附件下载：第3章网络协议的安全性 - 台州学院.pptVIP

第3章 网络协议的安全性 主讲教师：陈盈 电子邮箱：ychen222@ 网络协议安全是网络安全的关键所在。 本章在介绍TCP/IP协议体系结构的基础上，主要讨论与网络安全密切相关的一些网络协议及其安全风险，并给出提高、改进协议安全性的一些措施和方法。 第3章 网络协议的安全性 3.1 计算机网络体系结构 3.1.1 TCP/IP协议体系的层次结构 TCP/IP协议体系从上到下分别为应用层、传输层、网络层和网络接口层，其中每一层都有相应的协议，如图3-1。 3.1.2 TCP/IP协议体系的功能 TCP/IP是一个允许不同软硬件结构的计算机系统进行互联通信的协议体系，它的每一层都具有不同的网络通信功能。 1.网络接口层 网络接口层是TCP/IP协议体系的最低层，该层负责接收从网络层（IP层）交来的IP数据报并将IP数据报通过底层物理网络发送出去，或者从底层物理网络上接收数据帧，抽出IP数据报，交给网络层（IP层）。 网络层主要解决网络主机之间的互联互通问题，负责在多个网络间通过网关/路由器传输数据。 网络层主要有三大功能:(1)处理来自传输层的数据包发送请求，将数据包装入IP数据报，填充报头，选择去往目的节点的路径；将IP数据报发往适当的网络接口。(2)处理输入IP数据报，检查IP数据报的合法性并进行路由选择；(3)处理ICMP报文，即处理网络的路由选择、流量控制和拥塞控制等问题。 网络层的核心协议是网际协议（IP），它向传输层提供一种无连接的尽力而为的数据报传输服务。除此之外，网络层还有多个控制协议，包括网际控制报文协议（ICMP）、互联网组管理协议(IGMP)以及地址解析协议(ARP)等。 3.传输层 TCP/IP协议体系的传输层与ISO/OSI-RM传输层的作用一样，在源节点和目的节点的两个实体之间提供可靠的端到端的数据包传输服务。为保证数据传输的可靠性，传输层协议规定接收端须发回确认；若数据包丢失，须重新发送。另外，传输层还要解决不同应用进程的标识、多种协议的识别以及进程间的相互作用模式等问题。传输层之上的应用层不再关心数据传输问题，所以传输层常被认为是计算机网络体系结构中最重要的一层。 在TCP/IP协议体系中，传输控制协议(TCP)和用户数据报协议(UDP)是两个广泛使用且互不相同的传输协议。这两个协议在不同的应用程序中分别有不同的用途。 4.应用层 应用层是TCP/IP协议体系中的最高层，确定进程之间通信的性质以满足用户需要，直接为用户的应用进程提供服务。 网络在此层向用户提供各种应用服务， 用户则调用相应的程序并通过TCP/IP 网络来访问可用的服务，与每个传输层协议交互的应用程序负责接收和发送数据。 应用层包括所有的高层协议。 3.2 网络接口层的安全性 3.2.1 物理层安全 物理层提供对物理链路的访问，以及对通过物理介质传输的数据编码和解码，没有通用的物理层协议直接提供安全服务。身份认证、授权、验证等由高层通信协议来管理。 物理层安全威胁主要指由网络环境、网络设备、线路的物理特性引起的不可用而造成的网络系统不可用，如设备被盗、意外故障、设备老化等。 物理层安全措施相对较少，很多物理层协议的身份认证与高层协议紧密联系在一起。例如，拨号网络通常依靠PPP或SLIP协议进行用户身份认证，而无线网络对用户的身份认证则使用Web协议和MAC地址过滤进行。 3.2.2 数据链路层安全风险 数据链路层提供到物理层的接口，以确保数据在两个节点之间数据链路上的安全传递。通过对一些网络攻击现象分析可知，数据链路层存在着身份认证、篡改MAC地址、网络嗅探、负载攻击、帧外数据等安全性威胁。 1.PPP和SLIP的安全风险 2.MAC地址的安全风险 3.网络流量嗅探 3.3 网络层协议及安全性 1981年完成的IPv4协议（RFC 791）是TCP/IP协议体系的核心协议。IP数据报：面向无连接?数据报有可能被路由器发送到错误的地方?服务也可能被局部或全部拒绝。 因此，网络层存在着许多安全隐患。 3.3.1 IPv4地址 1.IP地址的分类及其格式 2. IPv4地址的两种表示方法0110111100000110 32位二进制 点分十进制 3.特殊IPv4地址 回送地址 广播地址 网络号 网络层数据包也称为数据报，是IP协议的基本数据处理单元，由报头和数据两部分组成。IP数据报头部包含一个20字节