信息技术--赵泽茂--第九章

第9章网络安全协议9.1TCT/IP协议簇9.2网络安全协议9.3SSL协议9.4IPSec协议小结习题第9章网络安全协议TCP/IP协议簇是因特网的基础协议，不能简单说成是TCP协议和IP协议的和，它是一组协议的集合，包括传输层的TCP协议和UDP协议等，网络层的IP协议、ICMP协议和IGMP9.1TCP/IP协议簇第9章网络安全协议9.1.1TCP/IPOSI参考模型是指用分层的思想把计算机之间的通信划分为具有层间关系的七个协议层，要完成一次通信，需要在七个相对独立的协议层上完成各自进程才能实现，但TCP/IP参考模型却只用了四层，如图9-1-1所示。TCP/IP协议是20世纪70年代中期，美国国防部为其ARPANET开发的网络体系结构和协议标准。以TCP/IP为基础建立的因特网是目前国第9章网络安全协议图9-1-1TCP/IP协议簇的体系结构第9章网络安全协议1.应用层协议包括HTTP(超文本传输协议)、FTP(文件传输协议)、SMTP(简单邮件传输协议)等。应用层协议面向用户处理特定的应用，提供最基本的网络资源服务。常用的网2.传输层协议主要包括TCP(传输控制协议)和UDP(用户数据报协议)。传输层协议的主要功能是完成在不同主机上的用户进程之间的数据通信。TCP协议实现面向连接的、可靠的数据通信，而UDP第9章网络安全协议3.网络层协议包括IP(网际协议)、ICMP(互联网控制消息协议)和IGMP(互联网组管理协议)IP协议的主要功能包括寻址、路由选择、分段和重新组ICMP协议用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是第9章网络安全协议IGMP协议运行于主机和与主机直接相连的组播路由器之间，是IP主机用来报告多址广播组成员身份的协议。通过IGMP协议，一方面主机可以通知本地路由器希望加入并接收某个特定组播放的信息;另一方面，路由器通过IGMP协议周期性地查询局域网内某个已知组的成员是否处于活动状态。网络层的主要功能是完成IP报文的传输，是无连接的、不可靠的。值得一提的是，ARP(地址解析协议)、RARP(反向地址解析协议)负责实现IP地址与硬件地址的转换，是工作在网络层和网络接口层之间的协议，是TCP/IP协议的组成部第9章网络安全协议4.网络接口层也称为数据链路层，又称为“网络访问层”，是TCP/IP协议的最底层，它负责向网络媒介(如光纤、双绞线)发送IP数据包，并把它们发送到指定的网络上，且从网络媒介接收物理帧，抽出网络层数据包，交给网络层。网络接口层协议包括标准以太网协议、令牌环协议、串行线路网际协议(SLIP)、光纤分布式数据接口(FDDI)、异步传输模式(ATM)和点对点协议(PPP)等。第9章网络安全协议9.1.2TCP/IP在基于TCP/IP协议的网络中，各种应用层的数据都被封装在IP数据包中在网络上进行传输。其数据封装过程如图9-1-2所示。基于TCP/IP协议的所有应用层的数据(如HTTP、FTP、EMAIL、DNS等)在传输层都是通过TCP(或UDP)数据包的格式进行封装的(见图9-1-3)。第9章网络安全协议图9-1-2TCP/IP协议的封装过程结构第9章网络安全协议图9-1-3TCP数据包的封装格式第9章网络安全协议TCP协议的头结构是固定的，各字段信息如下:(1)源端口:指数据流的流出端口，取值范围是0～65535。(2)目的端口:指数据流的流入端口，取值范围是0～65535(3)序列号:指出“IP数据报”在发送端数据流中的位置(依次递增)(4)确认序列号:指出本机希望下一个接收的字节的序号。TCP采用捎带技术，在发送数据时捎带进行对对方数据的确(5)头长度:指出以32bit(6)码位:指出该IP包的目的与内容，如表9-1-1第9章网络安全协议表9-1-1码位中各位的含义第9章网络安全协议(7)窗口(滑动窗口):用于通告接收端接收数据的缓冲区(8)校验和:不仅对头数据进行校验，还对封包内容进行(9)紧急指针:当URG为1时有效。