协议的安全性研究
1 引言
随着计算机网络技术的飞速发展,信息时代的人们对的依赖性越来越大。当今时代,电子商务和电子政务的应用越来越广泛,然而网络安全问题严重束缚了计算机网络的进一步应用。安全套接层( )协议是由公司设计开发的安全协议,主要用于加强应用程序之间的数据的安全性。协议是基于应用的安全协议,它采用了算法、4—128、一128、三重算法和5等加密技术实现两个应用层之间的机密性、可靠性和数据完整性,并采用X.509数字证书实现鉴别,其加密的目的是建立一个安全的通讯通道,而且该通道可在服务器和客户机两端同时实现支持。
2 协议简述及相关概念
协议用来建立一个在客户和服务器之间安全的连接,尤其可被用来认证服务器,可选地认证客户,执行密钥交换,提供消息认证,而且还可以完成在协议之上的任意应用协议数据的完整性和隐蔽性服务。为在上安全地传送数据提供了一介加密通道,建立一个安全连接,主要实现以下工作:加密网络上客户端和服务器相互发送的信息;验证信息在传送过程是否安全完整:运用非对称密钥算法验证服务器;验证客户身份;交换应用层数据。
2.1 安全套接层协议。
是由设计的一种开放性协议,它提供了一种介于应用层和传输层之间的数据安全套接层协议机制。位于协议与各种应用层协议之间,为连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。其目的是为客户端(浏览器)到服务端之间的信息传输构建一个加密通道,此协议是与操作系统和服务器无关的。
2.2 协议可分两层:
2.2.1 记录协议:
它建立在可靠的传输协议(如)之上,位于协议的底层,为高层协议提供数据封装、压缩、加密等基本功能的支持。在中,所有数据被封装在记录中,握手协议中的报文,要求必须放在一个记录协议层的记录里,但应用层协议的报文,允许占用多个记录来传送
(1) 记录头格式
记录头可以是2个或3个字节长的编码。记录头包含的信息有记录头的长度、记录数据的长度,以及记录数据中是否有填充数据,其中填充数据是在使用块加密()算法时,填充实际数据,使其长度恰好是块的整数倍。最高位为1时,不含有填充数据,记录头的长度为2个字节,记录数据的最大长度为32767个字节;最高位为0时,含有填充数据,记录头的长度为3个字节,记录数据的最大长度为16383个字节。
记录层结构如图1所示。
图1 记录层结构
当数据头长度是3个字节时,次高位有特殊的含义。次高位为1时,表示所传输的记录是普通的数据记录;次高位为0时,表示所传输的记录是安全空白记录(被保留用于将来协议的扩展)。
记录头中数据长度编码不包括数据头所占用的字节长度。记录头长度为2个字节时,记录长度的计算公式为:记录长度=(([0]&0x7f)<<8)[1]。其中[0]、[1]分别表示传输的第一个、第二个字节。
记录头长度为3个字节时,记录长度的计算公式是:记录长度=(([0]&0x3f<<8))
[1]。其中[0]、[1]的含义同上。判断是否是安全空白记录的计算公式是:([0]&0x40)!=0。填充数据的长度为传输的第三个字节。
(2) 记录数据格式
记录数据部分有3个分量:、和。
数据用于数据完整性检查。计算所用的散列函数由握手协议中的消息确定。若使用2和5算法,则数据长度是16个字节。的计算公式为:数据[密钥, 实际数据, 填充数据, 序号]。
当会话的客户端发送数据时,密钥是客户的写密钥(服务器用读密钥来验证数据);而当会话的客户端接收数据时,密钥是客户的读密钥(服务器用写密钥来产生数据)。序号是一个可以被发送和接收双方递增的计数器,每个通信方向都会建立一对计数器,分别被发送者和接收者拥有。计数器有32位,计数值循环使用,每发送一个记录,计数值递增一次,序号的初始值为0。
是被传送的应用数据,是当采用分组码时所需要的填充数据,在明文传送下只有第二项。
(3) 记录协议的作用
记录协议层封装了高层协议的数据,协议数据采用握手协议中协商好的加密算法及算法来保护。记录协议传送的数据包括一个序列号,这样就可以检测消息的丢失、改动或重放。如果协商好了压缩算法,那么记录协议还可以执行压缩功能。
V3版的高层由记录传递的消息组成,这包括改变密码规范协议、警报协议和握手协议。改变密码规范协议指明对使用的密码规范的改变,协议中还包括了一个用当前密码规范加密的单独消息。客户和服务器都要发送改变密码规范消息来表明它们准备使用一个新的密码规范和密钥。警报协议传送与事件相关的消息,包括事件严重性及事件描述。这里的事件主要是指错
误情形,如错误的码、证书过期或是非法参数。警报协议也用于共享有关预计连接终止的信息。
2.2.2 握手协议:
中最复杂的部分,它建立在记录协议之上,用于在实际的数据传输开始前,在会话状态下产生所需要的各种安全参数,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
2.3 协议的作用
是提供上的通信隐私性的安全协议。该协议允许客户端/服务器应用之间进行防窃听、防消息篡改及防消息伪造的安全的通信。是整个数据传输和通信所使用的最基本的控制协议,在它之上还有()、( 1)、()等应用层传输协议。而是位于和各种应用层协议之间的一种数据安全协议(如图2所示)。协议可以有效地避免网上信息的偷听、篡改及信息的伪造。
图2 协议的位置
标准的关键是要解决以下几个问题。
(1)客户对服务器的身份确认:服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心()的证书,来确认服务器的合法性(检验服务器的证书和的合法性)。对于用户服务器身份的确认与否是非常重要的,因为客户可能向服务器发送自己的信用卡密码。
(2)服务器对客户的身份确认:允许服务器确认客户的身份,协议允许客户服务器的软件通过公钥技术和可信赖的证书来确认客户的身份(客户的证书)。对于服务器客户身份的确认与否是非常重要的,因为网上银行可能要向客户发送机密的金融信息。
(3)建立起服务器和客户之间安全的数据通道:要求客户和服务器之间所有的发送数据都被发送端加密,所有的接收数据都被接收端解密,这样才能提供一个高水平的安全保证。同时协议会在传输过程中检查数据是否被中途修改。
2.4 协议的目标
按它们的优先级,协议的目标如下。
(1)在通信双方之间利用加密的消息建立安全的连接。
(2)互操作性。通信双方的程序是独立的,即一方可以在不知道对方程序编码的情况下,利用成功地交换加密参数。
注意:并不是所有的实例(甚至在同一应用程序内)都可以成功地连接。例如,如果服务器支持一特定的硬件令牌(),而客户端不能访问此令牌,则连接不会成功。
