TCPIP协议-浙江工业大学.ppt

网络安全补遗和TCP IP协议 陈庆章qzchen 2012年11月27日 网络安全补遗 网络安全要解决的主要问题 网络安全主要解决数据保密和认证的问题 数据保密就是采取复杂多样的措施对数据加以保护 以防止数据被有意或无意地泄露给无关人员 认证分为信息认证和用户认证两个方面信息认证是指信息从发送到接收整个通路中没有被第三者修改和伪造 用户认证是指用户双方都能证实对方是这次通信的合法用户 通常在一个完备的保密系统中既要求信息认证 也要求用户认证 网络安全包括OSI RM各层 事实上 每一层都可以采取一定的措施来防止某些类型的网络入侵事件 在一定程度上保障数据的安全 物理层 可以在包容电缆的密封套中充入高压的氖气 链路层 可以进行所谓的链路加密 即将每个帧编码后再发出 当到达另一端时再解码恢复出来 网络层 可以使用防火墙技术过滤一部分有嫌疑的数据报 在传输层上甚至整个连接都可以被加密 网络安全定义 网络安全是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 网络服务不中断 1 运行系统安全 即保证信息处理和传输系统的安全 2 网络上系统信息的安全 3 网络上信息传播的安全 即信息传播后果的安全 4 网络上信息内容的安全 即我们讨论的狭义的 信息安全 网络安全应具备四个特征 保密性 信息不泄露给非授权的用户 实体或过程 或供其利用的特性 完整性 数据未经授权不能进行改变的特性 即信息在存储或传输过程中保持不被修改 不被破坏和丢失的特性 可用性 可被授权实体访问并按需求使用的特性 即当需要时应能存取所需的信息 网络环境下拒绝服务 破坏网络和有关系统的正常运行等都属于对可用性的攻击 可控性 对信息的传播及内容具有控制能力 主要的网络安全的威胁 1 非授权访问 UnauthorizedAccess 一个非授权的人的入侵 2 信息泄露 DisclosureofInformation 造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题 3 拒绝服务 DenialofService 使得系统难以或不可能继续执行任务的所有问题 安全威胁的常见现象 非授权访问假冒合法用户数据完整性受破坏病毒通信线路被窃听干扰系统的正常运行 改变系统正常运行的方向 以及延时系统的响应时间 密码学点滴 密码分析和密码学 P Dk Ek P 破译密码的技术叫做密码分析设计密码和破译密码的技术统称为密码学 凯撒密码 最古老的地带密码 凯撒密码 它用D表示a 用E表示b 用F表示c 用C表示z 也就是说密文字母相对明文字母左移了3位 更一般地 可以让密文字母相对明文字母左移k位 这样k就成了加密和解密的密钥 缺点 容易破译 因为最多只需尝试25次 k 1 25 即可轻松破译密码 记法约定 用小写表示明文 用大写表示密文 单字母表替换 使明文字母和密文字母之间的映射关系没有规律可循 比如将26个英文字母随意映射到其他字母上 破译者只要拥有很少一点密文 利用自然语言的统计特征 很容易就可破译密码 破译的关键在于找出各种字母或字母组合出现的频率 替代密码 单字母表替换 换位密码 换位有时也称为排列 它不对明文字母进行变换 只是将明文字母的次序进行重新排列 例 XOR加密方法 公开密钥算法 在公开密钥算法中 加密密钥和解密密钥是不同的 并且从加密密钥不能得到解密密钥 为此 加密算法E和解密算法D必须满足以下的三个条件 D E P P 从E导出D非常困难 使用 选择明文 攻击不能攻破E 如果能够满足以上三个条件 则加密算法完全可以公开 著名算法 RSA算法 公钥私钥体制 通信双方各有一对公钥和私钥将自己公钥公布发送方使用对方的公钥加密要发送的数据接收方使用自己私钥对收到的数据解密 公开密钥算法的基本思想 如果某个用户希望接收秘密报文 他必须设计两个算法 加密算法E和解密算法D 然后将加密算法放于任何一个公开的文件中广而告知 这也是公开密钥算法名称的由来 他甚至也可以公开他的解密方法 只要他妥善保存解密密钥即可 当两个完全陌生的用户A和B希望进行秘密通信时 各自可以从公开的文件中查到对方的加密算法 若A需要将秘密报文发给B 则A用B的加密算法EB对报文进行加密 然后将密文发给B B使用解密算法DB进行解密 而除B以外的任何人都无法读懂这个报文 当B需要向A发送消息时 B使用A的加密算法EA对报文进行加密 然后发给A A利用DA进行解密 用户认证 用户认证概念 定义 通信双方在进行重要的数据交换前 常常需要验证对方的身份 这种技术称为用户认证 在实际的操作中 除了认证对方的身份外 同时还要在双方间建立一个秘密的会话密钥 该会话密钥用于对其后的会话进行加密 每次连接都使用一个新的随机选择的密钥 基于共享秘密密钥的用户认证 假设在A和B之间有一个共享的秘密密钥KAB 某个时候A希望和B进行通信 于是双方采用如图所示的过程进行用户认证 使用共享秘密密钥进行用户认证 使用密钥分发中心的用户认证 要求通信的双方具有共享的秘密密钥有时是做不到的 另外如果某个用户要和n个用户进行通信 