第九讲网络安全协议(修订)

第9讲网络安全协议9.1TCT/IP协议簇9.2网络安全协议9.3SSL协议9.4IPSec协议主要内容9.1TCP/IP协议簇•TCP/IP协议簇是因特网的基础协议，是一组协议的集合，包括传输层的TCP协议和UDP协议等，网络层的IP协议、ICMP协议和IGMP协议等以及数据链路层和应用层的若干协议。TCP/IP协议簇的体系结构应用层和传输层•HTTP(超文本传输协议)、FTP(文件传输协议)、SMTP(简单邮件传输协议)等。•TCP(传输控制协议)和UDP(用户数据报协议)。传输层协议的主要功能是完成在不同主机上的用户进程之间的数据通信。TCP协议实现面向连接的、可靠的数据通信，而UDP协议负责处理面向无连接的数据通信。网络层协议•包括IP(网际协议)、ICMP(互联网控制消息协议)和IGMP(互联网组管理协议)等。•网络层的主要功能是完成IP报文的传输，是无连接的、不可靠的。IP协议•IP协议的主要功能包括寻址、路由选择、分段和重新组装。ICMP协议•ICMP协议用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。IGMP•IGMP协议运行于主机和与主机直接相连的组播路由器之间，是IP主机用来报告多址广播组成员身份的协议。•通过IGMP协议，一方面主机可以通知本地路由器希望加入并接收某个特定组播放的信息;•另一方面，路由器通过IGMP协议周期性地查询局域网内某个已知组的成员是否处于ARP与RARP•ARP(地址解析协议)、RARP(反向地址解析协议)负责实现IP地址与硬件地址的转换，工作在网络层和网络接口层之间。网络接口层•即数据链路层，或“网络访问层”，负责向网络媒介(如光纤、双绞线)发送IP数据包，从网络媒介接收物理帧，抽出网络层数据包，交给网络层。•包括标准以太网协议、令牌环协议、串行线路网际协议(SLIP)、光纤分布式数据接口(FDDI)、异步传输模式(ATM)和点对点协议(PPP)等。TCP/IP协议的封装过程结构TCP数据包的封装格式TCP协议的头结构•(1)源端口:指数据流的流出端口，取值范围是0～65535•(2)目的端口:指数据流的流入端口，取值范围是0～65535•(3)序列号:指出“IP数据报”在发送端数据流中的位置(依次递增)。•(4)确认序列号:指出本机希望下一个接收的字节的序号。TCP采用捎带技术，在发送数据时捎带进行对对方数据的确认。•(5)头长度:指出以32bit为单位的段头标长度。•(6)码位:指出该IP包的目的与内容。码位中各位的含义TCP协议的头结构•(7)窗口(滑动窗口):用于通告接收端接收数据的缓冲区的大小。•(8)校验和:不仅对头数据进行校验，还对封包内容进行校验。•(9)紧急指针:当URG为1时有效。TCP的紧急方式是发送紧急数据的一种方式。IP数据包的封装格式IP数据包各字段的信息•(1)版本:版本标识所使用的头“格式”，通常为4或6•(2)头标长:说明报头的长度，以4字节为单位。•(3)服务类型:主要用于QoS服务，如延时、优先级等。•(4)总长:表示整个IP数据包的长度，它等于IP头•(5)标识:一个报文的所有分片标识相同，目标主机根据主机的标识字段来确定新到的分组属于哪一个数据报。IP数据包各字段的信息•(6)标志:该字段指示“IP数据报”是否分片，是否是最后一个分片。•(7)片偏移:说明该分片在“IP数据报”中的位置，用于目标主机重建整个新的“数据报分组”，以8字节为单位。•(8)生存时间:表示IP包在网络的存活时间(跳数)，缺省值为64。•(9)协议类型:该字段用来说明此IP包中的数据类型，如1表示ICMP数据包，2表示IGMP数据，6表示TCP数据，17表示UDP数据包。•(10)头标校验和:该字段用于校验IP包的头信息，防止数据传输时发生错误。•(11)IP选项:IP选项由3部分组成，即选项(选项类别、选项代号)、长度和选项数据。