www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 以太網(wǎng)安全系列之:TLSec基于證書的鑒別協(xié)議分析

    2018-04-19 16:06:46 sohu 首席安全技術(shù)官  點擊量: 評論 (0)
    摘要:由于技術(shù)局限性,通過應(yīng)用層安全技術(shù)無法有效保護以太網(wǎng)連接安全。西電捷通公司從網(wǎng)絡(luò)底層協(xié)議安全入手研發(fā)出以太網(wǎng)安全技術(shù)—TLSec...

    摘要:由于技術(shù)局限性,通過應(yīng)用層安全技術(shù)無法有效保護以太網(wǎng)連接安全。西電捷通公司從網(wǎng)絡(luò)底層協(xié)議安全入手研發(fā)出以太網(wǎng)安全技術(shù)—TLSec,它通過引入在線可信第三方實現(xiàn)請求者和控制器的雙向身份鑒別,保證合法用戶接入合法網(wǎng)絡(luò)。本文通過網(wǎng)絡(luò)數(shù)據(jù)包捕獲的方式,對TLSec技術(shù)體系中基于證書的鑒別協(xié)議進行剖析,展示TLSec如何在底層協(xié)議層面為以太網(wǎng)提供安全保障。

    關(guān)鍵詞:西電捷通;TLSec;局域網(wǎng)安全;鏈路層安全;證書;鑒別協(xié)議;Wireshark分析

    1、TLSec技術(shù)簡介

    互聯(lián)網(wǎng)產(chǎn)生已有40多年的歷史,根據(jù)網(wǎng)絡(luò)傳輸介質(zhì)的不同,一般將網(wǎng)絡(luò)分為有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò),其中有線網(wǎng)絡(luò)中使用最廣泛的是由以太網(wǎng)技術(shù)構(gòu)建的局域網(wǎng)。以太網(wǎng)以廣播技術(shù)為基礎(chǔ),通過載波監(jiān)聽、沖突檢測以及多址訪問的方式實現(xiàn)數(shù)據(jù)傳輸。“載波監(jiān)聽、沖突檢測”即帶碰撞檢測的載波偵聽多址訪問(Carrier Sense Multiple Access with Collision Detection,CSMA/CD),就是指在發(fā)送數(shù)據(jù)之前,首先監(jiān)聽信道并檢測網(wǎng)絡(luò)上是否有其他的設(shè)備正在發(fā)送數(shù)據(jù),若線路空閑則發(fā)送數(shù)據(jù),若檢測到?jīng)_突則等待隨機時間后重新嘗試發(fā)出。收件人根據(jù)媒體訪問控制(Media Access Control,MAC)地址來判斷是否是發(fā)給自己的數(shù)據(jù),若是則接受,不是則拋棄。這種開放的模式導致以太網(wǎng)極易遭受來自內(nèi)部的攻擊,諸如數(shù)據(jù)篡改、數(shù)據(jù)竊聽、重放攻擊、中間人攻擊等安全威脅不時出現(xiàn)。并且目前無法實現(xiàn)在物理上對線路和端口進行保護。由于現(xiàn)有的以太網(wǎng)安全機制不能提供足夠安全保障(如IEEE 802.1X采用的二元結(jié)構(gòu),實際部署中網(wǎng)絡(luò)設(shè)備一般沒有獨立身份,容易遭受中間人攻擊,存在安全缺陷),致使長期以來以太網(wǎng)面臨的安全威脅得不到有效解決。針對日益嚴峻的網(wǎng)絡(luò)安全問題,西電捷通提出了基于三元對等架構(gòu)的局域網(wǎng)媒體訪問控制安全(TePA-based LAN security,TLSec)技術(shù),并獲國家標準GB/T 15629.3-2014采納并發(fā)布。

