第二章-网络安全协议课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,崇德博智 扶危定倾,第二章 网络安全协议,灾害信息工程系,孙晓玲,第二章 网络安全协议灾害信息工程系,2.1 TCT/IP协议簇,2.2 网络安全协议,2.3 SSL协议,2.4 IPSec协议,小结,第二章 网络安全协议,2.1 TCT/IP协议簇第二章 网络安全协议,TCP/IP协议簇是因特网的基础协议，不能简单说成是TCP协议和IP协议的和，它是一组协议的集合，包括传输层的TCP协议和UDP协议等，网络层的IP协议、ICMP协议和IGMP协议等以及数据链路层和应用层的若干协议。,2.1 TCP/IP协议簇,TCP/IP协议簇是因特网的基础协议，不能简,2.1.1 TCP/IP协议簇的基本组成,OSI参考模型是指用分层的思想把计算机之间的通信划分为具有层间关系的七个协议层，要完成一次通信，需要在七个相对独立的协议层上完成各自进程才能实现，但TCP/IP参考模型却只用了四层，如图2-1-1所示。TCP/IP协议是20世纪70年代中期，美国国防部为其ARPANET开发的网络体系结构和协议标准。以TCP/IP为基础建立的因特网是目前国际上规模最大的计算机网络。,2.1 TCP/IP协议簇,2.1.1 TCP/IP协议簇的基本组成 OSI,图 2-1-1 TCP/IP协议簇的体系结构,2.1 TCP/IP协议簇,图 2-1-1 TCP/IP协议簇的体系结构2.1 TC,2.1.2 TCP/IP协议的封装,在基于TCP/IP协议的网络中，各种应用层的数据都被封装在IP数据包中在网络上进行传输。其数据封装过程如图2-1-2所示。基于TCP/IP协议的所有应用层的数据(如HTTP、FTP、EMAIL、DNS等)在传输层都是通过TCP(或UDP)数据包的格式进行封装的(见图2-1-3)。,2.1 TCP/IP协议簇,2.1.2 TCP/IP协议的封装在基于TCP/I,图 2-1-2 TCP/IP协议的封装过程结构,2.1 TCP/IP协议簇,图 2-1-2 TCP/IP协议的封装过程结构2.1 T,图 2-1-3 TCP数据包的封装格式,2.1 TCP/IP协议簇,图 2-1-3 TCP数据包的封装格式2.1 TCP/I,图 2-1-4 IP数据包的封装格式,图 2-1-4 IP数据包的封装格式,图 2-1-5 TCP的建立与关闭过程,图 2-1-5 TCP的建立与关闭过程,2.1.3 TCP/IP协议簇的安全问题,随着Internet的发展，TCP/IP协议得到了广泛的应用，几乎所有的网络均采用了TCP/IP协议。由于TCP/IP协议在最初设计时是基于一种可信环境的，没有考虑安全性问题，因此它自身存在许多固有的安全缺陷，例如:(1)对IP协议，其IP地址可以通过软件进行设置，这样会造成地址假冒和地址欺骗两类安全隐患。(2)IP协议支持源路由方式，即源发方可以指定信息包传送到目的节点的中间路由，为源路由攻击埋下了隐患。(3)在TCP/IP协议的实现中也存在着一些安全缺陷和漏洞，如序列号产生容易被猜测、参数不检查而导致的缓冲区溢出等。,2.1 TCP/IP协议簇,2.1.3 TCP/IP协议簇的安全问题随着Int,(4)在TCP/IP协议簇中的各种应用层协议(如Telnet、FTP、SMTP等)缺乏认证和保密措施，这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门，使得基于这些缺陷和漏洞的攻击形式多样。,2.1 TCP/IP协议簇,(4)在TCP/IP协议簇中的各种应用层协,为了解决TCP/IP协议簇的安全性问题，弥补TCP/IP协议簇在设计之初对安全功能的考虑不足，以Internet工程任务组(IETF)为代表的相关组织不断通过对现有协议的改进和设计新的安全通信协议，对现有的TCP/IP协议簇提供相关的安全保证，在协议的不同层次设计了相应的安全通信协议，从而形成了由各层安全通信协议构成的TCP/IP协议簇的安全架构，具体参看图2-2-1。