网络与内容安全007互联网安全协议.pptx
合集下载
网络安全协议基础(PPT50页)
协议:定义了数据的协议,分别为:TCP、UDP、ICMP和IGMP。
校验和:首先将该字段设置为0,然后将IP头的每16位进行二进制 取反求和,将结果保存在校验和字段。
源IP地址:将IP地址看作是32位数值则需要将网络字节顺序转化位 主机字节顺序。
目的IP地址:转换方法和源IP地址一样。
IP是面向非连接的,传递数据的时候不检测网络是否连通,所以是
source
M
Ht M Hn Ht M Hl Hn Ht M
application transport network
link physical
destination
application transport network
link physical
M
Ht M Hn Ht M Hl Hn Ht M
message segment datagram frame
一般来说,主机号部分为全“1 ”的IP地址保留用作广播地址; 主机号部分为全“0 ”的IP地址保留用作网络地址。26
子网掩码(一)
子网掩码是用来判断任意两台计算机的IP地 址是否属于同一子网的根据。
两台计算机各自的IP地址与子网掩码进行二 进制“与”(AND)运算后,如果得出的结 果是相同的,则说明这两台计算机是处于同 一个子网络上的,可以进行直接通信。
15
分层: 逻辑通信(一)
每一层 分布式的 “实体”在每个节点上实现本层的功能 实体与对等实体交换消息
16
分层: 逻辑通信(二)
如: transport 从应用层得到数据 添加地址和可靠性标记信息,得到”数据报” 把数据报发送给对等实体 等待对方发送确认信息
17
分层: 物理通信
《网络安全协议基础》PPT课件
TCP在建立连接的时候需要三次确认,俗称“三
次握手”,在断开连接的时候需要四次确认,俗 称“四次挥手”。
h
25
TCP协议的三次“握手”
172.18.25.110
172.18.25.109
我可以连接到你吗?
当然可以
那我就不客气了
h
26
TCP协议的三次“握手”
这个过程在FTP的会话过程中也明显的显示出来, 如图2-12所示。
网络层: 路由、转发,拥塞控制
数据链路层: 成帧,差错控制、流量控 制,物理寻址,媒体访问 物控理制层: 缆线,信号的编码,网络 接插件的电、机械接口
h
ISO-OSI模型
分组 帧 PDU: Protocol Data Unit 协议数据单元 3
数据的封装
应用层 表示层 会话层 传输层 网络层 数据链路层
h
30
TCP协议的四次“挥手”
需要断开连接的时候,TCP也需要互相确认才可以断开连 接,四次交互过程如图2-16所示。
172.18.25.110
172.18.25.109
我要结束连接
当然可以 终止了
好,收到
h
31
第一次“挥手”
第一次交互过程的数据报结构
h
32
第二次“挥手”
第一次交互中,首先发送一个FIN=1的请求,要求断开, 目标主机在得到请求后发送ACK=1进行确认
h
33
第三次“挥手”
在确认信息发出后,就发送了一FIN=1的包,与源主机断开。
h
34
第四次“挥手”
随后源主机返回一条ACK=1的信息,这样一次完整的TCP 会话就结束了。
h
35
用户数据报协议UDP
《网络与信息安全》PPT课件
精选PPT
17
电子邮件
2.6 WWW浏览
WWW的相关概念
WWW是World Wide Web的缩写(读作3W), 简称Web,或叫做“万维网”。
“超文本”和“超级链接”:Web是以超文本 (Hyper Text)方式组织信息的。超文本文件 通常由一些文字、表格、图像、声音、视频以 及一些“超级链接(Hyper Link)”组成,通 过“超级链接”把不同的文件连接而成一个整 体。可以把“超级链接”理解为指向其他Web 页或Web上文件的指针。如此,用户可以不断 地跳转到Web海洋中的不同地方,如同“冲 浪”。
精选PPT
18
W W W 浏览
浏览器是漫游Internet 的客户端软件,目前 最流行的浏览器当数 微软公司的Explorer (简称IE)和网景公 司(Netscape)的 Navigator。IE在 Windows中集成,其 他浏览器可到网上下 载。IE的界面如图所 示。
精选PPT
19
2.7 计算机病毒Computer Virus
精选PPT
21
计算机病毒的传染途径:
1)通过磁介质(软盘或硬盘) 2)通过光介质盘(盗版光盘) 3)通过网络(互连网、局域网)
精选PPT
22
2.8 计算机病毒的防治 预防:
❖ 病毒防火墙 ❖ 病毒监测软件 ❖ 数据的备份
精选PPT
