网络安全协议经典培训资料.ppt

第9讲 网络安全协议,9.1 TCT/IP协议簇 9.2 网络安全协议 9.3 SSL协议 9.4 IPSec协议,主要内容,9.1 TCP/IP协议簇,TCP/IP协议簇是因特网的基础协议，是一组协议的集合，包括传输层的TCP协议和UDP协议等，网络层的IP协议、ICMP协议和IGMP协议等以及数据链路层和应用层的若干协议。,TCP/IP协议簇的体系结构,应用层和传输层,应用层协议 HTTP(超文本传输协议)、FTP(文件传输协议)、SMTP(简单邮件传输协议)等。 传输层协议 TCP(传输控制协议)和UDP(用户数据报协议)。 传输层协议的主要功能是完成在不同主机上的用户进程之间的数据通信。 TCP协议实现面向连接的、可靠的数据通信，而UDP 协议负责处理面向无连接的数据通信。,网络层协议,包括IP(网际协议)、ICMP(互联网控制消息协议)和IGMP(互联网组管理协议)等。 网络层的主要功能是完成IP报文的传输，是无连接的、不可靠的。,IP协议,IP协议的主要功能包括寻址、路由选择、分段和重新组装。,ICMP协议,ICMP协议用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。,IGMP,IGMP协议运行于主机和与主机直接相连的组播路由器之间，是IP主机用来报告多址广播组成员身份的协议。 通过IGMP协议，一方面主机可以通知本地路由器希望加入并接收某个特定组播放的信息; 另一方面，路由器通过IGMP协议周期性地查询局域网内某个已知组的成员是否处于活动状态。,ARP与RARP,ARP(地址解析协议)、RARP(反向地址解析协议)负责实现IP地址与硬件地址的转换，工作在网络层和网络接口层之间。,网络接口层,即数据链路层，或“网络访问层”，负责向网络媒介(如光纤、双绞线)发送IP数据包，从网络媒介接收物理帧，抽出网络层数据包，交给网络层。 包括标准以太网协议、令牌环协议、串行线路网际协议(SLIP)、光纤分布式数据接口(FDDI)、异步传输模式(ATM)和点对点协议(PPP)等。,TCP/IP协议的封装过程结构,TCP数据包的封装格式,TCP协议的头结构,(1) 源端口: 指数据流的流出端口，取值范围是065535。 (2) 目的端口: 指数据流的流入端口，取值范围是065535。 (3) 序列号: 指出“IP数据报”在发送端数据流中的位置(依次递增)。 (4) 确认序列号: 指出本机希望下一个接收的字节的序号。TCP采用捎带技术，在发送数据时捎带进行对对方数据的确认。 (5) 头长度: 指出以32 bit为单位的段头标长度。 (6) 码位: 指出该IP包的目的与内容。,码位中各位的含义,TCP协议的头结构,(7) 窗口(滑动窗口): 用于通告接收端接收数据的缓冲区的大小。 (8) 校验和: 不仅对头数据进行校验，还对封包内容进行校验。 (9) 紧急指针: 当URG为1时有效。TCP的紧急方式是发送紧急数据的一种方式。,IP数据包的封装格式,IP数据包各字段的信息,(1) 版本: 版本标识所使用的头“格式”，通常为4或6 (2) 头标长: 说明报头的长度，以4字节为单位。 (3) 服务类型: 主要用于QoS服务，如延时、优先级等。 (4) 总长: 表示整个IP数据包的长度，它等于IP头的长度加上数据段的长度。 (5) 标识: 一个报文的所有分片标识相同，目标主机根据主机的标识字段来确定新到的分组属于哪一个数据报。,IP数据包各字段的信息,(6) 标志: 该字段指示“IP数据报”是否分片，是否是最后一个分片。 (7) 片偏移: 说明该分片在“IP数据报”中的位置，用于目标主机重建整个新的“数据报分组”，以8字节为单位。 (8) 生存时间: 表示IP包在网络的存活时间(跳数)，缺省值为64。 (9) 协议类型: 该字段用来说明此IP包中的数据类型，如1表示ICMP数据包，2表示IGMP数据，6表示TCP数据，17表示UDP数据包。 (10) 头标校验和: 该字段用于校验IP包的头信息，防止数据传输时发生错误。 (11) IP选项: IP选项由3部分组成，即选项(选项类别、选项代号)、长度和选项数据。,TCP的建立与关闭过程,9.1.4 TCP/IP协议簇的安全问题,由于TCP/IP协议在最初设计时是基于一种可信环境的，没有考虑安全性问题，因此它自身存在许多固有的安全缺陷 (1) 对IP协议，其IP地址可以通过软件进行设置，这样会造成地址假冒和地址欺骗两类安全隐患。 (2) IP协议支持源路由方式，即源发方可以指定信息包传送到目的节点的中间路由，为源路由攻击埋下了隐患。 (3) 在TCP/IP协议的实现中也存在着一些安全缺陷和漏洞，如序列号产生容易被猜测、参数不检查而导致的缓冲区溢出等。,9.1.4 TCP/IP协议簇的安全问题,(4) 在TCP/IP协议簇中的各种应用层协议(如Telnet、FTP、SMTP等)缺乏认证和保密措施，这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门，使得基于这些缺陷和漏洞的攻击形式多样。,9.2 网络安全协议,为了解决TCP/IP协议簇的安全性问题，弥补TCP/IP协议簇在设计之初对安全功能的考虑不足，以Internet工程任务组(IETF)为代表的相关组织不断通过对现有协议的改进和设计新的安全通信协议，对现有的TCP/IP协议簇提供相关的安全保证，在协议的不同层次设计了相应的安全通信协议，从而形成了由各层安全通信协议构成的TCP/IP协议簇的安全架构。,TCP/IP协议簇的安全架构,1. 应用层的安全协议,(1) S-HTTP(Secure HTTP): 为保证Web的安全，由IETF开发的协议，该协议利用MIME，基于文本进行加密、报文认证和密钥分发等。 (2) SSH(Secure Shell): 对BSD系列的UNIX的r系列命令加密而采用的安全技术。 (3) SSL-Telnet、SSL-SMTP、SSL-POP3: 以SSL协议分别对Telnet、SMTP、POP3等应用进行的加密。,1. 应用层的安全协议,(4) PET(Privacy Enhanced Telnet): 使Telnet具有加密功能，在远程登录时对连接本身进行加密的方式(由富士通和WIDE开发)。 (5) PEM(Privacy Enhanced Mail): 由IEEE标准化的具有加密签名功能的邮件系统。 (6) S/MIME(Secure/Multipurpose Internet Mail Extensions): 安全的多用途Internet邮件扩充协议。 (7) PGP(Pretty Good Privacy): 具有加密及签名功能的电子邮件协议(RFC1991)。,(1) SSL(Secure Socket Layer): 基于WWW服务器和浏览器之间的具有加密、报文认证、签名验证和密钥分配的加密协议。 (2) TLS(Transport Layer Security，IEEE标准): 将SSL通用化的协议(RFC2246)。 (3) SOCKS v5: 此协议是防火墙和VPN用的数据加密和认证协议，见IEEE RFC1928(以NEC开发为主)。,2. 传输层的安全协议,3. 网络层的安全协议,IPSec(Internet Protocol Security，IEEE标准): 为通信双方提供机密性和完整服务。,4. 网络接口层的安全协议,(1) PPTP(Point to Point Tunneling Protocol)： 点到点隧道协议。 (2) L2F(Layer 2 Forwarding): 第二层转发协议。 (3) L2TP(Layer 2 Tunneling Protocol): 综合了PPTP和L2F的协议，称为第二层隧道协议。,9.2.1 应用层的安全协议,应用层的安全协议针对不同的应用安全需求，设计不同的安全机制。常见的协议主要有S-HTTP和PGP。 1. S-HTTP S-HTTP (Secure Hyper Text Transfer Protocol)是安全超文本转换协议的简称，它是一种结合 HTTP 而设计的面向消息的安全通信协议。S-HTTP为 HTTP 客户端和服务器提供了多种安全机制，为WWW中广泛存在的潜在的终端用户提供适当的安全服务选项。,S-HTTP,S-HTTP 的设计是以与 HTTP 信息样板共存并易于与 HTTP 应用程序相整合为出发点的。 S-HTTP对消息的保护可以从3个独立的方面来进行: 签名、认证和加密。任何消息可以被签名、认证、加密或者三者中的任意组合。 S-HTTP 定义了客户端和服务器之间的两种加密消息格式标准: CMS(Cryptographic Message Syntax)和MOSS(MIME Object Security Services) 。,PGP,PGP(Pretty Good Privacy) 是把RSA公钥体系和传统加密(IDEA)体系结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计。 PGP提供了一种安全的通信方式，它可以对邮件进行保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件有没有被篡改。 PGP采用了一种杂合算法，把RSA和IDEA算法都应用其中，用于电子邮件的压缩和计算明文的摘要值等。,9.2.2 传输层的安全协议,传输层的安全协议有SSL、TLS、SOCKS v5等。 Netscape公司开发的SSL(Secure Socket Layer)协议是安全套接层协议，是一种安全通信协议。 SSL是为客户端/服务器之间的HTTP协议提供加密的安全协议，作为标准被集成在浏览器上。SSL位于传输层与应用层之间，并非是Web专用的安全协议，也能为Telnet、SMTP、 FTP等其他协议所应用，但SSL只能用于TCP，不能用于UDP。 TLS是SSL通用化的加密协议，由IETF标准化。,SOCKS v4,为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议的客户端/服务器应用提供的协议。 SOCKS v5扩展了SOCKS v4以使其支持UDP，扩展了框架以包含一般的强安全认证方案，扩展了寻址方案以包括域名和IPv6地址，此协议在传输层及应用层之间进行操作。,9.2.3 网络层的安全协议,IPSec协议是在网络层上实现的具有加密、认证功能的安全协议，由IETF标准化，它既适合于IP v4，也适合于IP v6。 IPSec协议能够为所有基于TCP/IP协议的应用提供安全服务。,9.2.4 网络接口层的安全协议,主要有PPTP、L2F、L2TP等。 PPTP PPTP(点到点隧道协议)是由微软、朗讯和3COM等公司推出的协议标准，是集成在Windows NT 4.0、Windows 98等系统上的点对点的安全协议 使用扩展的GRE(Generic Routing Encapsulation，通用路由封装)协议封装PPP分组，通过在IP网上建立的隧道来透明传送PPP帧。 PPTP在逻辑上延伸了PPP会话，从而形成了虚拟的远程拨号。,PPTP,是目前较为流行的第二层隧道协议，它可以建立PC到LAN的VPN连接，满足了日益增多的内部职员异地办公的需要。 PPTP提供给PPTP客户机和PPTP服务器之间的加密通信功能主要是通过PPP协议来实现的，因此PPTP并不为认证和加密指定专用算法，而是提供了一个协商算法时所用的框架。 这个协商框架并不是PPTP专用的，而是建立在现有的PPP 协商可选项、挑战握手认证协议(CHAP)以及其他一些PPP 的增强和扩展协议基础上的。,L2F和L2TP,L2F 是第二层转发协议，是由Cisco Systems 建议