电子商务安全第二章课件

第2章网络通信安全2.1网络通信的安全性2.2TCP/IP协议存在的安全威胁2.3远程访问的安全

2.4小结习题与思考题第2章网络通信安全2.1网络通信的安全性12.1网络通信的安全性 2.1.1网络通信线路的安全性 网络通信线路的安全问题主要有以下六个方面。 1.电磁泄露 络端口、传输线路和计算机都有可能因屏蔽不严或未屏蔽而造成电磁泄露。目前，大多数机房屏蔽和防辐射设施都不健全，通信线路也同样容易出现信息泄露。2.1网络通信的安全性 2.1.1网络通信线路的安全性2 2.搭线窃听 随着信息传递量的不断增加，传递数据的密级也在不断提高，犯罪分子为了获取大量情报，可能监听通信线路，非法接收信息。 3.非法终端 有可能在现有终端上并接一个终端，或合法用户从网上断开时，非法用户乘机接入，并操纵该计算机通信接口使信息传到非法终端。 4.非法入侵 非法分子通过技术渗透或利用电话线侵入网络，非法使用、破坏或获取数据和系统资源。目前的网络系统大都采用口令验证机制来防止非法访问，一旦口令被窃，就无安全可言。 2.搭线窃听3 5.注入非法信息 通过电话线有预谋地注入非法信息，截获所传信息，再删除原有信息或注入非法信息后再发出，使接收者收到错误信息。 6.线路干扰 当公共转接载波设备陈旧和通信线路质量低劣时，会产生线路干扰。如调制解调器会随着传输速率的上升，迅速增加错误。 5.注入非法信息4 对于网络通信线路的安全问题通常采用数据加密、用户认证和室外使用光缆传输介质等措施来解决。近年来，计算机网络系统由于电磁辐射使信息被截获而失密的案例很多，这种截获，其距离可达几百甚至千米，给计算机系统信息的保密工作带来了极大的危害。为了防止计算机网络系统中信息在空间上扩散，通常在物理上采取对主机房和重要部门进行屏蔽处理的防护措施，以减少扩散出去的空间信号。终端分散的重要部门采取主动式的干扰设备(如干扰机)来干扰扩散出去的空间信号，以破坏信息的窃取。 对于网络通信线路的安全问题通常采用数据加密、用户认证和室5 2.1.2网络层次结构的安全性 TCP/IP的不同层次提供的安全性不同。表2-1描述了TCP/IP与OSI模型相应层次的安全措施。下面将重点介绍TCP/IP不同层次的安全性和提高各层安全性的方法。 2.1.2网络层次结构的安全性6表2-1TCP/IP协议与OSI模型的安全性表2-1TCP/IP协议与OSI模型的安全性7 1.网络层的安全性

在过去十年里，对网络层的安全协议已经提出了一些方案。例如，“安全协议3号(SecureProtocol3—SP3)”就是美国国家安全局以及标准技术协会作为“安全数据网络系统(SecureDataNetworkSystem—SDNS)”的一部分而制定的。“网络层安全协议(NetworkLayerSecureProtocol—NLSP)”是由国际标准化组织为“无连接网络协议(ConnectionlessNetworkProtocol—CLNP)”制定的安全协议标准。这些提案的共同点多于不同点。事实上，它们用的都是IP封装技术。其本质是，纯文本的包被加密后，封装在外层的IP报头里，用来对加密的包进行Internet上的路由选择。到达另一端时，外层的IP报头被拆开，报文被解密，然后送到收报地点。

1.网络层的安全性8 网络层安全性的主要优点是它的透明性，也就是说，安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。它的最主要的缺点是网络层一般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能，也会导致性能下降。针对面向主机的密钥分配的这些问题，推荐使用面向用户的密钥分配，其中，不同的连接会得到不同的加密密钥。但是，面向用户的密钥分配需要对相应的操作系统内核作比较大的改动。 网络层安全性的主要优点是它的透明性，也就是说，安全服务的9 简而言之，网络层是非常适合提供基于主机对主机的安全服务的。相应的安全协议可以用来在Internet上建立安全的IP通道和虚拟私有网。例如，利用它对IP包的加密和解密功能，可以简捷地强化防火墙系统的防卫能力。RSA数据安全公司已经发起了一个倡议，来推进多家防火墙和TCP/IP软件厂商联合开发虚拟私有网。该倡议被称为安全广域网(SecureWideAreaNetwork—S-WAN)倡议，其目标是制订和推荐Internet层的安全协议标准。 简而言之，网络层是非常适合提供基于主机对主机的安全服务的10 2.传输层的安全性 在Internet应用编程中，通常使用广义的进程间通信机制来与不同层次的安全协议打交道。在Internet中提供安全服务的首先一个想法便是强化它的进程间通信的界面，具体做法包括双端实体的认证，数据加密密钥的交换等。Netscape通信公司遵循了这个思路，制定了建立在如TCP/IP所提供的在可靠的传输服务基础上的安全套接层协议(SecureSocketLayer—SSL)。SSL版本3于1995年12月制定，它主要包含两个协议。一个是SSL记录协议，它涉及应用程序提供的信息的分段、压缩、数据认证和加密。另一个是SSL握手协议，用来交换版本号、加密算法、相互身份认证并交换密钥。 2.传输层的安全性11