TCP的建立与关闭过程9.1.4TCP/IP协议簇的安全问题•由于TCP/IP协议在最初设计时是基于一种可信环境的，没有考虑安全性问题，因此它自身存在许多固•(1)对IP协议，其IP地址可以通过软件进行设置，这•(2)IP协议支持源路由方式，即源发方可以指定信息包传送到目的节点的中间路由，为源路由攻击埋•(3)在TCP/IP协议的实现中也存在着一些安全缺陷和漏洞，如序列号产生容易被猜测、参数不检查而导致的缓冲区溢出等。9.1.4TCP/IP协议簇的安全问题•(4)在TCP/IP协议簇中的各种应用层协议(如Telnet、FTP、SMTP等)缺乏认证和保密措施，这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门，使得基于这些缺陷和漏洞的攻击形式多样。9.2网络安全协议•为了解决TCP/IP协议簇的安全性问题，弥补TCP/IP协议簇在设计之初对安全功能的考虑不足，以Internet工程任务组(IETF)为代表的相关组织不断通过对现有协议的改进和设计新的安全通信协议，对现有的TCP/IP协议簇提供相关的安全保证，在协议的不同层次设计了相应的安全通信协议，从而形成了由各层安全通信协议构成的TCP/IP协议簇的安全架构。TCP/IP协议簇的安全架构1.应用层的安全协议•(1)S-HTTP(SecureHTTP):为保证Web的安全，由IETF开发的协议，该协议利用MIME，基于文本进行加密、报文认证和密钥分发等。•(2)SSH(SecureShell):对BSD系列的UNIX的r系列命令加密而采用的安全技术。•(3)SSL-Telnet、SSL-SMTP、SSL-POP3:以SSL协议分别对Telnet、SMTP、POP3等应用进行的加密。1.应用层的安全协议•(4)PET(PrivacyEnhancedTelnet):使Telnet具有加密功能，在远程登录时对连接本身进行加密的方式(由富士通和WIDE开发)(5)PEM(PrivacyEnhancedMail):由IEEE标准化(6)S/MIME(Secure/MultipurposeInternetMailExtensions):安全的多用途Internet邮件扩充协议。(7)PGP(PrettyGoodPrivacy):具有加密及签名功能的电子邮件协议(RFC1991)。•(1)SSL(SecureSocketLayer):基于服务器和浏览器之间的具有加密、报文认证、签名验证和密钥分配的加密协议。•(2)TLS(TransportLayerSecurity，IEEE标准):将SSL通用化的协议(RFC2246)。•(3)SOCKSv5:此协议是防火墙和VPN用的数据加密和认证协议，见IEEERFC1928(以NEC开发为主)。2.传输层的安全协议3.网络层的安全协议•IPSec(InternetProtocolSecurity，IEEE标准):为通信双方提供机密性和完整性服务。4.网络接口层的安全协议•(1)PPTP(PointtoPointTunnelingProtocol)：点到点隧道协议。•(2)L2F(Layer2Forwarding):第二层转发协议。•(3)L2TP(Layer2TunnelingProtocol):综合了PPTP和L2F的协议，称为第二层隧道9.2.1应用层的安全协议•应用层的安全协议针对不同的应用安全需求，设计不同的安全机制。常见的协议主要有S-HTTP和PGP。1.S-HTTPS-HTTP(SecureHyperTextTransferProtocol)是安全超文本转换协议的简称，它是一种结合HTTP而设计的面向消息的安全通信协议。S-HTTP为HTTP客户端和服务器提供了多种安全机制，为中广泛存在的潜在的终端用户提供适当的安全服务选项。S-HTTP•S-HTTP的设计是以与HTTP信息样板共存并易于与HTTP应用程序相整合为出发点的。•S-HTTP对消息的保护可以从3个独立的方面来进行:签名、认证和加密。