《信息技术--赵泽茂--第九章.ppt》由会员分享,可在线阅读,更多相关《信息技术--赵泽茂--第九章.ppt(90页珍藏版)》请在金锄头文库上搜索。
1、第9章 网络安全协议 9.1 TCT/IP协议簇 9.2 网络安全协议 9.3 SSL协议 9.4 IPSec协议 小结 习题 第9章 网络安全协议 TCP/IP协议簇是因特网的基础协议,不能简单说成是 TCP协议和IP协议的和,它是一组协议的集合,包括传输层 的TCP协议和UDP协议等,网络层的IP协议、ICMP协议和 IGMP协议等以及数据链路层和应用层的若干协议。 9.1 TCP/IP协议簇 第9章 网络安全协议 9.1.1 TCP/IP协议簇的基本组成 OSI参考模型是指用分层的思想把计算机之间的通信划 分为具有层间关系的七个协议层,要完成一次通信,需要在 七个相对独立的协议层上完成各
2、自进程才能实现,但TCP/IP 参考模型却只用了四层,如图9-1-1所示。TCP/IP协议是20世 纪70年代中期,美国国防部为其ARPANET开发的网络体系 结构和协议标准。以TCP/IP为基础建立的因特网是目前国 际上规模最大的计算机网络。 第9章 网络安全协议 图 9-1-1 TCP/IP协议簇的体系结构 第9章 网络安全协议 1. 应用层协议 应用层协议包括HTTP(超文本传输协议)、FTP(文件传输 协议)、SMTP(简单邮件传输协议)等。应用层协议面向用户 处理特定的应用,提供最基本的网络资源服务。常用的网 络应用程序运行在应用层上,直接面向用户。 2. 传输层协议 传输层协议主要
3、包括TCP(传输控制协议)和UDP(用户数 据报协议)。传输层协议的主要功能是完成在不同主机上的用 户进程之间的数据通信。TCP协议实现面向连接的、可靠的 数据通信,而UDP 协议负责处理面向无连接的数据通信。 第9章 网络安全协议 3. 网络层协议 网络层协议包括IP(网际协议)、ICMP(互联网控制消息协 议)和IGMP(互联网组管理协议)等。 IP协议的主要功能包括寻址、路由选择、分段和重新组 装。 ICMP协议用于在IP主机、路由器之间传递控制消息。控 制消息是指网络通不通、主机是否可达、路由是否可用等网 络本身的消息。这些控制消息虽然并不传输用户数据,但是 对于用户数据的传递起着重要
4、的作用。 第9章 网络安全协议 IGMP协议运行于主机和与主机直接相连的组播路由器 之间,是IP主机用来报告多址广播组成员身份的协议。通过 IGMP协议,一方面主机可以通知本地路由器希望加入并接 收某个特定组播放的信息; 另一方面,路由器通过IGMP协议 周期性地查询局域网内某个已知组的成员是否处于活动状态 。 网络层的主要功能是完成IP报文的传输,是无连接的 、不可靠的。值得一提的是,ARP(地址解析协议)、RARP( 反向地址解析协议)负责实现IP地址与硬件地址的转换,是工 作在网络层和网络接口层之间的协议,是TCP/IP协议的组成 部分。 第9章 网络安全协议 4. 网络接口层协议 网络
5、接口层也称为数据链路层,又称为“网络访问层”, 是TCP/IP协议的最底层,它负责向网络媒介(如光纤、双绞线 )发送IP数据包,并把它们发送到指定的网络上,且从网络媒 介接收物理帧,抽出网络层数据包,交给网络层。网络接口 层协议包括标准以太网协议、令牌环协议、串行线路网际协 议(SLIP)、光纤分布式数据接口(FDDI)、异步传输模式 (ATM)和点对点协议(PPP)等。 第9章 网络安全协议 9.1.2 TCP/IP协议的封装 在基于TCP/IP协议的网络中,各种应用层的数据都被封 装在IP数据包中在网络上进行传输。其数据封装过程如图9-1 -2所示。 基于TCP/IP协议的所有应用层的数据