TCP的紧急方式是发送在基于TCP/IP协议的所有应用层的数据通过传输层的封装后，送给网络层，在网络层是通过IP数据包的格式进行传输，最终通过网络接口设备将数据通过各种物理网络进行传输。IP数据包的结构是固定的，如图9-1-4第9章网络安全协议图9-1-4IP数据包的封装格式第9章网络安全协议IP数据包各字段的信息如下:(1)版本:版本标识所使用的头“格式”，通常为4或6(2)头标长:说明报头的长度，以4(3)服务类型:主要用于QoS服务，如延时、优先级等。(4)总长:表示整个IP数据包的长度，它等于IP头的长度(5)标识:一个报文的所有分片标识相同，目标主机根据主机的标识字段来确定新到的分组属于哪一个数据报。第9章网络安全协议(6)标志:该字段指示“IP数据报”是否分片，是否是最(7)片偏移:说明该分片在“IP数据报”中的位置，用于目标主机重建整个新的“数据报分组”，以8字节为单位。(8)生存时间:表示IP包在网络的存活时间(跳数)，缺省值为64(9)协议类型:该字段用来说明此IP包中的数据类型，如1表示ICMP数据包，2表示IGMP数据，6表示TCP数据，17表示UDP(10)头标校验和:该字段用于校验IP包的头信息，防止数(11)IP选项:IP选项由3部分组成，即选项(选项类别、选项代号)第9章网络安全协议9.1.3TCP基于TCP/IP协议的连接，通常采用客户端/服务器模式。客户端与服务器之间的面向连接的访问是基于TCP的“三次握手协议”。在这个协议中，主动连接方(通常是客户端)先发送一个SYN信息请求连接，然后等待被连接方(通常是服务器)的应答信息，主动连接方收到应答信息后再发送一个确认信息，这样才正式建立连接，以后就可以传输数据了。数据传输完毕，需要断开连接时，其中任何一方发送一个FIN消息，接收方发送一个ACK并且回送一个FIN消息，发送方回送一个应答消息后，TCP的连接就彻底断开了。TCP的建立与关闭过程如图9-1-5第9章网络安全协议图9-1-5TCP的建立与关闭过程第9章网络安全协议9.1.4TCP/IP随着Internet的发展，TCP/IP协议得到了广泛的应用，几乎所有的网络均采用了TCP/IP协议。由于TCP/IP协议在最初设计时是基于一种可信环境的，没有考虑安全性问题，因此它自身存在许多固有的安全缺陷，例如:(1)对IP协议，其IP地址可以通过软件进行设置，这样会(2)IP协议支持源路由方式，即源发方可以指定信息包传(3)在TCP/IP协议的实现中也存在着一些安全缺陷和漏洞，如序列号产生容易被猜测、参数不检查而导致的缓冲区第9章网络安全协议(4)在TCP/IP协议簇中的各种应用层协议(如Telnet、FTP、SMTP等)缺乏认证和保密措施，这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门，使得基于这些缺陷和漏洞的攻击形式多样。如2000年2月的coolio攻击，致使美国无数网站瘫痪(这是一个典型的DDoS攻击，网络上的许多个人用户毫无知觉地成为了攻击行为的“帮凶”);又如2002年3月底，黑客冒用eBay帐户事件，美国华盛顿著名艺术家GloriaGeary在eBay拍卖网站的帐户被黑客用来拍卖IntelPentium芯片，由于黑客已经更改了帐户密码，使得真正的帐户主人GloriaGeary在察觉后，反而无法进入自己的帐户，更第9章网络安全协议为了解决TCP/IP协议簇的安全性问题，弥补TCP/IP协议簇在设计之初对安全功能的考虑不足，以Internet工程任务组(IETF)为代表的相关组织不断通过对现有协议的改进和设计新的安全通信协议，对现有的TCP/IP协议簇提供相关的安全保证，在协议的不同层次设计了相应的安全通信协议，从而形成了由各层安全通信协议构成的TCP/IP协议簇的安全架构，具体参看图9-2-19.2第9章网络安全协议图9-2-1TCP/IP协议簇的安全架构第9章网络安全协议1.