书签 分享 收藏 举报 版权申诉 / 90

类型《信息安全技术》课件第9章.ppt

  • 文档编号:2347774
  • 上传时间:2024-11-29
  • 格式:PPT
  • 页数:90
  • 大小:1.02MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    信息安全技术 信息 安全技术 课件
    资源描述:

    1、9.1 TCT/IP协议簇9.2 网络安全协议9.3 SSL协议9.4 IPSec协议小结习题TCP/IP协议簇是因特网的基础协议,不能简单说成是TCP协议和IP协议的和,它是一组协议的集合,包括传输层的TCP协议和UDP协议等,网络层的IP协议、ICMP协议和IGMP协议等以及数据链路层和应用层的若干协议。9.1 TCP/IP协议簇协议簇 9.1.1 TCP/IP协议簇的基本组成协议簇的基本组成OSI参考模型是指用分层的思想把计算机之间的通信划分为具有层间关系的七个协议层,要完成一次通信,需要在七个相对独立的协议层上完成各自进程才能实现,但TCP/IP参考模型却只用了四层,如图9-1-1所示

    2、。TCP/IP协议是20世纪70年代中期,美国国防部为其ARPANET开发的网络体系结构和协议标准。以TCP/IP为基础建立的因特网是目前国际上规模最大的计算机网络。图 9-1-1 TCP/IP协议簇的体系结构1.应用层协议应用层协议应用层协议包括HTTP(超文本传输协议)、FTP(文件传输协议)、SMTP(简单邮件传输协议)等。应用层协议面向用户处理特定的应用,提供最基本的网络资源服务。常用的网络应用程序运行在应用层上,直接面向用户。2.传输层协议传输层协议传输层协议主要包括TCP(传输控制协议)和UDP(用户数据报协议)。传输层协议的主要功能是完成在不同主机上的用户进程之间的数据通信。TC

    3、P协议实现面向连接的、可靠的数据通信,而UDP 协议负责处理面向无连接的数据通信。3.网络层协议网络层协议网络层协议包括IP(网际协议)、ICMP(互联网控制消息协议)和IGMP(互联网组管理协议)等。IP协议的主要功能包括寻址、路由选择、分段和重新组装。ICMP协议用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。IGMP协议运行于主机和与主机直接相连的组播路由器之间,是IP主机用来报告多址广播组成员身份的协议。通过IGMP协议,一方面主机可以通知本地路由器希望加

    4、入并接收某个特定组播放的信息;另一方面,路由器通过IGMP协议周期性地查询局域网内某个已知组的成员是否处于活动状态。网络层的主要功能是完成IP报文的传输,是无连接的、不可靠的。值得一提的是,ARP(地址解析协议)、RARP(反向地址解析协议)负责实现IP地址与硬件地址的转换,是工作在网络层和网络接口层之间的协议,是TCP/IP协议的组成部分。4.网络接口层协议网络接口层协议网络接口层也称为数据链路层,又称为“网络访问层”,是TCP/IP协议的最底层,它负责向网络媒介(如光纤、双绞线)发送IP数据包,并把它们发送到指定的网络上,且从网络媒介接收物理帧,抽出网络层数据包,交给网络层。网络接口层协议

    5、包括标准以太网协议、令牌环协议、串行线路网际协议(SLIP)、光纤分布式数据接口(FDDI)、异步传输模式(ATM)和点对点协议(PPP)等。9.1.2 TCP/IP协议的封装协议的封装在基于TCP/IP协议的网络中,各种应用层的数据都被封装在IP数据包中在网络上进行传输。其数据封装过程如图9-1-2所示。基于TCP/IP协议的所有应用层的数据(如HTTP、FTP、EMAIL、DNS等)在传输层都是通过TCP(或UDP)数据包的格式进行封装的(见图9-1-3)。图 9-1-2 TCP/IP协议的封装过程结构图 9-1-3 TCP数据包的封装格式TCP协议的头结构是固定的,各字段信息如下:(1)