    TLSec技術(shù)是西電捷通提出的三元對等安全架構(gòu)在局域網(wǎng)鏈路層安全領(lǐng)域的技術(shù)應(yīng)用,能助力構(gòu)筑安全、可信賴的有線局域網(wǎng)絡(luò)。TLSec技術(shù)包括基于三元對等架構(gòu)的局域網(wǎng)鑒別協(xié)議(TePA-based LAN Authentication Protocol,TLA)和基于TLA協(xié)議的局域網(wǎng)保密通信協(xié)議(TLA-based LAN Privacy Protocol,TLP),TLSec技術(shù)通過可信第三方實現(xiàn)請求者與控制器之間的相互身份鑒別,實現(xiàn)防止非法訪問、數(shù)據(jù)篡改、數(shù)據(jù)竊聽等威脅,從底層協(xié)議上為以太網(wǎng)提供本質(zhì)化的安全。

    TLSec技術(shù)中,定義了三種不同的角色:請求者(Requester,REQ)、鑒別訪問控制器(Authentication access controller,AAC)和鑒別服務(wù)器(Authentication Server,AS),根據(jù)角色形成TLSec系統(tǒng)產(chǎn)品:TLSec客戶端、以太網(wǎng)安全控制器、鑒別服務(wù)器。TLSec客戶端作為接入設(shè)備提供接入鑒別和加密服務(wù);以太網(wǎng)安全控制器作為準入設(shè)備提供鑒別和加密服務(wù);而AS服務(wù)器作為可信第三方提供證書管理和鑒別服務(wù)。TLSec系統(tǒng)的典型網(wǎng)絡(luò)部署如圖1所示。

    圖1 TLSec系統(tǒng)典型網(wǎng)絡(luò)部署圖

    本文通過Wireshark網(wǎng)絡(luò)封包分析工具抓取TLSec基于證書鑒別過程數(shù)據(jù)分組,對TLSec技術(shù)的TLA協(xié)議中基于證書的鑒別協(xié)議幀結(jié)構(gòu)進行剖析。使讀者對TLA協(xié)議幀結(jié)構(gòu)和基于證書鑒別過程有初步的了解。

    2、實驗環(huán)境搭建說明

    實驗室環(huán)境搭建,如圖2所示,鑒別服務(wù)器(AS)直連鑒別訪問控制器(AAC),請求者(REQ)通過具有端口鏡像功能的二層交換機連接到鑒別訪問控制器(AAC),安裝有Wireshark的PC連接到Hub的鏡像端口。

    圖2 實驗室連接拓撲圖

    具體配置:AS的IP地址為192.168.1.200,AAC的IP地址為192.168.1.65,REQ的IP地址為192.168.1.64。

    3、基于證書的鑒別協(xié)議概述

    基于證書的鑒別過程包含6個分組,其中接入鑒別確認分組是可選分組。如果收到的接入鑒別響應(yīng)分組中包含AAC的簽名SigAAC,則接入鑒別確認分組就是必須的;如果收到的接入鑒別響應(yīng)分組中不包含AAC的簽名SigAAC,而是包含了消息鑒別碼MIC1字段,則接入鑒別確認分組就是可選的。基于證書的鑒別過程見圖3,各分組中字段的具體解釋詳見GB/T 15629.3-2014《信息技術(shù) 系統(tǒng)間遠程通信和信息交換 局域網(wǎng)和城域網(wǎng) 特定要求 第3部分:帶碰撞檢測的載波偵聽多址訪問(CSMA/CD)的訪問方法和物理層規(guī)范》。

    圖3 TAEP-CAAP過程

    各分組主要包括數(shù)據(jù)元素信息內(nèi)容如下:

    (1)鑒別激活分組

    安全策略協(xié)商過程成功完成后,如果AAC與REQ協(xié)商選擇采用基于證書的鑒別和密鑰管理策略,當AAC收到REQ發(fā)送的start幀時,則AAC向REQ發(fā)送鑒別激活分組。鑒別激活分組字段包括:標識TAEP_FLAG、一次性隨機數(shù)SNonce(標識鑒別的新鮮性,亦稱鑒別標識)、本地信任的AS身份IDAS-AAC、AAC的證書CertAAC、DH參數(shù)ParaDH 、TLA信息元素TIEAAC及AAC的簽名SigAAC(可選)。

    該分組封裝在Code=1(Request),Type=245(TAEP-CAAP),MessageType = 0x01的TAEP-Request-CAAP/TAEPoL中。