,2.2 网络安全协议,为了解决TCP/IP协议簇的安全性问题，弥补TCP/IP,图 2-2-1 TCP/IP协议簇的安全架构,图 2-2-1 TCP/IP协议簇的安全架构,各个安全协议的具体含义描述如下。,1.应用层的安全协议,(1),S-HTTP(Secure HTTP):,为保证Web的安全，由IETF开发的协议，该协议利用MIME，基于文本进行加密、报文认证和密钥分发等。(2),SSH(Secure Shell):,对BSD系列的UNIX的r系列命令加密而采用的安全技术。(3),SSL-Telnet、SSL-SMTP、SSL-POP3,:以SSL协议分别对Telnet、SMTP、POP3等应用进行的加密。,各个安全协议的具体含义描述如下。1.应用层的安,(4),PET(Privacy Enhanced Telnet):,使Telnet具有加密功能，在远程登录时对连接本身进行加密的方式(由富士通和WIDE开发)。(5),PEM(Privacy Enhanced Mail):,由IEEE标准化的具有加密签名功能的邮件系统。(6),S/MIME(Secure/Multipurpose Internet Mail Extensions):,安全的多用途Internet邮件扩充协议。(7),PGP(Pretty Good Privacy):,具有加密及签名功能的电子邮件协议(RFC1991)。,(4)PET(Privacy Enhanced Tel,2.传输层的安全协议,(1),SSL(Secure Socket Layer):,基于WWW服务器和浏览器之间的具有加密、报文认证、签名验证和密钥分配的加密协议。(2),TLS(Transport Layer Security，IEEE标准):,将SSL通用化的协议(RFC2246)。(3),SOCKS v5:,此协议是防火墙和VPN用的数据加密和认证协议，见IEEE RFC1928(以NEC开发为主)。,2.传输层的安全协议(1)SSL(Secur,3.网络层的安全协议,IPSec,(Internet Protocol Security，IEEE标准):为通信双方提供机密性和完整性服务。,4.网络接口层的安全协议,(1),PPTP(Point to Point Tunneling Protocol)：,点到点隧道协议。(2),L2F(Layer 2 Forwarding):,第二层转发协议。(3),L2TP(Layer 2 Tunneling Protocol):,综合了PPTP和L2F的协议，称为第二层隧道协议。,3.网络层的安全协议IPSec(Interne,9.2.1 应用层的安全协议,应用层的安全协议针对不同的应用安全需求，设计不同的安全机制。常见的协议主要有S-HTTP和PGP。,1.S-HTTP,S-HTTP(Secure Hyper Text Transfer Protocol)是,安全超文本转换协议,的简称，它是一种结合 HTTP 而设计的面向消息的安全通信协议。S-HTTP为 HTTP 客户端和服务器提供了多种安全机制，为WWW中广泛存在的潜在的终端用户提供适当的安全服务选项。,9.2.1 应用层的安全协议应用层的安全协议针对不,2.PGP,PGP,(Pretty Good Privacy)加密技术的创始人是美国的Philip Zimmermann，他的创造性工作是把RSA公钥体系和传统加密(IDEA)体系结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计。PGP提供了一种安全的通信方式，它可以,对邮件进行保密,以防止非授权者阅读，它还能,对邮件加上数字签名,从而使收信人可以确认邮件的发送者，并能确信邮件有没有被篡改。PGP采用了一种杂合算法，把RSA和IDEA算法都应用其中，用于电子邮件的压缩和计算明文的摘要值等。