第二章 网络安全协议
- 格式:ppt
- 大小:1.24 MB
- 文档页数:43
下载文档原格式
合集下载
《中华人民共和国网络安全法》
《中华人民共和国网络安全法》第一章总则第一条为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
第二条在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
第三条国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
第四条国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、任务和措施。
第六条国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
第七条国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。
国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
第九条网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
第十条建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
第十一条网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
网络安全协议书范本(5篇)
网络安全协议书范本(5篇)网络安全协议书范本(精选5篇)网络安全协议书范本篇1甲方:_________________________乙方:_________________________乙方受甲方委托对_________________________项目,由于此项目能够接触到网络信息私密数据,根据国家有关规定,经医院信息安全管理委员会审议批准,特制定保密协议如下:1、甲乙双方共同自觉遵守国家有关信息安全的各项法律法规,遵守医院相关的规章制度。
2、未经甲方书面批准,乙方不得以直接或间接方式向第三方透露医院相关保密信息,包括本项目的相关文件、技术方案、实施计划等相关信息,以及患者信息、统计数据等各项医院信息。
乙方不得将上述信息进行买卖,谋取不正当利益。
3、乙方不得为药品生产、经营企业以及其他人员提供任何形式的医院药品、器械、耗材等使用信息,或各类商业目的的“统方”,不利用工作之便或个人关系为医药营销人员统方提供信息数据便利。
4、对于甲方向乙方提供的系统登录用户名和密码,乙方仅用于维护使用,不得擅自做其他用途或泄露给第三方。
5、乙方不得利用甲方提供的电脑和网络系统,私自连接外网,发送垃圾邮件、攻击网络和计算机系统,不得私自使用外来移动硬盘、U盘、光盘等移动存储介质,防止计算机病毒传播,危害网络信息安全。
6、乙方不得在运行的信息系统上私自开发、挂靠与业务工作无关的软件或系统,不得发布通知或广告。
7、甲乙双方因故不能实施本项目,甲方有权收回所有涉密资料,乙方不得私自保管或带走。
8、乙方任何人员任何违反本协议条款的行为即构成违约,乙方违约,应向甲方支付合同价款的30%作为违约金,给甲方造成损失的,甲方有权追究其法律责任并要求赔偿相应损失,构成犯罪的,移交司法机关追究其刑事责任。
9、本协议一式贰份,甲乙双方各执壹份,具有同等法律效力。
甲方:乙方:年月日网络安全协议书范本篇2互联网的迅猛发展,以其丰富的内容、开阔的眼界、快捷的方式正逐渐地改变着人们的生活和交流方式。
第02章网络协议
2.7 可变长子网掩码VLSM
是一种产生不同大小子网的网络分配机制,是指对同一 个主网络在不同的位置使用不同的子网掩码。VLSM技术 对高效分配IP地址(较少浪费)以及减少路由表大小都 起到非常重要的作用。路由协议必须能够支持它
192.168.1.129/27
192.168.1.1/30
192.168.1.33/27 该网段包含30台主机
IP
ICMP ARP
2.3.3 TCP/IP网络协议组件 网络层层的协议
版本 报头 长度 标识 服务类 型 标志 总长度 段偏移量 头部校验和
生存期
协议 源地址 目标地址 可选项 数据