就需要有n个不同的密钥 这给密钥的管理也带来很大的麻烦 解决的办法是引进一个密钥分发中心 KeyDistributionCenter KDC KDC是可以信赖的 并且每个用户和KDC间有一个共享的秘密密钥 用户认证和会话密钥的管理都通过KDC来进行 KDC举例 如图所示 A希望和B进行通信 一个用KDC进行用户认证的协议 数字签名 数字签名概念 一个可以替代手迹签名的系统必须满足以下三个条件 接收方通过文件中的签名能认证发送方的身份 发送方以后不能否认发送过签名文件 接收方不可能伪造文件内容 使用秘密密钥算法的数字签名 这种方式需要一个可以信赖的中央权威机构 Centra1Authority 以下简称CA 的参与 每个用户事先选择好一个与CA共享的秘密密钥并亲自交到CA 以保证只有用户和CA知道这个密钥 除此以外 CA还有一个对所有用户都保密的秘密密钥KCA 使用秘密密钥算法的数字签名 当A想向B发送一个签名的报文P时 它向CA发出KA B RA t P 其中RA为报文的随机编号 t为时间戳 CA将其解密后 重新组织成一个新的密文KB A RA t P KCA A t P 发给B 因为只有CA知道密钥KCA 因此其他任何人都无法产生和解开密文KCA A t P B用密钥KB解开密文后 首先将KCA A t P 放在一个安全的地方 然后阅读和执行P 验证 当过后A试图否认给B发过报文P时 B可以出示KCA A t P 来证明A确实发过P 因为B自己无法伪造出KCA A t P 它是由CA发来的 而CA是可以信赖的 如果A没有给CA发过P CA就不会将P发给B 这只要用KCA对KCA A t P 进行解密 一切就可真相大白 为了避免重复攻击 协议中使用了随机报文编号RA和时间戳t B能记住最近收到的所有报文编号 如果RA和其中的某个编号相同 则P就被当成是一个复制品而丢弃 另外B也根据时间戳t丢弃旧报文 以防止攻击者经过很长一段时间后 再用旧报文来重复攻击 加密技术应用案例 IP地址回顾 IP地址类别 IP地址划分为四类 1 0 0 0to126 255 255 255 128 0 0 0to191 255 255 255 192 0 0 0to223 255 255 255 224 0 0 0to239 255 255 255 Range 0 NetID 10 110 NetID 1110 MulticastAddress HostID NetID HostID HostID A B C D 8bits 8bits 8bits 8bits 最大网络数 27 2 126 最大主机数 224 2 16777214 最大网络数 214 16384 最大主机数 216 2 65534 最大网络数 221 2097152 最大主机数 28 2 254 Class IP地址范围一览 IP地址解剖 以C类为例 保留IP地址 某些地址已经被Internet放置一边 保留用于专用 如果想在自己内部网上走TCP IP 一般使用保留地址 保留地址段如下 10 0 0 0 10 255 255 255172 16 0 0 172 31 255 255192 168 0 0 192 168 255 255 当内部网要访问Internet时 可以使用NAT技术将保留地址转换到有效IP地址 子网和划分 子网 无论是A B C哪类网络 为了方便我们管理网络以及合理使用IP地址 我们都可以将其进行分割 使其成为规模更小或业务特性更集中的网络 这种网络成为子网 例如从业务处理角度看 我们可以将一个大学的网络分为一个个学院网络 或分为教务网 财务网 人事网等等 这样划分肯定有助于管理 而划分的方法之一就是按照IP地址进行 为什么要划分 节约IP地址空间如果一个单位申请到一个B类地址 该网络将可以容纳65534台主机 该单位又没有如此之多的入网设备 那就出现网络地址浪费问题 同时 即便有如此之多设备入网 要把这些设备放在同一个网络进行管理也是非常复杂的 提高性能加强安全 如何划分 一般所说的子网划分 就是在最初的IP地址划分方案基础上 加入一个子网等级层次 这种子网划分方案对单位外部的网络没有影响 也就是说 在这个单位外部的一台主机仍然只看到原来的具有两个等级的地址结构 在单位内部 本地网络管理员可以为子网ID和主机ID自由地选择任意的长度组合 例子 思考 使用2个bit作为子网位 可以划分多少子网呢 例如 原来的网络 10 5 0 0借用2位划分子网后 10 5 64 0和10 5 128 0 0000101000000101xxxxxxxxxxxxxxxx网络号主机号 子网1 000010100000010101xxxxxxxxxxxxxx网络号子网号主机号子网2 000010100000010110 xxxxxxxxxxxxxx网络号子网号主机号 划分后对外仍是一个网络 网络10 5 0 0 所有目的地址为10 5 x x的分组均到达此路由器 子网划分的计算 子网掩码 子网掩码的作用使网络内的计算机了解子网划分的结构使边缘路由器了解子网划分的结构子网掩码的格式子网掩码也是32bit长的二进制数 由一串连续的1后跟一串连续的0组成 