TCPIP協(xié)議-浙江工業(yè)大學(xué).ppt

《TCPIP協(xié)議-浙江工業(yè)大學(xué).ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《TCPIP協(xié)議-浙江工業(yè)大學(xué).ppt（55頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

網(wǎng)絡(luò)安全補(bǔ)遺和TCP IP協(xié)議 陳慶章qzchen 2012年11月27日 網(wǎng)絡(luò)安全補(bǔ)遺 網(wǎng)絡(luò)安全要解決的主要問題 網(wǎng)絡(luò)安全主要解決數(shù)據(jù)保密和認(rèn)證的問題 數(shù)據(jù)保密就是采取復(fù)雜多樣的措施對(duì)數(shù)據(jù)加以保護(hù) 以防止數(shù)據(jù)被有意或無意地泄露給無關(guān)人員 認(rèn)證分為信息認(rèn)證和用戶認(rèn)證兩個(gè)方面信息認(rèn)證是指信息從發(fā)送到接收整個(gè)通路中沒有被第三者修改和偽造 用戶認(rèn)證是指用戶雙方都能證實(shí)對(duì)方是這次通信的合法用戶 通常在一個(gè)完備的保密系統(tǒng)中既要求信息認(rèn)證 也要求用戶認(rèn)證 網(wǎng)絡(luò)安全包括OSI RM各層 事實(shí)上 每一層都可以采取一定的措施來防止某些類型的網(wǎng)絡(luò)入侵事件 在一定程度上保障數(shù)據(jù)的安全 物理層 可以在包容電纜的密封套中充入高壓的氖氣 鏈路層 可以進(jìn)行所謂的鏈路加密 即將每個(gè)幀編碼后再發(fā)出 當(dāng)?shù)竭_(dá)另一端時(shí)再解碼恢復(fù)出來 網(wǎng)絡(luò)層 可以使用防火墻技術(shù)過濾一部分有嫌疑的數(shù)據(jù)報(bào) 在傳輸層上甚至整個(gè)連接都可以被加密 網(wǎng)絡(luò)安全定義 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件 軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù) 不受偶然的或者惡意的原因而遭到破壞 更改 泄露 系統(tǒng)連續(xù)可靠正常地運(yùn)行 網(wǎng)絡(luò)服務(wù)不中斷 1 運(yùn)行系統(tǒng)安全 即保證信息處理和傳輸系統(tǒng)的安全 2 網(wǎng)絡(luò)上系統(tǒng)信息的安全 3 網(wǎng)絡(luò)上信息傳播的安全 即信息傳播后果的安全 4 網(wǎng)絡(luò)上信息內(nèi)容的安全 即我們討論的狹義的 信息安全 網(wǎng)絡(luò)安全應(yīng)具備四個(gè)特征 保密性 信息不泄露給非授權(quán)的用戶 實(shí)體或過程 或供其利用的特性 完整性 數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性 即信息在存儲(chǔ)或傳輸過程中保持不被修改 不被破壞和丟失的特性 可用性 可被授權(quán)實(shí)體訪問并按需求使用的特性 即當(dāng)需要時(shí)應(yīng)能存取所需的信息 網(wǎng)絡(luò)環(huán)境下拒絕服務(wù) 破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊 可控性 對(duì)信息的傳播及內(nèi)容具有控制能力 主要的網(wǎng)絡(luò)安全的威脅 1 非授權(quán)訪問 UnauthorizedAccess 一個(gè)非授權(quán)的人的入侵 2 信息泄露 DisclosureofInformation 造成將有價(jià)值的和高度機(jī)密的信息暴露給無權(quán)訪問該信息的人的所有問題 3 拒絕服務(wù) DenialofService 使得系統(tǒng)難以或不可能繼續(xù)執(zhí)行任務(wù)的所有問題 安全威脅的常見現(xiàn)象 非授權(quán)訪問假冒合法用戶數(shù)據(jù)完整性受破壞病毒通信線路被竊聽干擾系統(tǒng)的正常運(yùn)行 改變系統(tǒng)正常運(yùn)行的方向 以及延時(shí)系統(tǒng)的響應(yīng)時(shí)間 密碼學(xué)點(diǎn)滴 密碼分析和密碼學(xué) P Dk Ek P 