机网络安全
病入毒侵防防御御技系术统
一、病毒存在形式
病毒可以是一段寄生在其他程序和文件中的恶 意代码,也可以是一个完整的程序。 寄生病毒
脚本病毒 宏病毒 PE病毒
非寄生病毒
计算机网络安全
病入毒侵防防御御技系术统
二、病毒植入方式
对于寄生病毒,病毒植入是指将包含病毒的宿主程序 或宿主文件传输到主机系统中的过程。对于非寄生病毒, 病毒植入是指将独立、完整的病毒程序传输到主机系统中 的过程。 移动媒体 访问网页 下载实用程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延
①
黑客终端 启动木马 客户端程序
黑客终端 ③ 客户端出现特 定图标,双击 图标,弹出资 源管理界面
(1)木马病毒结构及功能
病入毒侵防防御御技系术统
三、病毒隐藏和运行
2.病毒激发机制 嵌入BIOS和引导区; 病毒程序作为自启动项; 修改名字。
计算机网络安全
病入毒侵防防御御技系术统
四、病毒感染和传播
病毒每一次运行过程,或是完成感染和传播过程。 一般情况下,PE病毒感染PE格式文件,宏病毒感染 Office文档,脚本病毒感染HTML文档。蠕虫病毒自动完成 传播过程。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (1)U盘AutoRun病毒
修改U盘的AutoRun.inf文件,将病毒程序作为双击U盘 后执行的程序。如果已经启动Windows 的自动播放功能, 当用户打开该U盘时,首先执行病毒程序。 (2)宏病毒
用Office软件打开包含宏病毒的Office文档时,才能执 行包含在Office文档中的宏病毒。 (3)脚本病毒
计算机网络安全
病入毒侵防防御御技系术统
一、病毒存在形式
病毒可以是一段寄生在其他程序和文件中的恶 意代码,也可以是一个完整的程序。 寄生病毒
脚本病毒 宏病毒 PE病毒
非寄生病毒
计算机网络安全
病入毒侵防防御御技系术统
二、病毒植入方式
对于寄生病毒,病毒植入是指将包含病毒的宿主程序 或宿主文件传输到主机系统中的过程。对于非寄生病毒, 病毒植入是指将独立、完整的病毒程序传输到主机系统中 的过程。 移动媒体 访问网页 下载实用程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延
①
黑客终端 启动木马 客户端程序
黑客终端 ③ 客户端出现特 定图标,双击 图标,弹出资 源管理界面
(1)木马病毒结构及功能
网络安全培训教材 ppt课件
二、网络安全的定义
• 网络安全五个特性
业界网络安全三性 CIA
机密性 确保信息在存储、使用、传输过程中不会泄漏给非 ✓机密性(Confidentiality)
授权用户或实体。
指只有授权用户可以获取信息
完整性 可用性
确保信息在存储、使用、传输过程中不会被非授权
用户篡改,同时还要防止授权用户对系统及信息进 ✓完整性(Integrality) 行不恰当的篡改,保持信息内、外部表示的一致性。 指信息在输入和传输的过程中,不
远程控制类
所谓远程控制,是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段,连通需被控制 的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远方计算机进行配置、软件 安装程序、修改等工作,可以进行任何危险操作。
木马、间谍软件、病毒、 APT
一、网络安全业界事件及形势—业界形式
网络安全培训教材
网络安全培训教材 信息安全小组编制
网络安全基础知识培训
培训目的
学习重点
让员工对网络安全有一定了解,并在工作 中按照相应的规范要求进行作业
培训对象
所有入职员工
培训讲师 培训时间
一小时
1.网络安全业界事件及形势 2.网络安全的定义 3.网络安全基本概念 4.网络安全管理要求 5.日常检查要求
网络安全管理要求-红线
• 管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手 段,连通需被控制的计算机,将被控计算机的桌面环境显示到自己的 计算机上,通过本地计算机对远方计算机进行配置、软件安装程序、 修改等工作
• 员工不得私自使用相机进行拍照 • 非授权人员不得进入华为网站下载相关文件
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机网络安全
网络安全基础
一、终端接入Internet需要解决的问题