23
计算机病毒的防治
检测(注意可能出现的异常现象):
➢ 磁盘坏簇莫名奇妙地增多;
精选PPT
15
电子邮件
认识电子邮件地址
liming@
用户名@电子邮件服务器
信箱
邮局
At:在什么之上
精选PPT
16
17
电子邮件
2.6 WWW浏览
WWW的相关概念
WWW是World Wide Web的缩写(读作3W), 简称Web,或叫做“万维网”。
“超文本”和“超级链接”:Web是以超文本 (Hyper Text)方式组织信息的。超文本文件 通常由一些文字、表格、图像、声音、视频以 及一些“超级链接(Hyper Link)”组成,通 过“超级链接”把不同的文件连接而成一个整 体。可以把“超级链接”理解为指向其他Web 页或Web上文件的指针。如此,用户可以不断 地跳转到Web海洋中的不同地方,如同“冲 浪”。
精选PPT
18
W W W 浏览
浏览器是漫游Internet 的客户端软件,目前 最流行的浏览器当数 微软公司的Explorer (简称IE)和网景公 司(Netscape)的 Navigator。IE在 Windows中集成,其 他浏览器可到网上下 载。IE的界面如图所 示。
精选PPT
19
2.7 计算机病毒Computer Virus
精选PPT
21
计算机病毒的传染途径:
1)通过磁介质(软盘或硬盘) 2)通过光介质盘(盗版光盘) 3)通过网络(互连网、局域网)
精选PPT
22
2.8 计算机病毒的防治 预防:
❖ 病毒防火墙 ❖ 病毒监测软件 ❖ 数据的备份
精选PPT
23
计算机病毒的防治
检测(注意可能出现的异常现象):
➢ 磁盘坏簇莫名奇妙地增多;
精选PPT
15
电子邮件
认识电子邮件地址
liming@
用户名@电子邮件服务器
信箱
邮局
At:在什么之上
精选PPT
16
《网络安全协议基础》课件
1 SSH
2 SSL/TLS
Secure Shell 是一种常用 的应用层安全协议,用于 安全远程登录和文件传输。
SSL/TLS在应用层进行加 密,保护Web浏览器和服 务器之间的通信安全。
3 PGP
Pretty Good Privacy 是一 种常用的加密和数字签名 协议,用于保护电子邮件 和文件的安全。
主要的网络安全协议标准
1
RFC 5246
TLS协议的标准文档,规定了TLS/SSL的
RFC 4301
2
实现和使用。
IPSec协议的标准文档,定义了IPSec的
协议规范和安全架构。
3
RFC 4251
SSH协议的标准文档,描述了SSH协议 的工作原理和安全机制。
总结
网络安全协议是保护网络通信安全的重要手段,包括传输层安全协议、网络 层安全协议和应用层安全协议。了解常见的网络安全协议和标准,对建立安 全的网络环境至关重要。
网络层安全协议
1
IPS ec隧道模式
IPSec隧道模式用于创建安全的虚拟专用网络,保证数据在网络上的安全传输。
2
防火墙
防火墙是一种常见的网络层安全设备,用于检测和过滤网络流量,以保护网络免 受攻击。
3
路由器访问控制列表
路由器访问控制列表用于限制网络流量的访问权限,增强网络的安全性。
应用层安全协议
SSH
Secure Shell 是一种应用层安 全协议,用于远程登录和安全 文件传输程
SSL证书
HTTPS
TLS握手过程包括协议版本协商、 密钥交换、身份验证和加密通信 等步骤。
SSL证书用于验证服务器身份, 并提供公钥加密和数字签名功能。
网络协议与网络安全讲义(PPT 25张)
-TVC Two-way VC 双向虚电路
-IVC Incoming VC 单向入虚电路
虚 电 路 逻 辑 通 道 网 络 设 备
-OVC Outgoing VC 单向出虚电路
网 络 设 备
●提高传输效率 ●控制流量,防止线路拥塞或接收方溢出 ●差错(误码、丢失等)检测与恢复 ●多条物理线路上的分流与合流,负载均衡(容灾) ●多条物理线路进行“捆绑”,形成多路复用 ●带宽控制、优先级控制、时延控制、抖动控制 ●安全传输机制
Network Protocols & Network Security
DNS
• DNS-Domain Name Service 域名(解析)服务、服务器、系统
• 多级域名解析体系 • 二级域名解析 • 动态域名解析
第四讲 Internet协议 6
《 网 络 协 议 与 网 络 安 全 》 凌 力
Network Protocols & Network Security
Internet协议簇
HTTP SMTP FTP Telnet SNMP UDP … TCP
IP ICMP/ARP
Ethernet Wire WLAN Wireless …