破譯密碼的技術(shù)叫做密碼分析設(shè)計(jì)密碼和破譯密碼的技術(shù)統(tǒng)稱為密碼學(xué) 凱撒密碼 最古老的地帶密碼 凱撒密碼 它用D表示a 用E表示b 用F表示c 用C表示z 也就是說密文字母相對(duì)明文字母左移了3位 更一般地 可以讓密文字母相對(duì)明文字母左移k位 這樣k就成了加密和解密的密鑰 缺點(diǎn) 容易破譯 因?yàn)樽疃嘀恍鑷L試25次 k 1 25 即可輕松破譯密碼 記法約定 用小寫表示明文 用大寫表示密文 單字母表替換 使明文字母和密文字母之間的映射關(guān)系沒有規(guī)律可循 比如將26個(gè)英文字母隨意映射到其他字母上 破譯者只要擁有很少一點(diǎn)密文 利用自然語(yǔ)言的統(tǒng)計(jì)特征 很容易就可破譯密碼 破譯的關(guān)鍵在于找出各種字母或字母組合出現(xiàn)的頻率 替代密碼 單字母表替換 換位密碼 換位有時(shí)也稱為排列 它不對(duì)明文字母進(jìn)行變換 只是將明文字母的次序進(jìn)行重新排列 例 XOR加密方法 公開密鑰算法 在公開密鑰算法中 加密密鑰和解密密鑰是不同的 并且從加密密鑰不能得到解密密鑰 為此 加密算法E和解密算法D必須滿足以下的三個(gè)條件 D E P P 從E導(dǎo)出D非常困難 使用 選擇明文 攻擊不能攻破E 如果能夠滿足以上三個(gè)條件 則加密算法完全可以公開 著名算法 RSA算法 公鑰私鑰體制 通信雙方各有一對(duì)公鑰和私鑰將自己公鑰公布發(fā)送方使用對(duì)方的公鑰加密要發(fā)送的數(shù)據(jù)接收方使用自己私鑰對(duì)收到的數(shù)據(jù)解密 公開密鑰算法的基本思想 如果某個(gè)用戶希望接收秘密報(bào)文 他必須設(shè)計(jì)兩個(gè)算法 加密算法E和解密算法D 然后將加密算法放于任何一個(gè)公開的文件中廣而告知 這也是公開密鑰算法名稱的由來 他甚至也可以公開他的解密方法 只要他妥善保存解密密鑰即可 當(dāng)兩個(gè)完全陌生的用戶A和B希望進(jìn)行秘密通信時(shí) 各自可以從公開的文件中查到對(duì)方的加密算法 若A需要將秘密報(bào)文發(fā)給B 則A用B的加密算法EB對(duì)報(bào)文進(jìn)行加密 然后將密文發(fā)給B B使用解密算法DB進(jìn)行解密 而除B以外的任何人都無法讀懂這個(gè)報(bào)文 當(dāng)B需要向A發(fā)送消息時(shí) B使用A的加密算法EA對(duì)報(bào)文進(jìn)行加密 然后發(fā)給A A利用DA進(jìn)行解密 用戶認(rèn)證 用戶認(rèn)證概念 定義 通信雙方在進(jìn)行重要的數(shù)據(jù)交換前 常常需要驗(yàn)證對(duì)方的身份 這種技術(shù)稱為用戶認(rèn)證 在實(shí)際的操作中 除了認(rèn)證對(duì)方的身份外 同時(shí)還要在雙方間建立一個(gè)秘密的會(huì)話密鑰 該會(huì)話密鑰用于對(duì)其后的會(huì)話進(jìn)行加密 每次連接都使用一個(gè)新的隨機(jī)選擇的密鑰 基于共享秘密密鑰的用戶認(rèn)證 假設(shè)在A和B之間有一個(gè)共享的秘密密鑰KAB 某個(gè)時(shí)候A希望和B進(jìn)行通信 于是雙方采用如圖所示的過程進(jìn)行用戶認(rèn)證 使用共享秘密密鑰進(jìn)行用戶認(rèn)證 使用密鑰分發(fā)中心的用戶認(rèn)證 要求通信的雙方具有共享的秘密密鑰有時(shí)是做不到的 另外如果某個(gè)用戶要和n個(gè)用戶進(jìn)行通信 就需要有n個(gè)不同的密鑰 這給密鑰的管理也帶來很大的麻煩 解決的辦法是引進(jìn)一個(gè)密鑰分發(fā)中心 KeyDistributionCenter KDC KDC是可以信賴的 并且每個(gè)用戶和KDC間有一個(gè)共享的秘密密鑰 用戶認(rèn)證和會(huì)話密鑰的管理都通過KDC來進(jìn)行 KDC舉例 如圖所示 A希望和B進(jìn)行通信 一個(gè)用KDC進(jìn)行用戶認(rèn)證的協(xié)議 數(shù)字簽名 數(shù)字簽名概念 一個(gè)可以替代手跡簽名的系統(tǒng)必須滿足以下三個(gè)條件 接收方通過文件中的簽名能認(rèn)證發(fā)送方的身份 發(fā)送方以后不能否認(rèn)發(fā)送過簽名文件 接收方不可能偽造文件內(nèi)容 使用秘密密鑰算法的數(shù)字簽名 這種方式需要一個(gè)可以信賴的中央權(quán)威機(jī)構(gòu) Centra1Authority 以下簡(jiǎn)稱CA 