(3)可扩展性。寻求提供一种框架结构,在此框架结构中,在不对协议进行大的修改的情况下,可以在必要时加入新的公钥算法和单钥算法。这样做还可以实现两个子目标:—避免产生新协议的需要,因而进一步避免了产生新的不足的可能性;
—避免了实现一完整的安全协议的需要。
相对于有效性加密操作,尤其是公钥加密,对来说是一种很耗时的事,因此协议引入一个可选的对话缓存()来减少从头开始的连接数目。同时,它还注意减少网络的活动。
3 协议工作原理
协议用来建立一个在客户和服务器之间安全的连接,尤其可被用来认证服务器,可选地认证客户,执行密钥交换,提供消息认证,而且还可以完成在协议之上的任意应用协议数据的完整性和隐蔽性服务。为在上安全地传送数据提供了一介加密通道,建立一个安全连接,主要实现以下工作:加密网络上客户端和服务器相互发送的信息;验证信息在传送过程是否安全完整:运用非对称密钥算法验证服务器;验证客户身份;交换应用层数据。基本步骤如下:(1)客户端服务器发送一个开始信息以便开始一个新的会话连接,协商传送加密算法。例如:告知服务端,客户端自己的对称加密算法有、5,自己的密钥交换算法有和,摘要算法有5和。
(2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的信息时将包含生成主密钥所需的信息,并发送服务器数字证书。例如:告知客户端,服务器就使用5这对组合进行通讯,为了证明“我”确实是服务器,现在就发送“我”的数字证书给客户端,以便于验证服务器的身份。
(3)客户端根据收到的服务器响应信息,检查服务器的数字证书是否正确,通过机构颁发的证书及的公钥对服务器证书进行解密,获得服务器公钥,然后产生一个主密钥,并用服务器的公钥加密后传给服务器。例如:服务器,“我”已经确认了你的身份,现在把我们本次通讯中的密钥发送给你。
(4)服务器使用自己的私钥解密该消息,然后生成会话密钥,接着使用服务器公钥加密,再发送给客户端。这样,服务器和客户端都拥有了会话密钥。例如:客户端,“我”已经获取了密钥,我们可以开始通信了。
服务器和客户端使用会话密钥来加密和解密传输的数据。它们之问的数据传输的是对称加密。
一般情况下,当客户端是保密信息的传递者时,不需要数字证书验证自己身份的真实性,如电子银行的应用,客户需要将自己的账号和密码发送给银行,因此银行的服务器需要安装数字证书来表明自己身份的有效性。但在某些B2B应用中,服务器端也需要对客户端的身份进行验证,这时客户端也需要安装数字证书以保证通讯时服务器可以辨别出客户端的身份,验证过程类似于服务器身份的验证过程。
4 握手过程
用公钥加密算法使服务器端在客户端得到验证,并传递对称密钥。然后再用对称密钥来更快速地加密、解密数据。
以下为具体过程:
(1)客户端向端发送客户端版本号、加密算法设置、随机产生的数据和其他服务器需要用于根客户端通信的数据。
(2)服务器向客户端发送服务器的版本号、加密算法设置、随机产生的数据和其他客户端
需要用于根服务器通信的数据。另外,服务器还有发送自己的证书,如果客户端正在请求需要认证的信息,那么服务器同时也要请求获得客户端的证书。
(3)客户端用服务器发送的信息验证服务器身份。如果认证不成功,用户就将得到一个警告,然后加密数据连接将无法建立。如果成功,则继续下一步。
(4)用户用握手过程至今产生的所有数据,创建连接所用的密钥,用服务器的公钥加密,传送给服务器。
(5)如果服务器也请求客户端验证,那么客户端将对另外一份不同于上次用于建立加密连接使用的数据进行签名。在这种情况下,客户端会把这次产生的加密数据和自己的证书同时传送给服务器用来产生。
(6)如果服务器也请求客户端验证,服务器将试图验证客户端身份。如果客户端不能获得认证,连接将被中止。如果被成功认证,服务器用自己的私钥加密建立连接所用的密钥,然后执行一系列步骤产生主密钥。
(7)服务器和客户端同时产生会话密钥,之后的所用数据传输都用对称密钥算法来交流数据。
(8)客户端向服务器发送信息说明以后的所有信息都将用会话密钥加密。至此,它会传送一个单独的信息标示客户端的握手部分已经宣告结束。
(9)服务器也向客户端发送信息说明以后的所用信息都将用会话密钥加密。至此,它会传送一个单独的信息标示服务器端得握手部分已经宣告结束。
(10)握手过程结束,一个数据传送过程建立。客户端和服务器开始用会话密钥加密、解密双方交互的所用数据。
5 的安全威胁及解决方案
协议在服务器与客户之间建立了一条安全通道,保证了在互联网上通信的保密性,但它也不是绝对安全的,协议存在一定的缺陷和漏洞。
5.1通信业务流攻击
5.1.1攻击原理
通信业务流攻击试图通过检查未保护的包的某些域或会话属性,发现有价值的信息。例如,通过检查没有经过加密的包的源地址、目标地址、端口等内容,能够获得有关通信双方的地址、正在使用的网络服务等信息,在某些特定情况下,甚至可以获得有关商业或个人关系方面的信息,当然这些信息是有价值的。而在协议中记录头中如记录长度等信息没有被保护,这是潜在的隐患。攻击者通过检查通信业务流中密文信息的长度,有可能发现通信中请求的相关信息,当浏览器连接到服务器时,浏览器发送的包含的G盯请求数据包是加密的,服务器返回的页也是加密的,但是通信业务流攻击,攻击者可以得到服务器的地址、请求的长度和返回的页面长度等信息,这些信息足以使攻击者发现用户访问的是什么页面。因为,目前高级的搜索引擎技术能够在可以公开访问的服务器上,搜索到给定长度和页面长度的页面。这种攻击能够成立的
《网络安全协议》 课程设计 题目IPsec隧道协议的安全分析与改进班级 学号 姓名 指导老师 2015年 7 月 4 日
目录 一、概述 (2) 1.1课程设计的目的 (2) 1.2课程设计的内容 (2) 1.3课程设计的要求 (3) 二、问题分析 (3) 2.1系统需求 (3) 2.2 GRE协议分析 (3) 2.3 IPsec协议分析 (4) 三、协议漏洞 (5) 3.1协议漏洞解决措施 (5) 3.2协议漏洞解决详解 (5) 四、协议完善具体实现 (6) 4.1实现分析 (6) 4.2 GRE实现流程分析 (8) 4.3简单设备设置 (10) 五、案安全性分析 (11) 六、程设计心得、总结 (11) 七、参考文献 (12)
