網(wǎng)絡協(xié)議安全概述

1、網(wǎng)絡協(xié)議安全概述知識域：網(wǎng)絡協(xié)議安全知識子域：TCP/IP協(xié)議安全理解開放互聯(lián)系統(tǒng)模型ISO/OSI七層協(xié)議模型及其安全體系結構理解TCP/IP四層協(xié)議模型及協(xié)議安全架構了解IPV6的安全特點2什么是協(xié)議定義協(xié)議是網(wǎng)絡中計算機或設備之間進行通信的一系列規(guī)則的集合 理解重點：規(guī)則交通中的紅綠黃燈：紅燈停、綠燈行就是規(guī)則我國汽車靠右行駛是規(guī)則、香港、西方國家靠左行駛也是規(guī)則3OSI協(xié)議OSI安全體系結構信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第二部分：安全體系結構（GB/T9387.2-1995）（等同于ISO 7498-2）TCP/IP協(xié)議結構6應用層傳輸層互聯(lián)網(wǎng)絡層網(wǎng)絡接口層應用協(xié)議應用協(xié)議應用協(xié)

2、議應用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARPOSI模型與TCP/IP協(xié)議的對應7物理層網(wǎng)絡層傳輸層會話層表示層應用層數(shù)據(jù)鏈路層互聯(lián)網(wǎng)絡層傳輸層應用層網(wǎng)絡接口層網(wǎng)絡接口層安全威脅損壞干擾電磁泄漏搭線竊聽欺騙8拒絕服務嗅探網(wǎng)絡接口層安全威脅損壞：自然災害、動物破壞、老化、誤操作干擾：大功率電器/電源線路/電磁輻射電磁泄漏：傳輸線路電磁泄漏搭線竊聽：物理搭線欺騙：ARP欺騙嗅探：常見二層協(xié)議是明文通信的（以太、arp等）拒絕服務：mac flooding，arp flooding等9互聯(lián)網(wǎng)絡層10應用層傳輸層互聯(lián)網(wǎng)絡層網(wǎng)絡接口層應用協(xié)議應用協(xié)議應用協(xié)議應用協(xié)議TCPUDPICMP

3、IPIGMPARP硬件接口RARPIP是TCP/IP協(xié)議族中最為核心的協(xié)議不可靠（unreliable）通信無連接（connectionless）通信提供分層編址體系（ip地址）IP協(xié)議簡介11互聯(lián)網(wǎng)絡層安全威脅拒絕服務欺騙竊聽偽造12互聯(lián)網(wǎng)絡層安全威脅拒絕服務：分片攻擊（teardrop）/死亡之ping欺騙：IP源地址欺騙竊聽：嗅探偽造：IP數(shù)據(jù)包偽造13傳輸層14應用層傳輸層互聯(lián)網(wǎng)絡層網(wǎng)絡接口層應用協(xié)議應用協(xié)議應用協(xié)議應用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARP相同點同一層的協(xié)議，基于IP報文基礎上不同點TCP是可靠的，高可用性的協(xié)議，但是復雜，需要大量資源的開銷UDP

4、是不可靠，但是高效的傳輸協(xié)議TCP協(xié)議與UDP協(xié)議15傳輸層安全威脅拒絕服務欺騙竊聽偽造16傳輸層安全威脅拒絕服務：syn flood/udp flood/Smurf欺騙：TCP會話劫持竊聽：嗅探偽造：數(shù)據(jù)包偽造17應用層協(xié)議域名解析：DNS電子郵件：SMTP/POP3文件傳輸：FTP網(wǎng)頁瀏覽：HTTP18應用層安全威脅拒絕服務欺騙竊聽偽造暴力破解19應用層協(xié)議的安全威脅拒絕服務：超長URL鏈接欺騙：跨站腳本、釣魚式攻擊、cookie欺騙竊聽：嗅探偽造：應用數(shù)據(jù)篡改暴力破解：應用認證口令暴力破解等20基于TCP/IP協(xié)議簇的安全架構IPv6的主要特性網(wǎng)絡地址空間的極大擴展網(wǎng)絡地址表示法不同網(wǎng)絡