前面已介绍网络层安全机制的主要优点是它的透明性，即安全服务的提供不要求应用层做任何改变。这对传输层来说是做不到的。原则上，任何TCP/IP应用，只要应用传输层安全协议(如安全套接层协议)，就必定要进行若干修改以增加相应的功能，并使用稍微有些不同的进程间通信的界面。于是，传输层安全机制的主要缺点就是要对传输层进程间通信的界面和应用程序两端都进行修改。可是，比起网络层和应用层的安全机制来，这里的修改还是相当小的。另一个缺点是，基于用户数据报协议(UserDatagramProtocol—UDP)的通信很难在传输层建立起安全机制来。同网络层安全机制相比，传输层安全机制的主要优点是它提供基于进程对进程的(而不是主机对主机的)安全服务。这一成就如果再加上应用层的安全服务，就可以更安全。 前面已介绍网络层安全机制的主要优点是它的透明性，即安全服12 3.应用层的安全性 网络层(传输层)的安全协议允许为主机(进程)之间的数据通道增加安全属性。本质上，这意味着真正的、机密的数据通道还是建立在主机(或进程)之间，但却不可能区分在同一通道上传输的一个具体文件的安全性要求。比如说，如果一个主机与另一个主机之间建立起一条安全的IP通道，那么所有在这条通道上传输的IP包就都要自动地被加密。同样，如果一个进程和另一个进程之间通过传输层安全协议建立起了一条安全的数据通道，那么两个进程间传输的所有消息就都要自动地被加密。 3.应用层的安全性13 如果确实想要区分一个具体文件的不同的安全性要求，那么就必须借助于应用层的安全性。提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段。例如一个电子邮件系统可能需要对要发出的信件的个别段落实施数据签名。较低层的协议提供的安全功能一般不会知道任何要发出的信件的段落结构，从而不可能知道该对哪一部分进行签名。只有应用层是惟一能够提供这种安全服务的层次。 如果确实想要区分一个具体文件的不同的安全性要求，那么就必14 目前还没有Web安全性的公认标准。这样的标准只能由万维网协会(WWWConsortium)、Internet工程任务组(InternetEngineeringTaskForce—IETF)或其他有关的标准化组织来制定。而正式的标准化过程是漫长的，可能要拖上好几年，直到所有的标准化组织都充分认识到Web安全的重要性。安全的超文本传输协议(SecureHypertextTransferProtocol—S-HTTP)和SSL是从不同角度提供Web的安全性的。S-HTTP对单个文件作“私人/签字”的区分，而SSL则把参与通信的相应进程之间的数据通道按“私用”和“已认证”进行监管。 目前还没有Web安全性的公认标准。这样的标准只能由万维网152.2TCP/IP协议存在的安全威胁 2.2.1TCP/IP协议概述 1.TCP/IP协议组简介 TCP/IP协议是网络中使用的基本通信协议，虽然从名字上看TCP/IP协议包括两个协议，即传输控制协议(TCP)和网际协议(IP)，但TCP/IP协议实际上是一组协议，包括上百个互为关联的协议，最常用的是下面几个协议。2.2TCP/IP协议存在的安全威胁 2.2.1TCP16 (1)Telnet(RemoteLogin)是远程登录协议，它的作用就是让用户以模拟终端的方式，登录到Internet的某台主机上。一旦连接成功，这些个人计算机就好像是远程计算机的一个终端，可以像使用自己的计算机一样输入命令，运行远程计算机中的程序。 (2)FTP(FileTransferProtocol)是远程文件传输协议，它允许用户在远程主机和自己的电脑之间互相Copy文件(也可删除改名等)。 (3)SMTP(SampleMailTransferProtocol)是简单邮政传输协议，用于传输电子邮件。 (1)Telnet(RemoteLogin)是远17 (4) NFS(NetworkFileSystem)是网络文件系统，可使多台计算机透明地访问彼此的目录。 (5) UDP(UserDatagramProtocol)是用户数据报协议，它和TCP协议一样位于传输层，和IP协议配合使用，在传输数据时省去包头，但它不能提供数据包的重传，所以适合传输较短的文件。 (4) NFS(NetworkFileSystem18 2. TCP/IP协议的数据传输原理 TCP/IP协议的基本传输单位是数据包(DataGram)。TCP协议负责把数据分成若干个数据包，并给每个数据包加上包头(就像给一封信加上信封)。包头上有相应的编号，以保证在数据接收端能将数据还原为原来的格式。IP协议在每个包头上再加上接收端主机地址，这样数据就会找到自己要去的地方(就像信封上要写明地址一样)。如果传输过程中出现数据丢失、数据失真等情况，TCP协议会自动要求数据重新传输，并重新组包。总之，IP协议保证数据的传输，TCP协议保证数据的质量。 2. TCP/IP协议的数据传输原理19 3. TCP/IP协议的层次结构 TCP/IP协议数据的传输基于TCP/IP协议的四层结构，分别是应用层、传输层、网络层、链路层(接口层)。数据在传输中每通过一层就要在数据上加个包头，其中的数据供接收端同一层协议使用，而在接收端，每经过一层要把用过的包头去掉，这样来保证传输数据的格式完全一致。 TCP/IP协议簇中的协议分布在这四层结构中，如图2-2-1所示。可见，TCP/IP协议组中的TCP协议位于传输层，IP协议位于网络层。 3. TCP/IP协议的层次结构20图2-2-1TCP/IP协议组四层结构图2-2-1TCP/IP协议组四层结构21 4.TCP/IP协议的包头结构 TCP/IP协议的基本传输单位是数据包。TCP协议将上层应用传送的报文(较长的数据信息)划分成较小数据段，并在每个数据段加上TCP包控制头(其中包括宿主机地址，数据重构所需的信息和防止信息包被毁坏的信息)，从而形成了TCP包，其结构如图2-2-2所示。 4.TCP/IP协议的包头结构22图2-2-2TCP的包头结构图2-2-2TCP的包头结构23