的參與 每個(gè)用戶事先選擇好一個(gè)與CA共享的秘密密鑰并親自交到CA 以保證只有用戶和CA知道這個(gè)密鑰 除此以外 CA還有一個(gè)對(duì)所有用戶都保密的秘密密鑰KCA 使用秘密密鑰算法的數(shù)字簽名 當(dāng)A想向B發(fā)送一個(gè)簽名的報(bào)文P時(shí) 它向CA發(fā)出KA B RA t P 其中RA為報(bào)文的隨機(jī)編號(hào) t為時(shí)間戳 CA將其解密后 重新組織成一個(gè)新的密文KB A RA t P KCA A t P 發(fā)給B 因?yàn)橹挥蠧A知道密鑰KCA 因此其他任何人都無法產(chǎn)生和解開密文KCA A t P B用密鑰KB解開密文后 首先將KCA A t P 放在一個(gè)安全的地方 然后閱讀和執(zhí)行P 驗(yàn)證 當(dāng)過后A試圖否認(rèn)給B發(fā)過報(bào)文P時(shí) B可以出示KCA A t P 來證明A確實(shí)發(fā)過P 因?yàn)锽自己無法偽造出KCA A t P 它是由CA發(fā)來的 而CA是可以信賴的 如果A沒有給CA發(fā)過P CA就不會(huì)將P發(fā)給B 這只要用KCA對(duì)KCA A t P 進(jìn)行解密 一切就可真相大白 為了避免重復(fù)攻擊 協(xié)議中使用了隨機(jī)報(bào)文編號(hào)RA和時(shí)間戳t B能記住最近收到的所有報(bào)文編號(hào) 如果RA和其中的某個(gè)編號(hào)相同 則P就被當(dāng)成是一個(gè)復(fù)制品而丟棄 另外B也根據(jù)時(shí)間戳t丟棄舊報(bào)文 以防止攻擊者經(jīng)過很長(zhǎng)一段時(shí)間后 再用舊報(bào)文來重復(fù)攻擊 加密技術(shù)應(yīng)用案例 IP地址回顧 IP地址類別 IP地址劃分為四類 1 0 0 0to126 255 255 255 128 0 0 0to191 255 255 255 192 0 0 0to223 255 255 255 224 0 0 0to239 255 255 255 Range 0 NetID 10 110 NetID 1110 MulticastAddress HostID NetID HostID HostID A B C D 8bits 8bits 8bits 8bits 最大網(wǎng)絡(luò)數(shù) 27 2 126 最大主機(jī)數(shù) 224 2 16777214 最大網(wǎng)絡(luò)數(shù) 214 16384 最大主機(jī)數(shù) 216 2 65534 最大網(wǎng)絡(luò)數(shù) 221 2097152 最大主機(jī)數(shù) 28 2 254 Class IP地址范圍一覽 IP地址解剖 以C類為例 保留IP地址 某些地址已經(jīng)被Internet放置一邊 保留用于專用 如果想在自己內(nèi)部網(wǎng)上走TCP IP 一般使用保留地址 保留地址段如下 10 0 0 0 10 255 255 255172 16 0 0 172 31 255 255192 168 0 0 192 168 255 255 當(dāng)內(nèi)部網(wǎng)要訪問Internet時(shí) 可以使用NAT技術(shù)將保留地址轉(zhuǎn)換到有效IP地址 子網(wǎng)和劃分 子網(wǎng) 無論是A B C哪類網(wǎng)絡(luò) 為了方便我們管理網(wǎng)絡(luò)以及合理使用IP地址 我們都可以將其進(jìn)行分割 使其成為規(guī)模更小或業(yè)務(wù)特性更集中的網(wǎng)絡(luò) 這種網(wǎng)絡(luò)成為子網(wǎng) 例如從業(yè)務(wù)處理角度看 我們可以將一個(gè)大學(xué)的網(wǎng)絡(luò)分為一個(gè)個(gè)學(xué)院網(wǎng)絡(luò) 或分為教務(wù)網(wǎng) 財(cái)務(wù)網(wǎng) 人事網(wǎng)等等 這樣劃分肯定有助于管理 而劃分的方法之一就是按照IP地址進(jìn)行 為什么要?jiǎng)澐?