安全协议课程范文

2024-05-15

安全协议课程范文（精选9篇）

安全协议课程第1篇

安全协议的研究已经历经二十多年，取得了丰硕的成果，特别是进入二十一世纪后发展十分迅猛。遗憾的是，长期以来国内很少有关于安全协议的完整的课程设置方案，这不利于中国信息安全事业的发展。笔者结合近几年在安全协议教学方面的体会，在此对安全协议课程的设置及应采取的教学方法进行探讨。

1. 安全协议课程的现状与存在的问题

1.1 课程内容设置。

安全协议教材[1]，[2]，[3]在内容设置上主要包括四个模块：经典认证协议、电子商务协议、安全协议的安全性形式化分析[3]、实用安全协议。经典认证协议主要包括Needham-Schroeder对称密钥协议、Needham-Schroeder公开密钥协议、“大嘴青蛙”协议、Otway-Rees协议、Yahalom协议等。电子商务协议主要包括非否认协议、IBS协议、在线数字货币协议、离线数字货币协议等。形式化分析部分主要包括逻辑推理方法(BAN类逻辑、Kailar逻辑)、模型检测方法、串空间模型、进程代数和定理证明方法。实用安全协议部分主要包括Kerberos协议、SET协议、SSL协议。这些内容涉及的知识背景和应用背景多，覆盖面广，实践性强，发展快，要合理处理好这些知识点，我们必须既要注意到面，又要重点突出、有深度，这对我们的教学提出了挑战。

1.2 目前教学存在的问题。

现在虽然很多院校都在开设这一课程，但从师资、教学条件、实践环境来看很多学校力量还比较薄弱，离课程要求还有一定差距，存在以下一些问题。

1.2.1 授课方式比较单一。

绝大部分学校安全协议教学以课堂教学为主，教师讲学生听，手段多数以黑板或PPT演示为主。这种方式缺乏互动性，很难调动学生的积极性，更难让学生深刻理解安全协议的实质。安全协议是一门实践性很强的课程，很多知识需要学生结合现实生活中的场景去理解。比如电子商务协议，教师只有搭建一个模拟用户、商家、银行在网上交易的虚拟环境，才能让学生了解所学知识在实际生活中的应用情况。教师如果照本宣科，仅仅通过黑板或者PPT告诉学生协议如何运行，学生就会似懂非懂，不知道学为何用，自然也就失去了学习的兴趣。

1.2.2 教学中重理论轻实践。

很多学校以理论教授为主，实践环节比较薄弱或者没有，很不注重实践能力的培养。安全协议是一门实践性很强的课程，教师在教学中应该多增加实践环节课时，使学生在实践中加深对理论知识的理解，增强解决实际问题的能力。例如，针对Needham-Schroeder对称密钥、非否认等协议，学生不但要理解它们的工作原理，而且要掌握各种协议在实际中的应用，而应用的掌握只有在实践中才能完成，通过应用各协议来发现它们的优、缺点，从而进一步完善、发展各种协议，所以加强实践环节在安全协议教学中有极其重要的作用。

1.2.3 考核方式单一。

目前多数教师采用传统的考核方式，以作业和闭卷考试为主。安全协议课程不像高等数学，其本身的特点决定了不太合适完全采用闭卷考试的形式。闭卷考试的一个主要缺点就是无法衡量学生的动手能力和对知识的综合运用能力。另外安全协议的设计与分析，哪怕是最简单的密钥分配协议，都消耗了专家很多精力。因此让学生在短短的考试时间内分析和设计协议是不现实的。而且闭卷考试无法调动学生主动学习的积极性，无法提高学生的综合素质。安全协议一般在三四年级开设，此时学生已掌握了扎实的基础知识，具备了一定的知识应用能力，所以教师可以采用多种形式来考核学生。例如让学生撰写读书报告，以小组的形式对某个协议展开讨论，并通过讲演的方式汇报成果。这些方法不仅可以调动学生的积极性，而且可以提高其解决问题的能力。

上述问题的存在，使得我们培养出来的学生虽具有一定的理论基础，但却不能使用所学知识解决实际的问题。本科生的培养目标是使其大学毕业后能够将所学知识应用于实际，而目前的安全协议课程的教学是不符合培养宗旨的，同时大大限制了安全协议作为信息安全人才培养主干课程的作用的发挥，因此安全协议课程教学改革势在必行。

2. 课程设置探讨

安全协议的内容多而且广，很多内容的理解需要很深的数学背景，如BAN类逻辑，要能够充分理解BAN类逻辑，学生必须熟悉数理逻辑的基本知识，如逻辑系统的语法、语义和推理规则等。再如进程代数方法需要学生掌握以代数方式描述的进程的语法，模型检测技术需要学生掌握有限状态机建模和利用模态逻辑描述安全性质。所有这些内容要求一名信息安全专业的学生在一个学期里面全部学懂是不可能完成的。因此，安全协议课程的设置必须考虑到学生的知识背景、接受能力和实用程度。笔者从以下几个方面对安全协议的课程设置展开探讨。

2.1 通过经典协议学习协议的设计与安全性分析。

经典协议的共同特点是：是早期的协议，反映了当时的设计和分析水平。这些协议或多或少存在一些安全缺陷，但是它们在协议的发展过程中起过非常重要的作用，为今天协议的设计与分析技术的发展积累了宝贵的经验。现在的协议基本上都是对经典协议进行改进而提出的，其在思想上没有摆脱经典协议的范畴。通过对经典协议的学习，学生可以全面了解一个问题的由来，即问题是如何被提出的，又是如何被解决的，为什么这样做可以解决问题，从而全面掌握一套解决问题的方法。

安全协议的安全性是难以控制的，很多协议当时提出来的时候人们觉得没有问题，但在使用了十几年之后却发现存在很大的漏洞。所以除了经典协议本身的介绍外，还需要设置协议的设计准则，常见的攻击，以及缺陷的分类等内容，从而让学生掌握一套科学的设计安全协议的方法，达到学以致用的目的。掌握了经典协议，学生完全可以自学其它协议。因此，在学时有限的情况下，摒弃对非经典协议详细的讲解是明智的选择。同时为了让学生对安全协议的发展有全面的了解，可以增加一小部分内容来介绍协议的发展历程。

2.2 减少形式化分析的内容。

安全协议的形式化分析方法可以发现协议中存在的不易被察觉的错误。但是掌握一种形式化分析方法需要很深的数学背景，特别是数理逻辑背景。同时形式化分析也是一种完全理论的方法。因此已有的教材中同时向学生讲解五六种形式化方法是完全不科学的。笔者建议大幅度减少形式化分析的相关内容，只留一章的内容讲解各种各种形式化方法的基本思想，力求让学生对形式化方法有一个基本的认识。

2.3 增设实用协议使用的案例。

现有的教材对实用协议的介绍仅仅局限于对协议本身的介绍，包括协议的结构、使用的身份认证方法、签名算法等。这种模式不仅让教师很难讲解，而且学生仅仅知道实用协议本身一些框架性的东西，不能从中深刻体会一些知识。因此笔者建议增加较大篇幅来介绍安全协议使用的案例，即在实际生活中那些场景会使用这些协议，协议又是如何使用的，从而让学生对协议的运行有直观上的认识。