第四讲 Internet协议
2
《 网 络 协 议 与 网 络 安 全 》 凌 力
Network Protocols & Network Security
Internet简史
• Internet简史
– 1969 年 , 美 国 国 防 部 远 景 研 究 规 划 局 (Advanced Research Projects Agency)为军事实验用而建立ARPANET(设计目标是 当网络中的一部分因战争原因遭到破坏时,其余部分仍能正 常运行) – 80年代初期,ARPA和美国国防部通信局研制成功用于异构网 络的TCP/IP协议并投入使用 – 1986年,在美国国会科学基金会(National Science Foundation) 的支持下,用高速通信线路把分布在全美各地的一些超级计 算机连接起来,以NFSNET接替ARPANET – 经过十几年的发展形成 Internet 。应用范围由最早的军事、国 防,扩展到美国国内的学术机构,进而迅速覆盖了全球的各 个领域,运营性质也由科研、教育为主逐渐转向商业化 – 1994年4月20日,NCFC工程连接Internet的64K国际专线开通, 从此中国被国际上正式承认为真正拥有全功能Internet的国家
网络与内容安全-007互联网安全协议
(4)透明性好。
(5)管理方便。
(6)开放性好。
-23-
IPSec保护数据的形式
• 认证:通过认证可以确定所接受的数据与所发 送的数据是否一致,同时可以确定申请发送者 பைடு நூலகம்实际上是真实的还是伪装的发送者;
• 数据完整验证:通过验证,保证数据在从原发 地到目的地的传送过程中没有发生任何无法检 测的丢失与改变;
• 在数据字段前插入IPSec认证头,而对IP包头不进行任 何修改
• 源地址和目标地址暴露在公网中,容易遭到攻击
• 通常用于两个终端节点之间的连接,如“客户-服务器”
• 当采用AH传输模式时,主要为IP数据包(IP包头中的 可变信息除外)提供认证保护
• 采用ESP传输模式时,主要对IP数据包的上层信息提供 加密和认证双重保护
– 访问控制,连接完整性,数据源认证,拒绝重放数据包,保密性(加密),有
限
AH
ESP(仅加密)
ESP(加密+认证)
访问控制
√
√
√
连接完整性
√
√
数据源认证
√
√
拒绝重放包
√
√
√
保密性
有效保密性
27
√
√
√
√
-27-
IPSec的工作过程
-28-
IPSec的工作模式-传输模式
• IPSec传输模式只对IP包的数据部分进行加密
题; • 加密算法:描述将各种不同加密算法用于ESP的文档 • 认证算法:描述将各种不同加密算法用于AH以及ESP认证选项的文档; • DOI (Domain of Interpretation):其它相关文档,批准的加密和认证算法标识,
网络协议与安全讲义.pptx
IP协议
❖提供无连接的数据报datagram传送服务 ❖数据报路由选择和差错控制 ❖Datagram和fragement
▪ IP协议支持的最长datagram为65535byte ▪ IP协议将Datagram封装为符合物理网络要求的
帧格式的分片fragement
IP报文格式
IP协议的安全问题
FTP:21 20 SSH:22 Telnet:23 SMTP:25 POP3:110 HTTP:80 HTTPS:443 DNS:53 NETBIOS name service:137,138,139 SNMP:161 SOCKS:1080
网络状态的查看:netstat
C:\Documents and Settings\Administrator>netstat -a
LISTENING
UDP WStation:microsoft-ds *:*
UDP WStation:ntp
*:*
UDP WStation:netbios-ns *:*
UDP WStation:netbios-dgm *:*
连接状态 State
LISTEN
SYN_SENT SYN_RECEIVED
ESTABLISHED
FIN_WAIT_1
FIN_WAIT_2 CLOSE_WAIT CLOSING LAST_ACK TIME_WAIT
CLOSED
侦听来自远程TCP端口的连接请求,这是服务器 端才有的状态;
在发送连接请求后等待匹配的连接请求;
在收到和发送一个连接请求后等待对连接请求的 确认;
代表一个打开的连接,数据可以传送给用户,表 示两机正在通讯;
Session Transport Network Data Link Physical
《网络安全协议基础》课件
概述
工作原理
