收藏
下载资源

第8章网络协议的安全.

上传人:今*** 文档编号:107312403 上传时间:2019-10-18 格式:PPT 页数:46 大小:675KB
返回 下载 相关 举报
第8章网络协议的安全._第1页
第1页 / 共46页
第8章网络协议的安全._第2页
第2页 / 共46页
第8章网络协议的安全._第3页
第3页 / 共46页
第8章网络协议的安全._第4页
第4页 / 共46页
第8章网络协议的安全._第5页
第5页 / 共46页
点击查看更多>>
资源描述

《第8章网络协议的安全.》由会员分享,可在线阅读,更多相关《第8章网络协议的安全.(46页珍藏版)》请在金锄头文库上搜索。

1、第8章 网络协议的安全,8.1 IP 的 安 全 8.2 传输协议的安全 8.3 应用协议的安全,8.2 传输协议的安全,8.2.1 SSL协议 1协议概述 目前IPSec可以提供端到端的网络安全传输能力,但是它无法处理位于同一端系统之中的不同用户之间的安全需求,因此需要在传输层和更高层提供网络安全传输服务,来满足这些要求。 SSL协议不是一个单独的协议,而是两层协议:SSL握手协议和SSL记录协议,图8.12 SSL协议栈与HTTP的结合,SSL协议提供的安全信道有以下3个特性。 私密性:由于在握手协议中定义了会话密钥后,所有的消息都被加密。 确认性:因为尽管会话的客户端认证是可选的,但是服

2、务器端始终是被认证的。 可靠性:因为传送的消息包括消息完整性检查(使用MAC)。,SSL的两个重要概念是SSL会话和SSL连接。 连接 会话 会话状态由以下参数确定。 会话标志符(Session identifier): 对等实体证书(Peer certificate): 压缩方法(Compression method): 加密规格(Ciper spec): 主控密码(Master secret): 是否可以恢复(Is resumable):, 服务器和客户机随机(Server and client random): 服务器写MAC秘密(Server and MAC sercet): 客户机写

3、MAC秘密(Client write MAC secret): 服务器写密钥(Server write key): 客户机写密钥(Client write key): 初始化向量(Initialization vectors): 序列号(Sequence number):,2SSL记录协议 SSL记录协议为SSL连接提供了以下两种服务。 机密性 消息完整性,SSL记录协议包括了对记录头和记录数据格式的规定。 (1)SSL记录头格式 (2)SSL记录数据的格式 (3)SSL数据单元的形成过程 (4)MAC的计算过程 (5)消息加密过程 (6)生成报头,图8.13 SSL记录格式,3更改密码规格协

4、议,图8.14 SSL记录协议的有效载荷,4警告协议 警告协议用于对等实体之间传递SSL的相关警告。 5SSL握手协议 SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。握手协议是在任何应用程序的数据传输之前使用的。,表8.2 SSL握手协议的消息类型,握手协议分为两个阶段:第一个阶段用于建立私密性通信信道;第二个阶段用于客户认证。 (1)第一个阶段 (2)第二个阶段 (3)典型的协议消息流程,6相关技术 (1)加密算法和会话密钥 (2)认证算法 认证算法采用X.509电子证书标准,通过使用RSA算法进行数字

5、签名来实现。 服务器的认证 客户的认证,7SSL协议特点 SSL协议存在一些问题,比如SSL提供的保密连接有很大的漏洞。 另外,SSL对应用层不透明,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系,8.2.2 TLS协议 1协议概述 TLS协议主要由两层组成:TLS记录协议和TLS握手协议。 (1)专用的连接 (2)可靠的连接,TLS握手协议提供的安全连接主要有以下3个特点。 (1)使用对称密钥加密算法或公开密钥加密算法来鉴别对等实体的身份,鉴别的方式是可选的,但是必须至少有一方要鉴别另一方的身份。 (2)协商共享安全信息的方法是

