网络安全协议chap 9.ppt

第9章　网络安全协议 课程主要内容  TCP是一种面向连接的、可靠的传输层协议； TCP协议建立在不可靠的网络层IP协议之上，IP不能提供任何可靠性机制，TCP的可靠性完全由自己实现； TCP采用的最基本的可靠性技术是： 确认与超时重传； 流量控制。 9.1.1 TCP/IP协议簇的基本组成 应用层协议－包括了众多的应用与应用支撑协议。常见的应用层协议有：文件传输协议（FTP）、超文本传输协议（HTTP）、简单邮件传输协议（SMTP）、远程登录（Telnet）。常见的应用支撑协议包括域名服务（DNS）和简单网络管理协议（SNMP）等 传输层协议－主要包含TCP和UDP两个协议。传输控制协议（Transport Control Protocol，TCP）是面向连接的协议，用三次握手和滑动窗口机制来保证传输的可靠性和进行流量控制。用户数据报协议（User Datagram Protocol，UDP）是面向无连接的不可靠运输层协议。 3. 网络层协议－网络层包括多个重要协议，主要协议有4个，即IP、ARP、RARP和ICMP。网际协议（Internet Protocol，IP）是其中的核心协议，IP协议规定网络层数据分组的格式。Internet控制消息协议（Internet Control Message Protocol，ICMP）提供网络控制和消息传递功能。地址解释协议（Address Resolution Protocol，ARP）用来将逻辑地址解析成物理地址。反向地址解释协议（Reverse Address Resolution Protocol，RARP）通过RARP广播，将物理地址解析成逻辑地址。 TCP协议的三次“握手” 建立 TCP 连接 A 的 TCP 向 B 发出连接请求报文段，其首部中的同步比特 SYN 应置为 1，并选择序号 x，表明传送数据时的第一个数据字节的序号是 x。 B 的 TCP 收到连接请求报文段后，如同意，则发回确认。 B 在确认报文段中应将 SYN 置为 1，其确认号应为 x ? 1，同时也为自己选择序号 y。 A 收到此报文段后，向 B 给出确认，其确认号应为 y ? 1。 A 的 TCP 通知上层应用进程，连接已经建立。 当运行服务器进程的主机 B 的 TCP 收到主机 A 的确认后，也通知其上层应用进程，连接已经建立。 TCP协议的四次“挥手” TCP 连接释放的过程 TCP传输连接建立举例 TCP传输连接建立：“三次握手 ” TCP传输的连接释放举例 9.1.4 TCP/IP协议簇的安全问题 对IP协议，其IP地址可以通过软件进行设置 IP协议支持源路由方式 在TCP/IP协议的实现中也存在着一些安全缺陷和漏洞 在TCP/IP协议簇中的各种应用协议缺乏认证和必威体育官网网址措施 9.2 网络安全协议 9.3 SSL协议 9.3.1 SSL协议概述 图9－3－1 SSL的体系结构 SSL中有两个重要概念： SSL连接：连接是提供恰当类型服务的传输。SSL连接是点对点的关系，每一个连接与一个会话相联系。 SSL会话：SSL会话是客户和服务器之间的关联，会话通过握手协议(在SSL协议的高层)来创建。会话定义了加密安全参数的一个集合，该集合可以被多个连接所共享。会话可以用来避免为每个连接进行昂贵的新安全参数的协商。 9.3.2 SSL记录协议 SSL从应用层取得的数据需要重定格式（分片、可选的压缩、应用MAC、加密等）后才能传给传输层进行发送。同样，当SSL协议从传输层接收到数据后需要对其进行解密等操作后才能交给上层的应用层。这个工作是由SSL记录协议完成的。 SSL记录协议中发送方执行的操作步骤： ①从上层接受传输的应用报文； ②分片：将数据分片成可管理的块，每个上层报文被分成16KB或更小的数据块； ③进行数据压缩(可选)：压缩是可选的，压缩的前提是不能丢失信息，并且增加的内容长度不能超过1024字节，缺省的压缩算法为空； ④应用MAC：加入信息认证码（MAC），这一步需要用到共享的密钥； ⑤加密：利用IDEA、DES、3DES或其他加密算法对压缩报文和MAC码进行数据加密； ⑥增加SSL首部：增加由内容类型、主要版本、次要版本和压缩长度组成的首部。 ⑦将结果传输到下层。 SSL记录协议中接收方接收数据的工作过程 ①从低层接受报文； ②解密； ③用事先商定的MAC码校验数据； ④如果是压缩的数据，则解压缩； ⑤重装配数据； ⑥传输信息到上层。 9.3.3 SSL修改密文规约协议 SSL修改密文规约协议用来发送修改密文规约协议信息。任何时候客户都能请求修改密码参数，比如握手密钥交换。在修改密文规约的通告发出以后，客户方就