应用场景
安全性分析
SSH协议是一种网络协议,用于安全地远程登录和管理远程服务器。它提供了加密的通信通道,确保用户身份验证和数据传输的安全性。
SSH协议使用公钥加密算法和密钥交换机制来建立安全的通信通道。它支持多种认证方式,如密码认证、公钥认证等,并提供数据加密和完整性保护功能。
SSH协议广泛应用于远程登录和管理服务器、配置网络设备等场景,提供安全的远程访问和管理能力。
Kerberos协议通过使用对称加密算法和密钥交换机制,确保用户身份的真实性和通信的安全性。
Kerberos协议还支持单点登录和多因素认证的特点,以提高身份认证的安全性。
Kerberos协议是一种基于对称加密算法的身份认证协议,通过密钥管理实现用户之间的安全通信。
02
03
04
网络安全协议的应用场景
IPsec协议通过使用加密算法和安全关联(SA)来提供安全服务。它支持多种加密算法,如AES、DES等,并使用数字签名和哈希函数来验证数据的完整性和来源。
IPsec协议广泛应用于虚拟专用网络(VPN)、远程访问、企业网等场景,为IP数据包提供端到端的安全保护。
IPsec协议具有较高的安全性,但配置和管理相对复杂,需要仔细考虑密钥管理和安全策略等方面的问题。
《网络安全协议基础》ppt课件
目录
网络安全协议概述常见的网络安全协议网络安全协议的工作原理网络安全协议的应用场景网络安全协议的未来发展与挑战
网络安全协议概述
网络安全协议
网络安全协议是指在计算机网络通信中,用于实现安全防护和数据传输的协议。它是一系列规则和标准的集合,用于保护网络通信中的数据不被非法获取、篡改或泄露。
02
01
单点登录
工作原理
应用场景
安全性分析
SSH协议是一种网络协议,用于安全地远程登录和管理远程服务器。它提供了加密的通信通道,确保用户身份验证和数据传输的安全性。
SSH协议使用公钥加密算法和密钥交换机制来建立安全的通信通道。它支持多种认证方式,如密码认证、公钥认证等,并提供数据加密和完整性保护功能。
SSH协议广泛应用于远程登录和管理服务器、配置网络设备等场景,提供安全的远程访问和管理能力。
Kerberos协议通过使用对称加密算法和密钥交换机制,确保用户身份的真实性和通信的安全性。
Kerberos协议还支持单点登录和多因素认证的特点,以提高身份认证的安全性。
Kerberos协议是一种基于对称加密算法的身份认证协议,通过密钥管理实现用户之间的安全通信。
02
03
04
网络安全协议的应用场景
IPsec协议通过使用加密算法和安全关联(SA)来提供安全服务。它支持多种加密算法,如AES、DES等,并使用数字签名和哈希函数来验证数据的完整性和来源。
IPsec协议广泛应用于虚拟专用网络(VPN)、远程访问、企业网等场景,为IP数据包提供端到端的安全保护。
IPsec协议具有较高的安全性,但配置和管理相对复杂,需要仔细考虑密钥管理和安全策略等方面的问题。
《网络安全协议基础》ppt课件
目录
网络安全协议概述常见的网络安全协议网络安全协议的工作原理网络安全协议的应用场景网络安全协议的未来发展与挑战
网络安全协议概述
网络安全协议
网络安全协议是指在计算机网络通信中,用于实现安全防护和数据传输的协议。它是一系列规则和标准的集合,用于保护网络通信中的数据不被非法获取、篡改或泄露。
02
01
单点登录
互联网信息安全网络安全PPT
甚至可以远程窥探到被害人正在实施的网络行为,进而将网上银行、 支付宝、电子游戏等的账号、密码盗取,瞬间转走账户里的资金, 使被害人遭受重大的经济损失。
03
谨慎选择电子商务网站
钓鱼网站往往搞一些促销活动吸引眼球,促销价格比正常价格低得离谱,信誓旦旦保 证没有一家同类店铺能比得过它,承诺假一赔十,辅以一些虚假的证书等蒙蔽消费者, 最终使消费者上当受骗。
单击此处输入你的正文,文字是您思想的提炼,为了最终演示发布的良好效 果,请尽量言简意赅的阐述观点;根据需要可酌情增减文字。
第二部分 PART-02
02
网络交易的类型
网络交易指发生在信息网络中企业之间)、企业和消费者之间以及个人与个人之间通过网络通信手段缔结交易。它利用计算机技术、网络技 术和远程通信技术,实现整个商务(买卖)过程中的电子化、数字化和网络化,是一种采用最先进信息技术的买卖方式。
02
单击此处输入你的正文,文字是您思想的提炼,为了最终演示发布的良好效 果,请尽量言简意赅的阐述观点;根据需要可酌情增减文字。
第三部分 PART-03
03
全面 性
广泛 性
时效 性
隐蔽 性
风险 性
03
网络交易的安全防范
加强对计算机的防病毒措施,保障网购的安全环境。