在TCP包形成后，TCP将它交给IP，IP将它作进一步的分解，并加上控制头(其中包括地址信息，以及装载的TCP信息和数据)，从而形成了IP包，其结构如图2-2-3所示。图2-2-3IP包头结构 在TCP包形成后，TCP将它交给IP，IP将它作进一步的24 2.2.2TCP/IP协议的安全问题

TCP/IP协议是进行一切互联网上活动的基础，没有它信息就不可能在不同操作系统、在不同通信协议中来去自由。也许是因为当时网络软、硬件设备的局限性，当初设计该协议时就着重考虑了网络的速度，而对网络的安全性没作太多的考虑，甚至根本没作考虑，也许是当时开发TCP/IP协议的人根本没有预料互联网会发展如此迅速，所以说TCP/IP本身在安全设计上就先天不足。 TCP/IP协议虽然经过了一次又一次的改版、升级，但终因先天和考虑到软件的可继承性的原因，仍存在诸多安全缺陷不能就在原程序上修修改改全部解决，目前互联网的安全性主要体现在下面的六个方面的问题。 2.2.2TCP/IP协议的安全问题25 1.网上信息易被窃取

大多数互联网上的信息是没有经过加密的，如电子邮件、网页中输入口令或填写个人资料、文件传输等这一切都很容易被一些别有用心的人监听和劫持，其实这就是TCP/IP通信协议在安全性方面的一个漏洞。 为什么互联网上的信息极易被窃取呢？这就要从互联网连接的特点来说了。互联网是一种网间网技术，也就是说它就是把无数的局域网相连起来形成的一个大网，这个大网又与其他由无数局域网连接起来的大网相连来组成一个更大的网，就这样不断地互连就形成了通常所说的互联网，它没有绝对的大小，但通常把世界上所有连在一起的计算机所形成的网统称为互联网。但说到底它也是个类局域网。 1.网上信息易被窃取26 正因为互联网的庞大，所以它的拓扑结构比一般局域网更复杂，互联网的拓扑是一种逐步细化的树状结构，虽然互联网上的传输是点对点的，但一般互联网上的主机往往是处于某一个局域网中，局域网(如以太网、令牌网等)都是广播型网络，也就是说一台主机发布消息，网上任何一台机器都可以收到这个消息。 一般情况下，以太网卡在经过比较后发现是别人的消息时会自动丢弃消息，而不向上层(即本机)传递消息。 正因为互联网的庞大，所以它的拓扑结构比一般局域网更复杂，27 但以太网卡的接收模式可以设置成混合型，这样网卡就会捕捉所有的数据包，并把这些数据包向上传递，这就是为什么以太网可以被窃听，其实FDDI、令牌网也存在这样问题。现在人们经常谈论的ATM网络技术是绝对的点对点通信的，它不像以太网的广播式那样容易被窃听。 互联网上的信息容易被窃听和劫获的另一个原因是，当某人用一台主机和另外一个远程主机进行通信时，他们之间互相发送的数据包要经过很多机器重重转发。具体要经过多少主机、多少路由器和多少网络，用户可以用一个网络调试工具得到，这个工具就是Traceroute，在各种操作系统中都有。在不同操作系统中该命令的名字可能会有所差异。 但以太网卡的接收模式可以设置成混合型，这样网卡就会捕捉所28 在Windows95、Windows2000中的命令格式为：tracert<IP地址>或<域名>，运行后将返回经过的主机、路由和网络信息。如果使用-d选项，则tracert实用程序将不会在每个IP地址上查询DNS。例如：

C:\WINDOWS\Desktop>tracert Tracingrouteto[96] overamaximumof30hops: 112ms13ms13ms 216ms17ms18ms 311ms11ms10ms77 414ms15ms15ms3 在Windows95、Windows2000中的命令29 523ms23ms21ms 693ms92ms92ms0 799ms99ms101ms69 8116ms113ms111msRTR-AHL-A-S2-0.[70] 9111ms109ms112ms50 10103ms103ms101ms[96] Tracecomplete. C:\WINDOWS\Desktop> 523ms23ms21m30

互联网的这种工作原理不但节约了资源，而且简化了传输过程，符合TCP/IP协议简单高效的宗旨，但这也带来了安全上的问题，这些用来转发消息包的机器完全可以把用户的信息窃取下来，同样如果黑客使用一台处于某用户的数据包传输路径上的主机，那么他就可以窃听或劫持用户的数据包。 2.IP的缺陷导致易被欺骗

1)IP包中的源地址可以伪造 众所周知，IP地址是可以用软件配置的，这就存在地址冒充和地址欺骗两个安全隐患。IP支持源路由方式，即显示规定信息传送的路径，也产生路由攻击隐患。Internet应用协议(如SMTP、Telnet和FTP等)缺乏安全保密等措施。