综上所述，笔者建议的课程内容的设置如图1所示。表1是笔者的设置方案与已有教材设置方案的对比。从表1中可以发现，笔者的设置方案具有如下的优点：1)偏重实践，学生易掌握和理解。而已有教材十分偏重理论，不适合本科生。2)以案例引导学生发现问题、解决问题。而已有教材基本以说教为主，只是简单的将知识点进行了罗列。

3. 教学方法的探讨

安全协议作为一门学科，其经典实用的教学方法我们应该坚持使用，譬如注重概念的讲解，使学生理解准确;注重师生互动，调动学生的学习积极性;通过典型例题，把抽象的问题具体化;注重学生逻辑思维能力的培养，等等。针对安全协议的特殊性，我们可以从以下几个方面展开对安全协议课程教学方法的探讨。

3.1 注重背景知识的介绍。

对于数学课程，学生很难感受到其在实际生活的应用。而安全协议这门课程不同于数学课程，其有着广泛的应用背景。当我们讲解一个问题的解决方法时，学生必然要问这个问题从哪儿来，是如何被提出的。因此我们在讲解经典安全协议时，有必要向学生交待清楚该协议产生的背景知识。这样学生才感兴趣，感到学有所用，从而提高他们学习的积极性。比如在学习Needham-Schroeder对称密钥协议时，需交待清楚该协议的提出是安全分配密钥的需要。

3.2 注重比较，搞清楚各个协议之间的区别。

为了达到同一个目的，会出现各种各样的协议。这些安全协议本身只有短短的几行，但是每一行的设计均凝结了提出者的智慧，体现了不同的设计思想。将设计目的相同的协议放在一起有助于学生通过比较加深对协议的理解。例如Needham-Schroeder公开密钥协议、Otway-Rees协议和Yahalom协议，它们的目的是通过认证服务器为通信双方分配密钥。但是，密钥分配方案完全不同，认证服务器的作用也不同。那么可以将这三个协议放在一起讲解，从密钥分配原理、认证服务器的角色等方面进行比较学习。

3.3 理清课程的知识体系。

安全协议涉及内容比较多，如果知识结构及其内在联系搞不清楚，就很容易使人头脑混乱，难以把这一课程学好。例如我们在讲解经典协议时一般先从认证协议开始讲起，讲述认证协议提出的背景，发展的历史，以及在协议发展过程中的作用。但是随着因特网的普及与计算技术的进步，网上银行、电子商务的业务也飞速发展，各种先进的电子支付系统层出不穷，安全可靠的电子商务协议应运而生。电子商务协议除了具有认证性外，还需具有不可否认性、可追究性、公平性。这样既能讲清每个协议的目的，分清它们功能上的差别，又能讲清它们之间的联系，从而使学生对经典协议部分有一个整体的把握。

3.4 加强实践环节、提高学生动手的能力。

安全协议的性质决定了它是一门实践性非常强的学科，它的目的是为人们提供可靠的标准来解决现实生活中的信息安全问题，这就是说我们培养的人才应具有很强的动手能力。这就要求我们在教学活动中可以为学生提供更多的实践机会。比如在学习电子商务协议时，我们在教学中可以为学生构建虚拟的应用环境，让学生模拟客户、银行、商家进行安全交易，并设置一些现实中出现的新的问题，让学生利用所学的知识对协议进行改进来解决这些问题。通过不断的模拟训练巩固学生的知识，提高学生解决问题的能力，从而增强学生适应社会的能力。

3.5 采取灵活多变的考核方式。

安全协议设计的困难性导致该门课程理论考试非常困难。对一个新的协议，专家需要很长的时间才能设计出来，而且对协议的修改难度也是非常大的。因此完全采取闭卷考试很难考核学生的真实水平。笔者建议采取多种方式并举的综合的考核方式：平时作业(20%)，实践(20%)，读书报告(20%)，期终考试(40%)。这种方式符合安全协议课程的特点，而且可以考查一个学生的综合素质。

4. 结语

笔者本着学以致用的目的，从学习的接收方式、接收能力探讨了安全协议课程内容的设置，从知识体系、知识的比较学习、实践环节和考核方式等方面讨论了安全协议课程的教学方法，并结合教学体会提出了一些建议。安全协议课程的开设只有短短的几年时间，在教学中还存在很多不足之处，笔者将在今后教学中继续探索，为安全协议课程教学改革贡献自己的力量。

参考文献

[1]卿斯汉.安全协议[M].清华大学出版社, 2005.

[2]范红, 冯登国.安全协议理论与方法[M].科学出版社, 2005.

特色课程合作协议第2篇

甲方：

乙方：

合作期间甲乙双方应当履行应尽义务以保证合作顺利进行

一、合作内容及时间

1.合作内容：乙方利用特色课程的教学优势，甲方利用幼儿园内部的在校生资源，为培养幼儿全面素质的提高，提高甲方幼儿园的教学优势和竞争实力，由双方共同在甲方幼儿园内推广儿童特色课程。

2.招生对象：所有在甲方开设的中班、大班、学前班内学习的在园幼儿。

3.合作时间：双方合作时间共年，即自年月日起至年月日止。

二、乙方权利与义务

1.乙方享有使用甲方提供的教学场所进行教学活动。

2.乙方有义务负责本次合作的宣传、解释、咨询、教学等工作；

3.教学计划的制订与实施均由乙方独立完成并汇报给甲方教学负责人；

4.乙方负有“”学员在上课期间的安全责任；

5.“”的教材和辅助材料均由乙方提供；

6.乙方可根据“”的教学情况以及该班学员的学习情况，不定期的向该班学员家长作相关报告；

7.乙方上完课后负责本教室的卫生打扫及桌椅归位，保证环境的整洁。

8.乙方派教师入园进行教学，上课时间为：。所派教师将配合幼儿园的统一管理，负责特色课程教学。

9.为提高兴趣班教学质量和增强兴趣班办学机构安全意识，乙方在幼儿报名后必须认真及时核对幼儿人数，并通知家长到指定地点进行教学，如因时间变动、教师迟到或其他原因未按时进行教学，且没有及时通知家长而引发的投诉或纠纷，甲方将从乙方兴趣班结算费用中扣除500元/次。

10.乙方在兴趣班教学期间（从办理交接手续起至家长接走幼儿为止）的各项管理及幼儿安全均由乙方负责。在此期间发生的任何安全事故乙方必须承

担全部责任。如有丢失幼儿的情况，楼内找到幼儿者甲方将从乙方兴趣班结算费用中扣除5%/例，楼外（院内）找到幼儿者甲方将从乙方兴趣班结算费用中扣除10%/例，园外找到幼儿者扣除乙方所得的全部费用。如发生其他意外情况，乙方承担全部法律责任及赔偿。

11.乙方在教学中必须严格遵守教师职业道德，严禁有体罚和变相体罚的行为，如有投诉，甲方将从乙方兴趣班结算费用中扣除 500元/次。学期家长投诉率如果超出10%终止合作协议。