    6、源端口:指数据流的流出端口,取值范围是065 535。(2)目的端口:指数据流的流入端口,取值范围是065 535。(3)序列号:指出“IP数据报”在发送端数据流中的位置(依次递增)。(4)确认序列号:指出本机希望下一个接收的字节的序号。TCP采用捎带技术,在发送数据时捎带进行对对方数据的确认。(5)头长度:指出以32 bit为单位的段头标长度。(6)码位:指出该IP包的目的与内容,如表9-1-1所示。表表9-1-1 码位中各位的含义码位中各位的含义(7)窗口(滑动窗口):用于通告接收端接收数据的缓冲区的大小。(8)校验和:不仅对头数据进行校验,还对封包内容进行校验。(9)紧急指针:当URG为

    7、1时有效。TCP的紧急方式是发送紧急数据的一种方式。在基于TCP/IP协议的所有应用层的数据通过传输层的封装后,送给网络层,在网络层是通过IP数据包的格式进行传输,最终通过网络接口设备将数据通过各种物理网络进行传输。IP数据包的结构是固定的,如图9-1-4所示。图 9-1-4 IP数据包的封装格式IP数据包各字段的信息如下:(1)版本:版本标识所使用的头“格式”,通常为4或6(2)头标长:说明报头的长度,以4字节为单位。(3)服务类型:主要用于QoS服务,如延时、优先级等。(4)总长:表示整个IP数据包的长度,它等于IP头的长度加上数据段的长度。(5)标识:一个报文的所有分片标识相同,目标主机

    8、根据主机的标识字段来确定新到的分组属于哪一个数据报。(6)标志:该字段指示“IP数据报”是否分片,是否是最后一个分片。(7)片偏移:说明该分片在“IP数据报”中的位置,用于目标主机重建整个新的“数据报分组”,以8字节为单位。(8)生存时间:表示IP包在网络的存活时间(跳数),缺省值为64。(9)协议类型:该字段用来说明此IP包中的数据类型,如1表示ICMP数据包,2表示IGMP数据,6表示TCP数据,17表示UDP数据包。(10)头标校验和:该字段用于校验IP包的头信息,防止数据传输时发生错误。(11)IP选项:IP选项由3部分组成,即选项(选项类别、选项代号)、长度和选项数据。9.1.3 T

    9、CP连接的建立与关闭过程连接的建立与关闭过程基于TCP/IP协议的连接,通常采用客户端/服务器模式。客户端与服务器之间的面向连接的访问是基于TCP的“三次握手协议”。在这个协议中,主动连接方(通常是客户端)先发送一个SYN信息请求连接,然后等待被连接方(通常是服务器)的应答信息,主动连接方收到应答信息后再发送一个确认信息,这样才正式建立连接,以后就可以传输数据了。数据传输完毕,需要断开连接时,其中任何一方发送一个FIN消息,接收方发送一个ACK并且回送一个FIN消息,发送方回送一个应答消息后,TCP的连接就彻底断开了。TCP的建立与关闭过程如图9-1-5所示。图 9-1-5 TCP的建立与关闭

    10、过程9.1.4 TCP/IP协议簇的安全问题协议簇的安全问题随着Internet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议。由于TCP/IP协议在最初设计时是基于一种可信环境的,没有考虑安全性问题,因此它自身存在许多固有的安全缺陷,例如:(1)对IP协议,其IP地址可以通过软件进行设置,这样会造成地址假冒和地址欺骗两类安全隐患。(2)IP协议支持源路由方式,即源发方可以指定信息包传送到目的节点的中间路由,为源路由攻击埋下了隐患。(3)在TCP/IP协议的实现中也存在着一些安全缺陷和漏洞,如序列号产生容易被猜测、参数不检查而导致的缓冲区溢出等。(4)在TCP

    11、/IP协议簇中的各种应用层协议(如Telnet、FTP、SMTP等)缺乏认证和保密措施,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样。如2000年2月的coolio攻击,致使美国无数网站瘫痪(这是一个典型的DDoS攻击,网络上的许多个人用户毫无知觉地成为了攻击行为的“帮凶”);又如2002年3月底,黑客冒用eBay帐户事件,美国华盛顿著名艺术家Gloria Geary在eBay拍卖网站的帐户被黑客用来拍卖 Intel Pentium芯片,由于黑客已经更改了帐户密码,使得真正的帐户主人Gloria Geary在察觉后,反而无法进入自己的帐户,更无法紧

