收藏
下载资源

信息与网络安全概论(第三版)CHD11_网络通信协议安全(TCPIP_Security)

上传人:xmg****18 文档编号:115915580 上传时间:2019-11-15 格式:PPT 页数:43 大小:1.47MB
返回 下载 相关 举报
信息与网络安全概论(第三版)CHD11_网络通信协议安全(TCPIP_Security)_第1页
第1页 / 共43页
信息与网络安全概论(第三版)CHD11_网络通信协议安全(TCPIP_Security)_第2页
第2页 / 共43页
信息与网络安全概论(第三版)CHD11_网络通信协议安全(TCPIP_Security)_第3页
第3页 / 共43页
信息与网络安全概论(第三版)CHD11_网络通信协议安全(TCPIP_Security)_第4页
第4页 / 共43页
信息与网络安全概论(第三版)CHD11_网络通信协议安全(TCPIP_Security)_第5页
第5页 / 共43页
点击查看更多>>
资源描述

《信息与网络安全概论(第三版)CHD11_网络通信协议安全(TCPIP_Security)》由会员分享,可在线阅读,更多相关《信息与网络安全概论(第三版)CHD11_网络通信协议安全(TCPIP_Security)(43页珍藏版)》请在金锄头文库上搜索。

1、信息与网络安全概论(第三版) 1 本章內容 11.1 TCP/IP网络协议 11.2 应用层的网络安全通信协议 11.3 传输层的网络安全通信协议 11.4 网络层的网络安全通信协议 11.5 拒绝服务攻击 信息与网络安全概论(第三版) 2 11.1 TCP/IP网络协议 TCP/IP网络协议是1970年由美国国防部在发展 分封交换网络(ARPANET)时所提出的 ,是一 钟网络通信协议。 目前已成为一项国际标准协议。 TCP/IP由一些协议组成,负责两主机间的连接 与数据交换 。 分为4层 (Layer),每一层都通过呼叫它的下一 层所提供的服务来完成自己的需求。 信息与网络安全概论(第三版

2、) 3 TCP/IP 网络协议的4个层 SMTP TELNET FTP DNS SNMP TCP UDP IP ICMP 网络界面:驱动程序(Drivers) 网络硬件:Ethernet、Token Ring等 应用层(Application) 传输层(Transport) 网络层(Internet) 数据链路层(Interface) 信息与网络安全概论(第三版) 4 OSI网络协议 与TCP/IP网络协议 信息与网络安全概论(第三版) 5 11.1.1 应用层 lTCP/IP协议的最上层(第4层),对应于OSI的会话 层(Session Layer)、表示层(Presentation Lay

3、er)及应 用层 。 l主要是提供应用程序的数据传输接口 。 l根据这些网络协议,可以在应用层上开发与网络 通信相关的应用程序,好让用户利用这些应用程 序进行数据传输 。 l在应用层中,相关应用程序有简单邮件传输协议 (SMTP)、文件传输协议(FTP)与超文本传输协议 (HTTP)等。 信息与网络安全概论(第三版) 6 11.1.2 传输层 由传输控制协议 (Transmission Control Protocol, TCP)与用 户数据报协议 (User Datagram Protocol, UDP)组成 。 提供主机间的数据分割与发送服务,並确定数据已被送达 与接受。 TCP:支持错误

4、相应与封包(Packet)重組的能力,提供两主 机之间可信赖的传输,接收端收到每一封包都会返回确认 。 UDP:属于非面向连接(Connectionless Oriented)的传输协 议 ,缺乏相关的侦错与确认机制,数据传递的可靠度较差 。优点是传送数据时速度较快,适合大量的数据传递情况 。 信息与网络安全概论(第三版) 7 11.1.3 网络层 是TCP/IP协议的第2层,对应于OSI的网络层 。 由Internet协议 (Internet Protocol, IP)与Internet控 制消息协议 (Internet Control Message Protocol, ICMP)组成。