三、甲方的权利与义务

1.甲方为本次合作提供必要的教学场地，该场地须有基本的学员桌櫈及必要的教学设施。甲方提供的教学场地应符合“”的教学要求，学员安全要求等；

2.甲乙双方协商一致，安排合理的时间供乙方开展“”的教

学工作。

3.甲方协助乙方推广特色课程，配合乙方教师在幼儿园的教学工作。

4.甲方可使用特色课相应的品牌效益，提高幼儿园的知名度，利于招生。

四、收费、报名、分成1.收费标准：每生每学期（课时）学费元，资料费元（教具、教学材料、服装等），共计元。

2.报名时间：

3.分配比例：学费收入甲乙双方按4：6比例分配，即每期每生的学

费双方各得费用如下：甲方元，乙方元；资料费不参与分配。

4.收费方法：学生报名时，由甲方收取学费、资料费。

5.结算方法：在报名结束后，甲方支付乙方全部资料费，当课程进行到一半

时，甲方支付乙方应分的学费总额的一半，课程全部结束时，甲方支付乙方应分得剩余学费，五、特别约定：

甲乙双方在合作期间除不可抗力外因素，不得擅自中止本合作协议。甲乙双方不得做出有损双方品牌形象的行为，要共同维护彼此品牌形象。

双方在平等互利的基础上进行合作，就合作协议内容增删问题，经双方协商一致后，方能修改。

本协议自双方签字或盖章后即视为生效，一式两份，甲、乙双方各执一份，如继续合作可以续约。

甲方：

代表人：

联系电话：

网络协议分析课程实践教学研究第3篇

网络协议分析课程是网络工程本科的一门专业课程,主要是在学习计算机网络课程的基础上,就网络协议的基础理论、体系结构、性能特点、技术方法和所解决的问题等方面进行学习。学生通过本课程的学习,进一步掌握常用网络协议的工作原理与机制,在实践中能充分利用所学知识分析和研究协议运行过程中出现的各种现象和问题,能够利用网络协议的原理解释网络的工作过程,训练灵活运用所学知识解决计算机网络相关综合问题的能力[1]。

网络协议分析是一门实践性很强的课程,在实际的网络课程教学过程中发现,虽然计算机网络本身随着互联网的普及和网络应用的发展已经被学生所熟悉,但在学习计算机网络的内部原理时,由于网络的理论知识多,内容过于抽象又没有具体实例支持,学生常常难以理解,理论与现实之间无法结合,从而大多依赖于死记硬背,不能融会贯通地解决实际问题。总的来说,教学实施过程中普遍存在以下问题[2]:1)原理、概念多,涉及的协议和算法也多,传统教学模式难以适应抽象的网络知识的讲授。2)实验设备有限,使网络教学过程中缺乏实践操作。像网络协议分析仪等实验设备比较昂贵,而且更新换代速度较快,满足不了课程对学生知识、技术和创新能力培养的需求,不利于培养高层次的计算机网络人才。3)很难深入开展网络知识培训。学生无法通过实用的案例准确地理解和掌握网络的概念以及协议的动态运行过程。

为了较直观地学习网络协议,本文将网络协议分析软件应用到网络教学中,利用该软件使学生在学习网络协议的过程中能清楚地看到网络数据的格式和具体传输过程,从而加深对网络协议的理解并提高自身的实际动手能力。

1 主流的协议分析软件

常见的协议分析软件有Wire Shark[3]和Sniffer,其中Wire Shark最为大家熟知,它能够捕获数据包并实时解码, 支持广泛的网络和应用协议。Wireshark(前Ethereal)作为一款开源免费的网络协议分析器软件, 可以运行在Windows、Linux、BSD Unix等操作平台上,能捕获进出网卡的数据帧,并具备强大的协议解析能力,目前可以解析大约1500余种协议[2]。把它引入到计算机网络教学及实验中去,可以有效提高教学和实验的质量,增加实验内容,延长实验时间,学生可以利用Wireshark把自己的PC搭建成一个小型网络实验平台,在教师的事先部署下,自行完成部分网络实验,既培养自主动手能力,又锻炼了自主学习能力;另外,在理论授课中,可引入教学演示环节,利用Wireshark捕获并分析协议工作过程,会更形象、真实地表述出协议的工作工程和工作原理。下面将以开源的网络协议分析软件Wireshark为例,通过一个实际的FTP协议分析教学案例介绍如何使用它向学生解释抽象的网络协议。

2 FTP基本原理和访问模式

在FTP的通信模型要建立两类连接,控制连接和数据连接,并且两类连接服务器使用的端口是不同的[5]。为建立数据连接,服务器端就需要知道客户端使用的端口号,采用主动模式或者被动模式。

2.1 FTP控制连接建立

(1)FTP客户端以随机端口作为源端口,向FTP服务器的TCP端口21发送一个TCP syn报文,开始建立TCP连接;(2)FTP服务器收到syn报文后发送syn ack报文给客户端,源端口为TCP端口21,目的端口为FTP客户端使用的随机端口号;(3)FTP客户端收到FTP服务器发送的syn ack报文后,向FTP服务器回送一个ack报文,完成TCP三次握手,建立FTP控制连接。

2.2 FTP数据连接建立

FTP数据连接主动模式的步骤如下:(1)FTP服务器向FTP客户端发送一个syn报文,主动建立TCP连接。通信的源端口为FTP服务器的TCP端口号20,目的端口为客户端在port命令中发送给服务器的端口号;(2)FTP服务器以此端口号向FTP服务器的20端口发送一个syn ack报文;(3)FTP服务器收到该报文后向FTP客户端发送一个ack报文,完成三次握手,建立数据通道的TCP连接。

FTP数据连接被动模式的步骤如下:(1)FTP客户端通过已经建立好的控制通道向服务器发送pasv命令,告诉服务器进入被动模式。(2)服务器对客户端的pasv命令应答,应答中包含了服务器的IP地址和一个临时额端口信息。(3)FTP客户端随机选择的临时端口号作为源端口,向FTP服务器的临时端口号发送一个syn报文,主动建立TCP连接。(4)FTP服务器端收到报文后发送syn ack给FTP客户端;(5)FTP客户端向FTP服务器端发送ack消息,完成TCP三次握手,建立数据通道的TCP连接。

3 FTP协议报文的捕获与分析

3.1实验环境构建

使用Serv-U FTP服务软件建立FTP服务器,首选需要新建一个域,然后设置IP为本机的IP地址,并设置域名以及端口号。接下来在这个域中新建一个用户并配置好,然后在自己的用户主页面中设置访问权限,因为默认建立的用户权限只有文件读取和目录列表权限,进入目录访问设置页面,勾上要设置的权限框,配置完成后点击下面的“应用”,配置完成。

3.2 主动模式报文捕获

在DOS中登录对方的FTP服务器,并进行文件下载,利用wireshark我们将捕获到的报文如下图所示。

从报文中可以看到PORT 172,18,3,145,12.188rn字段,其表示的含义为客户端使用命令PORT,客户端主动告诉服务器数据连接使用的端口号,客户端I P地址为1 7 2 . 1 8 . 3 . 1 4 5 . 1 2 ,使用的数据端口号为188。因此当发现请求命令字段的值为PORT,说明是客户端主机主动向服务器发送数据请求,在后台使用了命令PORT,将自己的端口告诉服务器表示用这个端口进行数据连接和传送。