互联网的这种工作原理不但节约了资源，而且简化了传输过程，31 假冒欺骗一般采用源IP地址欺骗攻击，入侵者伪装冒充源自一台内部主机的一个外部地点传送信息包。这些信息包中包含有内部系统的源IP地址。另外，在E-mail服务器中，使用报文传输代理(MessageTransferAgent—MIA)，可以冒名他人，窃取信息。接收主机相信发送的主机，使得邮件的来源就可以轻而易举地被欺骗，这就导致了任何没有特权的用户都可以伪造或欺骗电子邮件。 2)IP包中的“生成时间”可以伪造 在TCP/IP网络中，由于发送者极易更改主机的系统时间，而接收主机又不作时间核实，它相信发送主机发送的时间，因此这也容易导致伪造和欺骗。 假冒欺骗一般采用源IP地址欺骗攻击，入侵者伪装冒充源自一32 3)薄弱的认证环节

Internet的许多安全问题的起源是因为使用了薄弱的和静态的口令。 在TCP/IP网络中常常把IP包中的信源/信宿地址作为许多服务的认证的基础，这样的认证是不可靠的。因为高层的TCP和UDP服务在接收数据包时通常是把IP包中的源地址看作是有效的，TCP和UDP服务相信数据包是从一个有效的主机发送来的，IP包中包含一个选项(即源路由)，用来指定一条源地址和目的地址之间的直接路径。这条路径可以包括通常不被用来向前传送包的主机或路由器。 3)薄弱的认证环节33 对于一些TCP和UDP的服务来说，使用了该选项的IP包好像是从路径上的最后一个系统来的，而不是来自它的真实地点。这个选项主要是为了测试而存在的，它可以被用来欺骗系统以进行平常不被允许的连接。这样许多依靠IP源地址确认的服务就会产生问题并且会被非法进入。 图2-2-4说明了如何使用这个选项把攻击者的系统假扮成某一特定服务器的可信任的客户。 对于一些TCP和UDP的服务来说，使用了该选项的IP包好34图2-2-4IP地址欺骗图2-2-4IP地址欺骗35 (1)攻击者要使用那个被信任的客户的地址取代自己的地址。 (2)攻击者构成一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点。 (3)攻击者用这条路径向服务器发出客户申请。(4)服务器接收客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应。(5)可信任客户使用这条路径将包向前传送给攻击者的主机。 (1)攻击者要使用那个被信任的客户的地址取代自己的地址36 许多UNIX主机接收到这种包后将继续把它们向指定的地方传送。一个更简单的方法是攻击者等客户系统关机后来模仿该系统。许多组织中，UNIX主机作为局域网服务器使用，职员用个人计算机和TCP/IP网络软件来连接并使用它们。个人计算机一般使用NFS来对服务器的目录和文件进行访问(由于NFS仅仅使用IP地址来验证客户)。一个攻击者用很短的时间就可以设置好一台与别人名字和IP地址相同的个人计算机，然后与UNIX主机建立连接，伪装成真正的客户。这是极易实行的攻击手段。 许多UNIX主机接收到这种包后将继续把它们向指定的地方传37 3. ICMP的缺陷 Internet控制信息协议(InternetControlMessageProtocol—ICMP)是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指判断网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。 网络中经常会使用到ICMP协议，只不过一般觉察不到而已。比如经常使用的用于检查网络通不通的“Ping”命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的“Tracert”命令也是基于ICMP协议的。 3. ICMP的缺陷38 ICMP中的“Redirect”消息可以用来欺骗主机和路由器，并使用假路径。这些假路径可以直接通向攻击者的计算机系统，而不能真正连接到一个合法的可信赖的计算机用户，这会使攻击者获得系统的访问权。 对于系统来说，缺乏反映信源到信宿真实路径的跟踪信息。通过TCP/IP发出一个数据包如同把一封信丢入信箱，发出者知道正在走向信宿，但发出者不知道通过什么路线或何时到达。这种不确定性也是安全漏洞。 ICMP中的“Redirect”消息可以用来欺骗主机和39 4. TCP和UDP端口结构的缺陷

传输控制协议(TransmissionControlProtocol—TCP是基于连接的协议，也就是说，在正式收发数据前，必须和对方建立可靠的连接。用户数据报协议(UserDataProtocol—UDP)是与TCP相对应的协议，它是面向非连接的协议，不与对方建立连接，而是直接就把数据包发送过去。 TCP和UDP服务通常有一个客户/服务器的关系。例如，一个Telnet服务进程开始在系统上处于空闲状态，等待着连接。用户使用Telnet客户程序与服务进程建立一个连接时，客户程序向服务进程写入信息，服务进程读出信息并发回响应。客户程序读出响应并向用户报告。这个连接是双工的，可以用来进行读写。 4. TCP和UDP端口结构的缺陷40 两个系统间的多重Telnet连接是相互确认并协调一致的，即TCP或UDP连接惟一地使用每个消息中的源IP地址——发送包的IP地址、目的IP地址——接收包的IP地址、源端口——源系统上的连接的端口、目的端口——目的系统上连接的端口这些项进行确认。 端口是一个软件结构，被客户程序或服务进程用来发送和接收消息。一个端口对应于一个16位的数。其中1024个端口号已分配给专门的服务，用户的应用程序可使用的端口号为1024到65535。常用的服务端口分配如表2-2所示。 两个系统间的多重Telnet连接是相互确认并协调一致的41表2-2常用的服务端口分配表表2-2常用的服务端口分配表42 5. TCP/IP协议明码传送信息导致易被监视

