计算机网络安全原理（第2版）课件 第7章 传输层安全.pptx

第七章传输层安全;内容提纲;传输层安全;;UDP协议可用于风暴型DDoS。

由于UDP协议不需要与目标建立连接，因此攻击者很容易通过伪造源地址的方式向目标发送攻击报文，非常简单易行

攻击者利用控制的僵尸网络中的大量主机向攻击目标（主机或网络设备）发送大量的UDP数据包，使其忙于处理和回应UDP报文，导致目标设备不能提供正常服务或者直接死机，严重的会造成全网瘫痪。;;;;安全性分析

网络扫描

拒绝服务（DoS）攻击

TCP会话劫持攻击;端口扫描;端口扫描：

TCPConnect扫描

TCPSYN扫描

TCPFIN扫描

Xmas扫描和Null扫描;DDoS攻击：

TCPSYNFlooding;连接劫持：

;连接劫持：

;连接劫持：;内容提纲;由于Web应用协议主要通过传输层的TCP协议来传输其协议报文，而TCP协议不支持加密和认证，因此并不能保证Web应用传输上的安全

网景公司（Netscape）于1994年开发了安全套接字（SecuritySocketLayer,SSL）协议

SSL版本：2.0(1995年)、3.0(1996年，2011年RFC6101)

;;SSL利用TCP协议为上层应用提供端到端的安全传输服务，包括认证和加密;;SSL几个协议之间的关系是：

使用握手协议协商加密和MAC算法以及必威体育官网网址密钥，进行身份认证

使用密码变更规格协议变更连接上使用的密码机制

使用记录协议对交换的数据进行加密和完整性检查

使用告警协议定义数据传输过程中出现的问题并通知相关方;SSL两个重要概念

连接（connection）：是指一种能够提供合适服务类型的传输通道。对SSL来说，这种连接是点对点、暂时的。每条连接都与一个会话关联

会话（session）：是指客户与服务器之间的一种关联，由握手协议创建，定义了一组多个连接共享的密码安全参数。定义会话的目的主要是避免为每次建立连接而进行复杂的密码参数协商过程;SSL两个重要概念

任何一对通信实体（如客户和服务器上的HTTP应用）之间可以有多条安全连接，理论上也允许一对实体之间同时有多个会话，实际上很少出现

每个会话有多种状态

一旦会话建立，就进入当前操作（发送和接收）状态。在握手协议执行期间，会进入读（接收）挂起状态和写（发送）挂起状态。握手完成，挂起状态又回到当前操作状态;SSL连接状态参数;SSL会话状???参数;SSL保障的安全属性：

机密性：SSL客户机和服务器之间传送加密数据。

完整性：SSL可避免服务器和客户机之间的信息被破坏。

认证性：SSL握手时要求交换证书，通过验证证书来保证对方身份的合法性（服务器认证+可选的客户端认证）。

;一、SSL记录协议;记录协议在SSL握手协议完成客户端和服务器之间的握手过程后使用，即客户端和服务器完成双方的身份鉴别并确定安全信息交换使用的算法后执行

必威体育官网网址性：使用握手协议得到的传统加密共享密钥来加密SSL载荷来实现必威体育官网网址性

完整性：使用握手协议得到的MAC共享密钥对SSL载荷进行消息完整性检验;报文格式（示例载荷为上层应用协议报文）;SSL记录协议;报文格式（载荷为上层协议报文）;记录协议对应用数据的处理过程;记录协议支持的加密算法;SSL采用的是链式加密（数字信封）方法：采用对称加密算法加密消息（SSL记录协议），用公开密码算法交换对称加密算法的对称密钥（SSL握手协议）;二、SSL密码变更规格协议;协议由一个仅包含1字节且值为1的消息组成，使得连接从挂起状态改变到当前状态，用于更新此连接使用的密码组

;一旦握手商定了一组新的密钥，都会发送一条变更规格协议报文指示启用新的密钥

问题：为什么不作为其它协议（如握手协议）的一条报文而要独立成一个协议？;三、Alert协议;当客户端和服务器发现错误时，需要通过告警协议向对方发送一个告警消息

同应用数据一样，SSL告警协议报文同样交由SSL记录协议进行压缩和加密处理后发送;协议格式：

第1个字节表示告警类型：值1表示告警，值2表示致命错误。如果是致命错误，则SSL立即关闭SSL连接，而会话中的其它连接将继续进行，但不会再在此会话中建立新连接

第2个字节包含指定告警信息的代码;;四、握手协议;SSL握手协议是客户端和服务器用SSL连接通信时使用的第一个子协议，在开始传输上层应用数据之前使用。

该协议允许服务器和客户端相互验证，协商加密和MAC算法以及加密密钥，用来保护在SSL记录协议中发送的数据;协议格式;协议格式;客户端与服务器之间建立逻辑连接的初始交换过程包括四个阶段;握手协议;密码套件（CipherSuite）：SSL/TLS握手期间协商安全设置的算法（密钥交换算法、认证算法、加密算法及密钥长度、校验算法）的组合;为了更好理解SSL协议的握手过程，结