版本:用来表明IP协议实现的版本号,当前一般为IPv4,即0100,占四位。 报头长度:普通IP数据报(没有任何选项),该字段的值是5,即160比特=20字节。此字段最大值为60字节。 服务类型:服务类型字段声明了数据报被网络系统传输时可以被怎样处理。 总长度:指明整个数据报的长度(以字节为单位)。最大长度为65535字节。 标识:用来唯一地标识主机发送的每一份数据报。通常每发一份报文,它的值会加1。在分片的时候,相同的标识表 示它们是被同一个数据报分片出来的几个数据报,便于重组。 标志:标志一份数据报是否要求分段。它的三位中的最低位=0时表示该数据报是分片后的所有数据报中的最后一个; 它的三位中的中间一位=1时表示允许分片;它的最高位尚无意义。 段偏移:如果一份数据报要求分段的话,此字段指明该段偏移距原始数据报开始的位置。 生存期:用来设置数据报最多可以经过的路由器数。由发送数据的源主机设置,通常为32、64、128等。每经过一个 路由器,其值减1,直到0时该数据报被丢弃。最大不能超过255。 协议:指明IP层所封装的上层协议类型,如ICMP(1)、IGMP(2) 、TCP(6)、UDP(17)、OSPF(89)等。 头部校验和:内容是根据IP头部计算得到的校验和码。计算方法是:对头部中每个16比特进行二进制反码求和。(和 ICMP、IGMP、TCP、UDP不同,IP不对头部后的数据进行校验)。 源IP地址:发送IP数据报文的源主机地址。 目标IP地址:接收IP报文的目标主机地址。 可选项:用来定义一些任选项:如记录路径、时间戳等。这些选项很少被使用,同时并不是所有主机和路由器都支持 这些选项。可选项字段的长度必须是32比特的整数倍,如果不足,必须填充0以达到此长度要求。 数据:包含了由源节点发送的原始数据。
第2章 网络安全协议基础
IP数据报
4.服务类型与优先权 服务类型(SERVICE TYPE)域规定对本数据报的处理方式,占 用8个比特,分为5个子域,其结构如下图所示。
0 优先权 3 D 4 T 5 R 6 7 未用
服务类型子域结构
对服务类型各个子域信息的使用和具体处理是在网关中进行。
IP数据报
5.数据报传输 网络数据都是通过物理网络帧传输的。从主机发出的IP数据报在 其子网接口中封装成帧后,送进与之相连的第一个物理网络。帧的长 度正好就是第一个物理网络所允许的最大帧长度。当此帧到达与第一 个物理网络相连的下一个网关时,在其子网接口中删除帧头,露出IP 数据报,送到IP层。在此IP层查找间接路径表,得到要传送去的下一 个网关的IP地址,并解析出与下一个网关相连的物理网络。将IP数据 报送回子网接口。子网接口根据新的物理网络要求,重新封装数据报, 并传送到新的物理网络。这里要特别强调指出,按照新物理网络技术 重新封装IP数据报成帧是绝对必要的:各种物理网络技术,对帧的大 小有不同的规定。某种物理网络所允许的最长的帧称为该网络的最大 传输单元(Maximum Transfer Unit,MTU)。MTU由硬件决定。不同 物理网络,其MTU一般不相同。此外,不同物理网络其帧头格式一般 也不相同。反过来说,同一个物理网络的各个节点上的MTU是一样的, 帧格式也是一样的。而IP数据报的大小却是由软件决定的,在一定范 围内(比如第4版IP协议规定每一IP数据报最大不能超过65535个字节) 可以任意选择。IP数据报大小的上限也可以通过修改协议版本人为改 变。
3、网络层(Network Layer)
网络层(Network Layer)的主要功能是完成网络中主机间的报文 传输。在广域网中,这包括产生从源端到目的端的路由。 当报文不得不跨越两个或多个网络时,又会产生很多新问题。例 如第二个网络的寻址方法可能不同于第一个网络;第二个网络也 可能因为第一个网络的报文太长而无法接收;两个网络使用的协 议也可能不同等。网络层必须解决这些问题,使异构网络能够互 连。 在单个局域网中,网络层是冗余的,因为报文是直接从一台计算 机传送到另一台计算机的。
第二章计算机网络安全体系结构PPT课件
系
结
的共同规则、标准或约定
构
2021/5/21
3
第二章 计算机网络安全体系结构
网络体系结构
一、 网
在网络的实际应用中,计算机系统与
络
计算机系统之间许多的互连、互通、互操
体 作过程,一般都不能只依靠一种协议,而