6、(如HTTP、FTP、 EMAIL、DNS等)在传输层都是通过TCP(或UDP)数据包的格 式进行封装的(见图9-1-3)。 第9章 网络安全协议 图 9-1-2 TCP/IP协议的封装过程结构 第9章 网络安全协议 图 9-1-3 TCP数据包的封装格式 第9章 网络安全协议 TCP协议的头结构是固定的,各字段信息如下: (1) 源端口: 指数据流的流出端口,取值范围是065 535 。 (2) 目的端口: 指数据流的流入端口,取值范围是065 535。 (3) 序列号: 指出“IP数据报”在发送端数据流中的位置(依 次递增)。 (4) 确认序列号: 指出本机希望下一个接收的字节的序号 。T
7、CP采用捎带技术,在发送数据时捎带进行对对方数据的 确认。 (5) 头长度: 指出以32 bit为单位的段头标长度。 (6) 码位: 指出该IP包的目的与内容,如表9-1-1所示。 第9章 网络安全协议 表9-1-1 码位中各位的含义 第9章 网络安全协议 (7) 窗口(滑动窗口): 用于通告接收端接收数据的缓冲区 的大小。 (8) 校验和: 不仅对头数据进行校验,还对封包内容进行 校验。 (9) 紧急指针: 当URG为1时有效。TCP的紧急方式是发送 紧急数据的一种方式。 在基于TCP/IP协议的所有应用层的数据通过传输层的封 装后,送给网络层,在网络层是通过IP数据包的格式进行传 输,最终
8、通过网络接口设备将数据通过各种物理网络进行传 输。IP数据包的结构是固定的,如图9-1-4所示。 第9章 网络安全协议 图 9-1-4 IP数据包的封装格式 第9章 网络安全协议 IP数据包各字段的信息如下: (1) 版本: 版本标识所使用的头“格式”,通常为4或6 (2) 头标长: 说明报头的长度,以4字节为单位。 (3) 服务类型: 主要用于QoS服务,如延时、优先级等。 (4) 总长: 表示整个IP数据包的长度,它等于IP头的长度 加上数据段的长度。 (5) 标识: 一个报文的所有分片标识相同,目标主机根据 主机的标识字段来确定新到的分组属于哪一个数据报。 第9章 网络安全协议 (6)
9、标志: 该字段指示“IP数据报”是否分片,是否是最后 一个分片。 (7) 片偏移: 说明该分片在“IP数据报”中的位置,用于目 标主机重建整个新的“数据报分组”,以8字节为单位。 (8) 生存时间: 表示IP包在网络的存活时间(跳数),缺省值为64。 (9) 协议类型: 该字段用来说明此IP包中的数据类型,如1 表示ICMP数据包,2表示IGMP数据,6表示TCP数据,17表 示UDP数据包。 (10) 头标校验和: 该字段用于校验IP包的头信息,防止数 据传输时发生错误。 (11) IP选项: IP选项由3部分组成,即选项(选项类别、选 项代号)、长度和选项 数据。 第9章 网络安全协议 9
10、.1.3 TCP连接的建立与关闭过程 基于TCP/IP协议的连接,通常采用客户端/服务器模式。 客户端与服务器之间的面向连接的访问是基于TCP的“三次握 手协议”。在这个协议中,主动连接方(通常是客户端)先发送 一个SYN信息请求连接,然后等待被连接方(通常是服务器) 的应答信息,主动连接方收到应答信息后再发送一个确认信 息,这样才正式建立连接,以后就可以传输数据了。 数据传输完毕,需要断开连接时,其中任何一方发送 一个FIN消息,接收方发送一个ACK并且回送一个FIN消息, 发送方回送一个应答消息后,TCP的连接就彻底断开了。 TCP的建立与关闭过程如图9-1-5所示。 第9章 网络安全协议
