1、第8章網(wǎng)絡(luò)協(xié)議安全、8.1 IP安全8.2傳輸協(xié)議安全8.3應(yīng)用程序協(xié)議安全、8.2傳輸協(xié)議安全、8.2.1 SSL協(xié)議1。協(xié)議概述目前，IPSec提供了完整的網(wǎng)絡(luò)安全傳輸功能，但無(wú)法處理同一終端系統(tǒng)上多個(gè)用戶之間的安全要求，因此必須在傳輸層和更高層提供網(wǎng)絡(luò)安全傳輸服務(wù)，才能滿足這些要求。SSL協(xié)議不是單獨(dú)的協(xié)議，而是稱為SSL握手協(xié)議和SSL日志記錄協(xié)議的雙層協(xié)議。圖8.12 SSL協(xié)議堆棧和HTTP的組合以及SSL協(xié)議提供的安全通道具有三個(gè)特征：隱私：因?yàn)槿绻帐謪f(xié)議定義了會(huì)話密鑰，所有消息都將被加密。驗(yàn)證性：會(huì)話的客戶端驗(yàn)證是可選的，但服務(wù)器端驗(yàn)證總是發(fā)生?？煽啃裕阂?yàn)榘l(fā)送的消息包含消息

2、完整性檢查(使用MAC)。SSL的兩個(gè)重要概念是SSL會(huì)話和SSL連接。連接會(huì)話狀態(tài)由以下參數(shù)確定：會(huì)話標(biāo)記：對(duì)等證書(shū)：壓縮方法：加密規(guī)范：主密碼(master secret)SSL記錄協(xié)定SSL記錄協(xié)定為SSL連線提供兩種服務(wù)：機(jī)密性消息完整性，SSL記錄協(xié)議包含記錄標(biāo)頭和記錄數(shù)據(jù)格式的規(guī)定。(1)SSL記錄標(biāo)頭格式(2)SSL記錄數(shù)據(jù)的格式(3)SSL數(shù)據(jù)單元形成過(guò)程(4)MAC的計(jì)算過(guò)程(5)消息加密過(guò)程(6)標(biāo)頭生成，圖8.13 SSL記錄格式，3。密碼規(guī)格協(xié)議更改，圖8.14 SSL記錄協(xié)議有效負(fù)載，4 .警報(bào)協(xié)議警報(bào)協(xié)議用于在對(duì)等實(shí)體之間傳送SSL的相關(guān)警報(bào)。5.SSL握手協(xié)議SS

3、L中最復(fù)雜的協(xié)議是握手協(xié)議。此協(xié)議允許服務(wù)器和客戶端相互驗(yàn)證，并與加密和MAC算法協(xié)商安全密鑰以保護(hù)從SSL記錄發(fā)送的數(shù)據(jù)。握手協(xié)議在所有應(yīng)用程序的數(shù)據(jù)傳輸之前使用。表8.2 SSL握手協(xié)議的消息類型。握手協(xié)議分為兩個(gè)階段。步驟1用于建立個(gè)人通信信道。第二階段用于客戶認(rèn)證。(1)第1步(2)第2步(3)常規(guī)協(xié)議消息進(jìn)程，6。相關(guān)技術(shù)(1)加密算法和會(huì)話密鑰(2)認(rèn)證算法認(rèn)證算法采用X.509電子證書(shū)標(biāo)準(zhǔn)，作為使用RSA算法的數(shù)字簽名實(shí)現(xiàn)。服務(wù)器認(rèn)證客戶認(rèn)證，7 .SSL協(xié)議的特征SSL協(xié)議具有很大的SSL提供的安全連接漏洞。此外，SSL協(xié)議不協(xié)調(diào)各方之間的安全傳輸和信任關(guān)系；8 . 2 . 2

4、 TLS協(xié)議1。協(xié)議概述TLS協(xié)議僅提供事務(wù)內(nèi)客戶和服務(wù)器之間的相互驗(yàn)證，主要包括兩層：TLS記錄協(xié)議和TLS握手協(xié)議。(1)專用連接(2)可靠連接，TLS握手協(xié)議提供的安全連接主要有三個(gè)特征：(1)使用對(duì)稱密鑰加密算法或公鑰加密算法驗(yàn)證對(duì)等方身份的方法是可選的，但至少有一方需要驗(yàn)證另一方的身份。(2)協(xié)商安全信息共享的方法安全，協(xié)商的秘密不能被竊聽(tīng)，即使攻擊者可以接近連接的路徑，也不能獲得有關(guān)連接識(shí)別的任何秘密。(3)談判是可靠的，任何攻擊者都不能在雙方不注意的情況下修改通信信息。2 .TLS協(xié)議的目標(biāo)按優(yōu)先級(jí)順序排列，TLS協(xié)議實(shí)現(xiàn)的目標(biāo)如下：(1)數(shù)據(jù)安全性(2)互操作性(3)可擴(kuò)展性(