    (2)接入鑒別請求分組

    REQ正確處理AAC發(fā)送的鑒別激活分組后,構(gòu)造接入鑒別請求分組發(fā)送給AAC。接入鑒別請求分組字段包括:標識TAEP_FLAG、鑒別激活分組中的一次性隨機數(shù)SNonce、本地生成的一次性隨機數(shù)NREQ、本地生成的臨時公鑰x·P、AAC的身份信息IDAAC(可根據(jù)鑒別激活分組中的AAC公鑰證書CertAAC得到)、REQ選擇的鑒別證書CertREQ、ParaDH、REQ信任的AS列表ListAS(可選)、TLA信息元素TIEREQ及簽名信息SigREQ(利用REQ的長期私鑰計算得到)。若REQ所信任的AS不止一個,REQ所信任的AS列表存在。

    該分組封裝在Code=1(Request),Type=245(TAEP-CAAP),MessageType = 0x02的TAEP-Request-CAAP/TAEPoL中。

    (3)證書鑒別請求分組

    AAC正確處理REQ發(fā)送的接入鑒別請求分組后,構(gòu)造證書鑒別請求分組發(fā)送給AS。證書鑒別請求分組字段包括:地址索引ADDID(標識鑒別所服務(wù)的主體)、接入鑒別請求分組中的NREQ、本地生成的一次性隨機數(shù)NAAC、CertREQ、CertAAC及REQ信任的AS列表(若接入鑒別請求分組中包含REQ信任的AS列表,則本字段存在,否則不存在)。

    該分組封裝在Code=1(Request),Type=245(TAEP-CAAP),MessageType = 0x03的TAEP-Request-CAAP/TAEP-AS-SVC中。

    (4)證書鑒別響應(yīng)分組

    AS正確處理AAC發(fā)送的證書鑒別請求分組后,構(gòu)造證書鑒別響應(yīng)分組發(fā)送給AAC。

    證書鑒別響應(yīng)分組字段包括:地址索引ADDID、證書驗證結(jié)果及REQ信任的AS對證書驗證結(jié)果的簽名SigAS-REQ、AAC所信任的AS的簽名SigAS-AAC。其中證書驗證結(jié)果包含NREQ、NAAC、CertREQ、CertAAC、REQ證書的驗證結(jié)果ResREQ與AAC證書的驗證結(jié)果ResAAC。若AAC和REQ信任的AS相同,則證書鑒別響應(yīng)分組中的簽名只存在一個。若為單向鑒別則證書驗證結(jié)果中不包含一次性隨機數(shù)2,驗證結(jié)果2以及證書2,即不包含AAC的隨機數(shù)、驗證結(jié)果及證書。

    該分組封裝在Code=2(Response),Type=245(TAEP-CAAP),MessageType = 0x04的TAEP-Response-CAAP/TAEP-AS-SVC中。

    (5)接入鑒別響應(yīng)分組

    AAC正確處理AS發(fā)送的證書鑒別響應(yīng)分組后,構(gòu)造接入鑒別響應(yīng)分組發(fā)送給REQ。

    接入鑒別響應(yīng)分組字段包括:標識TAEP_FLAG、NREQ、NAAC、IDREQ(可根據(jù)CertREQ得到)、接入結(jié)果、IDAAC、REQ密鑰數(shù)據(jù)x·P、本地生成的臨時公鑰y.P、復合的證書驗證結(jié)果RES及AAC生成的消息鑒別碼MIC1。如果在之前的鑒別激活分組中沒有AAC的簽名SigAAC字段或者此次鑒別過程沒有鑒別激活分組,則分組中不需要計算消息鑒別碼MIC1,而是需要計算簽名SigAAC。其中復合的證書驗證結(jié)果RES為證書鑒別響應(yīng)分組中除ADDID之外的其他內(nèi)容。

    該分組封裝在Code=2(Response),Type=245(TAEP-CAAP),MessageType = 0x05的TAEP-Response-CAAP/TAEPoL中。

    (6)接入鑒別確認分組

    REQ正確處理AAC發(fā)送的接入鑒別響應(yīng)分組后,構(gòu)造接入鑒別確認分組發(fā)送給AAC。接入鑒別確認分組為可選分組,如果收到的接入鑒別響應(yīng)分組中包含AAC的簽名SigAAC,則接入鑒別確認分組就是必須的;如果收到的接入鑒別響應(yīng)分組中不包含AAC的簽名SigAAC,而是包含了消息鑒別碼MIC1字段,則接入鑒別確認分組就是可選的。接入鑒別確認分組字段包括:標識TAEP_FLAG及消息鑒別碼MIC2。