网络木马病毒是网上银行、支付宝账户等网购支付系统最大的潜在 威胁,一旦电脑感染木马病毒,不法分子就会通过木马病毒程网络交易电子证据的好习惯,保证网络交易安全努力维护好自身的合法权益。
单击此处输入你的正文,文字是您思想的提炼,为了最终演示发布的良好效 果,请尽量言简意赅的阐述观点;根据需要可酌情增减文字。
第四部分 PART-04
04
网络交友的安全隐患
04
03
谨慎选择电子商务网站
钓鱼网站往往搞一些促销活动吸引眼球,促销价格比正常价格低得离谱,信誓旦旦保 证没有一家同类店铺能比得过它,承诺假一赔十,辅以一些虚假的证书等蒙蔽消费者, 最终使消费者上当受骗。
单击此处输入你的正文,文字是您思想的提炼,为了最终演示发布的良好效 果,请尽量言简意赅的阐述观点;根据需要可酌情增减文字。
第二部分 PART-02
02
网络交易的类型
网络交易指发生在信息网络中企业之间)、企业和消费者之间以及个人与个人之间通过网络通信手段缔结交易。它利用计算机技术、网络技 术和远程通信技术,实现整个商务(买卖)过程中的电子化、数字化和网络化,是一种采用最先进信息技术的买卖方式。
02
单击此处输入你的正文,文字是您思想的提炼,为了最终演示发布的良好效 果,请尽量言简意赅的阐述观点;根据需要可酌情增减文字。
第三部分 PART-03
03
全面 性
广泛 性
时效 性
隐蔽 性
风险 性
03
网络交易的安全防范
加强对计算机的防病毒措施,保障网购的安全环境。
网络木马病毒是网上银行、支付宝账户等网购支付系统最大的潜在 威胁,一旦电脑感染木马病毒,不法分子就会通过木马病毒程网络交易电子证据的好习惯,保证网络交易安全努力维护好自身的合法权益。
单击此处输入你的正文,文字是您思想的提炼,为了最终演示发布的良好效 果,请尽量言简意赅的阐述观点;根据需要可酌情增减文字。
第四部分 PART-04
04
网络交友的安全隐患
04
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第七章 互联网安全协议
马占宇 信通院模式识别实验室
-1-
第七章 互联网安全协议 1
1. 网络安全协议概述 2. IPSec协议 3. SSL和TLS协议
-2-
系统的安全威胁
安全威胁 窃听 重传 伪造 篡改
拒绝服务攻击 行为否认 非授权访问 传播病毒
说明 攻击者获得敏感信息 攻击者实现获得信息,再发送给接收者 攻击者伪造信息发给接收者 攻击者修改信息,再发送给接收者 攻击者使系统响应变缓慢或瘫痪
-7-
Internet层次结构
-8-
Internet协议栈
• Internet Protocol: IPv4提供节点间可靠传输
– 除了IP,还有ICMP(Internet Control Message Protocol), IGMP(Internet Group Membership Protocol)
否认发生的行为 假冒、身份攻击、非法用户 通过网络传播计算机病毒
-3-
目标 身份真实性 信息机密性 信息完整性 服务可用性
不可否认性 系统可控性 系统易用性 可审查性
网络安全的目标
内容 对通信实体的身份进行鉴别 机密信息不会泄漏给非授权的人 保证数据的一致性 保证合法用户对信息和资源的使用不会被 不正当的拒绝 责任机制,防止实体否认行为 控制使用资源的实体的使用方式 满足安全的前提下操作简单方便 对网络安全问题提供调查的依据和手段
• Internet protocol suite由2个不同的传输协议组成:
– Transmission Control Protocol (TCP) 在IP 之上提供传输可靠. – User Datagram Protocol (UDP) 组播传输、以及不在意可靠性的传输方式
-9-
用户数据经过协议栈的封装
-6-
Internet安全协议
• 网络安全协议的目标是提供数据的机密性、完整性及通信双方 的认证
• Internet安全协议是在原有网络协议的各个层面增加安全机制,– The IP Encapsulating Security Payload (ESP) – The Internet Protocol Security (IPSec) – The Secure Sockets Layer (SSL) protocol – the Transport Layer Security protocol (TLS) – The Secure Hyper Text Transfer Protocol (S-HTTP)
l TLS:Transport Layer Security(IEEE标准),是将SSL 通用化的协议
l SOCKS 5是基于防火墙和虚拟专用网(VPN)的数据加 密和认证协议