系 需要执行许多种协议才能完成。全部网络
结 协议以层次化的结构形式所构成的集合,
构
就称为网络体系结构。
第二章
计算机网络安全体系结构
2021/5/21
1
第二章 计算机网络安全体系结构
第一节 网络安全体系结构的概念 第二节 网络安全体系结构的内容 第三节 网络安全的协议与标准 第四节 网络安全的评估
2021/5/21
2
第二章 计算机网络安全体系结构
一、 网
网络协议(protocol)
络
体
为进行网络中的信息交换而建立
表2.2 OSI安全体系结构中安全服务按网络层次的配置
2021/5/21
16
第二章 计算机网络安全体系结构
一、
开
放
2.OSI安全体系结构的安全机制
系
按照OSI安全体系结构,为了提供以上所列6大类安全
统 互
服务,采用下列 8大类安全机制来实现:
连
安 全
加密机制、
数据签名机制、 公证机制、
体
数据完整性机制、交换鉴别机制、 业务流填充机制、
安
大类安全机制和相应的OSI安全管理,并
全 体
且尽可能地将上述安全服务配置于开放系
系
统互连/参考模型(OSI/RM)7层结构的
结
构
相应层之中。
网络安全通信协议-第二章 TCPIP协议簇的安全架构-716
AP2 5 4 3 2 1
物理传输媒体
2.1 TCP/IP协议簇概述
2.1.4 TCP/IP对等实体之间收发数据示意图
应用层
相同的报文流
应用层
传输层
相同的分组
传输层
Internet层
相同的 数据报
接口层
相同的 网络帧
Internet层
相同的 数据报
接口层 相同的 网络帧
Internet层
相同的 数据报
Internet层
接口层 相同的 接口层 网络帧
物理网络
物理网络
物理网络
2.1 TCP/IP协议簇概述
2.1.5 TCP/IP协议
为了有效维护TCP/IP模型中各通信实体的通信 关系,需要明确的、无二义的信息交换格式约 定及其语法和语义的各种规范-协议,称为 TCP/IP协议。
TCP/IP协议是由一组协议集合所组成,主要表 现在传输层与网络层上。IP协议确定了数据的 到达,TCP协议确定了数据的分解与还原。
传输层
提供应用程序(端到端)间的通信,并在IP的基础上 提供面向连接的服务。 ¾ 为两个用户进程之间建立、管理和拆除可靠而又 有效的端到端连接 ¾ 提供流控制、差错控制和确认机制 ¾ 与网络应用的接口
TCP、UDP协议
2.1 TCP/IP协议簇概述
应用层
向用户提供一组常用的应用程序 定义了应用程序使用互联网的规程 一些具体应用:如网络故障、文件传输、远程控制以
2.2 TCP/IP协议簇的安全缺陷
网络层的安全隐患
9 IP地址欺骗攻击
2.2 TCP/IP协议簇的安全缺陷
网络层的安全隐患
9 ICMP协议的安全隐患:没有认证机制,黑客可以利用ICMP 进行拒绝服务攻击、数据包截取以及其它类型的攻击。
《网络安全协议》课程教学大纲
《网络安全协议》课程教学大纲一、课程基本信息二、课程教学目标本课程内容按照协议栈由底层到高层的顺序组织,通过本课程的学习,使学生在整个网络安全协议的体系结构下,系统地掌握网络安全协议的基本概念、基本理论和基础知识;掌握典型且广泛应用的L2TP、IPsec、SSL和TLS、SSH、Socks、SNMP及SHTTP等安全协议的基本原理、设计思想、系统部署、安全性分析及应用等内容。
针对网络安全需求,使学生深刻理解网络安全协议理论和技术在网络安全保障中的地位和作用,并能够运用所学的知识,进行简单网络安全应用系统的设计与开发,达到保障网络安全要求的目的。
三、教学学时分配《网络安全协议》课程理论教学学时分配表《网络安全协议》课程实验内容设置与教学要求一览表四、教学内容和教学要求第一章安全标准(1学时)(一)教学要求通过本章内容的学习,了解安全标准的国内外发展现状,理解信息技术安全评估通用标准的组件、流程和方法,当前流行操作系统的安全等级等。
(二)教学重点与难点教学重点:信息技术安全评估通用标准。
教学难点:信息技术安全评估通用标准的流程和方法。
(三)教学内容第一节安全标准的国内外发展现状1.TCSEC2.ITSEC、CTCPEC及FC3.GB 17859-19994.GB/T 18336-2001第二节信息技术安全评估通用标准1.CC安全测评体系分析2.安全功能组件3.CC测评流程4.CC评估方法5.通用准则识别协议第三节当前流行操作系统的安全等级1.Windows的安全等级2.Linux的安全等级3.国产操作系统的安全等级本章习题要点:信息技术安全评估通用标准,当前流行操作系统的安全等级。
