信息与网络安全概论(第三版)CHD11 网络通信协议安全

网络通信协议安全(TCP/IPSecurity)信息与网络安全概论(第三版)2本章內容11.1TCP/IP网络协议11.2应用层的网络安全通信协议11.3传输层的网络安全通信协议11.4网络层的网络安全通信协议11.5拒绝服务攻击信息与网络安全概论(第三版)311.1TCP/IP网络协议•TCP/IP网络协议是1970年由美国国防部在发展分封交换网络(ARPANET)时所提出的，是一钟网络通信协议。•目前已成为一项国际标准协议。•TCP/IP由一些协议组成，负责两主机间的连接与数据交换。•分为4层(Layer)，每一层都通过呼叫它的下一层所提供的服务来完成自己的需求。信息与网络安全概论(第三版)4TCP/IP网络协议的4个层SMTPTELNETFTPDNSSNMPTCPUDPIPICMP网络界面：驱动程序(Drivers)网络硬件：Ethernet、TokenRing等应用层(Application)传输层(Transport)网络层(Internet)数据链路层(Interface)信息与网络安全概论(第三版)5OSI网络协议与TCP/IP网络协议应用层ApplicationLayer表示层PresentationLayer会议层SessionLayer传输层TransportLayer网络层NetworkLayer数据链路层DataLinkLayer物理层PhysicalLayer应用层ApplicationLayer传输层TransportLayer网络层NetworkLayer数据链路层DataLinkLayerOSI网络协议TCP/IP网络协议SMTPFTPHTTPTelnetTCPUDPIP,ICMPARP,PARP网络驱动程序信息与网络安全概论(第三版)611.1.1应用层TCP/IP协议的最上层(第4层)，对应于OSI的会话层(SessionLayer)、表示层(PresentationLayer)及应用层。主要是提供应用程序的数据传输接口。根据这些网络协议，可以在应用层上开发与网络通信相关的应用程序，好让用户利用这些应用程序进行数据传输。在应用层中，相关应用程序有简单邮件传输协议(SMTP)、文件传输协议(FTP)与超文本传输协议(HTTP)等。信息与网络安全概论(第三版)711.1.2传输层•由传输控制协议(TransmissionControlProtocol,TCP)与用户数据报协议(UserDatagramProtocol,UDP)组成。•提供主机间的数据分割与发送服务，並确定数据已被送达与接受。•TCP：支持错误相应与封包(Packet)重組的能力，提供两主机之间可信赖的传输，接收端收到每一封包都会返回确认。•UDP：属于非面向连接(ConnectionlessOriented)的传输协议，缺乏相关的侦错与确认机制，数据传递的可靠度较差。优点是传送数据时速度较快，适合大量的数据传递情况。信息与网络安全概论(第三版)811.1.3网络层•是TCP/IP协议的第2层，对应于OSI的网络层。•由Internet协议(InternetProtocol,IP)与Internet控制消息协议(InternetControlMessageProtocol,ICMP)组成。•主要是将传输层所接收的封包转换成封包实际的传输接口。信息与网络安全概论(第三版)9(1)IP(InternetProtocol)定义数据单元的格式。定义网络寻址方式(IPAddress)。决定数据封包在网络上的传递路径。(2)ICMP(InternetControlMessageProtocol)网络状况监视工具。(3)ARP(AddressResolutionProtocol)通过网络上的IP地址来查出其网卡的实体位置MAC(MediaAccessControl)地址。网络层通信协议信息与网络安全概论(第三版)10(4)RARP(ReverseAddressResolutionProtocol)协助发送端找到本身的IP地址。網路層的通訊協定(續)网络地址(IPAddress)MAC地址ARPRARP信息与网络安全概论(第三版)1111.1.4数据链路层•数据链路层也称网络接口层(NetworkInterfaceLayer)。•负责提供计算机系统与网卡的驱动程序，以定义如何在此网络连线架构下传送数据。信息与网络安全概论(第三版)1211.1.5封包的传递与拆装主机A主机B包装拆装DataAHDataTHAH|DataIHTH|AH|DataDHIH|TH|AH|DataFCS应用层传输层网络层数据链路层应用层传输层网络层数据链路层传递封包传递与拆装的流程信息与网络安全概论(第三版)13Ethernet数据格式发送端地址(SourceAddress)接收端地址(DestinationAddress)类型(TypeCode)检查码(ChecksumCode)接收端地址发送端地址类型检查码资料包DHIH|TH|AH|DataFCS6字节6字节2字节46至1500字节4字节信息与网络安全概论(第三版)1411.2应用层的网络安全通信协议SMTP:简单邮件传输协议TELNET:远程登录协议FTP:文件传输协议DNS:域名服务器SNMP:简单网络管理协议信息与网络安全概论(第三版)1511.2.1PGP安全电子邮件系统•PGP由PhilipZimmermann撰写，并于1991年完成第一版。•PGP可以提供电子邮件机密性、完整性和验证性服务。信息与网络安全概论(第三版)16PGP信息的传送和接收过程邮件信息M是否要签名？将M及签名压缩是否要机密性？将C转换成radix64格式发生签名加密成密文C是是否否邮件信息M是否有机密性？将M及签名解压缩是否有签名？