5、主要是将传输层 所接收的封包转换成封包实 际的传输接口 。 信息与网络安全概论(第三版) 8 (1)IP (Internet Protocol) 定义数据单元的格式。 定义网络寻址方式(IP Address)。 决定数据封包在网络上的传递路径。 (2) ICMP (Internet Control Message Protocol) 网络状况监视工具 。 (3) ARP (Address Resolution Protocol) 通过网络上的IP地址来查出其网卡的实体位 置MAC(Media Access Control)地址 。 网络层通信协议 信息与网络安全概论(第三版) 9 (4)RAR

6、P (Reverse Address Resolution Protocol) 协助发送端找到本身的IP地址。 網路層的通訊協定(續) 信息与网络安全概论(第三版) 10 11.1.4 数据链路层 数据链路层也称网络接口层(Network Interface Layer) 。 负责提供计算机系统与网卡的驱动程序,以定 义如何在此网络连线架构下传送数据 。 信息与网络安全概论(第三版) 11 11.1.5 封包的传递与拆装 封包传递与拆装的流程 信息与网络安全概论(第三版) 12 Ethernet数据格式 l发送端地址 (Source Address) l接收端地址 (Destination A

7、ddress) l类型 (Type Code) l检查码 (Checksum Code) 信息与网络安全概论(第三版) 13 11.2 应用层的网络安全通信协议 lSMTP :简单邮件传输协议 lTELNET : 远程登录协议 lFTP : 文件传输协议 lDNS : 域名服务器 lSNMP :简单网络管理协议 信息与网络安全概论(第三版) 14 11.2.1 PGP安全电子邮件系统 PGP由Philip Zimmermann撰写,并于1991年完成第 一版 。 PGP可以提供电子邮件机密性、完整性和验证性服 务。 信息与网络安全概论(第三版) 15 PGP信息的传送和接收过程 信息与网络安全

8、概论(第三版) 16 电子邮件系统所使用的符号及代表的意义 KS对称式加密算法的会话密钥(Session Key) SKA PKA 用户A的秘密密钥 用户A的公开密钥 EP DP 公开密钥加密算法 公开密钥解密算法 EC DC 对称式加密算法 对称式解密算法 H | Z 哈希函数 联结 压缩算法 信息与网络安全概论(第三版) 17 11.2.2 PGP协议的数字签名机制 PGP的数字签名过程 信息与网络安全概论(第三版) 18 11.2.3 PGP协议的信息加密机制 PGP的信息加密过程 信息与网络安全概论(第三版) 19 11.2.4 PGP协议的邮件传递流程 PGP产生电子邮件的过程 信息

9、与网络安全概论(第三版) 20接收方收到PGP电子邮件后的处理流程 11.2.4 PGP协议的邮件传递流程(续) 信息与网络安全概论(第三版) 21 11.3.1 SSL安全传输协议 SSL(Secure Socket Layer)是由Netscape公司在 1995年所发表的网络安全协议,其主要功能是建 立起浏览器与Web服务器之间数据传递的安全通 道 。 SSL通过加密技术来保障交易数据的安全,当客 户端传送数据时,便启动SSL加密机制 。 开头是“https:/”,就表示是具有SSL保护的网页 。 信息与网络安全概论(第三版) 22 l SSL所提供的安全服务主要有以下几项 : (1)

10、提供数据传送的机密性 (Confidentiality) 。 (2) 提供数据传送的完整性 (Integrity) 。 (3) 提供用户与顾客间的身份验证机制 (Authenticity)。 11.3.1 SSL安全传输协议(续) 信息与网络安全概论(第三版) 23 11.3.1 SSL安全传输协议(续) SSL协议主要分为两部分: SSL记录协议(SSL Record Protocol) SSL记录协议提供数据保密性及完整性两种服务。 SSL握手协议(SSL Handshake Protocol) SSL握手协议则提供用户与服务器间的身份验证机制 。 信息与网络安全概论(第三版) 24 SS