前面的1与网络号和子网号对应 后面的0与主机号对应 如前面的例子 子网结构为 0000101000000101ssxxxxxxxxxxxxxx子网掩码为 11111111111111111100000000000000掩码写成十进制数为 255 255 192 0 默认子网掩码 不划分子网时 各类IP地址默认的子网掩码为 A类 255 0 0 011111111000000000000000000000000B类 255 255 0 011111111111111110000000000000000C类 255 255 255 011111111111111111111111100000000 已知IP地址和子网掩码 如何计算子网地址 用子网掩码和IP地址 相与 AND操作 结果就是子网地址 例如 IP地址10 5 100 1 子网掩码10 5 192 0 则可计算出10 5 100 1的子网地址为00001010000001010110000000000001AND 1111111111111111110000000000000000001010000001010100000000000000 10 5 64 0 推论 若两个IP地址具有完全相同的子网地址 则它们在同一子网中 例子 例子 C类地址可子网划分的子网数目与子网掩码 计算原则 当你计划如何对你的网络ID进行划分时 要设法找到了下到三个方面的最佳平衡点 可用的子网数 每个子网的可用节点数 IP地址的最小损失 子网划分应遵守以下规则 IP地址中的子网ID不能全为1 IP地址中的子网ID不能全是0 IP地址中的主机ID不能全是1 IP地址中的主机ID不能全是0 例子 子网个数计算 设有子网掩码 255 224 0 0 11111111 11100000 00000000 00000000它有3个子网位可用 3个比特位有以下可能的组合 000 001 010 011 100 101 110 111一共有8种唯一性组合 然而 根据分割子网规则必须丢弃第1个和最后一个 这样就有6个唯一性子网地址 例子 主机个数计算 设有子网掩码 255 255 255 240 11111111 11111111 11111111 11110000它有4个比特子网位可用 4个比特位主机位可用 4个主机位的组合有 0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111一共有16种唯一性组合 然而 根据分割子网规则必须丢弃第1个和最后一个 这样就有14个唯一性主机地址 相关计算示例 问题 用192 168 2 0C类地址生成12个子网 求 l 子网掩码 2 前3个有效子网编号 3 在这3个子网络上的主机IP地址范围 4 最后一个有效子网络和IP地址范围 确定子网掩码 对所需要的子网数加1 12 1 13 确定十进制数13的二进制数需要有多少位 13的二进制数是1101 则在子网掩码中需要4位 即 11111111 11111111 11111111 11110000写成点十形式子网掩码 255 255 255 240 确定前3个有效子网络号 第一个网 11000000 10101000 00000010 00010000 192 168 2 16第二个网 11000000 10101000 00000010 00100000 192 168 2 32第三个网 11000000 10101000 00000010 00110000 192 168 2 48 确定这3个子网上的主机范围 对于192 168 2 16子网11000000 10101000 00000010 0001000111000000 1010100000000010 00011110即 192 168 2 17 192 168 2 30对于192 168 2 32子网11000000 10101000 00000010 0010000111000000 1010l000 00000010 00101110即 192 168 2 33 192 168 2 46对于192 168 2 48子网11000000 10101000 00000010 0011000111000000 10101000 00000010 00111110即 192 168 2 49 192 168 2 62 确定最后一个子网号和主机地址范围 11000000 10101000 00000010 11100000最后一个网络 192 168 2 224主机范围为 11000000 10101000 00000010 11100001 192 168 2 22511000000 10101000 00000010 11101110 192 168 2 238 报告 课后作业题目 轻松跟我学子网分隔 什么是子网 分隔后益处 子网掩码 一个计算示例说明子网分隔 计算示例如下 使用B类地址172 20 0 0生成315个子网并找出 1 子网掩码 2 头3个有效网络编号 3 在这3个网络上的主机IP地址范围 4 最后一个有效网络和IP地址范围