6、安全的,协商的秘密不能够被窃听,而且即使攻击者能够接触连接的路径,也不能获得任何有关连接鉴别的秘密。 (3)协商是可靠的,没有攻击者能够在不被双方察觉的情况下修改通信信息。,2TLS协议的目标 根据优先级顺序排列,TLS协议实现的目标如下。 (1)数据安全 (2)互操作性 (3)可扩展性 (4)高效性,3TLS记录协议 TLS记录协议是一个可相对独立工作的协议,记录协议完成的工作包括信息的传输、数据的分段、可选择的数据压缩、提供信息鉴别码MAC和对信息进行加密等。 (1)TLS连接状态 (2)记录层 (3)密钥的计算 4TLS握手协议 (1)更改密码规格协议 (2)警报协议 (3)握手协议的工

7、作过程,图8.15 完整的握手协议信息流,图8.16 建立可恢复的新的会话连接,(4)应用数据协议 (5)TLS协议的安全分析 TLS协议的目的是在不安全的网络连接上实现客户和服务器的安全通信。 可以从以下几个方面来分析TLS的安全性。 认证和密钥交换 低版本攻击 对握手协议攻击的检测 会话的恢复 保护应用数据,8.3 应用协议的安全,网络层(传输层)的安全协议允许为主机(进程)之间的数据通道增加安全属性。但却不可能区分在同一通道上传输的一个个具体文件的安全性要求。如果确实想要区分一个个具体文件的不同的安全性要求,那就必须借助于应用层的安全性。,8.3.1 FTP的安全 1FTP简介 FTP使

8、用两个独立的TCP连接:一个是命令通道,在客户和服务器间传送命令和结果;另一个是数据通道,传送实际文件和目录列表。在服务器端,命令通道使用端口21,而数据通道通常使用端口20。客户使用大于1 023的端口供命令和数据通道使用。,图8.17 正常情况下的FTP连接,图8.17描述了这种FTP的连接过程。 客户机先向服务器打开命令通道,告诉服务器的第二个端口号。 服务器确认,并对客户机的第二个端口打开数据通道。 最后客户确认,正常的FTP连接过程结束。 FTP有两种连接模式:正常模式和PASV模式。正常模式要求服务器启动一个连接用于数据传输,这不利于控制入站服务;而PASV模式的两条连接都由客户启

9、动,这方便了对入站服务的控制。,图8.18 PASV模式下的FTP连接,2FTP服务的安全问题 (1)匿名FTP服务的问题 由于许多FTP服务器与Web服务器是同装在一台机器上的,所以匿名用户完全可以利用可写目录运行命令调用Web服务器执行。 (2)FTP代理服务器 通过FTP代理服务器对FTP服务器进行攻击,往往使得查找网络攻击源变得很困难。 (3)跳板(Bounce)攻击问题,3FTP的安全措施 在进行FTP传输时应当注意千万不要轻信通过FTP传来的任何软件。要确保匿名FTP服务器只能存取允许存取的信息,不允许外人存取本机的其他资料,如私人资料等。 下面的方法可以保护匿名FTP工作区不受攻

10、击者的干扰。 (1)确保入站路径只可写 (2)取消创建子路径和某些文件的权利 (3)文件及时转移,在处理文件传输协议时要注意以下问题。 最好是在有支持被动模式的FTP客户时,才允许内部主机与外部服务器联系。 如果没有支持被动模式的FTP客户,就用FTP代理服务器。 如果允许入站的FTP连接,设置包过滤规则使得只有进入某台特定主机(如堡垒主机)的连接才允许进入。, 不允许TFTP穿过防火墙,最好在服务器中去掉这个服务。 不允许FSP通过防火墙,尽量隔开所有TCP,但某些特殊服务除外,如DNS。 不允许NFS通过防火墙。,8.3.2 Telnet的安全 Telnet是一种因特网远程终端访问标准。它