在网络中最常见的窃听是发生在共享介质的网络中(如以太网)，这是由于TCP/IP网络中众多的网络服务均在网络中明码传送，而众多的网络使用者觉察不到。大多数的“黑客(Hacker)”均使用Sniffer、Tcpdump或Snoop等探测工具，可以清楚地看到某个用户从一台机器登录到另一台机器的全过程。 应该注意到，当用户使用Telnet或FTP连接到远程主机上时，他在Internet上传输的口令是没有加密的。侵入系统的另一个方法，就是通过监视携带用户名和口令的IP包获取它们，然后使用这些用户名和口令，通过正常渠道登录到系统。如果被截获的是管理员的口令，那么获取特权级访问就变得更加容易。就像前面曾说过的，成百上千的系统已经被这种方法侵入。 5. TCP/IP协议明码传送信息导致易被监视43 大多数用户不加密邮件，而且许多人认为电子邮件是安全的，所以用它来传送敏感的内容。因此，电子邮件或者Telnet和FTP的内容，可以被监视从而了解一个站点的情况。 X-Windows系统是一个逐渐流行起来的系统，但它同样也存在易被监视的弱点。 -Windows系统允许在一台工作站上打开多重窗口来显示图形或多媒体应用。闯入者有时可以在另外的系统上打开窗口来读取可能含有口令或其他敏感信息的击键序列。 大多数用户不加密邮件，而且许多人认为电子邮件是安全的，所44 6.提供不安全的服务

基于TCP/IP协议的服务很多，比较熟悉的有WWW服务、FTP服务和电子邮件服务，不太熟悉的有TFTP服务、NFS服务和Finger服务等。这些服务都存在不同程度上的安全缺陷，当用户要保护站点时，就需要考虑，该提供哪些服务，要禁止哪些服务，如果有防火墙，应把不对外的服务限制在内网中。 网络通信的基础是协议，TCP/IP协议是目前国际上最流行的网络协议。该协议在实现上因力求实效，而没有考虑安全因素。其主要原因是如果考虑安全因素太多，将会增大代码量，从而降低了TCP/IP协议的运行效率。所以，TCP/IP协议在设计上就有不安全的因素。

6.提供不安全的服务45 2.2.3网络协议的捕获 使用Windows2000Server网络监视器可以捕获和显示正在网络上运行的计算机从局域网上接收的帧(也称作数据包)。网络管理员可以使用网络监视器检测和解决在本地计算机上可能遇到的网络问题。用户可以捕获发到本地网卡或从本地网卡发出的所有网络通信，也可以设置一个捕获筛选器来捕获帧的子集。还可以指定一系列条件来触发网络监视器捕获筛选器的事件。通过使用触发器，网络监视器可以响应网络上的事件，可以很方便地分析出该计算机使用的网络协议以及与哪些计算机相连接的信息。 2.2.3网络协议的捕获46 Windows2000Server网络监视器默认是未安装的，需要在【添加/删除程序】/【添加/删除Windows组件】/【管理和监视工具】中添加【网络监视工具】进行安装。 Windows2000Server网络监视器的具体操作方法是在计算机桌面上单击【开始】/【程序】/【管理工具】/【网络监视器】选项，出现如图2-2-5所示的窗口。 Windows2000Server网络监视器默47图2-2-5网络监视器图2-2-5网络监视器48 如果想要捕获来自网络上特定计算机的帧，在捕获筛选器中指定一个或多个地址对，最多可以同时监视四个特定的地址对。地址对由以下部分组成： (1)希望监视其通信的两台计算机的地址； (2)指定希望监视的通信方向的箭头。例如，要捕获来自PC1计算机上的所有通信(从PC1到PC2的通信除外)，使用下列捕获筛选器地址部分：AddressesincludePC1<---->AnyexcludePC1<---->PC2，如果没有Include行，则默认使用your_computer<---->Any。 如果想要捕获来自网络上特定计算机的帧，在捕获筛选器中指定49 如果要捕获某一段时间内帧的变化，可以选择【捕获】菜单中的【开始】选项，直到想结束捕获时，单击【停止】按钮，在这一段时间中所有的网络通信都已经记录下来了。单击【捕获】菜单，选择【显示捕获的数据】选项，出现捕获帧窗口，如图2-2-6所示，在这里可以清楚地看到捕获帧的时间、源MAC地址、目标MAC地址、使用协议、源地址和目标地址等选项。 如果要捕获某一段时间内帧的变化，可以选择【捕获】菜单中的50图2-2-6捕获帧窗口图2-2-6捕获帧窗口51 为安全起见，Windows2000中的网络监视器版本仅捕获广播和多播帧、发送到或来自本地计算机的帧。网络监视器也为广播帧、多播帧、网络使用情况、每秒接收的总字节数和每秒接收的总帧数显示所有网络段统计信息。此外，为了保护网络以防有人未授权安装网络监视器，网络监视器提供了检测在网络中本地网段运行的其他网络监视器安装情况的功能。 为安全起见，Windows2000中的网络监视器版本仅522.3远程访问的安全