一、概述 网络如若想实现交流传输,必须以网络协议为载体进行。而网络协议(Network Protcol)是控制计算机在网络介质上进行信息交换的规则和约定。网络协议通常会被按OSI参考模型的层次进行划分。OSI参考模型是国际标准化组织制定的网络体系结构参考模型,提供各种网络互联的标准,共分七层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,会话层、表示层和应用层往往被合并称为高层。当前的计算机网络的体系结构是以TCP/IP协议为主的Internet结构。伴随着网络的诞生近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。网络安全的实现首先需要网络协议的安全,但是网络协议都是人为写的,存在先天的不足与缺陷,以至于只能慢慢实践发现并给与补充。这里先谈一下VPN中的GRE协议。GRE(Generic Routing Encapsulation,通用路由封装)协议是由Cisco和Net-smiths等公司于1994年提交给IETF(Internet Engineering Task Force,网络工程工作小组)的,标号为RFC1701和RFC1702。GRE协议规定了如何用一种网络协议去封装另一种网络协议的方法,是一种最简单的隧道封装技术,它提供了将一种协议的报文在另一种协议组成的网络中传输的能力。GRE协议就是一种应用非常广泛的第三层VPN隧道协议。GRE隧道使用GRE协议封装原始数据报文,基于公共IP网络实现数据的透明传输。GRE隧道不能配置二层信息,但可以配置IP地址。本文从GRE协议的工作原理入手,从安全性角度出发,详细分析了GRE隧道协议的不足与缺陷,最后提出了相关的安全防护方案。 1.1课程设计的目的 详细分析IPsec隧道协议不支持对多播和广播的加密的不足,并针对其漏洞设计实施完善可行的策略。 1.2课程设计的内容 将GRE与IPsec结合使用,弥补IPsec不能保护组播数据的缺陷。因为GRE可以封装组播数据并在GRE隧道中传输,所以对于诸如路由协议、语音、视频等组播
计算机网络课程设计 实验报告
一、实验内容和要求 1、实验一数据包的捕获与分析 Wireshark是一种开源的网络数据包的捕获和分析软件,本实验通过Wireshark软件的安装使用,监控局域网的状态,捕获在局域网中传输的数据包,并结合在计算机网络课 程中学习到的理论知识,对常用网络协议的数据包做出分析,加深网络课程知识的理解和 掌握。具体内容及要求如下: Wireshark软件的安装; Wireshark软件的启动,并设置网卡的状态为混杂状态,使得Wireshark可以监 控局域网的状态; 启动数据包的捕获,跟踪PC之间的报文,并存入文件以备重新查; 设置过滤器过滤网络报文以检测特定数据流; 对常用协议的数据包的报文格式进行分析,利用协议分析软件的统计工具显示网 络报文的各种统计信息。 2、实验二网络层实验—Ping程序的设计与实现 实验目的 本实验目的是使学生掌握网络层协议的原理及实现方法。 实验设计内容 本实验为ICMP实验。实验内容:Ping命令实现的扩充,在给定的Ping程序的基础上做如下功能扩充: -h 显示帮助信息 -b 允许ping一个广播地址,只用于IPv4 -t 设置ttl值,只用于IPv4 -q 安静模式。不显示每个收到的包的分析结果,只在结束时,显示汇总结果 Ping命令的基本描述
二、实验环境 实验一数据包的捕获与分析 1.联网计算机 或linux 系统 3.在PC中安装协议分析软件(如:Wireshark) 4.物理基础: 标准的以太网采用的是持续 CSMA 的方式,正是由于以太网采用这种广播信道争用的方式,使得各个站点可以获得其他站点发送的数据。运用这一原理使信息捕获系统能够拦截的我们所要的信 5.工作模式: 1) 广播模式(Broad Cast Model):它的物理地址(MAC)地址是 0Xffffff 的帧为广播帧,工作在广播模式的网卡接收广播帧。 2)多播传送(MultiCast Model):多播传送地址作为目的物理地址的帧可以被组内的其它主机同时接收,而组外主机却接收不到。但是,如 果将网卡设置为多播传送模式,它可以接收所有的多播传送帧,而不 论它是不是组内成员。 3)直接模式(Direct Model):工作在直接模式下的网卡只接收目地址是自己 MAC地址的帧。 4)混杂模式(Promiscuous Model):工作在混杂模式下的网卡接收所有的流过网卡的帧,信包捕获程序就是在这种模式下运行的。 实验二网络层实验—Ping程序的设计与实现 1.联网计算机 2.Linux系统 3.系统自带编译环境
实 验 报 告 课程名称 计算机网络 实验名称 网络协议分析 系别 专业班级 指导教师 学号 姓名 实验日期 实验成绩 一、实验目的 掌握常用的抓包软件,了解ARP 、ICMP 、IP 、TCP 、UDP 协议的结构。 二、实验环境 1.虚拟机(VMWare 或Microsoft Virtual PC )、Windows 2003 Server 。 2.实验室局域网,WindowsXP 三、实验学时 2学时,必做实验。 四、实验内容 注意:若是实验环境1,则配置客户机A 的IP 地址:192.168.11.X/24,X 为学生座号;另一台客户机B 的IP 地址:192.168.11.(X+100)。在客户机A 上安装EtherPeek (或者sniffer pro )协议分析软件。若是实验环境2则根据当前主机A 的地址,找一台当前在线主机B 完成。 1、从客户机A ping 客户机B ,利用EtherPeek (或者sniffer pro )协议分析软件抓包,分析ARP 协议; 2、从客户机A ping 客户机B ,利用EtherPeek (或者sniffer pro )协议分析软件抓包,分析icmp 协议和ip 协议; 3、客户机A 上访问 http://biz.doczj.com/doc/6a11738288.html, ,利用EtherPeek (或者sniffer pro )协议分析软件抓包,分析TCP 和UDP 协议; 五、实验步骤和截图(并填表) 1、分析arp 协议,填写下表 客户机B 客户机A
2、分析icmp协议和ip协议,分别填写下表 表一:ICMP报文分析
3、分析TCP和UDP 协议,分别填写下表
编号:_______________本资料为word版本,可以直接编辑和打印,感谢您的下载 网络协议分析与仿真课程设计预习报告 甲方:___________________ 乙方:___________________ 日期:___________________
(计算机学院) 网络协议分析与仿真课程设计 预习报告 专业名称:__________ 网络工程_________________ 班级:_______________________________________ 学生姓名:____________________________________ 学号(8位): ________________________________ 指导教师:____________________________________ 设计起止时间:2013年12月2日一2013年12月13日
