网络安全技术 作者 刘化君等编著 第三章 网络协议的安全性.pptVIP

第3章 网络协议的安全性 网络协议安全是网络安全的关键所在。本章在介绍TCP/IP协议体系结构的基础上，主要讨论与网络安全密切相关的一些网络协议及其安全风险，并给出提高、改进协议安全性的一些措施和方法。 第3章 网络协议的安全性 3.1 计算机网络体系结构 3.1.1 TCP/IP协议体系的层次结构 3.1.2 TCP/IP协议体系的功能 3.2 网络接口层的安全性 3.2.1 物理层安全 3.2.2 数据链路层安全风险 3.3 网络层协议及安全性 3.3.1 IPv4地址 3.3.2 IPv4数据报格式 3.3.3 IPv4协议的安全风险 3.3.4 ARP协议及其安全风险 3.3.5 ICMP协议及其安全风险 3.4 传输层协议及安全性 3.4.1 TCP协议 3.4.2 UDP协议 3.4.3 传输层协议的安全风险 3.5 应用层协议及安全性 3.5.1 域名系统(DNS) 3.5.2 电子邮件系统协议 3.5.3 HTTP协议 3.6 TCP/IP协议体系安全性能的改进 3.1 计算机网络体系结构 3.1.1 TCP/IP协议体系的层次结构 TCP/IP协议体系从上到下分别为应用层、传输层、网络层和网络接口层，其中每一层都有相应的协议，如图3-1。 3.1 计算机网络体系结构 3.1.2 TCP/IP协议体系的功能 TCP/IP是一个允许不同软硬件结构的计算机系统进行互联通信的协议体系，它的每一层都具有不同的网络通信功能。 1.网络接口层 网络接口层是TCP/IP协议体系的最低层，该层负责接收从网络层（IP层）交来的IP数据报并将IP数据报通过底层物理网络发送出去，或者从底层物理网络上接收数据帧，抽出IP数据报，交给网络层（IP层）。 3.1 计算机网络体系结构 3.1.2 TCP/IP协议体系的功能 2.网络层 网络层主要解决网络主机之间的互联互通问题，负责在多个网络间通过网关/路由器传输数据。网络层主要有三大功能：一是处理来自传输层的数据包发送请求，将数据包装入IP数据报，填充报头，选择去往目的节点的路径；将IP数据报发往适当的网络接口。二是处理输入IP数据报，检查IP数据报的合法性并进行路由选择；三是处理ICMP报文，即处理网络的路由选择、流量控制和拥塞控制等问题。 网络层的核心协议是网际协议（IP），它向传输层提供一种无连接的尽力而为的数据报传输服务。除此之外，网络层还有多个控制协议，包括网际控制报文协议（ICMP）、互联网组管理协议(IGMP)以及地址解析协议(ARP)等。 3.1 计算机网络体系结构 3.1.2 TCP/IP协议体系的功能 3.传输层 TCP/IP协议体系的传输层与ISO/OSI-RM传输层的作用一样，在源节点和目的节点的两个实体之间提供可靠的端到端的数据包传输服务。为保证数据传输的可靠性，传输层协议规定接收端须发回确认；若数据包丢失，须重新发送。另外，传输层还要解决不同应用进程的标识、多种协议的识别以及进程间的相互作用模式等问题。传输层之上的应用层不再关心数据传输问题，所以传输层常被认为是计算机网络体系结构中最重要的一层。 在TCP/IP协议体系中，传输控制协议(TCP)和用户数据报协议(UDP)是两个广泛使用且互不相同的传输协议。这两个协议在不同的应用程序中分别有不同的用途。 3.1 计算机网络体系结构 3.1.2 TCP/IP协议体系的功能 4.应用层 应用层是TCP/IP协议体系中的最高层，确定进程之间通信的性质以满足用户需要，直接为用户的应用进程提供服务。网络在此层向用户提供各种应用服务， 用户则调用相应的程序并通过TCP/IP 网络来访问可用的服务，与每个传输层协议交互的应用程序负责接收和发送数据。应用层包括所有的高层协议。 3.2 网络接口层的安全性 3.2.1 物理层安全 物理层提供对物理链路的访问，以及对通过物理介质传输的数据编码和解码，没有通用的物理层协议直接提供安全服务。身份认证、授权、验证等由高层通信协议来管理。 物理层安全威胁主要指由网络环境、网络设备、线路的物理特性引起的不可用而造成的网络系统不可用，如设备被盗、意外故障、设备老化等。因此，对物理网络的攻击集中在物理网络部件方面，常见的攻击手段主要有窃听、回答（重放）和插入等。这些攻击仅限于能访问物理网络的攻击者，限制物理访问也就防御了网络攻击。 物理层安全措施相对较少，很多物理层协议的身份认证与高层协议紧密联系在一起。例如，拨号网络通常依靠PPP或SLIP协议进行用户身份认证，而无线网络对用户的身份认证则使用Web协议和MAC地址过滤进行。 3.2 网络接口层的安全性 3.2.2 数据链路层安全风险 数据链路层提供到物理层的接口，以确保数据在两个节点之间数