2.3.1拨号访问安全 通过传输媒介——公用电话网(PublicSwitchedTelephoneNetwork—PSTN)，利用Modem模拟拨号技术来实现远程连接，是目前最为普通、方便的远程访问方式。利用PSTN进行远程接入，用户只要利用一条电话线和普通的Modem就可以访问互联网，也可以用它们在家里访问办公室里的主机或公司的局域网。虽然调制解调器给上网带来了极大的方便，但同时也带来了危险。对于用户来说，一次性投入很小。2.3远程访问的安全 2.3.1拨号访问安全53 不过PSTN远程拨号接入方式存在带宽不足、接入速度慢、服务质量差、需要支付昂贵的长途拨号以及长途专线服务费用等问题，已远远无法满足企业数据传输应用需求。因此又出现了一些接入技术，从利用电话线作为传输介质的xDSL(DigitalSubscriberLine)，到依靠有线电视电缆的CableModem，直到城域网Ethernet接入，但是这些接入技术由于对各自传输介质的依赖性而不能直接运用于企业网远程访问。 调制解调器的危险在于它提供了进入用户网络的另一个入口点，也就是端口，一般来说，打开网络端口点越多，被入侵的可能性就越大。 不过PSTN远程拨号接入方式存在带宽不足、接入速度慢54 一般一个标准的Intranet结构会包括内、外网段，内网段和外段网之间有防火墙，在内外网段都可能提供拨号服务器，外网段拨号服务器供普通用户使用，内网段拨号服务器供公司的高级职员使用，这两种拨号服务保护方式是不同的。 外网段拨号服务器被置于防火墙外部，它的安全是通过防火墙和身份验证服务器来保证的。对于内网段的内部网来说，这种服务应该是保密的，而且要严格控制，并应有强大的身份验证系统来保证安全。如果一个黑客通过拨号服务器登录到用户的网络中，那么他就像在用户的公司里使用一台机器一样，他会窃听到用户的内部网络通信。如何才能提高拨号网络的安全性呢？ 一般一个标准的Intranet结构会包括内、外网段，内网55 提高拨号调制解调器安全的方法很多，至少可以通过以下五种方法来实现。 (1)号码不要广泛流传。只把号码告诉需要使用该服务的人，同时要对公司员工加强安全意识教育，要求他们也不要把公司内部拨号号码告诉其他人。 (2)使用用户名和口令来保护拨号服务器。口令可以是静态，但最好是一次性口令。大家知道在电话线上可以用Sniffer来窃听口令，但它始终不像在局域网上那么容易，如果入侵者不知道用户名和口令要入侵时需要把探尖插入电话线来窃听电话，这一般是较难做到的。所以用户口令要妥善保存，不要写在任何地方，最好是用脑来记住。 提高拨号调制解调器安全的方法很多，至少可以通过以下五种方56

(3)使用安全性好的调制调解器。回拨调制解调器、安静调制解调器是比较好的选择。回拨调制解调器是在连接时要求用户输入用户名和口令，它不会马上连接，它会先断开连接，查找该用户的合法电话号码，然后，回拨调制解调器会回拨到合法电话号码，并建立起连接。最后，用户就可以输入用户名和口令而进入该系统。这样做虽然比较麻烦，但确实比用一般调制解调器上网安全许多，至少可以杜绝一个账号可以在不同电话机上使用的危险。安静调制解调器在登录完成之前不会发出特殊的“Connection

established”信号，这样可以防止有人按顺序搜索计算机拨号系统的电话号码。 (3)使用安全性好的调制调解器。回拨调制解调器、安静调57

(4)在网络上加一个用于核实用户身份的服务器。只有用户身份被该服务器验证后才允许进入该系统，并且服务器可以对登录情况进行审计。这虽然或许会增加公司一些成本开支，但它所带来的安全性效益是难以用钱来衡量的。

(5)防范通过调制调解器对WindowsNT的RAS访问带来的安全隐患。Windows

NT的远程访问服务(RemoteAccessServer—RAS)给用户提供了一种远程用调制解调器访问远程网络的功能，当用户通过远程访问服务连接到远程网络中时，电话线就变得透明了，用户可以访问所有资源，就像他们坐在办公室进而访问这些资源一样，RAS调制解调器起着像网卡一样的作用。 (4)在网络上加一个用于核实用户身份的服务器。只有用户58 但这种RAS在实施过程中存在许多重大的安全隐患。因为RAS服务器和Windows

NT服务器使用相同的用户数据库，用户使用起来变得比较容易。用户用在办公室中使用的同一个用户进行登录，这样可以保证用户具有相同的访问权限，但这给网络安全的管理带来了新的难题。为了进行连接，用户必须有一个有效的WindowsNT用户账户和RAS拨入许可，这在用户尝试登录到Windows

