清华大学信息与网络安全概论(第三版)课件 (8).ppt

网络通信协议安全(TCP/IP Security)信息与网络安全概论(第三版)本章內容11.1 TCP/IP网络协议11.2 应用层的网络安全通信协议11.3 传输层的网络安全通信协议11.4 网络层的网络安全通信协议11.5 拒绝服务攻击2信息与网络安全概论(第三版)11.1 TCP/IP网络协议TCP/IP网络协议是1970年由美国国防部在发展分封交换网络(ARPANET)时所提出的 ，是一，是一钟网络通信协议。目前已成为一项国际标准协议。TCP/IP由一些协议组成，负责两主机间的连接与数据交换。分为4层(Layer)，每一层都通过呼叫它的下一层所提供的服务来完成自己的需求。3信息与网络安全概论(第三版)TCP/IP 网络协议的4个层SMTP TELNET FTP DNS SNMP TCP UDP IP ICMP 网络界面：驱动程序(Drivers)网络硬件：Ethernet、Token Ring等应用层(Application)传输层(Transport)网络层(Internet)数据链路层(Interface)4信息与网络安全概论(第三版)OSI网络协议与TCP/IP网络协议5信息与网络安全概论(第三版)11.1.1 应用层lTCP/IP协议的最上层(第4层)，对应于OSI的会话层(Session Layer)、表示层(Presentation Layer)及应用层 。l主要是提供应用程序的数据传输接口。l根据这些网络协议，可以在应用层上开发与网络通信相关的应用程序，好让用户利用这些应用程序进行数据传输。l在应用层中，相关应用程序有简单邮件传输协议(SMTP)、文件传输协议(FTP)与超文本传输协议(HTTP)等。6信息与网络安全概论(第三版)11.1.2 传输层由传输控制协议(Transmission Control Protocol,TCP)与用户数据报协议(User Datagram Protocol,UDP)组成。提供主机间的数据分割与发送服务，並确定数据已被送达与接受。TCP：支持错误相应与封包(Packet)重組的能力，提供两主机之间可信赖的传输，接收端收到每一封包都会返回确认。UDP：属于非面向连接(Connectionless Oriented)的传输协议，缺乏相关的侦错与确认机制，数据传递的可靠度较差。优点是传送数据时速度较快，适合大量的数据传递情况。7信息与网络安全概论(第三版)11.1.3 网络层是TCP/IP协议的第2层，对应于OSI的网络层 。由Internet协议(Internet Protocol,IP)与Internet控制消息协议(Internet Control Message Protocol,ICMP)组成。主要是将传输层所接收的封包转换成封包实际的传输接口。8信息与网络安全概论(第三版)(1)IP(Internet Protocol)定义数据单元的格式。定义网络寻址方式(IP Address)。决定数据封包在网络上的传递路径。(2)ICMP(Internet Control Message Protocol)网络状况监视工具 。(3)ARP(Address Resolution Protocol)(3)ARP(Address Resolution Protocol)通过网络上的IP地址来查出其网卡的实体位置MAC(Media Access Control)地址 。网络层通信协议9信息与网络安全概论(第三版)(4)RARP(Reverse Address Resolution Protocol)(4)RARP(Reverse Address Resolution Protocol)协助发送端找到本身的IP地址。網路層的通訊協定(續)10信息与网络安全概论(第三版)11.1.4 数据链路层数据链路层也称网络接口层(Network Interface Layer)。负责提供计算机系统与网卡的驱动程序，以定义如何在此网络连线架构下传送数据。11信息与网络安全概论(第三版)11.1.5 封包的传递与拆装 封包传递与拆装的流程12信息与网络安全概论(第三版)Ethernet数据格式l发送端地址(Source Address)l接收端地址 (Destination Address)l类型 (Type Code)l检查码 (Checksum Code)13信息与网络安全概论(第三版)11.2 应用层的网络安全通信协议l lSMTP:SMTP:简单邮件传输协议 l lTELNET:TELNET:远程登录协议lFTP:文件传输协议lDNS:域名服务器lSNMP:简单网络管理协议 14信息与网络安全概论(第三版)11.2.1 PGP安全电子邮件系统PGP由Philip Zimmermann撰写，并于1991年完成第一版。