,2.PGPPGP(Pretty Good P,2.2.2 传输层的安全协议,传输层的安全协议有,SSL、TLS、SOCKS v5,等。Netscape公司开发的SSL(Secure Socket Layer)协议是安全套接层协议，是一种安全通信协议。,SSL是为客户端/服务器之间的HTTP协议提供加密的安全协议,，作为标准被集成在浏览器上。SSL位于传输层与应用层之间，并非是Web专用的安全协议，也能为Telnet、SMTP、FTP等其他协议所应用，但SSL只能用于TCP，不能用于UDP。,TLS,是SSL通用化的加密协议，由IETF标准化。,2.2.2 传输层的安全协议传输层的安全协议有SS,SOCKS v4,是为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议的客户端/服务器应用提供的协议。,SOCKS v5,扩展了SOCKS v4以使其支持UDP，扩展了框架以包含一般的强安全认证方案，扩展了寻址方案以包括域名和IPv6地址，此协议在传输层及应用层之间进行操作。,SOCKS v4是为TELNET、FTP、HTTP、WA,2.2.3 网络层的安全协议,IPSec协议,是在网络层上实现的具有加密、认证功能的安全协议，由IETF标准化，它既适合于IP v4，也适合于IPv6。IPSec协议能够为所有基于TCP/IP协议的应用提供安全服务。,2.2.3 网络层的安全协议IPSec协议是在网络,2.2.4 网络接口层的安全协议,网络接口层的安全协议主要有,PPTP、L2F、L2TP,等。,1.PPTP,PPTP(点到点隧道协议)是由微软、朗讯和3COM等公司推出的协议标准，是集成在Windows NT 4.0、Windows 98等系统上的点对点的安全协议，它使用扩展的GRE(Generic Routing Encapsulation，通用路由封装)协议封装PPP分组，通过在IP网上建立的隧道来透明传送PPP帧。PPTP在逻辑上延伸了PPP会话，从而形成了虚拟的远程拨号。,2.2.4 网络接口层的安全协议网络接口层的安全协,2.L2F,L2F是第二层转发协议，是由Cisco Systems 建议的标准。它在RFC 2341中定义，是基于ISP的、为远程接入服务器RAS提供VPN功能的协议。它是1998年标准化的远程访问VPN的协议。,3.L2TP,1996年6月，Microsoft和CISCO 向IETF PPP扩展工作组(PPPEXT)提交了一个MS-PPTP和Cisco L2F协议的联合版本，该提议被命名为第二层隧道协议(L2TP)。L2TP是综合了PPTP和L2F等协议的另一个基于数据链路层的隧道协议，它继承了L2F的格式和PPTP中的最出色的部分。,2.L2F L2F是第二层转发协议,为传输层提供安全保护的协议主要有SSL和TLS。TLS用于在两个通信应用程序之间提供保密性和数据完整性服务。,2.3 SSL协议,为传输层提供安全保护的协议主要有SSL和TLS。TLS,2.3.1 SSL安全服务,SSL协议可提供以下3种基本的安全功能服务。(1),信息加密,。,SSL 所采用的加密技术既有对称加密技术(如DES、IDEA)，也有非对称加密技术(如RSA)，从而确保了信息传递过程中的机密性。,(2),身份认证,。,通信双方的身份可通过RSA(数字签名技术)、DSA(数字签名算法)和ECDSA(椭圆曲线数字签名算法)来验证，SSL协议要求在握手交换数据前进行身份认证，以此来确保用户的合法性。,2.3.1 SSL安全服务SSL协议可提供以下3,(3),信息完整性校验,。,通信的发送方通过散列函数产生消息验证码(MAC)，接收方通过验证MAC来保证信息的完整性。SSL 提供完整性校验服务，使所有经过SSL协议处理的业务都能全部准确、无误地到达目的地。,SSL不是一个单独的协议，而是两层协议，如图2-3-1所示。其中，最主要的两个SSL子协议是握手协议和记录协议。,(3)信息完整性校验。通信的发送方通过散列函数产,图2-3-1 SSL的分层