题目一网络流量分析 一、课程设计目的 里加深对IP、DNS、TCR UDP、HTTP等协议的理解; 里掌握流量分析工具的使用,学习基本的流量分析方法。 二、课程设计地点及时间 二号实验楼442网络实验室,12月2日至12月6日,每天8: 00-14: 00 三、课程设计实验条件 工具:Wireshark (Windows 或Linux), tcpdump (Linux) 要求:使用过滤器捕获特定分组;用脚本分析大量流量数据(建议用perl)。 内容:Web流量分析 四、课程设计原理 1、DNS域名解析:首先,客户端的应用层会封装数据到达传输层,在传输层标识源端口号 与目的端口号(源端口号为大于1023随机,目的端口号为UDP5狒口)及应用层服务(这 里因该是请求DN硒询服务吧)。传输层封装数据产生数据段传给网络层,在网络层标识源IP地址及目的IP地址(源IP地址为客户端IP ,目的IP地址为DNS服务器IP地址),网络层将数据段封装为数据包传给数据链路层,在数据链路层将会在数据包里加入源MACM址及目的MA砸址(源MACM址为客户端网卡MA弛址,目的MAC%址为DNS服务器MACM址),这里应该查询MA或存。数据链路层根据客户端与DNS服务器之间的链路,将数据包封装成 帧,传给物理层。物理层会将数据帧转化为电信号放到物理介质上。 电信号到达DNS服务器后会从物理层到达应用层(这里和客户端发送数据差不多,只不过这 个过程变成了解封装),DNS服务器做完域名解析后再将数据传给客户端,传输过程同客户端发送数据。 2、建立TCP/IP连接:客户端知道WE囹艮务器IP地址之后,在网络层产生建立TCP/IP三次握手的数据包(TCP/IP三次握手:客户端向服务器端发送SYN信息,服务器端收到SYN信 息后回复给客户端SYN+AC褊认信息,客户端收到确认信息后再向服务器发送ACK信息建立 连接),应用层标识HTTP服务将数据发送到传输层,传输层将数据+源端口号(大于1023)、目的端口号(80)+上层服务WW如装为数据段传给网路层。网络层将数据段+源ip与目的 ip (WW服务器的ip地址)封装为数据包发送到数据链路层。数据链路层参照ARP缓存表确定源MAC%址(本机MACM址)及目的MACM址(客户端与路由B相连端口的MACM址)将数据包封装成数据帧。这里还需要CR破验。。。。。。数据帧到达物理层后变成电信号发送 到介质上(这里还需要访问控制方法DSMA/CD 路由B收到电信号后传给路由器的数据链路层,这里还需要CRC,FC眼验。。。…确定数据 帧没有损坏后查看目的MACM址与路由器端口地址是否相同,如果相同将解封装,将数据包 发送到路由器B的物理层,路由器查看路由表确定数据包的转发端口,路由器B确定与路由 A之间的链路,创建帧。 路由B与路由A可以看成是点对点,即路由B将创建PPP帧。路由A收到电信号后,确定帧的完整性,如果完整即将数据帧解封装发送到网络层,路由A查询路由表将数据包转发到与WEBf连的路由端口。 路由A的数据链路层将查询ARP缓存表确定WW服务器的MACM址,路由A将创建源MAC 地址
上海应用技术学院课程设计任务书 指导教师(签名):舒明磊教研室主任(签名):荣祺2014年7 月1 日2014年7 月1 日
1. 课程设计目的和要求 1.1目的 本课程设计是计算机科学与技术专业、网络工程专业重要的实践性环节之一,是在学生学习完《密码学与网络安全技术》课程后进行的一次全面的综合练习。通过课程设计,使学生熟练掌握计算机网络安全知识的基本概念和原理,熟悉了解网络安全的基本技术和攻防方法,培养学生将专业理论知识和工程技术应用有机结合的高级应用能力,使学生具备从事网络管理维护和信息安全管理方向的职业的基本素质和技能,提高设计文档的撰写能力。 1.2要求 (1) 分析课程设计题目的要求; (2) 要求在设计的过程中,完成清晰的功能设计; (3) 要求系统架构合理,模块划分清晰; (4) 对于程序设计课题,应编写程序代码,调试程序使其能正确运行;对于操作应用课 题,应有清楚明确的执行步骤和过程; (5) 设计完成后提交课程设计报告(按学校要求装订)、报告的电子文档和程序源代码 文件。 2、课程设计任务内容 设计主要内容如下 (1)根据任务要求,选择了T1、T2、T3、T4、T5和T6题目。其中T1要求完成敏感信 息搜集;T2要求完成加解密编程;T3要求完成SQL Server安全设置;T4要求完成 FTP密码与OE账户嗅探;T5要求完成批处理脚本编写与验证蠕虫病毒;T6要求 完成FAT32文件恢复。 (2)最终提供的主操作界面应该为便于操作和使用,文档结构清晰简洁,内容完整准确。 (3)最后提交的课程设计成果包括: a)课程设计报告打印稿; b)课程设计报告电子稿; c)源程序文件; d)可执行文件。 3、详细设计 3.1敏感信息搜集 3.2加解密编程 3.2.1、利用Bouncy Castle API对数据进行Encoding and Decoding 1.首先编写DESEncrypto.java文件 在D盘根目录下建立一个DESEncrypto.txt文本文件,接下来把后缀名改成DESEncrypto.java 如下图所示:
网络安全课程设计 --------------------企业网络搭建 组长: 成员: 成员:
项目规划目录 1.企业网络现状及设计目标(需求分析) 1.1概述 1.2实际网络的特点及目前企业网络优缺点分析 1.3设计目标 2. 要解决的几个关键问题 2.1研究设计中要解决的问题 2.2针对现在网络中出现的网络安全问题,本课题所作的改善设计 3. 系统设计关键技术 3.1.目标具体实现中采用的关键技术及分析 3.2设计实现的策略和途径描述 3.3 设计模型及系统结构(新的拓扑图) 4. 系统实现技术 概述 4.1物理设备安全 4.2 VPN技术 4.3 访问控制列表与QOS技术 4.4服务器的安全
1.1概述 中国国内目前的企业需要的网络安全产品不仅仅是简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案,如:网络安全、病毒检测、网站过滤等等。其着眼点在于:国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安全体系。 然而,有网络的地方就有安全的问题。过去的网络大多是封闭式的,因而比较容易确保其安全性,简单的安全性设备就足以承担其任务。然而,当今的网络已经发生了变化,确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上,原有的安全状况就会发生变化。所以,很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性,依靠早期的简单安全设备已经对这些安全问题无能为力了。 网络攻击在迅速地增多 网络攻击通常利用网络某些内在特点,进行非授权的访问、窃取密码、拒绝服务等等。 考虑到业务的损失和生产效率的下降,以及排除故障和修复损坏设备所导致的额外