(1)S-HTTP(SecureHTTP):为保证Web的安全，由IETF开发的协议，该协议利用MIME，基于文本进行加密、报文(2)SSH(SecureShell):对BSD系列的UNIX的r系列命令加(3)SSL-Telnet、SSL-SMTP、SSL-POP3:以SSL协议分别对Telnet、SMTP、POP3第9章网络安全协议(4)PET(PrivacyEnhancedTelnet):使Telnet具有加密功能，在远程登录时对连接本身进行加密的方式(由富士通和WIDE开发)(5)PEM(PrivacyEnhancedMail):由IEEE标准化的具有(6)S/MIME(Secure/MultipurposeInternetMailExtensions):安全的多用途Internet(7)PGP(PrettyGoodPrivacy):具有加密及签名功能的电子邮件协议(RFC1991)第9章网络安全协议2.(1)SSL(SecureSocketLayer):基于WWW服务器和浏览器之间的具有加密、报文认证、签名验证和密钥分配的加密(2)TLS(TransportLayerSecurity，IEEE标准):将SSL通用化的协议(RFC2246)(3)SOCKSv5:此协议是防火墙和VPN用的数据加密和认证协议，见IEEERFC1928(以NEC开发为主)第9章网络安全协议3.IPSec(InternetProtocolSecurity，IEEE标准):为通信双方4.(1)PPTP(PointtoPointTunnelingProtocol)：点到点隧道(2)L2F(Layer2Forwarding):(3)L2TP(Layer2TunnelingProtocol):综合了PPTP和L2F第9章网络安全协议9.2.1应用层的安全协议针对不同的应用安全需求，设计不同的安全机制。常见的协议主要有S-HTTP和PGP。1.S-HTTPS-HTTP(SecureHyperTextTransferProtocol)是安全超文本转换协议的简称，它是一种结合HTTP而设计的面向消息的安全通信协议。S-HTTP为HTTP客户端和服务器提供了多种安全机制，为WWW中广泛存在的潜在的终端用户提供适第9章网络安全协议S-HTTP的设计是以与HTTP信息样板共存并易于与HTTP应用程序相整合为出发点的。S-HTTP对消息的保护可以从3个独立的方面来进行:签名、认证和加密。任何消息可以被签名、认证、加密或者三者中的任意组合。S-HTTP定义了客户端和服务器之间的两种加密消息格式标准:CMS(CryptographicMessageSyntax)和MOSS(MIMEObjectSecurityServices)，但不局限于这两种。第9章网络安全协议2.PGPPGP(PrettyGoodPrivacy)加密技术的创始人是美国的PhilipZimmermann，他的创造性工作是把RSA公钥体系和传统加密(IDEA)体系结合起来，并且在数字签名和密钥认证管PGP提供了一种安全的通信方式，它可以对邮件进行保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件有没有被篡改。PGP采用了一种杂合算法，把RSA和IDEA算法都应用其中，用于电子邮件的压缩和计算明文的摘要值等。第9章网络安全协议9.2.2传输层的安全协议有SSL、TLS、SOCKSv5Netscape公司开发的SSL(SecureSocketLayer)协议是安全套接层协议，是一种安全通信协议。SSL是为客户端/服务器之间的HTTP协议提供加密的安全协议，作为标准被集成在浏览器上。SSL位于传输层与应用层之间，并非是Web专用的安全协议，也能为Telnet、SMTP、FTP等其他协议所应用，但SSL只能用于TCP，不能用于UDPTLS是SSL通用化的加密协议，由IET