第二章数据链路层安全协议(3学时)(一)教学要求通过本章内容的学习,理解广域网数据链路层协议和无线局域网数据链路层安全机制,掌握局域网、广域网和无线局域网数据链路层安全协议的基本原理、数据格式、系统部署和安全性分析等。
(二)教学重点与难点教学重点:IEEE 802.10安全协议,第二层隧道协议,点对点隧道协议。
网络信息安全协议书范文5篇
网络信息安全协议书范文5篇网络信息安全是很重要的,网络安全渐渐的成为了大家关心的问题,那么关于网络信息安全的协议书应该怎么写呢?下面由小编来给大家分享网络信息安全协议书,欢迎大家参阅。
网络信息安全协议书1 现依据《互联网信息服务管理办法》(国务院令第292号)、《非经营性互联网信息服务管理办法》(信息产业部令第33号)、《互联网站管理工作细则》(信部电[_]501号)、《信息产业部关于依法打击网络淫秽色情专项行动工作方案的通知》(信部电[_]231号)、《工业和信息化部关于进一步深入整治手机淫秽色情专项行动工作方案》(工信部电管〔_〕672号文件)、《工为和信息化部关于进一步落实网站备案信息真实性检验工作方案》(工信部电管局函[_]64号)等有关规定,为配合省通信管理局维护互联网正常运营秩序、创造良好的互联网环境。
金万邦所有接入服务的网站主办者与金万邦公司签署本项协议,遵守如下条款:第一章总则第一条为规范互联网信息安全,促进互联网服务有序发展,制定本协议。
第二条本协议所称互联网信息安全,是指新一代数据中心提供给网站主办者的互联网接入服务,包括主机托管、虚拟主机等。
第三条此协议遵循文明守法、诚信自律、自觉维护国家利益和公共利益的原则。
第四条金万邦负责本公约的组织实施。
第二章协议内容(一)网站主办者保证自觉遵守国家有关互联网信息服务的法律、法规,文明使用网络,不传播色情淫秽信息以及其他违法和不良信息;(二)网站主办者保证不危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;(三)网站主办者保证不损害国家荣誉和利益的;(四)网站主办者保证不煽动民族仇恨、民族歧视,破坏民族团结的;(五)网站主办者保证不破坏国家宗教政策,宣扬_和封建迷信的;(六)网站主办者保证不散布谣言,扰乱社会秩序,破坏社会稳定的;(七)网站主办者保证不散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;(八)网站主办者保证对网站内容进行有效监督和管理,及时删除违法和不良跟贴信息;(九)网站主办者保证不利用互联网传播计算机病毒等恶意程序,不危害他人计算机信息安全。
网络与信息安全保障措施(详细)
网络与信息安全保障措施(详细)网络与信息安全保障措施(详细)第一章引言网络与信息安全保障措施是为了防止网络和信息系统受到黑客、间谍软件等攻击,对网络和信息系统进行保护、维护和管理的一系列措施。
本文档旨在详细介绍网络与信息安全保障措施的各个方面。
第二章网络安全保障措施1.网络边界安全保障措施1. 防火墙的设置和管理2. 入侵检测和入侵防御系统的建立3. 交换机、路由器和入口网关的安全配置4. VLAN的划分和安全管理5. VPN的建立和维护2.网络设备安全保障措施1. 认证和授权机制的设计和实施2. 系统管理口(Console)的安全管理3. 设备升级和补丁的管理4. 硬件安全(如防止非法读取设备数据、防止设备被盗等)5. 设备日志和事件管理3.网络应用安全保障措施1. 网络应用的安全设计2. 安全协议的使用(如HTTPS、SSH等)3. 输入输出过滤和数据验证4. 访问控制和权限管理5. 安全策略和安全审计4.网络数据安全保障措施1. 数据备份和恢复机制2. 数据加密和解密3. 数据传输和存储的安全保障4. 数据完整性和可用性的保证第三章信息安全保障措施1.信息系统风险评估和安全策略制定1. 风险评估的方法和步骤2. 安全策略的制定和实施2.信息系统访问控制1. 用户身份认证2. 密码策略和密码管理3. 权限控制和权限管理4. 审计和监控用户操作3.信息系统安全保密1. 信息的分类和分级2. 信息传输的安全保障3. 文档和资料的保密措施4. 机房和服务器的安全管理4.信息系统应急响应和恢复1. 应急响应计划的制定和实施2. 事件响应和事件管理3. 数据备份和恢复附录:________本文档涉及附件:________ 1.网络安全保障措施流程图2.信息系统访问控制矩阵法律名词及注释:________1.网络安全法:________是指保护网络安全,防止网络犯罪活动,维护网络空间主权和社会秩序的法律。