SSL协议的安全性研究 1 引言 随着计算机网络技术的飞速发展,信息时代的人们对Internet的依赖性越来越大。当今时代,电子商务和电子政务的应用越来越广泛,然而网络安全问题严重束缚了计算机网络的进一步应用。安全套接层SSL(Secure Sockets Layer)协议是由Netscape公司设计开发的安全协议,主要用于加强应用程序之间的数据的安全性。SSL协议是基于Web应用的安全协议,它采用了RSA算法、RC4—128、RC一128、三重DES算法和MD5等加密技术实现两个应用层之间的机密性、可靠性和数据完整性,并采用X.509数字证书实现鉴别,其加密的目的是建立一个安全的通讯通道,而且该通道可在服务器和客户机两端同时实现支持。 2 SSL协议简述及相关概念 SSL协议用来建立一个在客户和服务器之间安全的TCP连接,尤其可被用来认证服务器,可选地认证客户,执行密钥交换,提供消息认证,而且还可以完成在TCP协议之上的任意应用协议数据的完整性和隐蔽性服务。SSL为在Internet上安全地传送数据提供了一介加密通道,建立一个安全连接,主要实现以下工作:加密网络上客户端和服务器相互发送的信息;验证信息在传送过程是否安全完整:运用非对称密钥算法验证服务器;验证客户身份;交换应用层数据。 2.1 SSL---安全套接层协议。 是由Netscape设计的一种开放性协议,它提供了一种介于应用层和传输层之间的数据安全套接层协议机制。SSL位于TCP/IP协议与各种应用层协议之间,为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。其目的是为客户端(浏览器)到服务端之间的信息传输构建一个加密通道,此协议是与操作系统和Web服务器无关的。 2.2 SSL协议可分两层: 2.2.1 SSL记录协议: 它建立在可靠的传输协议(如TCP)之上,位于SSL协议的底层,为高层协议提供数据封装、压缩、加密等基本功能的支持。在SSL中,所有数据被封装在记录中,SSL握手协议中的报文,要求必须放在一个SSL记录协议层的记录里,但应用层协议的报文,允许占用多个SSL 记录来传送 (1) SSL记录头格式 SSL记录头可以是2个或3个字节长的编码。SSL记录头包含的信息有记录头的长度、记录数据的长度,以及记录数据中是否有填充数据,其中填充数据是在使用块加密
1 校园网络安全威胁 1.1校园网简介 珠海大学的校园网承载着学校的教务、行政、教学、图书资料、对外联络等方面事的务处理,它的安全状况影响着学校的教学、教务、行政管理、对外交流等活动。在珠海大学网络建成的初期,安全问题可能还不突出,随着应用的深入,校园网上各种数据会急剧增加。潜在的安全缺陷和漏洞、恶意的攻击等造成的问题开始频繁出现。 1.2网络攻击及缺陷 校园网受到的攻击以及安全方面的缺陷主要有: 1.有害信息的传播 校园网与Internet融为一体,师生都可以通过校园网络在自己的机器上进入Internet。目前Internet上充斥着各种信息。有些有毒的信息违反人类的道德标准和有关法律法规,对师生的危害非常大。如果安全措施不好,会让这些信息在校园内传播。 2.病毒破坏 通过网络传播的病毒无论实在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接入广域网后,为外界病毒进入学校大开方便之门,下载的程序和电子邮件都有可能带有病毒,而且网络病毒的变异速度加快,攻击机理复杂,必须不断更新病毒库。 3.恶意入侵 学校涉及的机密不是很多,来自外部的非法访问的可能性要少一些,关键是内部的非法访问。一些学生可能会通过入侵的手段破坏教务系统,扰乱教学工作秩序。 4.恶意破坏 对计算机硬件系统和软件系统的恶意破坏,这包括对网络设备和网络系统两
个方面的破坏。网络设备包括服务器、交换机、集线器、路由器、通信媒体、工作站等,它们分布在整个校园内,不可能24小时专人看管,故意的或非故意的某些破坏,会造成校园网络全部或部分瘫痪。 另一方面是利用黑客技术对校园网络系统进行破坏。表现在以下几个方面:对学校网站的主页面进行修改,破坏学校的形象;向服务器发送大量信息使整个网络瘫痪;利用学校的邮件服务器转发各种非法信息等。 5.口令入侵 通过网络监听非法得到用户口令,或使用口令的穷举攻击非法获得口令入侵,破坏网络。 2 校园网网络拓扑结构 珠海大学的校园网由四个物理区域组成:办公大楼、图书馆大楼、实验楼、教学楼。在整个网络中,各信息点按功能又划分为行政办公、实验教室、普通教室、中心管理机房、电子阅览室等不同区域,各区域与互联网连接的目的也是不一样的,对特定区域,与互联网连接将受到一定限制。校园网采用千兆到楼,百兆到桌面的全交换网络系统,覆盖到实验楼、行政楼、图书馆、广播楼、教学楼,共计光纤链路10余条,交换机80余台,网络信息点2800多个。整个系统包括一批高性能网络交换机、路由器、防火墙、入侵检测、存储、备份和安全认证软件、网络版杀毒软件。 当前在各种网络系统的建设中使用最多的是星型拓扑结构,虽然星型拓扑结构的网络在布线和网络设备的花费多一些,不过目前各种硬件设备已经非常便宜了,这种花费是可以承受的。因而它的优点也是十分突出的,主要是当网络中某个节点出现故障时不会影响整个网络的运行,这使得网络从总体上可以提供高度的可靠性和沉佘性,这个性能十分适合校园网这种应用环境,也是校园网的建设中必须要求做到的。 根据校园网的需求分析及建设目标,本设计方案采用交换式千兆以太网作为主干,百兆交换到桌面。网络拓扑采用星型树结构,网络中心的交换机使用堆叠方式连接。
附件《网络安全课程设计》实验报告格式 2012-2013学年第2学期 《网络安全课程设计》实验报告3 实验名称:实验18 安全协议之Kerberos协议 完成时间: 2014-6-4(练习三) 姓名:石心刚学号:110342124 姓名:何伊林学号:110342106 姓名:白冠军学号:110342101 姓名:尹新来学号:110342136 姓名:饶明艺学号:110342122 指导教师:崔鸿班级:110342A