-15-
常用网络安全协议 – 网络层
l IPSec:Internet Protocol Security(IEEE标准), 为通信提供机密性、完整性等
-10-
Internet相关标准
• The Internet Engineering Task Force (IETF) :
– Open Specification for Pretty Good Privacy (OPENPGP) – Authenticated Firewall Traversal (AFT) – Common Authentication Technology (CAT) – Domain Name System Security (DNSSEC) – IP Security Protocol (IPSEC) – One Time Password Authentication (OTP) – Public-Key Infrastructure (X.509)(PKIX) – S/MIME Mail Security (SMIME) – Secure Shell (SECSH) – Simple Public-Key Infrastructure (SPKI) – Transport Layer Security (TLS) – Web Transaction Security (WTS) • Request for Comments (RFCs): Internet-Drafts
-16-
常用网络安全协议 – 链路层
l PPTP:Point to Point Tunneling Protocol,点对点隧 道协议
l L2F:Layer 2 Forwarding,二层转发/隧道协议 l L2TP:Layer 2 Tunneling Protocol,二层隧道协议,
综合了PPTP和L2F的协议 l Ethernet,WAN链路加密设备
-11-
IP协议族
-12-
常用网络安全协议 – 应用层
l S-HTTP: Secure HTTP,保证Web的安全,由EIT开 发的协议。该协议利用MIME,基于文本进行加密、报 文认证和密钥分发等
l SSH:Secure SHell,是对BSD系列的UNIX的r系列命 令加密所采用的安全技术
l PGP: Pretty Good Privacy,具有加密及签名功能 的电子邮件
-4-
目标实现条件
• 先进的技术 • 严格的管理 • 法律约束 • 安全教育
-5-
Internet的安全风险
• 安全问题的表现
– IP spoofing – Packet sniffing – ……
• 安全问题的原因
– 缺乏安全机制
• 如IPv4
– 安全意识淡薄 – 安全知识的欠缺
侦听到的数据
还原的消息
-13-
例:网上银行https
Netscape开发并内置于其浏览器中,HTTPS实际上应用 了Netscape的完全套接字层(SSL)作为HTTP应用层的 子层。(HTTPS使用端口443,而不是象HTTP那样使用端 口80来和TCP/IP进行通信)
-14-
常用网络安全协议 – 传输层
l SSL:Secure Socket Layer,是基于Web服务器和浏览 器之间的具有加密、报文认证、签名验证和密钥分配功 能的加密协议
马占宇 信通院模式识别实验室
-1-
第七章 互联网安全协议 1
1. 网络安全协议概述 2. IPSec协议 3. SSL和TLS协议
-2-
系统的安全威胁
安全威胁 窃听 重传 伪造 篡改
拒绝服务攻击 行为否认 非授权访问 传播病毒
说明 攻击者获得敏感信息 攻击者实现获得信息,再发送给接收者 攻击者伪造信息发给接收者 攻击者修改信息,再发送给接收者 攻击者使系统响应变缓慢或瘫痪
-7-
Internet层次结构
-8-
Internet协议栈
• Internet Protocol: IPv4提供节点间可靠传输
– 除了IP,还有ICMP(Internet Control Message Protocol), IGMP(Internet Group Membership Protocol)
否认发生的行为 假冒、身份攻击、非法用户 通过网络传播计算机病毒
-3-
目标 身份真实性 信息机密性 信息完整性 服务可用性
不可否认性 系统可控性 系统易用性 可审查性
网络安全的目标
内容 对通信实体的身份进行鉴别 机密信息不会泄漏给非授权的人 保证数据的一致性 保证合法用户对信息和资源的使用不会被 不正当的拒绝 责任机制,防止实体否认行为 控制使用资源的实体的使用方式 满足安全的前提下操作简单方便 对网络安全问题提供调查的依据和手段