网络安全 第二章 TCPIP安全分析
1.3 IP攻击举例
IP利用攻击
IP欺骗:由于IP协议不对数据包中的IP地址进行认证, 所以攻击者假冒他人IP地址发送数据包,或直接将自身 IP修改成他人IP地址。前者可能造成网络通信异常、流 量迅速增大;后者可以骗取基于IP的信任。IP欺骗的局 限性:远程主机只向伪造的IP地址发送应答信号,攻击 者不可能收到远程主机发出的信息,即用C主机假冒B主 机IP,连接远程主机A,A主机只向B主机发送应答信号, C主机无法收到。要在攻击者和被攻击者之间建立连接, 攻击者需要使用正确的TCP序列号。
盲攻击与非盲攻击:
非盲攻击:攻击者和被欺骗的目的主机在同一个网络上,攻击者可以简 单地使用协议分析器(嗅探器)捕获TCP报文段,从而获得需要的序列 号。见上述流程。 盲攻击:由于攻击者和被欺骗的目标主机不在同一个网络上,攻击者无 法使用嗅探器捕获TCP报文段。其攻击步骤与非盲攻击几乎相同,只不 过在步骤三无法使用嗅探器,可以使用TCP初始序列号预测技术得到初 始序列号。在步骤五,攻击者X可以发送第一个数据包,但收不到A的响 应包,较难实现交互。
death: ping of death:早期的路由器对包的最大尺寸 都有限制,比如许多操作系统对TCP/IP栈的实现 在ICMP包上都是规定64KB,并且在对包的标题头 进行读取之后,要根据该标题头里包含的信息来 为有效载荷生成缓冲区。当产生畸形的,声称自 己的尺寸超过ICMP上限的包也就是加载的尺寸超 过64K上限时,就会出现内存分配错误,导致 TCP/IP堆栈崩溃,致使接受方死机。
路由协议利用攻击
RIP路由欺骗:路由器在收到RIP数据包时一般不 RIP 作检察,即不对RIP数据包发送者进行认证。攻 击者可以声称他所控制的路由器A可以最快地到 达某一站点B,从而诱使发往B的数据包由A中转。 由于A受攻击者控制,攻击者可侦听、篡改数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
崇德博智 扶危定倾
2.1 TCP/IP协议簇 2.1.1 TCP/IP协议簇的基本组成 OSI参考模型是指用分层的思想把计算机之间的 通信划分为具有层间关系的七个协议层,要完成一 次通信,需要在七个相对独立的协议层上完成各自 进程才能实现,但TCP/IP参考模型却只用了四层, 如图2-1-1所示。 TCP/IP协议是20世纪70年代中期,美国国防部 为其ARPANET开发的网络体系结构和协议标准。 以TCP/IP为基础建立的因特网是目前国际上规模最
崇德博智 扶危定倾
2.1 TCP/IP协议簇
(4) 在TCP/IP协议簇中的各种应用层协议(如Telnet、 FTP、SMTP等)缺乏认证和保密措施,这就为欺骗、否认、 拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷 和漏洞的攻击形式多样。
崇德博智 扶危定倾
2.2 为了解决TCP/IP协议簇的安全性问题,弥补 TCP/IP协议簇在设计之初对安全功能的考虑不足, 以Internet工程任务组(IETF)为代表的相关组织不断 通过对现有协议的改进和设计新的安全通信协议, 对现有的TCP/IP协议簇提供相关的安全保证,在协 议的不同层次设计了相应的安全通信协议,从而形 成了由各层安全通信协议构成的TCP/IP协议簇的安 全架构,具体参看图2-2-1
崇德博智 扶危定倾
3. 网络层的安全协议 IPSec(Internet Protocol Security,IEEE标 准): 为通信双方提供机密性和完整性服务。
4. 网络接口层的安全协议 (1) PPTP(Point to Point Tunneling Protocol): 点 (2) L2F(Layer 2 Forwarding): 第二层转发协议。 (3) L2TP(Layer 2 Tunneling Protocol): 综合了 PPTP和L2F