实验目的 1.了解身份认证的原理及其重要意义 2.学习Kerberos身份认证全过程 3.学会在Linux下配置Kerberos身份认证系统 系统环境 Linux 网络环境 交换网络结构 实验工具 krb5 v1.6.2 实验步骤 本练习主机A~F为一组。实验角色说明如下: 首先使用“快照X”恢复Linux系统环境。 一.配置主KDC 在此过程中,将使用以下配置参数: 领域名称= http://biz.doczj.com/doc/6a11738288.html,LAB DNS 域名= http://biz.doczj.com/doc/6a11738288.html,lab 主KDC = http://biz.doczj.com/doc/6a11738288.html,lab admin 主体= admin/admin admin主体密码:admin 数据库管理密码:jlcss (1)首先为主KDC改名,编辑/etc/sysconfig/network文件,把HOSTNAME改为kdc1,保存后重启系统。 (2)配置/etc/resolv.conf文件使本机找到DNS服务器,修改内容如下。 其中domain后面用来标识DNS域名,nameserver后面则用来标识DNS服务器的IP地址。在本实验中我们就以“应用服务器”作为DNS服务器,它的全限制域名是http://biz.doczj.com/doc/6a11738288.html,lab,IP可以根据实验情况进行调整。 (3)主KDC配置时钟同步服务ntpd。Kerberos服务对于时间同步的要求是很高的,
计算机网络课程设计报告 姓名:李逍逍 班级:08计11 学号:08261012
一.课程设计的题目、目的及要求 (2) 二.课程设计的内容(分析和设计) (3) 三.绘制拓扑结构图 (3) 四.详细设计步骤 (5) 五.路由器或交换机配置的代码 (6) 六.显示最终的结果 (8) 七.课程设计总结 (9)
一.课程设计的题目、目的及要求 课程设计题目:组建小区局域网 课程设计目的: 更深了解路由器,交换机,PC机之间的配置与应用,熟练掌握一些简单的的网络应用和连接,熟练掌握路由器和交换机的基本配置;掌握DHCP、ACL、VLAN、和NET协议和相应的技术;提高对实际网络问题的分析和解决能力。该设计需要划分为四个子网层面的小区性的网络通讯。采用软件cisco,可以更好的实现各种不同网络设备互相配合与联系,以达到最佳的局域网通讯效果。 课程设计要求: 要求能根据实际问题绘制拓扑结构图,拓扑结构图可以是树形、星形、网状形、环状形及混合形结构的之一,清晰的描述接口,进行路由器或交换机的代码配置实现,并且每个方案的需有以下几部分的内容: 1、需求特点描述; 2、设计原则; 3、解决方案设计,其中必须包含: (1)设备选型; (2)综合布线设计; (3)拓扑图; (4)IP地址规划; (5)子网划分; (6)路由协议的选择; (7)路由器配置。 组建小区局域网的总体要求: 运用自己对局域网组网技术的理解,设计小区组网方案,使得一个具有200个住户节点的智能化小区能够进行网络通讯,且将整个小区可划分为四个区域:1.网络中心区:以物业管理中心及监控中心为主的核心交换设备和服务器群;2.远程网络接入区:包括外部网络接入口的路由器设备和网络安全设备;3.园区网络区:包括从网络中心到社区服务设施的骨干交换设备; 4.家庭网络区:包括从网络中心到楼宇中的骨干交换设备,并为各住户单元提供网络接入端口,是整个小区网络系统的最基本单元。
成都信息工程学院网络工程系 《网络协议实践》 课程设计报告 签名:
目录 第一章 TCP和ARP协议基础............................................................................... 错误!未定义书签。 1.1什么是TCP协议........................................ 错误!未定义书签。 1.2TCP报文类型与格式 .................................... 错误!未定义书签。 1.3什么是ARP协议........................................ 错误!未定义书签。 1.4ARP报文类型和结构 .................................... 错误!未定义书签。第二章抓包验证TCP协议和ARP协议.............................................................. 错误!未定义书签。 2.1实验环境.............................................. 错误!未定义书签。 2.2实验步骤与抓包结果分析................................ 错误!未定义书签。 2.3实验结论.............................................. 错误!未定义书签。第三章 OSPF路由协议验证分析.. (3) 3.1实验环境及工具介绍 (9) 3.2实验步骤及抓包结果分析 (10) 3.3实验结论--OSPF运行过程说明 (12) 3.4实验心得体会 (12)
目录 1.课程设计目的 ---------------------------------------------------- 2 2.课程设计要求 ---------------------------------------------------- 2 3.课程设计题目分析 ------------------------------------------------ 2 3.1 网卡设置 -------------------------------------------------- 2 3.2 程序设计 -------------------------------------------------- 3 3.2.1 使用原始套接字------------------------------------------ 3 3.2.2 接收数据包---------------------------------------------- 4 3.2.3 定义IP头部的数据结构---------------------------------- 4 3.2.4 IP包的解析 --------------------------------------------- 5 4.解析IP数据包设计相关知识 -------------------------------------- 5 5.程序流程图------------------------------------------------------- 6 6.