11、真实地模仿远程终端,但是不具有图形功能,它仅提供基于字符应用的访问。Telnet允许为任何站点上地合法用户提供远程访问权,而不需要做特殊约定。 1Telnet简介 Telnet提供对一台主机简单地终端访问。这个协议包括处理各种终端设置,如原始模式与字符回显等。,2Telnet的安全问题 对于出站Telnet服务,一个本地客户进入到一个远程服务器,需要处理系统输出和输入数据包,输出数据包含有用户键入的内容,它具有以下几个特点。 数据包的IP源地址是Telnet客户机的地址。 数据包的IP目的地址是Telnet服务器的地址。 Telnet的数据包类型为TCP。 一般情况下,目标端口为23,但Tel

12、net服务器可以自己设置。 源端口为一个大于1 023的随机数。 第一个数据包没有设置ACK位,而其余的包将设置了ACK位。,而对于出站服务的输入数据包含有的显示到用户屏幕上的数据具有以下特点。 输入数据包的IP源地址是Telnet服务器的地址。 数据包的IP目的地址是Telnet客户机的地址。 Telnet的数据包类型为TCP。 一般情况下,源端口为23,但Telnet服务器可以自己设置。 目标端口为一大于1 023的随机数。 所有的输入数据包都设置ACK位。,入站Telnet服务是一个远程客户机和防火墙里面的Telnet服务器通信。入站的Telnet服务的输入数据包含有远程用户键入的内容,

13、具有以下特点。 输入数据包的IP源地址是Telnet客户机(远程主机)的地址。 数据包的IP目的地址是Telnet服务器(本地主机)的地址。 Telnet的数据包类型为TCP。 一般情况下,目标端口为23,但Telnet服务器可以自己设置。 源端口为一大于1 023的随机数。 第一个数据包没有设置ACK位,而其余的包将设置ACK位。,入站Telnet服务的输出数据包有以下特点。 输入数据包的IP源地址是Telnet服务器(本地主机)的地址。 数据包IP目的地址是Telnet客户机(远程主机)的地址。 Telnet的数据包类型为TCP。 一般情况下,目标端口为23,但Telnet服务器可以自己设

14、置。 源端口为一大于1 023的随机数。 第一个数据包没有设置ACK位,而其余的包将设置ACK位。,表8.3 Telnet数据包过滤表,表8.4 Telnet出站服务数据包过滤表,总之,Telnet是一个非常有用的工具,并且一般主机总都开启了Telnet服务。但Telnet本身存在很多的安全问题,主要表现在以下几个方面。 (1)传输明文。 (2)没有强力认证过程。 (3)没有完整性检查。 (4)传送的数据都没有加密。 只有替换在传输过程中使用明文的传统Telnet软件,使用SSL Telnet等一些Telnet的加密版本才能保证Telnet的安全。,8.3.3 S-HTTP,1协议简介 S-H

15、TTP(Secure Hyper Text Transfer Protocol)是保护Internet上所传输的敏感信息的安全协议。 2S-HTTP与SSL的比较 SSL加密整个通信信道,而S-HTTP则分别加密每条消息。S-HTTP允许用户在每条消息上产生数字签名,而不只是认证协议作用期间的特定消息,SSL则缺乏此功能。,8.3.4 电子商务的安全协议 目前有两种安全在线支付协议被广泛采用,即安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。,图8.19 SSL和SET在TCP/IP通信结构中的区别,1SET协议概述,2SET协议的特点 (1)信息的保密性 (2)数据的完整性 (3)对持卡者账号的认证 (4)对商家的认证,3SET的交易过程 SET交易分3个阶段进行:购买请求阶段、支付授权和支付捕获阶段。 4SET协议的加密体制 SET协议采用了对称密钥算法和非对称密钥算法相结合的加密体制 。,5SET与SSL协议相比较 事实上,SET协议和SSL协议除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。SET协议比SSL协议复杂。,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号