电子商务安全第二章 网络通信安全.ppt

第2章 网络通信安全 第2章 网络通信安全• 2.1 网络通信的安全性 • 2.2 TCP/IP协议存在的安全 威胁 • 2.3 远程访问的安全 • 2.4 小结• 习题与思考题 第2章 网络通信安全 2.1 网络通信的安全性•2.1.1 网络通信线路的安全性 •网络通信线路的安全问题主要有以 下六个方面 •1. 电磁泄露 •络端口、传输线路和计算机都有可 能因屏蔽不严或未屏蔽而造成电磁泄露目 前，大多数机房屏蔽和防辐射设施都不健全 ，通信线路也同样容易出现信息泄露第2章 网络通信安全 •2. 搭线窃听 • 随着信息传递量的不断增加，传递数 据的密级也在不断提高，犯罪分子为了获取大量 情报，可能监听通信线路，非法接收信息 •3. 非法终端 •有可能在现有终端上并接一个终端，或 合法用户从网上断开时，非法用户乘机接入，并 操纵该计算机通信接口使信息传到非法终端 •4. 非法入侵 •非法分子通过技术渗透或利用线侵 入网络，非法使用、破坏或获取数据和系统资源 目前的网络系统大都采用口令验证机制来防止 非法访问，一旦口令被窃，就无安全可言 第2章 网络通信安全•5. 注入非法信息 •通过线有预谋地注入非法 信息，截获所传信息，再删除原有信息 或注入非法信息后再发出，使接收者收 到错误信息。

•6. 线路干扰 •当公共转接载波设备陈旧和通 信线路质量低劣时，会产生线路干扰 如调制解调器会随着传输速率的上升， 迅速增加错误 第2章 网络通信安全•对于网络通信线路的安全问题通常采 用数据加密、用户认证和室外使用光缆传输介 质等措施来解决近年来，计算机网络系统由 于电磁辐射使信息被截获而失密的案例很多， 这种截获，其距离可达几百甚至千米，给计算 机系统信息的保密工作带来了极大的危害为 了防止计算机网络系统中信息在空间上扩散， 通常在物理上采取对主机房和重要部门进行屏 蔽处理的防护措施，以减少扩散出去的空间信 号终端分散的重要部门采取主动式的干扰设 备(如干扰机)来干扰扩散出去的空间信号，以 破坏信息的窃取 第2章 网络通信安全•2.1.2 网络层次结构的安全性 •TCP/IP的不同层次提供的安全性 不同表2-1描述了TCP/IP与OSI模型相应 层次的安全措施下面将重点介绍TCP/IP 不同层次的安全性和提高各层安全性的方 法第2章 网络通信安全表2-1 TCP/IP协议与OSI模型的安全性第2章 网络通信安全•1. 网络层的安全性 •在过去十年里，对网络层的安全协议已 经提出了一些方案。

例如，“安全协议3号(Secure Protocol 3—SP3)”就是美国国家安全局以及标准技 术协会作为“安全数据网络系统(Secure Data Network System—SDNS)”的一部分而制定的网络层安全 协议(Network Layer Secure Protocol—NLSP)”是由国 际标准化组织为“无连接网络协议(Connectionless Network Protocol—CLNP)”制定的安全协议标准 这些提案的共同点多于不同点事实上，它们用的 都是IP封装技术其本质是，纯文本的包被加密后 ，封装在外层的IP报头里，用来对加密的包进行 Internet上的路由选择到达另一端时，外层的IP报 头被拆开，报文被解密，然后送到收报地点 第2章 网络通信安全•网络层安全性的主要优点是它的透明 性，也就是说，安全服务的提供不需要应用程 序、其他通信层次和网络部件做任何改动它 的最主要的缺点是网络层一般对属于不同进程 和相应条例的包不作区别对所有去往同一地 址的包，它将按照同样的加密密钥和访问控制 策略来处理这可能导致提供不了所需的功能 ，也会导致性能下降针对面向主机的密钥分 配的这些问题，推荐使用面向用户的密钥分配 ，其中，不同的连接会得到不同的加密密钥。