任何消息可以被签名、认证、加密或者三者中的任意组合。•S-HTTP定义了客户端和服务器之间的两种加密消息格式标准:CMS(CryptographicMessageSyntax)和MOSS(MIMEObjectSecurityServices)。PGP•PGP(PrettyGoodPrivacy)是把RSA公钥体系和传统加密(IDEA)体系结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计。•PGP提供了一种安全的通信方式，它可以对邮件进行保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件有没有被篡改。•PGP采用了一种杂合算法，把RSA和IDEA算法都应用其中，用于电子邮件的压缩和计算明文的摘要值等。9.2.2传输层的安全协议•传输层的安全协议有SSL、TLS、SOCKSv5Netscape公司开发的SSL(SecureSocketLayer)协议是安全套接层协议，是一种安全通信协议。•SSL是为客户端/服务器之间的HTTP协议提供加密的安全协议，作为标准被集成在浏览器上。SSL位于传输层与应用层之间，并非是Web专用的安全协议，也能为Telnet、SMTP、FTP等其他协议所应用，但SSL只能用于TCP，不能用于UDP。•TLS是SSL通用化的加密协议，由IETF标准化。SOCKSv4•为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议的客户端/服务器应用提供的协议。•SOCKSv5扩展了SOCKSv4以使其支持UDP，扩展了框架以包含一般的强安全认证方案，扩展了寻址方案以包括域名和IPv6地址，此协议在传输层及应用层之间进行操作。9.2.3网络层的安全协议•IPSec协议是在网络层上实现的具有加密、认证功能的安全协议，由IETF标准化，它既适合于IPv4，也适合于IPv6。•IPSec协议能够为所有基于TCP/IP协议的应用提供安全服务。9.2.4网络接口层的安全协议•主要有PPTP、L2F、L2TP等。•PPTPPPTP(点到点隧道协议)是由微软、朗讯和3COM等公司推出的协议标准，是集成在WindowsNT4.0、Windows98等系统上的点对点的安全协议•使用扩展的GRE(GenericRoutingEncapsulation，通用路由封装)协议封装PPP分组，通过在IP网上建立的隧道来透明传送PPP帧。•PPTP在逻辑上延伸了PPP会话，从而形成了虚拟的远程拨号。PPTP•是目前较为流行的第二层隧道协议，它可以建立PC到LAN的VPN连接，满足了日益增多的内部职员异地办公的需要。•PPTP提供给PPTP客户机和PPTP服务器之间的加密通信功能主要是通过PPP协议来实现的，因此PPTP并不为认证和加密指定专用算法，而是提供了一个协商算法时所用的框架。•这个协商框架并不是PPTP专用的，而是建立在现有的PPP协商可选项、挑战握手认证协议(CHAP)以及其他一些PPP的增强和扩展协议基础上的。L2F和L2TP•L2F是第二层转发协议，是由CiscoSystems建议的标准。它在RFC2341中定义，是基于ISP的、为远程接入服务器RAS提供VPN功能的协议。它是1998年标准化的远程访问VPN的协议。•L2TP1996年6月，Microsoft和CISCO向IETFPPP扩展工作组(PPPEXT)提交了一个MS-PPTP和CiscoL2F协议的联合版本，该提议被命名为第二层隧道协议(L2TP)。L2TP是综合了PPTP和L2F等协议的另一个基于数据链路层的隧道协议，它继承了L2F的格式和PPTP中的最出色的部分。PPTP和L2TP•L2TP和PPTP主要的区别:PPTP只能在IP网络上传输，而L2TP实现了PPP帧在IP、X.25、帧中继及ATM等多种网络上的传输;•L2TP提供了较为完善的身份认证机制，而PPTP的身份