PGP可以提供电子邮件机密性、完整性和验证性服务。15信息与网络安全概论(第三版)PGP信息的传送和接收过程 16信息与网络安全概论(第三版)电子邮件系统所使用的符号及代表的意义KS对称式加密算法的会话密钥(Session Key)SKAPKA用户A的秘密密钥用户A的公开密钥EPDP公开密钥加密算法公开密钥解密算法ECDC对称式加密算法对称式解密算法H|Z哈希函数联结压缩算法17信息与网络安全概论(第三版)11.2.2 PGP协议的数字签名机制PGP的数字签名过程18信息与网络安全概论(第三版)11.2.3 PGP协议的信息加密机制PGP的信息加密过程19信息与网络安全概论(第三版)11.2.4 PGP协议的邮件传递流程PGP产生电子邮件的过程20信息与网络安全概论(第三版)接收方收到PGP电子邮件后的处理流程11.2.4 PGP协议的邮件传递流程(续)21信息与网络安全概论(第三版)11.3.1 SSL安全传输协议SSL(Secure Socket Layer)是由Netscape公司在1995年所发表的网络安全协议，其主要功能是建立起浏览器与Web服务器之间数据传递的安全通道。SSL通过加密技术来保障交易数据的安全，当客户端传送数据时，便启动SSL加密机制 。开头是“https:/”，就表示是具有SSL保护的网页。22信息与网络安全概论(第三版)l SSL所提供的安全服务主要有以下几项 ：(1)(1)提供数据传送的机密性 (Confidentiality)(Confidentiality)。(2)(2)提供数据传送的完整性 (Integrity)(Integrity)。(3)(3)提供用户与顾客间的身份验证机制 (Authenticity)(Authenticity)。11.3.1 SSL安全传输协议(续)23信息与网络安全概论(第三版)11.3.1 SSL安全传输协议(续)SSL协议主要分为两部分：SSL记录协议(SSL Record Protocol)SSL记录协议提供数据保密性及完整性两种服务。SSL握手协议(SSL Handshake Protocol)SSL握手协议则提供用户与服务器间的身份验证机制。24信息与网络安全概论(第三版)SSL记录协议的运作过程25信息与网络安全概论(第三版)SSL握手协议的运作过程26信息与网络安全概论(第三版)11.3.2 TLS传输层安全协议lIETF(Internet Engineering Task Force)组织在1999年发表了传输层安全(Transport Layer Security，TLS)协议 。l TLS主要是以SSL第三版本为基础，其内容仅信息格式及部分加密套件与SSL略有不同 。lTLS大部分的记录格式与SSL相同，只是版本编号的部分有些出入 。l SSL与TLS在加密套件与信息验证码的选择上也有些不同 ，此外，此外，TLS与SSL在Random的产生方式及信息验证码也稍微有些出入，但其基本思想都是一致的 。27信息与网络安全概论(第三版)11.4.1 IPSecl网络层目前多半使用IP作为数据传输的协议，但仍有许多安全上的漏洞。于是，IETF便积极制订一套网络层的安全通信协议，称为IPSec协议(IP Secure)，以确保IP层级的通信安全。lPSec主要提供以下3种安全服务 ：(1)确认性 (Authentication)(2)机密性 (Confidentiality)(3)密钥管理 (Key Management)28信息与网络安全概论(第三版)IPSec主要包括两种协议 ：E 确认性应用报头协议 (Authentication Header,AH)(Authentication Header,AH)n确保来源认证性及数据完整性 。E数据封装安全负载协议 (Encapsulating Security(Encapsulating Security Payload,ESP)Payload,ESP)n提供数据的机密性。11.4.1 IPSec(续)29信息与网络安全概论(第三版)11.4.2 IPSec的确认性应用报头协议确认性应用报头的格式内容30信息与网络安全概论(第三版)11.4.3 IPSec的安全数据封装协议安全数据封装协议的格式内容31信息与网络安全概论(第三版)11.4.4 IPSec的密钥管理机制l密钥管理服务的主要目的是帮助用户安全地协议出所需要的秘密密钥。lIPSec 提供了手动(Manual)与自动(Automated)两种密钥管理方式 。32信息与网络安全概论(第三版)l手动密钥管理：-系统管理者以人工的方式用自己的密钥与其他系统的密钥来设定所需要的安全协议。-适用于小型且通信对象固定的环境 。l自动密钥管理：-安全协议的设定工作由系统自动来执行。