数据连接建立成功后,服务器返回的状态码为200,表示数据连接已经成功建立。接下来从服务器上下载文件客户端使用命令RETR,表示下载文件。服务器返回状态码150,状态码150表示文件状态正常,已经准备好打开数据连接开始下载,这里传输的是ASCII文件。下一步服务器返回的状态码226,状态码226表示数据已经传输完成,然后关闭数据连接。数据传输完成后,FTP服务器等待新用户,如下图所示。

图2 主动模式报文示例2

3.3 被动模式报文捕获

由于浏览器默认采用被动模式访问FTP服务器,因此在进行被动模式报文捕获是,我们采用用浏览器登录FTP服务器,并打开服务器上的文件。首先服务器端返回的状态码220,表示准备就绪,等待新用户的使用。客户端使用命令PASV,表示自己处于被动模式下,需要服务器告诉数据连接的端口号,分析报文如下图所示。

在数据连接的过程中,服务器都是先检查文件的状态是否正常,返回状态码150表示文件状态正常,打开数据连接开始传输数据,传输完成后就返回状态码226表示传输完成并关闭这个数据连接。

不论是主动模式还是被动模式,都是客户端先向服务器端请求用户名,服务器端返回331状态码,客户端请求密码验证,通过后服务器端返回状态码230,建立数据连接客户端使用命令PORT或PASV,成功后服务器端返回状态码200表示命令确定,然后服务器端检查数据是否可用,成功后返回150表示文件状态正常并打开数据连接开始传送数据,完成后服务器端返回状态码226表明数据已经传输完成,之后客户端如果使用命令QUIT退出FTP服务,服务器端范湖状态码221表示退出成功。

通过对报文的查看与分析,学生可以比较清楚地了解FTP协议的工作过程,以及协议中每步所发送报文的格式与内容。与分析FTP协议报文一样,也可以对其它协议如DNS协议报文进行分析,查看DNS协议的请求和应答报文,学习有关DNS协议的内容。

4 结语

网络协议分析课程是网络工程专业一门非常重要的课程,有着很强的理论性和实践性。因此在教学中宜采用多种教学手段与方法,以增强学生对网络协议的理解与掌握。本文以协议分析软件Wireshark作为工具,以FTP协议分析为例进行了协议分析的一般过程。实践表明,通过在网络协议分析课程教学中应用协议分析软件,学生可以直观地对网络协议数据包捕获和分析,了解基本概念与原理,从而改善网络课程的理论教学工作,提高学生对本课程的理解和学习兴趣。

参考文献

[1]杨文茵,马莉,李娅.《TCP/IP协议》课程教学改革探索[J].中国科技信息,2011(21):126.

[2]王辉,李晋光.基于网络协议仿真软件的实验教学系统的建设[J].电子设计工程,2010,18(12):27-30.

[3]Wireshark[EB/OL].http://www.wireshark.org/.2014.

[4]Sniffer中国[EB/OL].http://www.sniffer.net.cn/.2014.

湘潭三校课程合作协议第4篇

甲方：北京环球时代学校（长沙中心）乙方：

地址：北京市西三环北久凌大厦北楼4层地址：

长沙市香颂国际南座12031室

联系电话：010-68403281，0731-88718028联系电话：

代表人：代表人：

合作项目：□面授 □远程（□专四 □专八 □考研 □其它）合作时间：自年月日至年月日

合作地点：

一、甲方的权利与义务：

1、甲方授权乙方为地区上述项目合作伙伴，并特许乙方在合作期内在本地区以“环球时代

学校”的名义进行招生，并派专人负责沟通与协调管理。

2、甲方负责授课讲师确定、培训与派遣，以及具体课程安排（如上课时间、任课老师）并确保课程

顺利实施，教师上课课酬及差旅费由甲方承担。

3、甲方负责相关讲义资料的编制、印刷及配送，并承担相关费用。

4、甲方需及时向乙方提供课程所需的必要资料，如听课证、光盘等，并确保授课及播放质量。

5、甲方需配合乙方在当地的宣传策划及实施，可根据乙方要求，安排相关授课老师宣传讲座。

二、乙方的权利与义务：

1、乙方必须具备当地的办学资质及办公地点以及办学相关软硬件条件。

2、乙方负责具体落实上课地点、投影设备等，并承担相关费用。

3、合作期间，乙方有权以“环球时代”的名义进行招生辅导及宣传工作。

4、乙方负责学员的接待、咨询、报名工作，并为学员开具相关收据。

5、乙方须保证开班最低人数，不足开班最低人数不予当地开班。但可减免学生相应来回长沙中心车

票（限额100，凭票据报销）赴长沙中心上课。

三、学费说明

经双方协商，明确本合作项目在地区的学费定价与学校原定价统一，即：

英语专业四级课程班，学费元/人，学时小时，教材元。英语专业八级课程班，学费元/人，学时小时，教材元。课程班，学费元/人，学时小时，教材元。

四、结算方式及流程：

1、乙方须保证当地开班最低人数不少于 40 人，并可实行相关团报优惠政策，甲方可接受最低折扣

为八五折，团报最低十人。

2、本合作项目学费收入共计元。

3、利润分配原则：

1)专四专八及其他单项班级：

（1）报名人数1-40 人，按照实际所收学费总额 * 8% 分配给乙方；

（2）报名人数40-80人，前40人按项1）结算，超过部分按照超过人数学费总额 * 9%结算，乙方

总利润则为40人提成+超过部分提成总和；

（3）报名人数80人以上，按照实际所收学费总额 * 10% 分配给乙方。

4、开课前一周，双方根据报名情况进行第一次核算，确定是否开班等细节。

5、开课前五日甲方派发讲义等。

6、开课当天，双方根据实报人数进行最终核算，开课一周内完成结算。

五、违约责任：

1、双方任何一方违约，给履约方造成名誉、经济等损失，应依法赔偿履约方损失。

2、遇有不可控制因素影响开课，双方应友好协商积极解决，确保学生利益不受损失。

六、未尽事宜，双方协商解决。

七、本合同一式两份，双方各执一份，两份具同等法律效力。

甲方：北京环球时代学校乙方：

（签字）（签字）

盖章盖章

年月日年月日

安全协议课程第5篇

1 课程教学现状分析

《TCP/IP协议》课程的内容集中在TCP/IP协议族的各种协议的介绍, 旨在帮助学生深入了解各种核心协议, 学会解决一般的网络问题, 为进一步理论研究和网络应用打好基础。然而课程的重要性与学生的兴趣未成正比, 经过分析, 可总结出以下几方面的原因:

第一, 内容抽象, 较为枯燥, 本科层次的学生对具体形象的、紧密结合实际的内容更感兴趣。由于网络协议是指通信的两个实体在通信内容、通信方式以及通信时序等方面要遵守服从相互可以接受的规则集合, 这些规则对网络的使用者来说都是透明的, 所以理解起来比较抽象。语法、语义、同步规则是协议的三要素, 每个协议都是主要介绍这三方面的内容, 因此学生感觉比较枯燥。

第二, 知识广度不够, 内容局限于TCP/IP四层模型的学习, 并且与其选修课《计算机网络原理》有一定的重复, 学生对已经熟悉的内容兴趣下降。一些重要的协议, 如IP、TCP和UDP等, 都已在先修课中作了较充分的介绍, 学生对这些内容已经掌握得较好, 简单地重复只会令学生产生厌学情绪, 从而导致学生轻视。