但是，面向用户的密钥分配需要对相应的操作 系统内核作比较大的改动第2章 网络通信安全•简而言之，网络层是非常适合提供 基于主机对主机的安全服务的相应的安全协 议可以用来在Internet上建立安全的IP通道和虚 拟私有网例如，利用它对IP包的加密和解密 功能，可以简捷地强化防火墙系统的防卫能力 RSA数据安全公司已经发起了一个倡议，来 推进多家防火墙和TCP/IP软件厂商联合开发虚 拟私有网该倡议被称为安全广域网 (Secure Wide Area Network—S-WAN)倡议，其目标是 制订和推荐Internet层的安全协议标准第2章 网络通信安全•2. 传输层的安全性 •在Internet应用编程中，通常使用广义 的进程间通信机制来与不同层次的安全协议打 交道在Internet中提供安全服务的首先一个想 法便是强化它的进程间通信的界面，具体做法 包括双端实体的认证，数据加密密钥的交换等 Netscape通信公司遵循了这个思路，制定了建 立在如TCP/IP所提供的在可靠的传输服务基础 上的安全套接层协议(Secure Socket Layer—SSL) SSL版本3于1995年12月制定，它主要包含两 个协议。

一个是SSL记录协议，它涉及应用程序 提供的信息的分段、压缩、数据认证和加密 另一个是SSL握手协议，用来交换版本号、加密 算法、相互身份认证并交换密钥第2章 网络通信安全 •前面已介绍网络层安全机制的主要优点是 它的透明性，即安全服务的提供不要求应用层做任 何改变这对传输层来说是做不到的原则上，任 何TCP/IP应用，只要应用传输层安全协议(如安全套 接层协议)，就必定要进行若干修改以增加相应的功 能，并使用稍微有些不同的进程间通信的界面于 是，传输层安全机制的主要缺点就是要对传输层进 程间通信的界面和应用程序两端都进行修改可是 ，比起网络层和应用层的安全机制来，这里的修改 还是相当小的另一个缺点是，基于用户数据报协 议(User Datagram Protocol—UDP)的通信很难在传输 层建立起安全机制来同网络层安全机制相比，传 输层安全机制的主要优点是它提供基于进程对进程 的(而不是主机对主机的)安全服务这一成就如果再 加上应用层的安全服务，就可以更安全第2章 网络通信安全•3. 应用层的安全性 •网络层(传输层)的安全协议允许为主 机(进程)之间的数据通道增加安全属性。

本质 上，这意味着真正的、机密的数据通道还是建 立在主机(或进程)之间，但却不可能区分在同 一通道上传输的一个具体文件的安全性要求 比如说，如果一个主机与另一个主机之间建立 起一条安全的IP通道，那么所有在这条通道上 传输的IP包就都要自动地被加密同样，如果 一个进程和另一个进程之间通过传输层安全协 议建立起了一条安全的数据通道，那么两个进 程间传输的所有消息就都要自动地被加密第2章 网络通信安全•如果确实想要区分一个具体文件 的不同的安全性要求，那么就必须借助 于应用层的安全性提供应用层的安全 服务实际上是最灵活的处理单个文件安 全性的手段例如一个电子邮件系统可 能需要对要发出的信件的个别段落实施 数据签名较低层的协议提供的安全功 能一般不会知道任何要发出的信件的段 落结构，从而不可能知道该对哪一部分 进行签名只有应用层是惟一能够提供 这种安全服务的层次第2章 网络通信安全•目前还没有Web安全性的公认标准 这样的标准只能由万维网协会(WWW Consortium)、Internet 工程任务组(Internet Engineering Task Force—IETF)或其他有关的 标准化组织来制定。