程序设计--------------------------------------------------------- 7 6.1 协议的定义 ------------------------------------------------ 7 6.2捕获处理--------------------------------------------------- 7 6.3 运行界面 -------------------------------------------------- 8 7.实验结果--------------------------------------------------------- 9 8.自我评析和总结 -------------------------------------------------- 9 8.1 实训心得-------------------------------------------------- 9 8.2 实训日记-------------------------------------------------- 9 9.主要参考资料 -------------------------------------------------- 10 [2]《网络协议分析》寇晓蕤罗俊勇编著机械工业出版社--------- 10 [3]《C语言程序设计》张建伟李秀琴主编科学出版社--------- 10 [4]《C++程序设计教程——面向对象分册》郑秋生主编 --------- 10电子工业出版社 -------------------------------------------------- 10 10.附录 ---------------------------------------------------------- 10
中原工学院计算机学院《网络安全程序》课程设计报告 题目:基于des加密的聊天程序 班级:网络124班
目录 第1章绪论____________________________________________________ 3 1.1 des加密背景______________________________________________ 3 1.2 聊天程序设计背景 _________________________________________ 4第2章加密原理________________________________________________ 5 2.1 des简介__________________________________________________ 5 2.2 des加密原理______________________________________________ 5 2.3 des加密过程______________________________________________ 7第3章聊天程序设计____________________________________________ 8 3.1 TCP/IP协议_______________________________________________ 8 3.2 客户机/服务器模式 ________________________________________ 8 3.3 Socket ___________________________________________________ 9第4章系统设计_______________________________________________ 11 4.1 开发语言及环境 __________________________________________ 11 4.2 需求分析 ________________________________________________ 11 4.2.1 功能需求分析__________________________________________ 11 4.2.2 数据需求分析__________________________________________ 11 4.2.3 性能需求分析__________________________________________ 12 4.2.4 运行需求分析__________________________________________ 12 4.3 程序流程图 ______________________________________________ 13 4.4 模块设计 ________________________________________________ 14 4.4.1 服务器________________________________________________ 14 4.4.2 客户端________________________________________________ 15 第5章程序测试_______________________________________________ 17 5.1 运行结果________________________________________________ 17 第6章总结___________________________________________________ 21参考文献______________________________________________________ 21
潍坊科技学院 网络安全技术及应用课程设计指导书 2018年10月9日
一.课程设计目的 本实践环节是网络安全类专业重要的必修实践课程,主要要求学生掌握网络安全相关的原理和技术以及在网络安全实践中的应用。本课程设计的目的如下。 1)培养学生掌握文献检索、资料查询及运用现代网络技术获取网络安全相关知识和网络的基本方法; 2)使学生在真正理解和掌握网络安全的相关理论知识基础上,动手编写安全程序,通过系统和网络的安全性设计,加密算法、计算机病毒、恶意 代码的分析与设计等实践锻炼,解决一些实际网络安全应用问题,同时 了解本专业的前沿发展现状和趋势; 3)使学生具备设计和实施网络安全相关实验的能力以及相应的程序设计能力,具备对实验结果进行分析,进而进行安全设计、分析、配置和管理 的能力。 二.课程设计题目 (一)定题部分 任选下列一个项目进行,查阅相关文献、了解相关的系统,要求完成系统需求规约文档、系统分析模型文档、系统设计模型文档、系统测试设计文档、系统编码和测试报告。 以下题目任选,但是要达到工作量和代码量的要求,如果不能达到,可以融合几部分的内容。一些功能如果有其他的方法实现,也可以不按照指导书的要求。此外,还可以对常用的安全软件的功能延伸和改进。自由选题不能设计一些不良程序,比如游戏类,不过可以设计监控,限制玩游戏的程序。 1、局域网网络侦听和数据包截取工具 文档要求 系统分析,包括问题的描述、需求确定、系统要完成的主要功能、解决的实际问题等 系统设计,包括系统的逻辑模型、模块划分、处理过程等 系统实现,按照系统设计的结构分模块实现,要求给出程序的功能说明 程序实现要求