5、4)效率，3。TLS記錄通訊協(xié)定TLS記錄通訊協(xié)定是可以相對(duì)獨(dú)立運(yùn)作的通訊協(xié)定，記錄通訊協(xié)定可傳輸資訊、暫存資料、選擇性資料壓縮、提供資訊驗(yàn)證碼MAC和加密資訊。(1)TLS連接狀態(tài)(2)日志記錄層(3)密鑰的計(jì)算4。TLS握手協(xié)議(1)密碼規(guī)格更改協(xié)議(2)警告協(xié)議(3)握手協(xié)議的工作流程，圖8.15完整握手協(xié)議信息流，圖8.16建立可恢復(fù)的新會(huì)話連接(4)數(shù)據(jù)協(xié)議(5)TLS協(xié)議的安全分析TLS協(xié)議的目的是在不安全的網(wǎng)絡(luò)連接中保護(hù)客戶和服務(wù)器的安全您可以從以下方面分析TLS的安全性：身份驗(yàn)證和密鑰交換棄前攻擊握手協(xié)議攻擊檢測(cè)會(huì)話恢復(fù)應(yīng)用程序數(shù)據(jù)保護(hù)，8.3應(yīng)用程序協(xié)議的安全性，通過(guò)網(wǎng)絡(luò)層(

6、傳輸層)的安全協(xié)議，可以將安全屬性添加到主機(jī)(進(jìn)程)之間的數(shù)據(jù)通道。但是，無(wú)法區(qū)分在同一通道上傳輸?shù)奶囟ㄎ募陌踩?。要區(qū)分特定文件的不同安全要求，必須使用應(yīng)用層安全。8.3.1 FTP的安全性1。FTP簡(jiǎn)介FTP使用兩個(gè)單獨(dú)的TCP連接。一個(gè)是在客戶和服務(wù)器之間傳遞命令和結(jié)果的命令通道。另一個(gè)是數(shù)據(jù)通道，用于傳遞實(shí)際文件和目錄的列表。在服務(wù)器端，命令通道使用端口21，而數(shù)據(jù)通道通常使用端口20。客戶對(duì)命令和數(shù)據(jù)通道使用大于1 023的端口。圖8.17中的典型FTP連接，圖8.17顯示了此類FTP連接過(guò)程。客戶端首先打開(kāi)服務(wù)器的命令通道，告訴服務(wù)器的第二個(gè)端口號(hào)。服務(wù)器驗(yàn)證，打開(kāi)客戶端第二個(gè)

7、端口的數(shù)據(jù)通道。最終客戶確認(rèn)正常的FTP連接過(guò)程已經(jīng)結(jié)束。FTP有兩種連接模式：正常模式和PASV模式。在正常模式下，服務(wù)器必須開(kāi)始連接以傳輸數(shù)據(jù)，這稱為入站服務(wù)控制。PASV模式下的兩種連接均由客戶啟動(dòng)，因此可以輕松控制入站服務(wù)。圖8.18 PASV模式下的FTP連接，2 .FTP服務(wù)的安全問(wèn)題(1)匿名FTP服務(wù)的問(wèn)題由于許多FTP服務(wù)器與web服務(wù)器安裝在同一臺(tái)計(jì)算機(jī)上，因此匿名用戶可以使用“運(yùn)行可寫(xiě)目錄”命令完全調(diào)用web服務(wù)器執(zhí)行。(2)FTP代理服務(wù)器通過(guò)FTP代理服務(wù)器攻擊FTP服務(wù)器，因此通常很難找到網(wǎng)絡(luò)攻擊源。(3)立足點(diǎn)攻擊問(wèn)題，3 .FTP的安全措施在進(jìn)行FTP傳輸時(shí)要小

8、心，不要相信通過(guò)FTP傳入的任何軟件。匿名FTP服務(wù)器只能訪問(wèn)允許訪問(wèn)的信息，不能讓外部人員訪問(wèn)本地其它數(shù)據(jù)(如個(gè)人數(shù)據(jù))。以下方法可保護(hù)匿名FTP工作區(qū)，使其免受攻擊者的攻擊：(1)入站路徑是否為只讀(2)創(chuàng)建子路徑和某些文件的權(quán)限(3)確保文件及時(shí)傳輸，處理文件傳輸協(xié)議時(shí)應(yīng)注意以下問(wèn)題。只有在有支持手動(dòng)模式的FTP客戶的情況下，最好讓內(nèi)部主機(jī)與外部服務(wù)器聯(lián)系。如果沒(méi)有支持手動(dòng)模式的FTP客戶，則使用FTP代理服務(wù)器。如果允許入站FTP連接，請(qǐng)?jiān)O(shè)置包篩選規(guī)則，以僅允許連接到特定主機(jī)(例如，最近的主機(jī))。最好從服務(wù)器中刪除此服務(wù)，以防止TFTP通過(guò)防火墻。 FSP不允許通過(guò)防火墻盡可能地分離除