5、地址的分類方式不同改進的IP多播新增了“任播地址”簡化報頭格式良好的擴展性內(nèi)嵌的安全性服務質(zhì)量的保證即插即用功能身份驗證和隱私保護能力知識域：網(wǎng)絡協(xié)議安全知識子域：無線局域網(wǎng)協(xié)議安全了解無線局域網(wǎng)的基本組成與特點了解WEP、802.11i、WAPI等無線局域網(wǎng)安全協(xié)議無線技術24PAN(Personal Area Network)LAN(Local Area Network)WAN(Wide Area Network)MAN(Metropolitan Area Network)PANLANMANWANStandardsBluetooth802.15.3UltraWideBand (WiMedi

6、a)802.11802.11 (Wi-Fi)802.16 (Wi-Max)802.20GSM, CDMA, SatelliteSpeed 1 Mbps11 to 54 Mbps10-100+ Mbps10 Kbps2 MbpsRangeShortMediumMedium-LongLongApplicationsPeer-to-PeerDevice-to-DeviceEnterprise NetworksLast Mile AccessMobile Data Devices無線局域網(wǎng)的傳輸媒質(zhì)分為無線電波和光波兩類無線電波主要使用無線電波和微波，光波主要使用紅外線無線電波和微波頻率由各個國家的無

7、線電管理部門規(guī)定，分為專用頻段和自由頻段。專用頻段需要經(jīng)過批準的獨自有償使用的頻段；自由頻段主要是指ISM頻段（Industrical，Scientific，Medical）無線局域網(wǎng)基本概念25無線局域網(wǎng)網(wǎng)絡結構APSTA客戶端（station，STA） 無線網(wǎng)訪問設備，例如筆記本、掌上電腦等無線接入點（Access Point，AP） 專用的無線接入設備分布系統(tǒng)（distribution system，DS） 其他網(wǎng)絡，無線或者有線網(wǎng)絡DS26無線局域網(wǎng)安全風險 無線局域網(wǎng)安全問題27傳統(tǒng)無線安全防護措施認證開放式認證系統(tǒng)共享密鑰認證服務集標識符SSID極易暴露和偽造，沒有安全性可言物理地

8、址（MAC）過濾 MAC地址容易偽造，擴展性差無線對等協(xié)議（WEP） 手動管理密鑰存在重大隱患弱密鑰問題不能防篡改WEP沒有提供抵抗重放攻擊的對策28IEEE 802.11i無線局域網(wǎng)安全協(xié)議29WAPI安全協(xié)議30WEP、IEEE 802.11i、WAPI比較31項目WEPIEEE 802.11iWAPI鑒別鑒別機制單向鑒別用戶和認認服務器之間雙向認證，但沒有認證AP用戶、接入點和認證服務器之間的相互認證鑒別方法開放式系統(tǒng)鑒別或共享密鑰鑒別支持多種鑒別方式:預共享密鑰Radius服務器驗證用戶名口令可使用非對稱密碼算法和數(shù)字證書采用公鑰數(shù)字證書作為身份憑證；無線用戶與無線接入點地位對等，實現(xiàn)

9、無線接入點的接入控制；客戶端支持多證書，方便用戶多處使用鑒別對象客戶機用戶、服務器用戶、接入點、服務器密鑰管理無不同產(chǎn)商不完全相同全集中（局域網(wǎng)內(nèi)統(tǒng)一由AS管理）算法64 bit RC4AES192位橢圓曲線算法加密密鑰靜態(tài)動態(tài)動態(tài)算法64 bit RC4128bit RC4或AES128-bit SMS4知識域：網(wǎng)絡協(xié)議安全知識子域：移動通信網(wǎng)絡協(xié)議安全了解GSM、CDMA存在的安全問題了解3G系統(tǒng)的安全問題及安全結構32移動通信的發(fā)展第一代模擬蜂窩移動通信系統(tǒng)第二代數(shù)字蜂窩移動通信系統(tǒng)（2G）GSM、CDMA第三代移動通信系統(tǒng)（3G）W-CDMA、CDMA2000、TD-SCDMA、 WiMAX33GSM的安全性安全措施用戶鑒權（AUC）無線通道加密移動設備確認IMSI臨時身份等安全問題安全系統(tǒng)內(nèi)在的弱點支持數(shù)據(jù)業(yè)務帶來的弱點加密算法的弱點34CDMA的安全性安全措施保密與認證架構大致與GSM相同使用64b的對稱密鑰（稱為A-Key）進行認證安全問題允許語音通信加密，但是CDMA運營商并不總是提供這種服務由于網(wǎng)絡現(xiàn)狀，許多系統(tǒng)目前不支持認證功能，許