【正文】 第 9講 網(wǎng)絡(luò)安全協(xié)議 TCT/IP協(xié)議簇 網(wǎng)絡(luò)安全協(xié)議 SSL協(xié)議 IPSec協(xié)議 主要內(nèi)容 TCP/IP協(xié)議簇 ? TCP/IP協(xié)議簇是因特網(wǎng)的基礎(chǔ)協(xié)議，是一組協(xié)議的集合，包括傳輸層的 TCP協(xié)議和UDP協(xié)議等，網(wǎng)絡(luò)層的 IP協(xié)議、 ICMP協(xié)議和 IGMP協(xié)議等以及數(shù)據(jù)鏈路層和應(yīng)用層的若干協(xié)議。 TCP/IP協(xié)議簇的體系結(jié)構(gòu) 應(yīng)用層和傳輸層 ? HTTP(超文本傳輸協(xié)議 )、 FTP(文件傳輸協(xié)議 )、SMTP(簡(jiǎn)單郵件傳輸協(xié)議 )等。 ? TCP(傳輸控制協(xié)議 )和 UDP(用戶數(shù)據(jù)報(bào)協(xié)議 )。 傳輸層協(xié)議的主要功能是完成在不同主機(jī)上的用戶進(jìn)程之間的數(shù)據(jù)通信。 TCP協(xié)議實(shí)現(xiàn)面向連接的、可靠的數(shù)據(jù)通信，而 UDP 協(xié)議負(fù)責(zé)處理面向無連接的數(shù)據(jù)通信。 網(wǎng)絡(luò)層協(xié)議 ? 包括 IP(網(wǎng)際協(xié)議 )、 ICMP(互聯(lián)網(wǎng)控制消息協(xié)議 )和 IGMP(互聯(lián)網(wǎng)組管理協(xié)議 )等。 ? 網(wǎng)絡(luò)層的主要功能是完成 IP報(bào)文的傳輸，是無連接的、不可靠的。 IP協(xié)議 ? IP協(xié)議的主要功能包括尋址、路由選擇、分段和重新組裝。 ICMP協(xié)議 ? ICMP協(xié)議用于在 IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。 IGMP ? IGMP協(xié)議運(yùn)行于主機(jī)和與主機(jī)直接相連的組播路由器之間，是 IP主機(jī)用來報(bào)告多址廣播組成員身份的協(xié)議。 ? 通過 IGMP協(xié)議，一方面主機(jī)可以通知本地路由器希望加入并接收某個(gè)特定組播放的信息 。 ? 另一方面，路由器通過 IGMP協(xié)議周期性地查詢局域網(wǎng)內(nèi)某個(gè)已知組的成員是否處于 ARP與 RARP ? ARP(地址解析協(xié)議 )、 RARP(反向地址解析協(xié)議 )負(fù)責(zé)實(shí)現(xiàn) IP地址與硬件地址的轉(zhuǎn)換，工作在網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層之間。 網(wǎng)絡(luò)接口層 ? 即數(shù)據(jù)鏈路層，或“網(wǎng)絡(luò)訪問層”，負(fù)責(zé)向網(wǎng)絡(luò)媒介 (如光纖、雙絞線 )發(fā)送 IP數(shù)據(jù)包，從網(wǎng)絡(luò)媒介接收物理幀，抽出網(wǎng)絡(luò)層數(shù)據(jù)包，交給網(wǎng)絡(luò)層。 ? 包括標(biāo)準(zhǔn)以太網(wǎng)協(xié)議、令牌環(huán)協(xié)議、串行線路網(wǎng)際協(xié)議 (SLIP)、光纖分布式數(shù)據(jù)接口(FDDI)、異步傳輸模式 (ATM)和點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)等。 TCP/IP協(xié)議的封裝過程結(jié)構(gòu) TCP數(shù)據(jù)包的封裝格式 TCP協(xié)議的頭結(jié)構(gòu) ? (1) 源端口 : 指數(shù)據(jù)流的流出端口，取值范圍是0～ 65535 ? (2) 目的端口 : 指數(shù)據(jù)流的流入端口，取值范圍是0～ 65535 ? (3) 序列號(hào) : 指出“ IP數(shù)據(jù)報(bào)”在發(fā)送端數(shù)據(jù)流中的位置 (依次遞增 )。 ? (4) 確認(rèn)序列號(hào) : 指出本機(jī)希望下一個(gè)接收的字節(jié)的序號(hào)。 TCP采用捎帶技術(shù)，在發(fā)送數(shù)據(jù)時(shí)捎帶進(jìn)行對(duì)對(duì)方數(shù)據(jù)的確認(rèn)。 ? (5) 頭長(zhǎng)度 : 指出以 32 bit為單位的段頭標(biāo)長(zhǎng)度。 ? (6) 碼位 : 指出該 IP包的目的與內(nèi)容。 碼位中各位的含義 TCP協(xié)議的頭結(jié)構(gòu) ? (7) 窗口 (滑動(dòng)窗口 ): 用于通告接收端接收數(shù)據(jù)的緩沖區(qū)的大小。 ? (8) 校驗(yàn)和 : 不僅對(duì)頭數(shù)據(jù)進(jìn)行校驗(yàn)，還對(duì)封包內(nèi)容進(jìn)行校驗(yàn)。 ? (9) 緊急指針 : 當(dāng) URG為 1時(shí)有效。 TCP的緊急方式是發(fā)送緊急數(shù)據(jù)的一種方式。 IP數(shù)據(jù)包的封裝格式 IP數(shù)據(jù)包各字段的信息 ? (1) 版本 : 版本標(biāo)識(shí)所使用的頭“格式”，通常為4或 6 ? (2) 頭標(biāo)長(zhǎng) : 說明報(bào)頭的長(zhǎng)度，以 4字節(jié)為單位。 ? (3) 服務(wù)類型 : 主要用于 QoS服務(wù)，如延時(shí)、優(yōu)先級(jí)等。 ? (4) 總長(zhǎng) : 表示整個(gè) IP數(shù)據(jù)包的長(zhǎng)度，它等于 IP頭 ? (5) 標(biāo)識(shí) : 一個(gè)報(bào)文的所有分片標(biāo)識(shí)相同，目標(biāo)主機(jī)根據(jù)主機(jī)的標(biāo)識(shí)字段來確定新到的分組屬于哪一個(gè)數(shù)據(jù)報(bào)。 IP數(shù)據(jù)包各字段的信息 ? (6) 標(biāo)志 : 該字段指示“ IP數(shù)據(jù)報(bào)”是否分片，是否是最后一個(gè)分片。 ? (7) 片偏移 : 說明該分片在“ IP數(shù)據(jù)報(bào)”中的位置，用于目標(biāo)主機(jī)重建整個(gè)新的“數(shù)據(jù)報(bào)分組”，以 8字節(jié)為單位。 ? (8) 生存時(shí)間 : 表示 IP包在網(wǎng)絡(luò)的存活時(shí)間 (跳數(shù) )，缺省值為 64。 ? (9) 協(xié)議類型 : 該字段用來說明此 IP包中的數(shù)據(jù)類型，如 1表示 ICMP數(shù)據(jù)包， 2表示 IGMP數(shù)據(jù)， 6表示TCP數(shù)據(jù)， 17表示 UDP數(shù)據(jù)包。 ? (10) 頭標(biāo)校驗(yàn)和 : 該字段用于校驗(yàn) IP包的頭信息，防止數(shù)據(jù)傳輸時(shí)發(fā)生錯(cuò)誤。 ? (11) IP選項(xiàng) : IP選項(xiàng)由 3部分組成，即選項(xiàng) (選項(xiàng)類別、選項(xiàng)代號(hào) )、長(zhǎng)度和選項(xiàng)數(shù)據(jù)。 TCP的建立與關(guān)閉過程 TCP/IP協(xié)議簇的安全問題 ? 由于 TCP/IP協(xié)議在最初設(shè)計(jì)時(shí)是基于一種可信環(huán)境的，沒有考慮安全性問題，因此它自身存在許多固 ? (1) 對(duì) IP協(xié)議，其 IP地址可以通過軟件進(jìn)行設(shè)置，這 ? (2) IP協(xié)議支持源路由方式，即源發(fā)方可以指定信息包傳送到目的節(jié)點(diǎn)的中間路由，為源路由攻擊埋 ? (3) 在 TCP/IP協(xié)議的實(shí)現(xiàn)中也存在著一些安全缺陷和漏洞，如序列號(hào)產(chǎn)生容易被猜測(cè)、參數(shù)不檢查而導(dǎo)致的緩沖區(qū)溢出等。 TCP/IP協(xié)議簇的安全問題 ? (4) 在 TCP/IP協(xié)議簇中的各種應(yīng)用層協(xié)議(如 Tel、 FTP、 SMTP等 )缺乏認(rèn)證和保密措施，這就為欺騙、否認(rèn)、拒絕、篡改、竊取等行為開了方便之門，使得基于這些缺陷和漏洞的攻擊形式多樣。 網(wǎng)絡(luò)安全協(xié)議 ? 為了解決 TCP/IP協(xié)議簇的安全性問題，彌補(bǔ)TCP/IP協(xié)議簇在設(shè)計(jì)之初對(duì)安全功能的考慮不足，以 Inter工程任務(wù)組 (IETF)為代表的相關(guān)組織不斷通過對(duì)現(xiàn)有協(xié)議的改進(jìn)和設(shè)計(jì)新的安全通信協(xié)議，對(duì)現(xiàn)有的 TCP/IP協(xié)議簇提供相關(guān)的安全保證，在協(xié)議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，