11、L记录协议的运作过程 信息与网络安全概论(第三版) 25 SSL握手协议的运作过程 信息与网络安全概论(第三版) 26 11.3.2 TLS传输层安全协议 lIETF(Internet Engineering Task Force)组织在1999年发表了 传输层安全(Transport Layer Security,TLS)协议 。 l TLS主要是以SSL第三版本为基础,其内容仅信息格式及 部分加密套件与SSL略有不同 。 lTLS大部分的记录格式与SSL相同,只是版本编号的部分有 些出入 。 l SSL与TLS在加密套件与信息验证码的选择上也有些不同 ,此外,此外,TLS与SSL在Rand

12、om的产生方式及信息验 证码也稍微有些出入,但其基本思想都是一致的 。 信息与网络安全概论(第三版) 27 11.4.1 IPSec l网络层目前多半使用IP作为数据传输的协议, 但仍有许多安全上的漏洞。于是,IETF便积极 制订一套网络层的安全通信协议,称为IPSec协 议(IP Secure),以确保IP层级的通信安全 。 lPSec主要提供以下3种安全服务 : (1)确认性 (Authentication) (2)机密性 (Confidentiality) (3)密钥管理 (Key Management) 信息与网络安全概论(第三版) 28 IPSec主要包括两种协议 : E 确认性应用

13、报头协议 (Authentication Header, AH) n确保来源认证性及数据完整性 。 E数据封装安全负载协议 (Encapsulating Security Payload, ESP) n提供数据的机密性。 11.4.1 IPSec(续) 信息与网络安全概论(第三版) 29 11.4.2 IPSec的确认性应用报头协议 确认性应用报头的格式内容 信息与网络安全概论(第三版) 30 11.4.3 IPSec的安全数据封装协议 安全数据封装协议的格式内容 信息与网络安全概论(第三版) 31 11.4.4 IPSec的密钥管理机制 l密钥管理服务的主要目的是帮助用户安全地协 议出所需要

14、的秘密密钥。 lIPSec 提供了手动(Manual)与自动(Automated)两 种密钥管理方式 。 信息与网络安全概论(第三版) 32 l手动密钥管理 : -系统管理者以人工的方式用自己的密钥与其他系 统的密钥来设定所需要的安全协议 。 -适用于小型且通信对象固定的环境 。 l自动密钥管理 : -安全协议的设定工作由系统自动来执行 。 -适用于大型且通信对象经常变动的环境 。 -采用的是改良的Diffie-Hellman算法 。 11.4.4 IPSec的密钥管理机制(续 ) 信息与网络安全概论(第三版) 33 l容易遭受“堵塞(Clogging)”的网络攻击 - 可利用cookies來

15、协助预防“堵塞”网络攻击 l容易遭受“藏镜人”的网络攻击 -要预防“藏镜人”的网络攻击,就需要在每次 信息交换时都要附加上验证对方的信息,以确 认对方的身份 。 Diffie-Hellman算法的缺点 信息与网络安全概论(第三版) 34 如何预防堵塞的网络攻击 ? 可以利用Cookies来协助。Cookies可视为一个64位的 随机数值 1. A先产生其Cookies(CA),并传送给B 。 2. B也产生其Cookies(CB),将CB连同CA一起传送给用户A 。 3. A收到之后便将公开密钥YA连同CA及CB一起传送给B 。 4. 同样,B也将其公开密钥YB连同CA及CB一起传送给A 。

16、5. A与B收到对方的公开密钥后,先验证所收到的CA及CB是否 与记录上的相同。 6. 若相同,则执行所对应的指数运算;若不同,则拒绝处理该 信息 。 信息与网络安全概论(第三版) 35 11.5 拒绝服务攻击 l拒绝服务攻击(Denial of Service Attack,DoS攻击) 是目前TCP/IP协议上常见的攻击方式 。 l其攻击方式是试图让系统的工作超过其负荷而导 致系统瘫痪 。 信息与网络安全概论(第三版) 36 DoS的攻击方式大致可以分为以下几种 : (1)死亡侦测攻击(Ping of death) (2)分割重组攻击(Teardrop) (3)来源地址欺骗攻击(Land) (4)请求泛滥攻击(SYN Flooding) (5)回复泛滥攻击(Smurf Flooding) (6)分布式攻击(Distributed) 11.5 拒绝服务攻击(续) 信息与网络安全概论(第三版) 37

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号