1.终端访问网络资源的基本条件
传输路径 网络 1 路由器 网络 2 服务器
终端 A
建立终端A与路由器之间的传输路径; 终端A完成网络信息配置过程; 路由器路由表中建立对应路由项。
计算机网络安全
网络安全基础
一、终端接入Internet需要解决的问题
计算机网络安全
网络安全基础
二、主体身份标识信息
3.证书和私钥 证书可以证明主体x与公钥PK之间的绑定关 系,如果主体x能够证明自己知道与公钥PK对应 的私钥SK,就能证明自己是主体x。
计算机网络安全
网络安全基础
三、单向鉴别过程
①RB 主体 A ②EK(RB) 主体 B
1.基于共享密钥 主体A只需证明自己知道共享密钥K,即可证 明自己身份。
先定义一种和应用环境无关的、用于传输鉴别协议消息的 载体协议,所有应用环境和鉴别协议都和这种载体协议绑定。
计算机网络安全
网络安全基础
二、 EAP操作过程
1.EAP操作模型
鉴别者 用户 用户 鉴别者
鉴别者负责对用 户身份进行鉴别,用 户只有通过鉴别者的 身份鉴别后才能接入。
鉴别者向用户发 送请求报文,用户向 鉴别者回送响应报文。 请求报文和响应报文 的内容与双方采用的 鉴别机制有关,不同 的鉴别机制有着不同 的请求/响应过程, 有的鉴别机制可能需 要经过多次请求/响 应过程才能完成用户 身份鉴别。
③DSKB(RA)
3.基于证书和私钥 用户A和用户B与各自公钥之间的绑定得到权 威机构证明,且用户A和用户B能够证明自己知道 公钥对应的私钥。
计算机网络安全
网络安全基础
五、第三方鉴别过程
1.引出第三方鉴别的原因 无需鉴别者拥有用于证明公钥与示证者之间 绑定关系的证书。由权威机构提供与示证者绑定 的公钥。且公钥与示证者之间的绑定关系由权威 机构予以证明。
点对点语音信道 63636767 终端 A Modem 接入控制设备
PSTN
16300
Interne t
拨号接入过程
建立点对点语音信道
PPP帧就是适合点对点语音信道传输的帧格式
计算机网络安全
点对点语音信道与PPP
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
标志 地址 控制 协议 信息 CRC 标志
计算机网络安全
网络安全基础
一、终端接入Internet需要解决的问题
4.终端接入Internet过程
建立终端A与接入控制设备之间的传输路径; 接入控制设备完成身份鉴别过程;
动态配置端A的网络信息;
动态创建终端A对应的路由项。
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
1.PPP作为接入控制协议的原因
③EK(RA)
1.基于共享密钥 每一方不仅需要证明自己知道共享密钥,还 需证明对方知道共享密钥。
计算机网络安全
网络安全基础
四、双向鉴别过程
①RB ②用户 A,RA,MD5(RB‖PASSA) ) ③MD5(RA‖PASSA) ) 注册用户库 用户名 口令 用户 A PASSA 用户 B PASSB …
计算机网络安全
网络安全基础
五、第三方鉴别过程
公钥库 主体名 公钥 主体 A PKA 主体 B PKB … 公钥管 理机构 ①请求‖时间 1 ②DSK(PKB‖请求‖时间 1) ⑤DSK(PKA‖请求‖时间 2) ③EPKB(主体 A‖RA) 主体 A ⑥EPKA(RA‖RB) 主体 B ④请求‖时间 2
标识符字段用来匹配请求和响应报文; 类型
1: 身份 4: CHAP 5: OTP 13:TLS
计算机网络安全
网络安全基础
三、 EAP over PPP
1.PPP封装EAP报文过程
标志 地址 控制 7E 1 FF 1 03 1 2 可变长 2 协议 信息 CRC 标志 7E 1
C227
编码 1
标识符 长度 类型 4 1 2 1
鉴别者 用户 鉴别者提供 的正常服务 受控端口 端口接入实 体(PAE) 非受控 端口 EAPOL LAN RADIUS 鉴别 服务器
EAPOL
一个物理端口被虚化成2个虚端口,一个是受控端口,只有在 成功完成用户身份鉴别后,才能提供正常的输入输出服务。另一个 是非受控端口,用于接收EAP报文和其他广播报文。
根据 CHAP交换鉴 别信息; 鉴别信 息交换过程 通过EAP请求 /响应过程完 成; EAP报 文封装成PPP 帧。
计算机网络安全
网络安全基础
四、802.1X操作过程
1.802.1X操作模型
交换机 水晶头 双绞线缆
PC
用户接入以 太网方式
计算机网络安全
网络安全基础
四、802.1X操作过程