NT之前，必须被验证。但如果用户不在公司，其身份的真实性就很难验证，如果某个系统管理员的账号被一些别有用心的人知道后进行RAS访问，那后果将会非常严重。 但这种RAS在实施过程中存在许多重大的安全隐患59 为了防止非法用户通过RAS访问网络就必须加强公司员工账号管理，特别是管理员账号。另一个管理员账号最好不是使用“Administrator”这个账号，应对其进行改名，或增加一个同样权限的系统管理员组成员，用户账号也要求经常更改。有些公司就要求所要用户密码至少一个月改一次，而且最近的两次密码不能一样，公司的进、销、存管理软件用户密码至少要求一个星期改一次，这在某种程度上预防了非法用户通过RAS进行非法登录。 为了防止非法用户通过RAS访问网络就必须加强公司员工账号60 2.3.2虚拟专用网的安全 虚拟专用网(VirtualPrivateNetwork—VPN)是专用网络在公共网络(如Internet)上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线，通信数据在安全隧道中进行加密传输，从而达到安全传输数据的目的。由于VPN具有高度灵活性、高带宽、高安全性、应用费用相对低廉等优点，已经成为非常理想的企业网远程访问解决方案。VPN的应用可以分为三个基本类型：AccessVPN、IntranetVPN和ExtranetVPN。 2.3.2虚拟专用网的安全61 1. VPN的一般组网方案 可以利用企业现有的网络设备，如路由器、服务器与防火墙来建置VPN。有些企业网络以路由器为中心，把VPN服务加在路由器上。有些企业把防火墙看成是Internet安全通信的核心，选择防火墙式的VPN建置方案。 1)路由器式VPN 使用具有VPN功能的路由器，公司总部便可与分公司间经由Internet或ISP网络来传送企业内部资料。拨号连接用户也可在ISP网络中建立隧道(Tunneling)，以存取企业网络。 1. VPN的一般组网方案62 相对来说，路由器式VPN部署较容易，只要在路由器上添加VPN服务，通常只需将软件升级即可，而新型路由器通常已在软件或操作系统中内建了VPN服务。基本上，路由器上的VPN软件升级，一般都会包括防火墙、加密以及隧道等功能。有些厂商则会将用户身份辨识与既有的身份辨识服务，如远程身份辨识拨号连接用户服务(RemoteAuthenticationDial-InUserService—RADIUS)连结在一起。 相对来说，路由器式VPN部署较容易，只要在路由器上添加V63 2)软件式VPN

由生产厂商和协作厂商提供的VPN应用程序可执行加密、隧道建立与身份辨识，让用户通过VPN与企业内部网络相连。这种技术可使现有设备继续沿用，即将软件安装在现有的服务器上，不需变动网络组态。另外，程序可与现有的网络操作系统的身份辨识服务相连，可大幅简化VPN的管理工作。 3)防火墙式VPN

许多企业以防火墙为Internet安全措施的核心，用来防范黑客的攻击。许多防火墙厂商已在它们的产品中支持VPN服务，保护用户的内部网络免于被未授权的用户侵入。一个良好的防火墙可以根据用户、应用程序和传输源辨识通信流。 2)软件式VPN64 这种作法的好处是现有网络架构保持不变，就可以管理VPN服务所用的接口，而且与原来管理防火墙时使用的接口相同，培训成本也大大缩减。因为加密与建立隧道等VPN服务都是由软件来处理的，从而进一步提高了效能。 2. VPN的安全管理 同任何的网络资源一样，VPN也必须得到有效的管理，需要关注VPN的安全问题。目前所有的VPN设备都应用了相关的核心技术，这些技术包括隧道协议(Tunneling)、资料加密(Encryption)、认证(Authentication)及存取控制(AccessControl)等。 这种作法的好处是现有网络架构保持不变，就可以管理VPN服65 1)隧道技术

隧道技术就是将原始报文在A地进行封装，到达B地后去掉封装，还原成原始报文，这样就形成了一条由A到B的通信隧道。 一般而言，隧道协议技术分为两种不同的类型。第一种类型是端对端(End-to-End)隧道技术。从用户的PC延伸到用户所连接的服务器上。每个端点的VPN设备都必须负责隧道的建立以及端点之间资料的加密及解密等工作。第二种类型是点对点(Node-to-Node)隧道技术。主要是连接不同地区的局域网络。在局域网络内部传送的资料并不需做任何的变动。一旦资料必须经由网络外围的VPN设备传送到不同的局域网络时，这些数据才会被加密且经由隧道传送给下一个节点的对应设备。 1)隧道技术66 当节点收到资料后，VPN设备会将这些资料解密，还原成原来的格式，再传送到内部局域网络。将利用软件隧道覆盖在一个实体网络之上，构成VPN的虚拟特性，让其上任何一个连接看起来像是线路上惟一的交通。隧道也让一个VPN得以维持如内部网络的安全性和优先性，以提供交通控制能力。 目前实现隧道技术主要有以下五种。 当节点收到资料后，VPN设备会将这些资料解密，还原67 ●通用路由封装技术 通用路由封装技术(GenericRoutingEncapsulation—GRE)是在IP数据包的外面再加上一个IP头。通俗地说，就是把私有数据进行一下伪装，加上一个“外套”，传送到其他地方。因为企业私有网络的IP地址通常是自己规划的，无法和外部互联网建立正确的路由。而在企业网络的出口，至少会有一个合法的IP地址，这个地址可以在互联网中惟一识别出来。GRE就是把企业内部的目的IP地址和源地址的数据报文进行封装，加上一个远端机构互联网出口的IP地址(目的地址)和本地互联网出口的IP地址(源地址)，即加上IP头，通过互联网进行正确的传输，如图2-3-1所示。这种技术是最简单的VPN技术。 ●通用路由封装技术68图2-3-1GRE封装前后的IP帧结构示意图图2-3-1GRE封装前后的IP帧结构示意图69 ●点对点隧道协议

点对点隧道协议(PointtoPointTunnelingProtocol—PPTP)将控制包与数据包分开。控制包采用TCP控制，用作严格的状态查询及信令信息，数据包则先封装在PPP协议中，然后封装到GRE(通用路由协议封装)V2协议中。 ●第二层隧道传输协议

