第3章网络协议.pptVIP

第3章 安全网络协议 本章学习目标： 掌握TCP/IP的基本安全知识； 掌握IPSec协议的内容； 掌握SSL协议基本知识； 掌握SET协议的关键步骤。 3.1 TCP/IP基本知识 TCP/IP是Internet组网的工业标准，电子商务四个层次中的最底层就是它，电子商务必须关注它的安全，这就如住在高楼层的人要关心楼的地基一样。 3.1.1 互联网工作原理 网络硬件通信是以位串方式进行点到点传送的，使用网络的应用程序并不直接同网络硬件打交道，而是与按给定规则进行通信的协议软件打交道。协议是一套用于信息交换的规则，如使用的语言和信息发送规则，通信涉及的所有部分都必须认同该规则。设计者不是设计一个单一、巨大的协议来为所有可能形式的通信规定完整的细节，而是采取了把通信问题划分成多个子问题，然后为每个子问题设计一个单独的协议的方法。 TCP/IP是互联网的主流协议，它是一组通信协议的代名词。 1. TCP/IP协议的层次模型 2.网络层协议 网络层协议包括IP、ICMP、ARP协议和RARP协议。 （1）网际协议IP IP的具体功能：①路由选择和转发；②通过网络连接在主机之间提供分组交换功能；③分组的分段与成块，差错控制、顺序化、流量控制。 （2）地址解析协议ARP和反向地址解析协议RARP ARP：将IP地址映射成物理地址。ARP协议存在ARP欺骗的攻击风险。 RARP：将物理地址映射成IP地址。 （3）Internet控制消息协议ICMP ICMP的作用：诊断网络（关机、堵塞和工作不正常、网络中其他故障等）。Ping是ICMP协议的一个实现。 3.传输层协议 传输层作用：为两台主机上的应用程序提供端到端的通信。 TCP：可靠、面向连接、字节流有序，可关闭 UDP：不可靠、不需要连接、报文。 TCP协议概述 用于提供可靠的、全双工的虚拟线路连接，连接是在发送和连接的节点端口号之间实施的。TCP协议负责将信息切割成一块块资料包，在远端主机重新按顺序组合起资料包，并且负责重送遗失的资料包。 积极确认和重发送 4.应用层协议 （1）仿真终端协议Telnet （2）文件传输协议FTP （3）HTTP协议 5.以太网 以太网是目前最常用的一种局域网。传统的以太网一般采用广播方式通信，即所有同一以太网段内的设备都接收到每个站点发出的信息包，但是只有目的方接收下来并提交给上层的主机进行处理，其他站点则将该包丢弃。以太网的发展是从1973年施乐公司（Xerox）提出“以太网（Ethernet）”开始的。 以太网站点发送信息包的策略是采用载波监听多点访问/冲突检测CSMA/CD协议，CSMA/CD协议分为以下几个步骤： ① 载波监听 ② 信道忙碌 ③ 信道空闲 ④ 冲突检测 ⑤ 遇忙停发 ⑥ 多路存取 6. 特殊的IP地址 网络ID为127，主机地址任意，用来做循环测试，不可用作其它用途。在IP地址中，如果某一类网络的主机地址为全1，则该IP地址表示是一个网络或子网的广播地址。 IP地址中的全0表示“这个”，全1表示“所有”。 0. 0. 0. 0表示本机； 网络标识号为全0的IP地址表示本网络的这个主机； 主机标识号为全0的IP地址表示这个网络； 55为局域网广播地址； 主机标识号为全1的IP地址表示向指定网络定向广播； 127.X.X.X是回传地址，用于本机器上的测试和进程间通信。 IP分组的目标地址是，则表明该分组将回传给本机 私有地址的范围是： ~ 54 （A类） ~ 54 （B类） ~ 54 （C类） 7.下一代的网际协议IPv6 3.2 IPSEC IPsec是IETF于1998年11月公布的IP安全标准，其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全。 IPsec在网络层上对数据包进行高强度的安全处理，提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。 IPsec协议对IPv4是可选的，对IPv6是强制性的。 IPSec包含3个重要的协议：AH、ESP、IKE AH和ESP两个协议都使用SA来保护通信，而IKE的主要功能就是在通信双方协商SA。 3.2.1 IPsec体系结构 1.安全关联SA（Security Association） 安全联盟（SA） SA（Security Association，安全联盟）是两个IPSec实体（主机、安全网关）之间经过协商建立起来的一种协定，内容包括采用何种IPSec协议（AH和ESP）、运行模式（传输模式还是隧道模式）、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等，从而决定了保护什么、