9、特定服務(wù)(如DNS)外的所有TCP。不允許通過(guò)防火墻的NFS。8.3.2用于telnet的安全telnet是一種internet遠(yuǎn)程終端訪問(wèn)標(biāo)準(zhǔn)。模擬遠(yuǎn)程終端，但沒(méi)有圖形功能，僅提供基于字符的應(yīng)用程序訪問(wèn)。使用telnet，無(wú)需特殊同意，所有站點(diǎn)都可以向法定用戶提供遠(yuǎn)程訪問(wèn)。1.telnet簡(jiǎn)介telnet提供對(duì)一臺(tái)主機(jī)的簡(jiǎn)單終端訪問(wèn)。此協(xié)議包括對(duì)各種終端設(shè)置(如原始模式和字符回顯)的處理。2 .telnet安全問(wèn)題出站telnet服務(wù)要求本地客戶連接到遠(yuǎn)程服務(wù)器，處理系統(tǒng)輸出和輸入數(shù)據(jù)包，輸出數(shù)據(jù)包包含用戶輸入，具有以下特征：數(shù)據(jù)包的IP源地址是Telnet客戶端的地址。數(shù)據(jù)包的IP目標(biāo)地址

10、是Telnet服務(wù)器的地址。telnet數(shù)據(jù)包類型為T(mén)CP。目標(biāo)端口通常為23，但Telnet服務(wù)器可以自行設(shè)置。源端口是大于1 023的隨機(jī)數(shù)。第一個(gè)包沒(méi)有設(shè)置ACK位，其馀包設(shè)置了ACK位。出站服務(wù)的輸入包中包含的用戶屏幕上顯示的數(shù)據(jù)具有以下特征：輸入包的IP源地址是Telnet服務(wù)器的地址。數(shù)據(jù)包的IP目標(biāo)地址是Telnet客戶端的地址。telnet數(shù)據(jù)包類型為T(mén)CP。源端口通常為23，但Telnet服務(wù)器可以自行設(shè)置。目標(biāo)端口是大于1 023的隨機(jī)數(shù)。所有輸入包設(shè)置ACK位。入站telnet服務(wù)是遠(yuǎn)程客戶端和防火墻的telnet服務(wù)器通信。入站telnet服務(wù)的輸入數(shù)據(jù)包包含遠(yuǎn)程用戶輸

11、入的內(nèi)容，具有以下特征：輸入包的IP源地址是Telnet客戶端(遠(yuǎn)程主機(jī))的地址。數(shù)據(jù)包的IP目標(biāo)地址是Telnet服務(wù)器(本地主機(jī))的地址。telnet數(shù)據(jù)包類型為T(mén)CP。目標(biāo)端口通常為23，但Telnet服務(wù)器可以自行設(shè)置。源端口是大于1 023的隨機(jī)數(shù)。第一個(gè)包沒(méi)有設(shè)置ACK位，其馀包設(shè)置了ACK位。入站telnet服務(wù)的輸出包具有以下特征：輸入包的IP源地址是Telnet服務(wù)器(本地主機(jī))的地址。數(shù)據(jù)包IP目標(biāo)地址是Telnet客戶端(遠(yuǎn)程主機(jī))的地址。telnet數(shù)據(jù)包類型為T(mén)CP。目標(biāo)端口通常為23，但Telnet服務(wù)器可以自行設(shè)置。源端口是大于1 023的隨機(jī)數(shù)。第一個(gè)包沒(méi)有設(shè)置

12、ACK位，其馀包設(shè)置了ACK位。表8.3 Telnet數(shù)據(jù)包過(guò)濾表，表8.4 Telnet出站服務(wù)數(shù)據(jù)包過(guò)濾表，簡(jiǎn)而言之，Telnet是非常有用的工具，Telnet服務(wù)總是在普通主機(jī)上打開(kāi)。但是，telnet本身在以下方面存在很多安全問(wèn)題：(1)發(fā)送純文本。(2)沒(méi)有強(qiáng)身份驗(yàn)證程序。(3)沒(méi)有完整性檢查。(4)發(fā)送的數(shù)據(jù)未加密。只有在傳輸過(guò)程中替換使用純文本的現(xiàn)有Telnet軟件，并使用某些Telnet(如SSL Telnet)的加密版本時(shí)，才能確保Telnet的安全性。8.3.3 s-http，1 .協(xié)議簡(jiǎn)介s-http(安全超文本傳輸協(xié)議)是保護(hù)在internet上傳輸?shù)拿舾行畔⒌陌踩珔f(xié)議。2.S-HTTP和SSL的比較SSL加密整個(gè)通信信道，S-HTTP分別加密每個(gè)消息。S-HTTP允許用戶在驗(yàn)證協(xié)議激活期間為每個(gè)消息生成數(shù)字簽名，而不是特定消息，SSL缺乏此功能。8.3.4電子商務(wù)的安全協(xié)議目前被廣泛采用為兩種安全在線支付協(xié)議：安全套接字層安全套接字層(SSL)協(xié)議和安全電子事務(wù)集(secure electronic transaction)協(xié)議。圖8.19 TCP/IP通信結(jié)構(gòu)中SSL和SET的區(qū)別，1 .SET協(xié)議概述，2 .set協(xié)議的特征(