第三, 内容理论性强, 配套的实践训练不足, 使学生无法将理论用于指导实践, 也难以通过实践加深对理论的理解。仅靠在课堂上老师的讲解, 课下阅读参考书籍, 对《TCP/IP协议》的理解只能是限于理论层面上, 无法培养学生的实际应用和创新能力。

针对这些问题, 本文拟提出一些教学改革手段, 使教学内容形象化, 激发学生的学习兴趣, 帮助学生开拓思路, 培养学生的创新能力。

2 教学改革措施

2.1 精选内容, 与时俱进

在选择教学内容的时候, 要注意深度和广度的平衡。深度上:要对重点协议深入讲解, 广度上:要多囊括一些新出现而且又较重要的协议。例如SCTP (Stream Control Transmission Protocol, 流控制传输协议) 在很多国内的课本上都还没有出现, 但是国外的经典教材新版本已经把这个新加入到传输层协议进行了详细的介绍。该协议兼有TCP和UDP的优点, 未来将是传输层十分重要的协议。加入这个新协议的讲授, 教学内容与时俱进, 一定能引起学生的兴趣。

2.2 创设情境, 代入角色

情境教学是一种重要的教学手段, 在协议以及某些技术的应用介绍中借助使用创设情境, 引导学生从身边的实际问题着手, 了解技术理论的必要性, 理解技术理论如何解释并最终解决这些问题的原理。例如学习ARP协议的时候, 可以用校园网上网经常会遇到掉线的这个现象, 来引导学生找到ARP欺骗的原理, 从而加深对ARP协议的理解。

与协议相关的角色包括:中立的角色:协议的用户;正面的角色:协议功能设计人员、协议性能优化人员、网络管理员;反面的角色:协议攻击者, 例如黑客。在上课前, 学生可以根据兴趣选择扮演不同的角色, 并且把不同角色的同学组成一个小组。在课堂上, 大家代入角色, 根据这个角色的特点来思考和学习协议。在下课后, 同一小组不同角色的同学、不同小组同一角色的同学互相间交流自己的心得体会。

2.3 归纳总结思想, 扩展应用到其他研究热点

在介绍协议的过程中, 不仅要介绍协议的三要素:语法、语义和同步规则, 更重要的是归纳总结协议的设计思想, 所用的管理机制、算法思想。例如, 分层的思想应用在网络通信模型, 也应用在命名规则中, 如IP地址、域名和OSPF协议中自治系统的命名, 都是采用分层的思想。

另外, 可介绍协议设计的思想在其他研究领域的应用。例如TCP协议中拥塞控制的“慢启动, 指数增加, 乘法减少, 加法增大”的算法思想被应用在信任管理中, 用作信任度计算的算法[1]。

2.4 结合多门课程的知识, 丰富实践环节的形式

结合Linux或Unix操作系统、网络编程、嵌入式编程等课程, 可以丰富TCP/IP协议的实践环境, 让学生可以更具体更深入地理解协议。TCP/IP协议最早是应用在Unix操作系统中, 经典的由W.Richard Stevens编著的《TCP/IP详解》[2]就是以Unix作为背景环境。结合Unix或Linux操作系统, 例如, 要求学生实现基于Linux的TCP/IP协议栈, 可从实现的高度帮助学生深入理解各种网络协议和技术。如果对嵌入式课程有兴趣的同学, 也可以选择用嵌入式软件实现轻量级的协议栈。通过实现协议栈, 可以提高学生系统软件编程水平, 更加深了对协议的深入理解;对于能力较强的学生, 可以进行协议的设计, 并通过编程实现, 进一步提高程序设计、协议设计等综合创新能力。

2.5 精选教材教参, 有选择性地结合双语教学

《TCP/IP协议》的教材深浅程度不一, 要根据学生在先修课《计算机网络原理》中学习的效果, 来选择难度合适的教材。如果学生的底子较薄, 对计算机网络原理的知识掌握得不牢固, 建议使用国内的教材, 如兰少华的《TCP/IP网络与协议》[3]作为教学用书, 再用经典国外教材的中文版, 如Douglas E.Comer的《用TCP/IP进行网际互连》[4]作为参考书辅助学习, 为学生提供更多、更细、更深入的内容。如果学生底子尚可, 计算机网络原理的知识掌握得较好, 建议直接使用国外经典教材的中文版作为教学用书, 如Behrouz A.Forouzan的《TCP/IP协议族》[5], 或者在使用国内教材作教学用书的同时, 再用国外经典教材的影印版或中文导读版, 进行适当的双语训练。

由于计算机领域前沿技术多源于国外, 学生如果能熟练使用英语来阅读专业资料, 就能更快地获得最新的一手资料, 如Internet的帮助文档RFC文档等。因此, 在TCP/IP协议中加入双语教学, 能锻炼学生以外语为工具获取国内外最新知识的能力, 从而有利于学生更好地应对今后的学习和职业[6]。但是双语教学的内容选取必须是有选择性的。如果全部用英语, 学生可能因为语言的不熟练而影响对一些难度较大的知识点的理解, 因此应该选取较为基础的部分采用双语教学, 例如与《计算机网络原理》有重复的, 大家已经有一定背景知识的章节, 进行双语教学。而较难的章节, 则使用母语教学。这样有了双语基础, 学生就能用外语自学更难的内容, 涉猎更多更广的知识。

3 总结

《TCP/IP协议》课程内容的抽象性, 通过情景和角色教学, 得以形象化和具体化, 贴近现实问题。教学内容通过总结思想, 举一反三, 扩展应用到如信任管理等其他领域, 不再局限于TCP/IP四层模型, 并且与时俱进, 加入新生代协议, 增加了内容的广度, 提高学生学习的兴趣。通过精选教材, 控制深度, 再结合有选择性的双语教学, 同时锻炼了通过外语获取国外最新技术的能力。最后, 通过与Linux系统或嵌入式系统编程的结合, 以实现协议栈作为进阶级的实践训练, 增强了学生的动手能力和创新能力。这些措施也能推广到其他理论性较强的课程, 为培养更多计算机网络人才提供新方向。

参考文献

[1]唐静, 沈乐平.新型对等网络信任控制模型分析[J].哈尔滨工业大学学报.2010;42 (7) :1172-1176.

[2]W.Richard Stevens著, 范建华等译.TCP/IP详解卷1:协议[M].北京:机械工业出版社.2000.

[3]兰少华, 杨余旺, 吕建勇.TCP/IP网络与协议[M], 北京:清华大学出版社.2008.

[4]Douglas E.Comer著, 林瑶等译.用TCP/IP进行网际互连——原理、协议和体系结构[M].第5版.北京:电子工业出版社.2007.

[5]Behrouz A.Forouzan著, 谢希仁等译.TCP/IP协议族[M].第3版.北京:清华大学出版社.2006.