协议的安全性研究 1 引言 随着计算机网络技术的飞速发展,信息时代的人们对的依赖性越来越大。当今时代,电子商务和电子政务的应用越来越广泛,然而网络安全问题严重束缚了计算机网络的进一步应用。安全套接层( )协议是由公司设计开发的安全协议,主要用于加强应用程序之间的数据的安全性。协议是基于应用的安全协议,它采用了算法、4—128、一128、三重算法和5等加密技术实现两个应用层之间的机密性、可靠性和数据完整性,并采用X.509数字证书实现鉴别,其加密的目的是建立一个安全的通讯通道,而且该通道可在服务器和客户机两端同时实现支持。 2 协议简述及相关概念 协议用来建立一个在客户和服务器之间安全的连接,尤其可被用来认证服务器,可选地认证客户,执行密钥交换,提供消息认证,而且还可以完成在协议之上的任意应用协议数据的完整性和隐蔽性服务。为在上安全地传送数据提供了一介加密通道,建立一个安全连接,主要实现以下工作:加密网络上客户端和服务器相互发送的信息;验证信息在传送过程是否安全完整:运用非对称密钥算法验证服务器;验证客户身份;交换应用层数据。 2.1 安全套接层协议。 是由设计的一种开放性协议,它提供了一种介于应用层和传输层之间的数据安全套接层协议机制。位于协议与各种应用层协议之间,为连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。其目的是为客户端(浏览器)到服务端之间的信息传输构建一个加密通道,此协议是与操作系统和服务器无关的。 2.2 协议可分两层: 2.2.1 记录协议: 它建立在可靠的传输协议(如)之上,位于协议的底层,为高层协议提供数据封装、压缩、加密等基本功能的支持。在中,所有数据被封装在记录中,握手协议中的报文,要求必须放在一个记录协议层的记录里,但应用层协议的报文,允许占用多个记录来传送 (1) 记录头格式 记录头可以是2个或3个字节长的编码。记录头包含的信息有记录头的长度、记录数据的长度,以及记录数据中是否有填充数据,其中填充数据是在使用块加密()算法时,填充实际数据,使其长度恰好是块的整数倍。最高位为1时,不含有填充数据,记录头的长度为2个字节,记录数据的最大长度为32767个字节;最高位为0时,含有填充数据,记录头的长度为3个字节,记录数据的最大长度为16383个字节。
实验一: unsigned short checkSum(char*pBuffer,int nLen) { unsigned short nWord; unsigned int nSum=0; int i; for(i=0;i
计算机网络安全课程标 准 集团标准化小组:[VVOPPT-JOPP28-JPPTL98-LOPPNN]
《计算机网络安全》课程标准 1.课程定位与设计思路 1.1课程定位 《计算机网络安全》是计算机相关专业针对中小型网络管理岗位能力进行培养的一门核心课程。本课程构建于计算机网络技术与应用、网络设备配置与管理、网络服务架构和实现等课程基础上,通过引入游戏教学,从踩点扫描、入侵系统、种植后门、清除日志等工作过程开展教学,主要培养学生综合应用能力,能学以致用,完成一个企业网络安全的维护,同时也培养其团队合作意识、创新精神、职业素质,使之成为计算机网络安全技术方面的应用型专门技术人员。本课程在第5学期开设,54课时。 1.2设计思路 1.2.1本课程标准设计的总体思路 按照“由与网络技术领域职业相关的行动体系中的全部行动领域,按教学要求归纳形成学习领域,具体化后设计学习情境”的整体思路,进行课程开发。具体要求如下:(1)对实际工作岗位的工作任务进行分析; (2)按职业资格标准进行工作任务归纳; (3)按照从简单对复杂、单一到综合、低级到高级的认知规律进行学习性任务归纳; (4)采用资讯、决策、计划、实施、检查、评价的六步法进行工作过程系统化课程方案的构建; (5)课程方案的具体化,制定课程标准,完成学习情境和学习单元的设计。 1.2.2学习情境设计的基本依据 该课程是以计算机网络技术专业就业面向网络管理、网络应用岗位工作任务所需的相关专业知识与必要技能为依据设计的。遵循从简单对复杂、单一到综合、低级到高级的认知规律路径选
择以网络安全基础、网络攻击、木马和病毒、系统安全、防火墙和入侵检测作为学习情境,各学习情境的教学过程以行动为导向,以学生为主体,基于工作过程来完成。” 1.2.3学习子情境设计的逻辑线索 该课程先通过网络安全基础情境了解信息安全在行业中的各个标准,以及信息安全的现有社会环境基础。再通过网络攻击、木马和病毒等情境对各类的入侵手段进行学习领会,在了解完常见的入侵手段之后,对服务器操作系统安全的加固、以及通过对防火墙和入侵检测技术的应用,达到有针对的部署企业网络安全。根据这一思路主体,整个学习情境分为:网络安全基础、网络攻击、木马和病毒、系统安全、防火墙和入侵检测五个情境。 2.课程目标 2.1知识目标 (1)掌握计算机网络的基本概念以及网络的拓扑结构 (2)理解协议分析的基本原理和方法 (3)掌握网络扫描和网络监听的原理和方法 (4)掌握密码攻击的技术 (5)理解系统漏洞攻击的方法 (6)了解木马的原理,掌握木马的使用和防范措施 (7)掌握计算机及网络系统及WEB网站的安全性问题 (8)掌握邮件加密的基本技术 (9)了解计算机病毒的相关知识和相关技术 (10)熟悉防火墙和入侵检测 2.2能力目标 学生通过该门课程的学习,能对一定规模的企业网络进行网络安全的渗透检测以及网络整体运行安全的评估,会熟练使用各类扫描、防黑软件等预防工具对存在安全隐患的网络进行整改。具备一定的实施企业网络安全的软、硬件部署能力。 2.2.1专业能力 (1)能按项目需求进行中小型网络安全的规划与设计,设备选型,及资金预算 (2)能按项目需求规划和设计具有一定可行性的中小型网络安全建设方案 (3)能熟练完成网络安全设备的连接和网络配置 (4)能熟练地对该中小型网络安全项目进行测试,并对常见的故障进行排查 2.2.2社会能力: (1)具有良好的职业道德和敬业精神 (2)具有较强的团队合作的意识