    12、急删除这起造假拍卖事件。为了解决TCP/IP协议簇的安全性问题,弥补TCP/IP协议簇在设计之初对安全功能的考虑不足,以Internet工程任务组(IETF)为代表的相关组织不断通过对现有协议的改进和设计新的安全通信协议,对现有的TCP/IP协议簇提供相关的安全保证,在协议的不同层次设计了相应的安全通信协议,从而形成了由各层安全通信协议构成的TCP/IP协议簇的安全架构,具体参看图9-2-1。9.2 网络安全协议网络安全协议图 9-2-1 TCP/IP协议簇的安全架构各个安全协议的具体含义描述如下。1.应用层的安全协议应用层的安全协议(1)S-HTTP(Secure HTTP):为保证Web的

    13、安全,由IETF开发的协议,该协议利用MIME,基于文本进行加密、报文认证和密钥分发等。(2)SSH(Secure Shell):对BSD系列的UNIX的r系列命令加密而采用的安全技术。(3)SSL-Telnet、SSL-SMTP、SSL-POP3:以SSL协议分别对Telnet、SMTP、POP3等应用进行的加密。(4)PET(Privacy Enhanced Telnet):使Telnet具有加密功能,在远程登录时对连接本身进行加密的方式(由富士通和WIDE开发)。(5)PEM(Privacy Enhanced Mail):由IEEE标准化的具有加密签名功能的邮件系统。(6)S/MIME(

    14、Secure/Multipurpose Internet Mail Extensions):安全的多用途Internet邮件扩充协议。(7)PGP(Pretty Good Privacy):具有加密及签名功能的电子邮件协议(RFC1991)。2.传输层的安全协议传输层的安全协议(1)SSL(Secure Socket Layer):基于WWW服务器和浏览器之间的具有加密、报文认证、签名验证和密钥分配的加密协议。(2)TLS(Transport Layer Security,IEEE标准):将SSL通用化的协议(RFC2246)。(3)SOCKS v5:此协议是防火墙和VPN用的数据加密和认证协

    15、议,见IEEE RFC1928(以NEC开发为主)。3.网络层的安全协议网络层的安全协议IPSec(Internet Protocol Security,IEEE标准):为通信双方提供机密性和完整性服务。4.网络接口层的安全协议网络接口层的安全协议(1)PPTP(Point to Point Tunneling Protocol):点到点隧道协议。(2)L2F(Layer 2 Forwarding):第二层转发协议。(3)L2TP(Layer 2 Tunneling Protocol):综合了PPTP和L2F的协议,称为第二层隧道协议。9.2.1 应用层的安全协议应用层的安全协议应用层的安全协

    16、议针对不同的应用安全需求,设计不同的安全机制。常见的协议主要有S-HTTP和PGP。1.S-HTTPS-HTTP(Secure Hyper Text Transfer Protocol)是安全超文本转换协议的简称,它是一种结合 HTTP 而设计的面向消息的安全通信协议。S-HTTP为 HTTP 客户端和服务器提供了多种安全机制,为WWW中广泛存在的潜在的终端用户提供适当的安全服务选项。S-HTTP 的设计是以与 HTTP 信息样板共存并易于与 HTTP 应用程序相整合为出发点的。S-HTTP对消息的保护可以从3个独立的方面来进行:签名、认证和加密。任何消息可以被签名、认证、加密或者三者中的任意组合。S-HTTP 定义了客户端和服务器之间的两种加密消息格式标准:CMS(Cryptographic Message Syntax)和MOSS(MIME Object Security Services),但不局限于这两种。2.PGPPGP(Pretty Good Privacy)加密技术的创始人是美国的Philip Zimmermann,他的创造性工作是把RSA公钥体系和传统加密(IDEA)体

    展开阅读全文
    提示  兔兜文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:《信息安全技术》课件第9章.ppt
    链接地址:https://www.tudouwenku.com/doc/2347774.html

    若发现您的权益受到侵害,请立即联系客服,我们会尽快为您处理!

    copyright@2008-2025 兔兜文库 版权所有

    鲁公网安备37072502000182号  ICP备案号:鲁ICP备2021021588号-1  百度保障

    兔兜文库
    收起
    展开