IP网络主流安全协议的安全问题第6篇

SSH(Secure Shell)是一种介于传输层与应用层之间的加密通道协议,主要用于为用户提供安全的远程登陆服务,也可以执行远程文件拷贝、加密邮件连接和激活远端程序等操作。

SSH的协议结构可分为三层,从低到高分别为传送层协议、认证协议和连接协议,下层协议为上层协议的实现提供服务。一般的SSH协议层次结构如图1所示。

SSH解决了许多和网络有关的安全漏洞,有效地防止了网络窃听、IP欺骗、DNS欺骗、连接劫持、插入攻击等。但并没有解决全部问题,尤其是容易受到针对底层TCP/IP缺陷而发起的服务器拒绝攻击(DoS);传送层协议在执行服务器认证时采用的是基于主机的认证方式,而且认证方式一般也是简单的比较认证,通信方需要维护一个本地密钥数据库或采用第三方认证,其实现并不是很方便,易于遭受中间人攻击;没有解决一些环境因素而产生的攻击方法,例如流量分析和避免隐蔽信道的问题;不能防止出现病毒,如Trojin木马和咖啡豆(coffee spill)。因而,SSH当前只限于为小型网络提供安全服务,其大规模的应用还有待于进一步完善。

2 SSL协议的安全问题

SSL(Secure Socket Layer)称为安全套接层协议,是一种作用于传输层和应用层之间的协议,用于在浏览器和Web服务器之间传输敏感数据时建立一条安全数据传输通道。

SSL协议分为两层:上层是握手协议,下层记录协议,如图2所示。

SSL协议在服务器与客户之间建立了一条安全通道,保证了在互联网上通信的保密性,但SSL协议也存在如下的缺陷和漏洞。

通信业务流攻击:攻击者试图通过分析IP包未经加密的字段和未受保护的属性,恢复受保护会话的机密信息。

密钥交换算法欺骗:SSL协议的密钥交换算法域并不包含在服务器对公开参数的签名内容中,这样攻击者可以滥用服务器的签名来欺骗客户,在密钥交换过程中,主密钥就被泄露给攻击者了,则以后的所有消息交换过程都可以被攻击者伪造,协议不再有任何安全性可言。

Change Cipher Spec消息丢弃:SSL握手协议中有一个小的漏洞,那就是在finished消息中没有对Change Cipher Spec消息的认证保护。从而存在一种潜在的攻击方法--丢弃Change Cipher Spec消息。

证书攻击和窃取:由于微软公司的IIS服务器提供了“客户端证书映像”功能,用于将客户端提交证书的名字映射到NT系统的用户帐号,因此,攻击者就有可能获得主机的系统管理员的权限;当然,攻击者还可以尝试运用暴力攻击获取访问的权限。攻击者还可能窃取有效的证书及相应的私有密钥,其最简单的方法是特洛依木马病毒。

3 IPSec协议的安全问题

IPSec是在IP层上对数据包进行安全处理,为IP层及其上层协议如TCP、UDP等提供安全服务,主要提供了访问控制、无连接的数据完整性、数据源验证、防重放、数据机密性和有限的业务流机密性等安全服务。

IPSec协议由核心协议和支撑模块组成。核心协议包括认证首部AH与封装安全载荷ESP;支撑部分包括加密算法、HASH算法、安全策略、安全关联、IKE密钥交换机制。

IPSec协议在某些特定条件下存在着隐蔽信道这一安全漏洞。IPSec协议中为了防止数据包重放攻击,设置了序列号字段,而该字段所标志的数据包排列顺序刚好可以被数据包序列重排与恢复技术利用以携带隐蔽信息。在经过IPSec协议层之后,篡改每个数据包中的序列号域,按某种特殊规则对序列号域重新赋值,达到传递隐蔽信息的目的。

IPSec规定安全关联SA是一种对所承载的数据包提供安全服务的单向连接,也就是说,仅朝一个方向定义安全服务,要么对通信实体收到的包进行“进入”保护,要么对实体外发的包进行“外出”保护。这种单向SA会引起一些IPSec的安全问题,因为只有当两个配对的SA(外出的和进入的)正确建立起来之后,才可以建立起受IPSec保护的安全的双向连接。但是当出现误差的情况下或使用其它的通信手段时就会出现问题。并且在实际应用中很少有一方给另一方发送信息而另一方没有应答的应用,也很少有双向通信中的一个方向需要安全,而另一个方向不需要的情形。

IPSec所提供的防重放服务还存在一定的漏洞。利用这些漏洞,可以对IPSec保护下的报文进行重放攻击。这是因为:(1)每个安全关联SA中不包括任何与源地址有关的信息;(2)对特殊ICMP报文建立SA后不检查源地址是否匹配;(3)当建立SA时,通信双方的序号计数器都要被始化为0。

IPSec协议是在网络层实现的,即对应用层是透明的。然而不改变应用层实现的IPSec所获得的安全性并不安全。IPSec不能够像上层的系统那样提供点对点的安全,而IPSec认证的是设备的IP地址而不是其它的身份标识,但是大多数应用软件采用像名字这样的身份信息,并且用不同的IP地址访问。在这种情况下,IPSec能做的是将执行最高的安全性和代价昂贵的认证,对保护这样的身份信息建立一个安全关联,但是无法告诉应用程序对方是谁。应用程序将不得不依赖现存的机制像用户名和密码来决定在和谁通信。因为不修改应用层也无法检测到双方的通信是否被IPSec协议保护,所以容易受到“configuration attack”,这种攻击使通信避开IPSec的保护而进行。

IPSec还有一些缺陷,如客户机/服务器模式下实现需要公钥来完成。IPSec需要已知范畴的IP地址或固定范畴的IP地址,因此在动态分配IP地址时不太适宜于IPSec。

4 结束语

网络安全协议SSH、SSL、IPSec也有其不足和安全问题,使用者应做到心中有数、知己知彼,防患于未然。

摘要：分析讨论了SSH、SSL和IPSec三个安全协议存在的安全问题。

关键词：IP网络,安全协议,SSH,SSL,IPSec,TCP/IP

参考文献

[1]费晓飞,胡捍英.IPSec协议安全性分析[J].郑州:中国安全生产科学技术,2005,1(6):40-42.

[2]胡静,谢俊元.IPSec协议中潜在的隐蔽信道问题研究[J].南京:计算机工程与设计,2007,28(17):4116-4118.

无线局域网安全协议浅析第7篇

无线接入在给我们带来众多便利的同时，也将信息安全问题客观的摆在了我们面前，随着无线局域网的快速发展，其安全问题也越来越重要。

在目前的无线局域网(WLAN)系统中，许多802.11设备厂家都提出了自己的解决方案，这些方案兼容性不强，而且安全性能强大的方案由于硬件设施跟不上，也无法提高网络的整体安全性。因此，无线安全机制WEP、WPA和802.11i将在一段时间内共存。

2 无线局域网安全机制

2.1 WEP协议

WEP是由IEEE制定的IEEE802.11标准中定义的一种可选的无线加密方案。WEP使用RC4伪随机数发生器和对称密钥加密算法，初始矢量IV和共享密钥共同作为随机序列发生器的种子输入、输出得到的密钥流作为加密密钥，对明文与明文的完整性校验值(ICV)进行加密。

由于存在缺陷和漏洞，WEP安全机制具有以下的安全问题：

1)RC4是一个序列密码加密算法，发送者用一个密钥序列和明文异或产生密文，接受者用相同的密钥序列与密文异或恢复出明文。通常得到两条明文的异或值已足够恢复其明文。密钥序列由24位的IV和密钥共同决定，由于密钥是静态的，密钥序列的改变由IV决定。因为IV的长度过短，而且是以明文形式传递，很容被破解，得到WEP密钥。