節(jié)約IP地址空間如果一個(gè)單位申請(qǐng)到一個(gè)B類地址 該網(wǎng)絡(luò)將可以容納65534臺(tái)主機(jī) 該單位又沒有如此之多的入網(wǎng)設(shè)備 那就出現(xiàn)網(wǎng)絡(luò)地址浪費(fèi)問題 同時(shí) 即便有如此之多設(shè)備入網(wǎng) 要把這些設(shè)備放在同一個(gè)網(wǎng)絡(luò)進(jìn)行管理也是非常復(fù)雜的 提高性能加強(qiáng)安全 如何劃分 一般所說的子網(wǎng)劃分 就是在最初的IP地址劃分方案基礎(chǔ)上 加入一個(gè)子網(wǎng)等級(jí)層次 這種子網(wǎng)劃分方案對(duì)單位外部的網(wǎng)絡(luò)沒有影響 也就是說 在這個(gè)單位外部的一臺(tái)主機(jī)仍然只看到原來的具有兩個(gè)等級(jí)的地址結(jié)構(gòu) 在單位內(nèi)部 本地網(wǎng)絡(luò)管理員可以為子網(wǎng)ID和主機(jī)ID自由地選擇任意的長(zhǎng)度組合 例子 思考 使用2個(gè)bit作為子網(wǎng)位 可以劃分多少子網(wǎng)呢 例如 原來的網(wǎng)絡(luò) 10 5 0 0借用2位劃分子網(wǎng)后 10 5 64 0和10 5 128 0 0000101000000101xxxxxxxxxxxxxxxx網(wǎng)絡(luò)號(hào)主機(jī)號(hào) 子網(wǎng)1 000010100000010101xxxxxxxxxxxxxx網(wǎng)絡(luò)號(hào)子網(wǎng)號(hào)主機(jī)號(hào)子網(wǎng)2 000010100000010110 xxxxxxxxxxxxxx網(wǎng)絡(luò)號(hào)子網(wǎng)號(hào)主機(jī)號(hào) 劃分后對(duì)外仍是一個(gè)網(wǎng)絡(luò) 網(wǎng)絡(luò)10 5 0 0 所有目的地址為10 5 x x的分組均到達(dá)此路由器 子網(wǎng)劃分的計(jì)算 子網(wǎng)掩碼 子網(wǎng)掩碼的作用使網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)了解子網(wǎng)劃分的結(jié)構(gòu)使邊緣路由器了解子網(wǎng)劃分的結(jié)構(gòu)子網(wǎng)掩碼的格式子網(wǎng)掩碼也是32bit長(zhǎng)的二進(jìn)制數(shù) 由一串連續(xù)的1后跟一串連續(xù)的0組成 前面的1與網(wǎng)絡(luò)號(hào)和子網(wǎng)號(hào)對(duì)應(yīng) 后面的0與主機(jī)號(hào)對(duì)應(yīng) 如前面的例子 子網(wǎng)結(jié)構(gòu)為 0000101000000101ssxxxxxxxxxxxxxx子網(wǎng)掩碼為 11111111111111111100000000000000掩碼寫成十進(jìn)制數(shù)為 255 255 192 0 默認(rèn)子網(wǎng)掩碼 不劃分子網(wǎng)時(shí) 各類IP地址默認(rèn)的子網(wǎng)掩碼為 A類 255 0 0 011111111000000000000000000000000B類 255 255 0 011111111111111110000000000000000C類 255 255 255 011111111111111111111111100000000 已知IP地址和子網(wǎng)掩碼 如何計(jì)算子網(wǎng)地址 用子網(wǎng)掩碼和IP地址 相與 AND操作 結(jié)果就是子網(wǎng)地址 例如 IP地址10 5 100 1 子網(wǎng)掩碼10 5 192 0 則可計(jì)算出10 5 100 1的子網(wǎng)地址為00001010000001010110000000000001AND 1111111111111111110000000000000000001010000001010100000000000000 10 5 64 0 推論 若兩個(gè)IP地址具有完全相同的子網(wǎng)地址 則它們?cè)谕蛔泳W(wǎng)中 例子 例子 C類地址可子網(wǎng)劃分的子網(wǎng)數(shù)目與子網(wǎng)掩碼 計(jì)算原則 當(dāng)你計(jì)劃如何對(duì)你的網(wǎng)絡(luò)ID進(jìn)行劃分時(shí) 要設(shè)法找到了下到三個(gè)方面的最佳平衡點(diǎn) 可用的子網(wǎng)數(shù) 每個(gè)子網(wǎng)的可用節(jié)點(diǎn)數(shù) IP地址的最小損失 子網(wǎng)劃分應(yīng)遵守以下規(guī)則 IP地址中的子網(wǎng)ID不能全為1 IP地址中的子網(wǎng)ID不能全是0 IP地址中的主機(jī)ID不能全是1 