    該分組封裝在Code=2(Response),Type=245(TAEP-CAAP),MessageType = 0x06的TAEP-Response-CAAP/TAEPoL中。

    4、抓包數(shù)據(jù)分析過程

    (1)數(shù)據(jù)包捕獲步驟:

    第一步,根據(jù)實驗環(huán)境說明,搭建網(wǎng)絡(luò)環(huán)境;

    第二步,打開抓包設(shè)備上的Wireshark軟件,配置完成后,開始捕獲分組;

    第三步,打開終端設(shè)備上的“可信網(wǎng)絡(luò)安全客戶端軟件”,軟件啟動后會自動進行連接;

    第四步,“可信網(wǎng)絡(luò)安全客戶端軟件”顯示“已安全連接”后,停止Wireshark捕獲功能。

    (2)局域網(wǎng)媒體訪問控制安全協(xié)議幀格式

    我們來看抓取的數(shù)據(jù)包,以鑒別激活分組數(shù)據(jù)包為例,從Wireshark的“封包詳細信息”欄中,我們看到數(shù)據(jù)包協(xié)議類型為TLA(以太類型為0x891b的TAEPoL幀,TAEP-Type為245),即基于三元對等鑒別的局域網(wǎng)鑒別協(xié)議,如圖4所示。

    圖4 鑒別激活分組數(shù)據(jù)包

    由于這個版本的Wireshark使用的是Ethernet II 來解碼的,Ethernet II 的封裝格式,如圖5所示:

    圖5 Ethernet II封裝格式

    局域網(wǎng)媒體訪問控制安全協(xié)議詳細封裝格式,如圖6所示。幀結(jié)構(gòu)中名稱后括號內(nèi)數(shù)字代表幀長度,即八位組個數(shù)。對比Ethernet II可以看出,TAEPoL(Tri-element Authentication Extensible Protocol,三元鑒別可擴展協(xié)議)幀結(jié)構(gòu)中EtherType對應(yīng)Ethernet II中的Type字段。

    圖6 TAEPoL幀結(jié)構(gòu)

    圖6幀結(jié)構(gòu)中Body部分,根據(jù)TAEP_Type字段值可知為TAEP(TAEP over Link,基于鏈路的三元鑒別可擴展協(xié)議)分組。TAEP分組幀結(jié)構(gòu)如圖7所示。

    圖7 TAEP分組幀結(jié)構(gòu)

    圖7幀結(jié)構(gòu)中Type_Data部分,根據(jù)Type字段值可知TLA分組數(shù)據(jù)為TAEP-CAAP數(shù)據(jù),即基于證書鑒別協(xié)議數(shù)據(jù)。TLA分組幀結(jié)構(gòu)如圖8所示。

    圖8 TLA協(xié)議幀結(jié)構(gòu)

    圖8幀結(jié)構(gòu)中MessageType字段的定義如表1所示。

    表1 TAEP-CAAP類型分組MessageType子類型定義

    MessageData中數(shù)據(jù)由多組采用TLV封裝格式封裝的數(shù)據(jù)元素組成,TLV封裝格式如圖9所示。

    圖9 TLV封裝格式

    a)鑒別激活分組

    如圖4所示,當前數(shù)據(jù)Code=1(Request),Type=245(TAEP-CAAP),MessageType=1(接入鑒別請求分組)。MessageData中包括如表2數(shù)據(jù)元素:

    表2 鑒別激活分組有效元素集合

    b)接入鑒別請求分組

    圖10 接入鑒別請求分組數(shù)據(jù)包

    如圖10所示,當前數(shù)據(jù)Code=1(Request),Type=245(TAEP-CAAP),MessageType=2(接入鑒別請求分組)。MessageData中包括如表3數(shù)據(jù)元素:

    表3 接入鑒別請求分組有效元素集合

    c)證書鑒別請求分組

    證書鑒別請求分組是通過UDP數(shù)據(jù)包進行發(fā)送,數(shù)據(jù)Data內(nèi)容為圖7中TAEP分組數(shù)據(jù)。

    圖11 證書鑒別請求分組數(shù)據(jù)包

    如圖11所示,當前數(shù)據(jù)Code=0x01(Request),Type=0xf5(TAEP-CAAP),MessageType=0x03(證書鑒別請求分組)。MessageData中包括如表4數(shù)據(jù)元素:

    表4 證書鑒別請求分組有效元素集合

    d)證書鑒別響應(yīng)分組

    證書鑒別響應(yīng)分組是通過UDP數(shù)據(jù)包進行發(fā)送,數(shù)據(jù)Data內(nèi)容為圖7中TAEP分組數(shù)據(jù)。

    圖12 證書鑒別響應(yīng)分組數(shù)據(jù)包

    如圖12所示,當前數(shù)據(jù)Code=2(Response),Type=245(TAEP-CAAP),MessageType=4(證書鑒別響應(yīng)分組)。MessageData中包括如表5數(shù)據(jù)元素:

    表5 證書鑒別響應(yīng)分組有效元素集合

    e)接入鑒別響應(yīng)分組

    圖13 接入鑒別響應(yīng)分組數(shù)據(jù)包

    如圖13所示,當前數(shù)據(jù)Code=2(Response),Type=245(TAEP-CAAP),MessageType=5(證書鑒別響應(yīng)分組)。MessageData中包括如表6數(shù)據(jù)元素:

    表6 接入鑒別響應(yīng)分組有效元素集合

    f)接入鑒別確認分組

    圖14 接入鑒別確認分組

    如圖14所示,當前數(shù)據(jù)Code=2(Response),Type=245(TAEP-CAAP),MessageType=6(證書鑒別響應(yīng)分組)。MessageData中包括如表7數(shù)據(jù)元素:

    表7 接入鑒別確認分組有效元素集合

    5、總結(jié)

    通過以上對基于證書的鑒別協(xié)議過程數(shù)據(jù)包的分析,TLA協(xié)議數(shù)據(jù)通過TAEP、TAEPoL協(xié)議逐層封裝后進行傳輸。首先,各分組數(shù)據(jù)元素根據(jù)TLV格式封裝到TLA協(xié)議幀中,使用MessageType標識當前是協(xié)議的第幾個分組消息;其次,TLA協(xié)議數(shù)據(jù)再封裝到TAEP協(xié)議幀中,使用Code字段標識是請求包(或響應(yīng)包),并使用Type字段標識當前TAEP協(xié)議數(shù)據(jù)是基于證書鑒別協(xié)議數(shù)據(jù)還是其他協(xié)議類型數(shù)據(jù);最后,TAEP協(xié)議數(shù)據(jù)封裝到TAEPoL協(xié)議幀中,TAEPoL協(xié)議幀中TAEP_Type字段標識當前協(xié)議中Body部分數(shù)據(jù)協(xié)議封裝類型是TAEP。

    TLSec基于證書的鑒別協(xié)議的交互過程所實現(xiàn)的安全機制采用了國際標準ISO/IEC 9798-3:1998/Amd.1:2010和國家標準GB/T 15843.3-2016給出的實體鑒別機制(即TePA實體鑒別國際標準和國家標準)。TLSec技術(shù)能夠通過在線可信第三方實現(xiàn)請求者與控制器之間的相互鑒別,從而可以防止非法訪問、數(shù)據(jù)篡改、數(shù)據(jù)竊聽等威脅,從底層協(xié)議上為以太網(wǎng)提供安全保障,讓有線網(wǎng)絡(luò)從底層開始具備本質(zhì)安全能力。

    大云網(wǎng)官方微信售電那點事兒

    責任編輯:售電衡衡

    免責聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
    我要收藏
    個贊
    ?
    无码一区二区三区| 精品人妻无码专区在中文字幕| 亚洲无MATE20PRO麻豆| 日本AⅤ精品一区二区三区久久| 激情国产原创在线观看| 一本大道久久东京热无码AV| 欧美日韩精品一区二区视频| 国产精品无码久久久久久| 狠狠色噜噜狠狠狠狠888奇禾| 久久久国产一区二区三区|