2)WEP中的CRC-32算法和RC4算法具有线性特性，攻击者只要相应调整校验和，就可以使被篡改的消息变为合法消息。

3)WEP所采用的基于共享密钥的认证机制也存在着安全问题，一个是认证信息的明文与密文都是在无线网络中传输，所以攻击方能获得认证信息;另一个是WEP协议中的身份认证是单向的，攻击方可能伪装成接入点实施拒绝服务的攻击。

4)缺少一种有效的密钥管理和分发机制。WEP密钥通常是通过预定义的共享方式来实现的，整个无线网络共用一套WEP密钥，密钥分配越广泛，密钥泄露的可能性就越大。

2.2 WPA安全机制

随着WEP的上述安全缺陷的逐渐被发现，如何更有效地保证WLAN的安全成了大家普遍关心的问题，也是Wi-Fi联盟和IEEE的安全专家更要思考解决的问题，Wi-Fi联盟联合IEEE于2002年10月共同发布了Wi-Fi Protected Access(WPA)，它是一个基于标准的安全规范，旨在提高现有的和将来的WLAN系统包括数据保护和访问控制两方面的安全防护等级。目前，WPA广泛应用于实际的无线局域网中。它是802.11i的一个子集，是一种过渡的解决方案。

WPA采用两种认证方式：共享密钥认证和IEEE 802.1X认证。前者较适用于一些小的企业、家庭、SOHO以及一些公共热点地区，没有认证服务器，这种方式也叫做PSK(Pre-Shared Key，预先共享密钥)模式;后者适用于大型运营商所建立的网络，由于设置了专门的认证服务器，故可采用802.1X认证。

WPA的原理与实现：

WPA采用了IEEE802.1x和密钥完整性协议(TKIP:Temporary Key Integrity Protocol)来实现无线局域网的访问控制、密钥管理与数据加密。WPA采用TKIP，确保通过密钥混合做到每个包的TKIP密钥都是不同的。再通过频繁更新主密钥，大大减少非法用户窃取数据包的机会。同时，WPA也增强了加密数据的整体性，不再采用线性算法对数据帧进行校验，增强了对数据完整性的保护。WPA也全面支持基于服务器的采用IEEE802.1x协议和EAP的认证。其工作过程大致是：先由无线客户端与拥有内在认证器的接入点建立联系，认证器将用户的身份传送给服务器;如果接入请求得到批准，服务器就会给每个请求者发各不相同的主密钥;用户获得认证之后，EAP频繁的刷新主密钥。

WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。

2.3 IEEE802.11i协议概述

随着网络安全问题的日益突出，急需我们解决无线通信的安全问题。基于IEEE 802.11i标准的WLAN属于增强安全无线网络，该草案标准定义了一个增强的安全网络(RSN)，它提供了很多新增的安全特性，这些特性没有包括在基本的IEEE 802.11体系结构中。它们包括：同时面向AP和无线站点的增强的认证机制;新型密钥管理算法;动态的、特殊关联的加密密钥。

RSN明确要求使用双向认证，定义了密钥管理算法。每次认证的结果产生出主密钥PMK，然后通过交换随机数产生与每次会话相关的动态密钥，有效地消除了中间人攻击等攻击方式。因此，RSN基本解决了802.11中的认证问题和没有密钥管理算法的问题，并且自然地使用了动态会话密钥。此外，RSN还提供了集中的策略控制，便于实施基于策略的访问控制。

2.4 WEP、WPA与802.11i的分析比较

虽然WPA能在较大程度上克服WEP的缺点，但是并不是所有的用户都能够利用它的。因为对一些老设备和老版本的操作系统它不是向后兼容的，并不是所有的用户都可以分享同一安全基础设施。此外，除非WLAN有专业的硬件处理WPA协议，否则TKIP/WPA将可能降低性能。

通过采用动态认证、802.1x、EAP和AES等技术,RSN比WEP和WPA具有更强大的功能。但是，RSN在老式设备上运行的并不理想。只有采用具有使算法加速的新的硬件设备，才能显著发挥出WLAN产品的性能优势。

3 结束语

在无线网络的发展中，安全问题是所有问题的焦点，而在802.11i标准中加入了新的安全措施，增强了无线网的安全性，很好地解决了现有无线网络的安全缺陷和隐患，由于目前的实际，循序渐进的由WEP协议升级到WPA、802.11i，逐步完善安全标准，无疑将有利于推动WLAN应用。

参考文献

[1]刘乃安.无线局域网(WLAN)—原理、技术与应用[M].西安:西安电子科技大学出版社,2004.

[2]马建峰,朱建明等.无线局域网安全—方法与技术[M].北京:机械工业出版社,2005.

[3]曹秀英.无线局域网安全系统[M].北京:电子工业出版社,2004.

[4](英)爱德尼,(美)阿尔保,周正,等.无线局域网安全实务—WPA与802.11i[M].北京:人民邮电出版社,2006.

[5]李捷.IEEE802.11i无线局域网安全技术研究[J].通信科技,2006.

[6]牛伟,郭世泽.无线局域网[M].北京:人民邮电出版社,2003.

[7]钟章队.无线局域网[M].北京:科学出版社,2004.

[8]赖庆.无线网络安全对策和技术[J].科技资讯,2006(19).

IGMP组播协议与安全第8篇

一、组播产生

IP组播是在网络中将数据包以尽最大怒力方式将数据包发送到网络目的节点集。无论组播组中有多少成员, 在整个网络中只传输单一数据包, 到达目的主播组再传输至组播成员, 可以大大地节省带宽, 提高数据的传送效率, 避免网络的拥塞。

二、组播体系结构

在IP组播通讯中要完成两个方面的基本工作:一是组播成员的加入和撤出, 二是如何将组播信息路由到每个接收成员中去。这样就产生了两类基本协议, 分别是主机和路由器之间的组播成员管理协议和路由器和路由器之间的的组播路由协议。

组播成员管理协议称为IGMP (Internet Group Man2agement Protocol) 协议。IGMP协议作用在主机和与主机直接相连的组播路由器之中。主机使用IGMP协议通知本地边缘组播路由器, 告知其想加入的组播组。组播路由器通过IG MP协议来维护组播组成员列表, 并且定期发送询问信息询问成员是否在线。IG MP组播成员管理机制是基于OSI参考模型的网络层, 路由器可以对组播报文发进转行控制并且抑制组播数据在二层网络的扩散。

三、IGMP的工作原理

IGMP协议是在主机和多播路由器之间的通信协议。主机通过IGMP协议可以加入或者撤出一个多播组。多播路由器通过IGMP协议可以获知物理子网上的在线组播成员信息。IGMP的工作机制可以看成由由加入消息、离开消息、查询消息和抑制机制四部分构成, 交换机可以基于前三种消息探测转发表表项的增加、删除依据, 响应抑制机制用于组播报文在二层网络的无限扩散。

四、IGMP协议介绍

主机通过IGMP协议将组播成员信息发送给组播路由器。IGMP报文封装在TTL最大生存周期值为1的IP数据包中。IGMPv2报文的格式如下:

类型最大响应时间校验和

组播地址

主机在加入组播组时发送IGMP成员报文给组播路由器;在离开组播组时也要发送IGMP离开组报文告知组播路由器。路由器定时发送成员查询报文, 用于了解子网内的组播组成员信息。

五、IGMP协议的安全问题

IGMP协议的传送功能将一个ip包拷贝给多个主机, 但目前这种技术尚不成熟, 因此被一些人用来攻击windows系统。主机受到IGMP攻击后, 会出现蓝屏, 或者网速瘫痪, 有系统崩溃。

目前基于IGMP各种报文进行攻击主要有以下几种:

1、利用查询报文攻击

利用具有较低数值的IP地址路由器发送伪造的查询报文, 由当前的查询方转变为查询任务, 通过伪造查询方执行, 于是将造成以下几种后果:

(1) 伪造查询方以后不再发出查询报文;

(2) 组播路由器对子网内的各主机的加入请求不做任何响应, 将使合法用户拒之门外;

(3) 组播路由器对子网内主机撤离报文不做回应, 造成该子网内不存在组播用户, 而组播数据又不断向该子网组播路由器发送请求, 浪费了带宽和资源。

2、利用离开报文进行DOS攻击

子网内非法用户截获某个合法用户信息发送伪造IGMP离开报文, 组播路由器接收到报文后认为该合法用户已经撤离该组播组, 则不再向该用户发送询问请求, 于是该合法用户将不能再接受到组播数据包, 造成DOS攻击。

3、利用报告报文攻击

非法用户伪装报告报文, 或截获合法用户的报告报文向组播路由器发送伪造信息, 组播路由器以为有用户加入, 于是将组播树延伸至非法用户所在的子网, 此后非法用户就可以接收来自组播路由的组播数据。

六、结束语

随着网络技术的不断发展, 各种网络应用不可避免的带来网络延时和广播风暴。为了解决带宽消耗所引起的网络拥挤以及网络瓶颈问题, 组播技术开始逐步取代传统的网络的传输方式。在组播网络中, 组播技术能很好的解决这个文, 应用将越来越广泛。

参考文献

[1]罗霄、韩润萍、赤建武:《IGMP SNOOPING技术原理及实现》, 2004, 01

[2]胡小生:《校园网的组播应用研究》, 计算机与现代化, 01, 2005

电子支付协议的安全策略浅析第9篇

互联网的不断发展, 极大地改变着人们的生活。特别是电子商务的迅速发展, 使得人们可以足不出户便可以在家里购物。电子商务必然涉及到网上的电子支付, 由于网络本身的开放性及复杂性, 安全问题成了电子商务发展中的首要问题, 能否确保信息安全、可靠的传输, 为用户在网上从事商务活动提供信任保证, 成为电子商务成败的关键。

当前主要有两种在线支付协议被广泛采用, 即安全套接层SSL (Secure Sockets Layer) 协议和安全电子交易SET (Secure Electronic Transaction) 协议。

二、SSL协议

SSL协议是Netscape公司在网络传输层之上提供的一种基于R S A和保密密钥的用于浏览器和W e b服务器之间的安全连接技术。它被视为Internet上Web浏览器和服务器的标准安全性措施。SSL提供了用于启动TCP/IP连接的安全性“信号交换”。这种信号交换导致客户和服务器同意将使用的安全性级别, 并履行连接的任何身份验证要求。它通过数字签名和数字证书可实现浏览器和W e b服务器双方的身份验证。在用数字证书对双方的身份验证后, 双方就可以用保密密钥进行安全的会话了。

SSL协议握手流程由两个阶段组成:服务器认证和用户认证 (可选) 。

1. 服务器认证阶段

在一次交易过程中, 客户的证书首先传送到银行Server方, 服务器先验证有效期, 再根据签发者 (C A) 名称找到签发者公钥 (在CA的根证书内) , 验证证书的数字签名的合法性。

W e b服务器上的S S L安全性要求步骤如下:

(1) 生成密钥对文件和请求文件;

(2) 从身份验证权限中请求一个证书;

(3) 在服务器上安装证书;

(4) 激活W W W服务文件夹上的S S L安全性。

服务器根据客户的信息确定是否需要生成新的主密钥, 如需要则服务器在响应客户的消息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息, 产生一个主密钥, 并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥, 并返回给客户一个用主密钥认证的信息, 以此让客户认证服务器。

这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器, 从而建立安全的通信通道。

2. 用户认证阶段

在此之前, 服务器已经过了客户认证, 这一阶段主要完成对客户的认证。

经认证的服务器发送一个提问给客户, 客户则返回 (数字) 签名后的提问和其公开密钥, 从而向服务器提供认证。

SSL支持各种加密算法。在“握手”过程中, 使用R S A公开密钥系统。密钥交换后, 使用一系列密码, 包括RC2、RC4、IDEA、DES、triple-DES及MD5信息摘要算法。公开密钥认证遵循X.509标准。

3. SSL的应用及局限

SSL是一个面向连接的协议, 在涉及多方的电子交易中, 只能提供交易中客户与服务器间的双方认证, 而电子商务往往是用户、网站、银行三家协作完成, SSL协议并不能协调各方间的安全传输和信任关系。

三、SET协议

为了实现更加完善的电子交易, Master Card和Visa联合其他一些业界主流厂商联合推出了一种规范, 用来保证在公共网络上银行卡支付交易的安全性, 从而发布了SET协议。采用SET协议进行网上电子交易支付时, 主要涉及持卡人、商家、支付网关、发卡者、支付者和C A认证共六方:持卡人是发行者发行的支付卡的授权持有者;发卡者是指发行信用卡给持卡者的金融机构;商家是有货物或服务出售给持卡人的个人或组织;支付者是指商家开设帐号所在的金融机构;支付网关实现对支付信息从Internet到银行内部网络的转换, 用来处理商家支付报文和持卡人的支付指令, 并对商家和持卡人进行认证;证书权威C A是为持卡人商家和支付网关发行X.5 0 9数字证书的可信实体。

S E T协议提供了电子交易中信息的机密性、数据的完整性、持卡人帐户的身份验证和商家身份验证。

1. 信息的机密性

当持卡人的帐户和支付信息在网络上传输时, 要确保其安全。SET的一个重要特点是, 它可以防止商家知道持卡人的信用卡帐户, 它只提供给发出的银行。可以使用D E S等算法加密来确保机密性。

2. 数据的完整性

从持卡人发送给商家的支付信息包括订购信息、个人数据和支付说明。SET必须保证这些消息的内容在传输时不进行改变。利用SHA-1哈希码的RSA数字签名提供了消息的完整性。

3. 持卡人帐户的身份验证

S E T授权商家验证持卡人是否是正确信用卡帐户的合法用户。S E T使用X..509v3数字证书和RSA实现这一目的。

4. 商家身份验证

S E T授权持卡人验证商家是否可以接收与其有关的金融组织。SET使用X.509v3数字证书和R S A实现这一目的。

5. SET的局限性

SET协议仅解决了支付信息的认证, 没有解决交易中证据的生成和保留, 因此, 不能为交易保留法律性的依据;S E T协议中没有对交易过程作状态描述, 这可能使顾客或商家对交易的状态难以把握。

四、结论