• Internet protocol suite由2个不同的传输协议组成:
– Transmission Control Protocol (TCP) 在IP 之上提供传输可靠. – User Datagram Protocol (UDP) 组播传输、以及不在意可靠性的传输方式
-9-
用户数据经过协议栈的封装
-6-
Internet安全协议
• 网络安全协议的目标是提供数据的机密性、完整性及通信双方 的认证
• Internet安全协议是在原有网络协议的各个层面增加安全机制,– The IP Encapsulating Security Payload (ESP) – The Internet Protocol Security (IPSec) – The Secure Sockets Layer (SSL) protocol – the Transport Layer Security protocol (TLS) – The Secure Hyper Text Transfer Protocol (S-HTTP)
l TLS:Transport Layer Security(IEEE标准),是将SSL 通用化的协议
l SOCKS 5是基于防火墙和虚拟专用网(VPN)的数据加 密和认证协议
-15-
常用网络安全协议 – 网络层
l IPSec:Internet Protocol Security(IEEE标准), 为通信提供机密性、完整性等
-10-
Internet相关标准
• The Internet Engineering Task Force (IETF) :
– Open Specification for Pretty Good Privacy (OPENPGP) – Authenticated Firewall Traversal (AFT) – Common Authentication Technology (CAT) – Domain Name System Security (DNSSEC) – IP Security Protocol (IPSEC) – One Time Password Authentication (OTP) – Public-Key Infrastructure (X.509)(PKIX) – S/MIME Mail Security (SMIME) – Secure Shell (SECSH) – Simple Public-Key Infrastructure (SPKI) – Transport Layer Security (TLS) – Web Transaction Security (WTS) • Request for Comments (RFCs): Internet-Drafts
-16-
常用网络安全协议 – 链路层
l PPTP:Point to Point Tunneling Protocol,点对点隧 道协议
l L2F:Layer 2 Forwarding,二层转发/隧道协议 l L2TP:Layer 2 Tunneling Protocol,二层隧道协议,
综合了PPTP和L2F的协议 l Ethernet,WAN链路加密设备
-11-
IP协议族
-12-
常用网络安全协议 – 应用层
l S-HTTP: Secure HTTP,保证Web的安全,由EIT开 发的协议。该协议利用MIME,基于文本进行加密、报 文认证和密钥分发等
l SSH:Secure SHell,是对BSD系列的UNIX的r系列命 令加密所采用的安全技术
l PGP: Pretty Good Privacy,具有加密及签名功能 的电子邮件
-4-
目标实现条件
• 先进的技术 • 严格的管理 • 法律约束 • 安全教育
-5-
Internet的安全风险
• 安全问题的表现
– IP spoofing – Packet sniffing – ……
• 安全问题的原因
– 缺乏安全机制
• 如IPv4
– 安全意识淡薄 – 安全知识的欠缺
侦听到的数据
还原的消息
-13-
例:网上银行https
Netscape开发并内置于其浏览器中,HTTPS实际上应用 了Netscape的完全套接字层(SSL)作为HTTP应用层的 子层。(HTTPS使用端口443,而不是象HTTP那样使用端 口80来和TCP/IP进行通信)
-14-
常用网络安全协议 – 传输层
l SSL:Secure Socket Layer,是基于Web服务器和浏览 器之间的具有加密、报文认证、签名验证和密钥分配功 能的加密协议