1.802.1X操作模型
(3)IPCP IP控制协议(IPCP)的作用是为终端A动态分配IP地 址等网络信息。
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
3.PPP接入控制过程
接入控制过程由五个阶 段组成,分别是物理链路停 止、PPP链路建立、用户身份 鉴别、网络层协议配置和终 止PPP链路等。
物理链路停止 建立呼叫连接
CHAP 相关数据
CHAP 对应的 EAP 报文
计算机网络安全
网络安全基础
三、 EAP over PPP
2.鉴别过程
鉴别数据库 用户名 用户 A 鉴别机制 口令
EAP-CHAP PASS 接入控制设备 (鉴别者)
用户 A
PPP(EAP 请求(身份) ) PPP(EAP 响应(用户 A) ) PPP(EAP 请求(challenge) ) PPP(EAP 响应(MD5(标识符‖challenge‖口令) ) ) PPP(EAP 成功)
⑦EPKB(RB)
计算机网络安全
网络安全基础
五、第三方鉴别过程
2.鉴别过程 用户A和用户B与公钥之间的绑定关系由 公钥管理机构提供且证明。用户A和用户B只需证 明知道公钥对应的私钥。
计算机网络安全
网络安全基础
5.2 Internet接入控制过程
本讲主要内容
终端接入Internet需要解决的问题; PPP与接入控制过程。
主体 A
身份鉴别
主体 B
单向鉴别
第三方 身份标 识信息 主体 A 身份鉴别 身份标 识信息
双向鉴别
主体 B
第三方鉴别
计算机网络安全
网络安全基础
二、主体身份标识信息
1.密钥 主体拥有某个密钥x,只要主体能够证明自 己知道密钥x,主体的身份就得到证明。 2.用户名和口令 这种标识信息主要用于标识用户,为每一个 授权用户分配用户名和口令,某个用户只要能够 证明自己知道某个授权用户对应的用户名和口令, 就能证明该用户是授权用户。
2.终端接入Internet的先决条件
接入网络 终端 A 接入控 制设备 Internet 服务器
终端接入Internet前,必须证明使用终端的用户 是注册用户;
在确定使用终端的用户是注册用户的前提下,由 接入控制设备完成对终端分配网络信息,建立将终 端的IP地址和终端与接入控制设备之间的传输路径 绑定在一起的路由项的过程。
三、单向鉴别过程
①RB 主体 A ②DSKA(RB) ) 主体 B 证书 主体 A 的公钥 是 PKA CA 签名
3.基于证书和私钥 主体A与公钥PKA之间的绑定已经得到权威结 构证明,主体A只要证明自己知道PKA对应的私钥 SKA,即可证明自己身份。
计算机网络安全
网络安全基础
四、双向鉴别过程
① RB 主体 A ②EK(RA‖RB) 主体 B
计算机网络安全
网络安全基础
一、引出EAP的原因
1.鉴别协议和载体协议 PPP本身并不是一种鉴别协议,而是一种用 于传输鉴别协议鉴别用户身份所需消息的载体协 议,具体的鉴别过程由鉴别协议完成,如PPP支 持的PAP和CHAP。
计算机网络安全
网络安全基础
一、引出EAP的原因
2.应用环境和鉴别协议独立发展引发的问题和解 决思路
计算机网络安全
网络安全基础
三、单向鉴别过程
注册用户库 ①RB 主体 A 主体 B 用户名 口令 用户 A PASSA 用户 B PASSB …
②用户 A,MD5(RB‖PASSA) )
2.基于用户名和口令 主体A只需证明自己知道某个授权用户对应 的用户名和口令,即可证明自己身份。
计算机网络安全
网络安全基础
7E 1
FF 1
03 1 2 可变长 2
7E 1
(1) PPP帧结构
0021 IP 分组 IP 分组帧 PAP 帧 CHAP 帧 IPCP 帧
C023
PAP PDU
C223 8021
CHAP PDU IPCP PDU
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
用户名、口令 鉴别成功 终端 A (a)PAP 鉴别过程 接入控 制设备 (b)CHAP 鉴别过程 终端 A 随机数 C MD5(C‖P),用户名 鉴别成功 接入控 制设备
计算机网络安全
网络安全基础
四、802.1X操作过程
2.EAPOL报文类型和封装格式
6B 6B 2B 类型: 888E 1B 1B 2B 报文体长度 报文体 4B FCS 目的地址 源地址 版本 报文类型 B
版本字段值目前固定为2,报文类型表明封装在MAC帧中的报文 类型,目前定义了5中报文类型。报文体长度和报文体由报文类型 决定。