-适用于大型且通信对象经常变动的环境。-采用的是改良的Diffie-Hellman算法。11.4.4 IPSec的密钥管理机制(续)33信息与网络安全概论(第三版)l容易遭受“堵塞(Clogging)”的网络攻击 -可利用cookies來协助预防“堵塞”网络攻击l容易遭受“藏镜人”的网络攻击 -要预防“藏镜人”的网络攻击，就需要在每次信息交换时都要附加上验证对方的信息，以确认对方的身份。Diffie-Hellman算法的缺点34信息与网络安全概论(第三版)如何预防堵塞的网络攻击？可以利用Cookies来协助。Cookies可视为一个64位的随机数值1.A先产生其Cookies(CA)，并传送给B 。2.B也产生其Cookies(CB)，将CB连同CA一起传送给用户A 。3.A收到之后便将公开密钥YA连同CA及CB一起传送给B 。4.同样，B也将其公开密钥YB连同CA及CB一起传送给A 。5.A与B收到对方的公开密钥后，先验证所收到的CA及CB是否与记录上的相同。6.若相同，则执行所对应的指数运算；若不同，则拒绝处理该信息 。35信息与网络安全概论(第三版)11.5 拒绝服务攻击l拒绝服务攻击(Denial of Service Attack，DoS攻击)是目前TCP/IP协议上常见的攻击方式 。l其攻击方式是试图让系统的工作超过其负荷而导致系统瘫痪 。36信息与网络安全概论(第三版)DoS的攻击方式大致可以分为以下几种 ：(1)死亡侦测攻击(Ping of death)(2)分割重组攻击(Teardrop)(3)来源地址欺骗攻击(Land)(4)请求泛滥攻击(SYN Flooding)(5)回复泛滥攻击(Smurf Flooding)(6)分布式攻击(Distributed)11.5 拒绝服务攻击(续)37信息与网络安全概论(第三版)死亡侦测攻击指传送一个大于65 535字节的侦测(Ping)封包给系统。由于系统最大只能接收65 535字节的IP封包，因此一个大于65 535字节的封包将使系统因溢出而发生错误。通常系统无法接受一个大于65 535字节的封包，但攻击者还是可以将此封包分解后传送，然后再到被攻击系统处组合，进而造成系统瘫痪。如今的操作系统大部分都已经可以自动地来侦测这类的攻击。38信息与网络安全概论(第三版)分割重组攻击利用封包分割与重组间的落差(Gap)来对系统进行攻击 。当封包的大小超过封包所能传送的最大单位时，封包就必须进行分割，然后依次地将这些分割后的封包传输到目标主机上。目标主机收到封包后会对它们重组。刻意制造不正常的封包序列，例如信息重叠位移或改变封包大小等，使得主机在重组过程中因发生错误而造成系统瘫痪。39信息与网络安全概论(第三版)来源地址欺骗攻击源地址欺骗攻击利用IP欺骗(IP Spoofing)的方式来攻击目标主机。攻击者刻意将目标主机的IP地址附加在封包的来源(Source)IP地址与目的(Destination)IP地址这两个字段上，使得这个封包的来源及目的地址都一样。主机在收到这些封包时，由于无法回应信息给自己而使得系统瘫痪或处理速度变慢 。40信息与网络安全概论(第三版)请求泛滥攻击是通过传送大量SYN封包给目标主机，使得目标主机忙于处理这些封包，而无法正常地为合法用户提供服务。SYN封包是当用户要与目标主机通信时，会先送出一个SYN封包来要求目标主机进行通信。目标主机收到封包后会回复一个SYN-ACK封包给用户，用户再送一个ACK封包给目标主机确认。然后才开始进行通信协议。攻击者就送出多个SYN封包给目标主机，目标主机以为要进行通信便开启一个通信埠，并传送SYN-ACK信息给用户，等待用户回复ACK封包。这个等待必须等到该封包溢出时才会被移除，若一个时段内有多个这样的等待事件，则会使系统处理速度变慢。请求泛滥攻击41信息与网络安全概论(第三版)回复泛滥攻击攻击者传送一连串Ping封包(或ICMP echo message)给一个第三者。然后利用IP欺骗的方式将送给第三者的这些封包上的来源地址改变为受攻击主机的IP地址。-会误以为这些封包是由受害主机所传送来的，于是将回复封包传送给这个受害主机。-由于Ping封包会要求路由器对网络广播，这使得网络上充满了要求及回复封包，进而导致网络拥塞甚至中断。42信息与网络安全概论(第三版)分布式攻击指多个远端主机在同一时段内传送许多信息给目标主机，使得目标主机在短时间内因收到大量的信息，超过系统负载而瘫痪。另一种分布式攻击方式是针对网络来进行攻击，其攻击方式就是在网上传输许多信息，以浪费宽宽，造成网络拥塞，这种攻击不会对计算机主机造成伤害，但能使合法的用户无法正常地访问数据。一般来说，DDoS攻击是很难防范的，因为由这些分散主机所做的传输都跟正常的用户无异，因此系统很难去分辨真假。43