IP地址中的主機(jī)ID不能全是0 例子 子網(wǎng)個(gè)數(shù)計(jì)算 設(shè)有子網(wǎng)掩碼 255 224 0 0 11111111 11100000 00000000 00000000它有3個(gè)子網(wǎng)位可用 3個(gè)比特位有以下可能的組合 000 001 010 011 100 101 110 111一共有8種唯一性組合 然而 根據(jù)分割子網(wǎng)規(guī)則必須丟棄第1個(gè)和最后一個(gè) 這樣就有6個(gè)唯一性子網(wǎng)地址 例子 主機(jī)個(gè)數(shù)計(jì)算 設(shè)有子網(wǎng)掩碼 255 255 255 240 11111111 11111111 11111111 11110000它有4個(gè)比特子網(wǎng)位可用 4個(gè)比特位主機(jī)位可用 4個(gè)主機(jī)位的組合有 0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111一共有16種唯一性組合 然而 根據(jù)分割子網(wǎng)規(guī)則必須丟棄第1個(gè)和最后一個(gè) 這樣就有14個(gè)唯一性主機(jī)地址 相關(guān)計(jì)算示例 問題 用192 168 2 0C類地址生成12個(gè)子網(wǎng) 求 l 子網(wǎng)掩碼 2 前3個(gè)有效子網(wǎng)編號(hào) 3 在這3個(gè)子網(wǎng)絡(luò)上的主機(jī)IP地址范圍 4 最后一個(gè)有效子網(wǎng)絡(luò)和IP地址范圍 確定子網(wǎng)掩碼 對(duì)所需要的子網(wǎng)數(shù)加1 12 1 13 確定十進(jìn)制數(shù)13的二進(jìn)制數(shù)需要有多少位 13的二進(jìn)制數(shù)是1101 則在子網(wǎng)掩碼中需要4位 即 11111111 11111111 11111111 11110000寫成點(diǎn)十形式子網(wǎng)掩碼 255 255 255 240 確定前3個(gè)有效子網(wǎng)絡(luò)號(hào) 第一個(gè)網(wǎng) 11000000 10101000 00000010 00010000 192 168 2 16第二個(gè)網(wǎng) 11000000 10101000 00000010 00100000 192 168 2 32第三個(gè)網(wǎng) 11000000 10101000 00000010 00110000 192 168 2 48 確定這3個(gè)子網(wǎng)上的主機(jī)范圍 對(duì)于192 168 2 16子網(wǎng)11000000 10101000 00000010 0001000111000000 1010100000000010 00011110即 192 168 2 17 192 168 2 30對(duì)于192 168 2 32子網(wǎng)11000000 10101000 00000010 0010000111000000 1010l000 00000010 00101110即 192 168 2 33 192 168 2 46對(duì)于192 168 2 48子網(wǎng)11000000 10101000 00000010 0011000111000000 10101000 00000010 00111110即 192 168 2 49 192 168 2 62 確定最后一個(gè)子網(wǎng)號(hào)和主機(jī)地址范圍 11000000 10101000 00000010 11100000最后一個(gè)網(wǎng)絡(luò) 192 168 2 224主機(jī)范圍為 11000000 10101000 00000010 11100001 192 168 2 22511000000 10101000 00000010 11101110 192 168 2 238 報(bào)告 課后作業(yè)題目 輕松跟我學(xué)子網(wǎng)分隔 什么是子網(wǎng) 分隔后益處 子網(wǎng)掩碼 一個(gè)計(jì)算示例說明子網(wǎng)分隔 計(jì)算示例如下 使用B類地址172 20 0 0生成315個(gè)子網(wǎng)并找出 1 子網(wǎng)掩碼 2 頭3個(gè)有效網(wǎng)絡(luò)編號(hào) 3 在這3個(gè)網(wǎng)絡(luò)上的主機(jī)IP地址范圍 4 最后一個(gè)有效網(wǎng)絡(luò)和IP地址范圍