11、 图 9-1-5 TCP的建立与关闭过程 第9章 网络安全协议 9.1.4 TCP/IP协议簇的安全问题 随着Internet的发展,TCP/IP协议得到了广泛的应用, 几乎所有的网络均采用了TCP/IP协议。由于TCP/IP协议在最 初设计时是基于一种可信环境的,没有考虑安全性问题,因 此它自身存在许多固有的安全缺陷,例如: (1) 对IP协议,其IP地址可以通过软件进行设置,这样会 造成地址假冒和地址欺骗两类安全隐患。 (2) IP协议支持源路由方式,即源发方可以指定信息包传 送到目的节点的中间路由,为源路由攻击埋下了隐患。 (3) 在TCP/IP协议的实现中也存在着一些安全缺陷和漏 洞,
12、如序列号产生容易被猜测、参数不检查而导致的缓冲区 溢出等。 第9章 网络安全协议 (4) 在TCP/IP协议簇中的各种应用层协议(如Telnet、FTP 、SMTP等)缺乏认证和保密措施,这就为欺骗、否认、拒绝 、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏 洞 的攻击形式多样。如2000年2月的coolio攻击,致使美国无数 网站瘫痪(这是一个典型的DDoS攻击,网络上的许多个人用 户毫无知觉地成为了攻击行为的“帮凶”); 又如2002年3 月底,黑客冒用eBay帐户事件,美国华盛顿著名艺术家 Gloria Geary在eBay拍卖网站的帐户被黑客用来拍卖 Intel Pentium芯
13、片,由于黑客已经更改了帐户密码,使得真正的帐 户主人Gloria Geary在察觉后,反而无法进入自己的帐户,更 无法紧急删除这起造假拍卖事件。 第9章 网络安全协议 为了解决TCP/IP协议簇的安全性问题,弥补TCP/IP协议 簇在设计之初对安全功能的考虑不足,以Internet工程任务组 (IETF)为代表的相关组织不断通过对现有协议的改进和设计 新的安全通信协议,对现有的TCP/IP协议簇提供相关的安全 保证,在协议的不同层次设计了相应的安全通信协议,从而 形成了由各层安全通信协议构成的TCP/IP协议簇的安全架 构,具体参看图9-2-1。 9.2 网络安全协议 第9章 网络安全协议 图
14、 9-2-1 TCP/IP协议簇的安全架构 第9章 网络安全协议 各个安全协议的具体含义描述如下。 1. 应用层的安全协议 (1) S-HTTP(Secure HTTP): 为保证Web的安全,由IETF 开发的协议,该协议利用MIME,基于文本进行加密、报文 认证和密钥分发等。 (2) SSH(Secure Shell): 对BSD系列的UNIX的r系列命令加 密而采用的安全技术。 (3) SSL-Telnet、SSL-SMTP、SSL-POP3: 以SSL协议分别 对Telnet、SMTP、POP3等应用进行的加密。 第9章 网络安全协议 (4) PET(Privacy Enhanced
15、Telnet): 使Telnet具有加密功能 ,在远程登录时对连接本身进行加密的方式(由富士通和 WIDE开发)。 (5) PEM(Privacy Enhanced Mail): 由IEEE标准化的具有 加密签名功能的邮件系统。 (6) S/MIME(Secure/Multipurpose Internet Mail Extensions): 安全的多用途Internet邮件扩充协议。 (7) PGP(Pretty Good Privacy): 具有加密及签名功能的 电子邮件协议(RFC1991)。 第9章 网络安全协议 2. 传输层的安全协议 (1) SSL(Secure Socket Layer): 基于WWW服务器和浏览 器之间的具有加密、报文认证、签名验证和密钥分配的加密 协议。 (2) TLS(Transport Layer Security,IEEE标准): 将SSL 通用化的协议(RFC2246)。 (3) SOCKS v5: 此协议是防火墙和VPN用的数据加密和 认证协议,见IEEE RFC1928(以NEC开发为主)。 第9章 网络安全协议 3. 网络层的安全协议 IPSec(Internet Protocol Security