崇德博智 扶危定倾
2.1 TCP/IP协议簇
图 2-1-2 TC2.1 TCP/IP协议簇
图 2-1-3 TCP数据包的封装格式
崇德博智 扶危定倾
图 2-1-4 IP数据包的封装格式
崇德博智 扶危定倾
图 2-1-5 TCP的建立与关闭过程
崇德博智 扶危定倾
崇德博智 扶危定倾
9.2.1 应用层的安全协议 应用层的安全协议针对不同的应用安全需求, 设计不同的安全机制。常见的协议主要有S-HTTP和 PGP。 1. S-HTTP S-HTTP (Secure Hyper Text Transfer Protocol)是安全超文本转换协议的简称,它是一种 结合 HTTP 而设计的面向消息的安全通信协议。SHTTP为 HTTP 客户端和服务器提供了多种安全机 制,为WWW中广泛存在的潜在的终端用户提供适
(6) S/MIME(Secure/Multipurpose Internet Mail Extensions): 安全的多用途Internet邮件扩充 (7) PGP(Pretty Good Privacy): 具有加密及 签名功能的电子邮件协议(RFC1991)
崇德博智 扶危定倾
2. (1) SSL(Secure Socket Layer): 基于WWW 服务器和浏览器之间的具有加密、报文认证、签名 (2) TLS(Transport Layer Security,IEEE标 准): 将SSL通用化的协议(RFC2246) (3) SOCKS v5: 此协议是防火墙和VPN用的数 据加密和认证协议,见IEEE RFC1928(以NEC开发 为主)
第二章 网络安全协议
灾害信息工程系 孙晓玲
崇德博智 扶危定倾
第二章 网络安全协议
2.1 TCT/IP协议簇 2.2 网络安全协议
2.3 SSL协议
2.4 IPSec协议
小结
崇德博智 扶危定倾
2.1 TCP/IP协议簇 TCP/IP协议簇是因特网的基础协议,不能简单 说成是TCP协议和IP协议的和,它是一组协议的集 合,包括传输层的TCP协议和UDP协议等,网络层 的IP协议、ICMP协议和IGMP协议等以及数据链路
(3) SSL-Telnet、SSL-SMTP、SSL-POP3: 以 SSL协议分别对Telnet、SMTP、POP3等应用进行
崇德博智 扶危定倾
(4) PET(Privacy Enhanced Telnet): 使 Telnet具有加密功能,在远程登录时对连接本身进 行加密的方式(由富士通和WIDE开发) (5) PEM(Privacy Enhanced Mail): 由IEEE标
崇德博智 扶危定倾
图 2-2-1 TCP/IP协议簇的安全架构
崇德博智 扶危定倾
各个安全协议的具体含义描述如下。 1. 应用层的安全协议 (1) S-HTTP(Secure HTTP): 为保证Web的安 全,由IETF开发的协议,该协议利用MIME,基于 (2) SSH(Secure Shell): 对BSD系列的UNIX的 r
崇德博智 扶危定倾
2.1 TCP/IP协议簇
图 2-1-1 TCP/IP协议簇的体系结构
崇德博智 扶危定倾
2.1 TCP/IP协议簇 2.1.2 TCP/IP协议的封装 在基于TCP/IP协议的网络中,各种应用层的数 据都被封装在IP数据包中在网络上进行传输。其数 据封装过程如图2-1-2所示。 基于TCP/IP协议的所有应用层的数据(如HTTP、 FTP、EMAIL、DNS等)在传输层都是通过TCP(或 UDP)数据包的格式进行封装的(见图2-1-3)。
2.1 TCP/IP协议簇 2.1.3 TCP/IP
随着Internet的发展,TCP/IP协议得到了广泛的应用, 几乎所有的网络均采用了TCP/IP协议。由于TCP/IP协议在 最初设计时是基于一种可信环境的,没有考虑安全性问题, 因此它自身存在许多固有的安全缺陷,例如: (1) 对IP协议,其IP地址可以通过软件进行设置,这样会 (2) IP协议支持源路由方式,即源发方可以指定信息包 (3) 在TCP/IP协议的实现中也存在着一些安全缺陷和漏 洞,如序列号产生容易被猜测、参数不检查而导致的缓冲区