而正式的标准化过程是 漫长的，可能要拖上好几年，直到所有的标 准化组织都充分认识到Web安全的重要性安 全的超文本传输协议(Secure Hypertext Transfer Protocol—S-HTTP)和SSL是从不同角度提供 Web的安全性的S-HTTP对单个文件作“私人 /签字”的区分，而SSL则把参与通信的相应进 程之间的数据通道按“私用”和“已认证”进行监 管第2章 网络通信安全2.2 TCP/IP协议存在的安全威 胁•2.2.1 TCP/IP协议概述 •1. TCP/IP协议组简介 •TCP/IP协议是网络中使用的基 本通信协议，虽然从名字上看TCP/IP协 议包括两个协议，即传输控制协议 (TCP)和网际协议(IP)，但TCP/IP协议实 际上是一组协议，包括上百个互为关联 的协议，最常用的是下面几个协议第2章 网络通信安全• (1) Telnet (Remote Login)是远程登录 协议，它的作用就是让用户以模拟终端的方式 ，登录到Internet的某台主机上一旦连接成功 ，这些个人计算机就好像是远程计算机的一个 终端，可以像使用自己的计算机一样输入命令 ，运行远程计算机中的程序。

• (2) FTP(File Transfer Protocol)是远程 文件传输协议，它允许用户在远程主机和自己 的电脑之间互相Copy文件(也可删除改名等) • (3) SMTP(Sample Mail Transfer Protocol)是简单邮政传输协议，用于传输电子 邮件 第2章 网络通信安全•(4) NFS(Network File System)是 网络文件系统，可使多台计算机透明地 访问彼此的目录 • (5) UDP(User Datagram Protocol)是用户数据报协议，它和TCP协 议一样位于传输层，和IP协议配合使用 ，在传输数据时省去包头，但它不能提 供数据包的重传，所以适合传输较短的 文件 第2章 网络通信安全•2. TCP/IP协议的数据传输原理 • TCP/IP协议的基本传输单位是数据 包(Data Gram)TCP协议负责把数据分成若 干个数据包，并给每个数据包加上包头(就像 给一封信加上信封)包头上有相应的编号， 以保证在数据接收端能将数据还原为原来的 格式IP协议在每个包头上再加上接收端主 机地址，这样数据就会找到自己要去的地方( 就像信封上要写明地址一样)。

如果传输过程 中出现数据丢失、数据失真等情况，TCP协 议会自动要求数据重新传输，并重新组包 总之，IP协议保证数据的传输，TCP协议保证 数据的质量 第2章 网络通信安全•3. TCP/IP协议的层次结构 • TCP/IP协议数据的传输基于 TCP/IP协议的四层结构，分别是应用层、传 输层、网络层、链路层(接口层)数据在传 输中每通过一层就要在数据上加个包头，其 中的数据供接收端同一层协议使用，而在接 收端，每经过一层要把用过的包头去掉，这 样来保证传输数据的格式完全一致 •TCP/IP协议簇中的协议分布在这四 层结构中，如图2-2-1所示可见，TCP/IP协 议组中的TCP协议位于传输层，IP协议位于 网络层第2章 网络通信安全图2-2-1 TCP/IP协议组四层结构第2章 网络通信安全•4. TCP/IP协议的包头结构 •TCP/IP协议的基本传输单位是数 据包TCP协议将上层应用传送的报文( 较长的数据信息)划分成较小数据段，并 在每个数据段加上TCP包控制头(其中包 括宿主机地址，数据重构所需的信息和 防止信息包被毁坏的信息)，从而形成了 TCP包，其结构如图2-2-2所示。

第2章 网络通信安全图2-2-2 TCP的包头结构第2章 网络通信安全•在TCP包形成后，TCP将它交给IP， IP将它作进一步的分解，并加上控制头(其中包 括地址信息，以及装载的TCP信息和数据)，从 而形成了IP包，其结构如图2-2-3所示 图2-2-3 IP包头结构第2章 网络通信安全 •2.2.2 TCP/IP协议的安全问题 • TCP/IP协议是进行一切互。