将nidix64还原成密文C解密出信息验证签名是是否否传送E-mail接收E-mail信息与网络安全概论(第三版)17电子邮件系统所使用的符号及代表的意义KS对称式加密算法的会话密钥(SessionKey)SKAPKA用户A的秘密密钥用户A的公开密钥EPDP公开密钥加密算法公开密钥解密算法ECDC对称式加密算法对称式解密算法H||Z哈希函数联结压缩算法信息与网络安全概论(第三版)1811.2.2PGP协议的数字签名机制PGP的数字签名过程HEP||Z公用网络传送Mz-1MDPH比较SHA-1160位SKARSA加密压缩解压缩RSA解密PKAABSSHA-1S信息与网络安全概论(第三版)1911.2.3PGP协议的信息加密机制PGP的信息加密过程ZEC||MDPDCKSEPZ-1MPKBSKB3DES加密3DES解密E-mail信件压缩VC解压缩KSmmC信件V信息与网络安全概论(第三版)2011.2.4PGP协议的邮件传递流程PGP产生电子邮件的过程S通行密码HDCIDA秘密密钥环||DP邮件MH秘密密钥SKA加密密钥EC数字签名、邮件、密钥IDEP||EC输出RNG公开密钥PKB密钥IDIDB会话密钥KS加密过的邮件、数字签名、密钥ID公开密钥环密钥ID（KIDA）信息与网络安全概论(第三版)21接收方收到PGP电子邮件后的处理流程11.2.4PGP协议的邮件传递流程(续)会话密钥KS私密密钥SKB公开密钥PKA接受者ID加密的KS加密的邮件及签名DCDP密码HDC传送者ID签名信息HDP比较私密密钥环公开密钥环加密的私密密钥V信息与网络安全概论(第三版)2211.3.1SSL安全传输协议•SSL(SecureSocketLayer)是由Netscape公司在1995年所发表的网络安全协议，其主要功能是建立起浏览器与Web服务器之间数据传递的安全通道。•SSL通过加密技术来保障交易数据的安全，当客户端传送数据时，便启动SSL加密机制。•开头是“https://”，就表示是具有SSL保护的网页。信息与网络安全概论(第三版)23SSL所提供的安全服务主要有以下几项：(1)提供数据传送的机密性(Confidentiality)。(2)提供数据传送的完整性(Integrity)。(3)提供用户与顾客间的身份验证机制(Authenticity)。11.3.1SSL安全传输协议(续)信息与网络安全概论(第三版)2411.3.1SSL安全传输协议(续)•SSL协议主要分为两部分：–SSL记录协议(SSLRecordProtocol)•SSL记录协议提供数据保密性及完整性两种服务。–SSL握手协议(SSLHandshakeProtocol)•SSL握手协议则提供用户与服务器间的身份验证机制。信息与网络安全概论(第三版)25SSL记录协议的运作过程应用层数据MACMACMAC分段压缩附加信息验证码加密附加SSL记录报头信息与网络安全概论(第三版)26SSL握手协议的运作过程客户端服务器Client-HelloServer-Hello第一阶段：建立安全机制CertificateServer-Key-ExchangeCertificate-RequestServer-Hello-Done第二阶段：服务器端确认及密钥交换CertificateClient-Key-ExchangeCertificate-Verifv第三阶段：服务器端确认与密钥交换Change-Cipher-SpecFinishedChange-Cipher-SpecFinished第四阶段：完成信息与网络安全概论(第三版)2711.3.2TLS传输层安全协议IETF(InternetEngineeringTaskForce)组织在1999年发表了传输层安全(TransportLayerSecurity，TLS)协议。TLS主要是以SSL第三版本为基础，其内容仅信息格式及部分加密套件与SSL略有不同。TLS大部分的记录格式与SSL相同，只是版本编号的部分有些出入。SSL与TLS在加密套件与信息验证码的选择上也有些不同，此外，此外，TLS与SSL在Random的产生方式及信息验证码也稍微有些出入，但其基本思想都是一致的。信息与网络安全概论(第三版)2811.4.1IPSec网络层目前多半使用IP作为数据传输的协议，但仍有许多安全上的漏洞。于是，IETF便积极制订一套网络层的安全通信协议，称为IPSec协议(IPSecure)，以确保IP层级的通信安全。PSec主要提供以下3种安全服务：(1)确认性(Authentication)(2)机密性(Confidentiality)(3)密钥管理(KeyManagement)信息与网络安全概论(第三版)29IPSec主要包括两种协议：确认性应用报头协议(AuthenticationHeader,AH)确保来源认证性及数据完整性。数据封装安全负载协议(EncapsulatingSecurityPayload,ESP)提供数据的机密性。11.4.1IPSec(续)信息与网络安全概论(第三版)3011.4.2IPSec的确认性应用报头协议确认性应用报头的格式内容IP报头AHIP数据本体签名后续报头承载长度保留安全参数索引序号认证数据8位8位16位信息与网络安全概论(第三版)3111.4.3IPSec的安全数据封装协议安全数据封装协议的格式内容IP报头ESP报头承载数据填充数据填充数据长度后续报头ESP认证数据加密签名安全参数索引序号信息与网络安全概论(第三版)3211.4.4IPSec的密钥管理机制密钥管理服务的主要目的是帮助用户安全地协议出所需要的秘密密钥。IPSec提供了手动(Manual)与自动(Automated)两种密钥管理方式。信息与网络安全概论(第三版)33手动密钥管理：-系统管理者以人工的方式用自己的密钥与其他系统的密钥来设定所需要的安全协议。-适用于小型且通信对象固定的环境。自动密钥管理：-安全协议的设定工作由系统自动来执行。-适用于大型且通信对象经常变动的环境。-采用的是改良的Diffie-Hellman算法。11.4.4IP