第二层隧道传输协议(Layer2TunnelingProtocol——L2TP)是在特定链路层实现的VPN技术，它是把二层协议PPP的报文封装在IP报文中进行传输。这种技术是提供企业员工出差在外通过拨号网络直接访问企业内部网络的方式。在Windows2000中，也提供了这项功能。但是，用户要使用这种技术，必须由ISP提供支持。 ●点对点隧道协议70 ●网络协议安全 网络协议安全(InternetPortocolSecurity—IPSEC)提供了互联网的验证、加密等功能，实现了数据的安全传输。同时，可以使用这种协议构建VPN网络。原理也是对IP包进行封装(可以提供多种方式)，并且进行加密，然后在互联网中进行传输。与前面两种相比，这种技术提供了更好的安全性。但是，协议的复杂性导致了处理IPsec的网络设备(如路由器)需要占用大量的资源，效率较低。如果使用专门的加密硬件，又会增加成本。 ●网络协议安全71 ●多协议标记交换VPN 多协议标记交换(MultiprotocolLabelSwitching—MPLS)VPN可以实现底层标签自动的分配，在业务的提供上比传统的VPN技术更廉价，更快速。同时MPLSVPN可以充分地利用MPLS技术的一些先进的特性，比如MPLS流量工程能力，MPLS的服务质量保证，结合这些能力，MPLSVPN可以向客户提供不同服务质量等级的服务，也更容易实现跨运营商骨干网服务质量的保证。 同时MPLSVPN还可以向客户提供传统的基于路由技术VPN无法提供的业务种类，如支持VPN地址空间复用。 ●多协议标记交换VPN72 对于MPLS的客户来说，运营商的MPLS网络可以提供客户需要的安全机制，以及组网的能力，VPN底层连接的建立、管理和维护主要由运营商负责，客户运营其VPN的维护和管理都将比传统的VPN解决方案简单，也降低了企业在人员和设备维护上的投资和成本。 2)加密技术 大部分VPN设备厂商都支持市场上主要的几种加密技术，像RSASecurity公司的RivestCipher技术、DES及Triple-DES(三重DES)等。密钥长度的选择取决于许多因素，较明显的因素包括确保资料机密的重要性程度以及资料所流经的网络安全性等。 对于MPLS的客户来说，运营商的MPLS网络可以提供客户73 一旦VPN采用加密技术后，系统也必须提供用户一套取得密钥的方法。最常见的几种密钥管理技术为PPP(Point-to-PointProtocol，点对点协议)中的ECP(EncryptionControlProtocol，加密控制协议)协议、具备密钥管理功能的MPPE(MicrosoftPoint-to-PointEncryption，Microsoft点对点加密技术)以及ISAKMP/IKE(InternetSocietyAssociationKeyManagementProtocol/InternetKeyExchange)等。 在VPN中，加密应只使用于特别敏感的交通，当有需要时才使用，或加装硬件加密模块，因为加密非常占用处理器资源，而且会影响速度性能。 一旦VPN采用加密技术后，系统也必须提供用户一套取得密钥74 3)认证 VPN采用了许多现存的用户认证技术。举例来说，许多厂商所推出的VPN设备中，都具备了PPP的PAP(PasswordAuthenticationProtocol，密码认证协议)技术、CHAP(ChallengeHandshakeAuthenticationProtocol，挑战性握手验证协议)以及MicrosoftCHAP的支持能力。 不过，VPN连接中一般都包括两种形式的认证。一种是用户身份认证，在VPN连接建立之前，VPN服务器对请求建立连接的VPN客户机进行身份验证，核查其是否为合法的授权用户。 3)认证75 如果使用双向验证，还需进行VPN客户机对VPN服务器的身份验证，以防伪装的非法服务器提供错误信息。另一种是数据完整性和合法性认证，检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。VPN链路中传输的数据包含密码检查，密钥只由发送者和接收者双方共享。 4)存取控制 在确认用户身份之后，进一步所需要的功能就是针对不同的用户授予不同的存取权限。这部分的功能也是认证服务器拥有的另一功能。 如果使用双向验证，还需进行VPN客户机对VPN服务器的身76 许多VPN的产品都伴随有适用该产品的认证服务器，如拨号用户远程认证服务器(RemoteAuthenticationDial-InUserService—RADIUS)及终端存取控制存取系统(TerminalAccessControllerAccessSystem—TACAS)等。用户必须接受身份(Authentication)和授权程序的验证(Authorization)，让网络知道他们是谁以及让用户知道他们可以做些什么。一个良好的系统也会执行账户稽核(Accounting)，以追踪支出源和确保安全性。验证、授权和账户稽核，统称为AAA服务。 许多VPN的产品都伴随有适用该产品的认证服务器，如77 5)QoS技术 通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足用户的要求，这就要加入服务质量(QualityofService—QoS)。实行QoS应该在主机网络中，即VPN所建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。 5)QoS技术78 2.3.3无线网络接入的安全 随着无线网络技术的成熟，经过无线网络和数据采集设备及监控设备的有效结合，同样可以很方便地进行远程连接。就目前来看，实现无线网络的技术，有蓝牙无线接入技术、IEEE802.11连接技术以及家庭网络的HomeRF(HomeRadioFrequency)技术。在这三种技术中，IEEE802.11比较适于办公室中的企业无线网络，数据传输速率现在已经能够达到54Mb/s，传输距离可远至20km以上，HomeRF可应用于家庭中的移动数据和语音设备与主机之间的通信，而蓝牙技术则可以应用于任何可以用无线方式替代线缆的场合。 2.3.3无线网络接入的安全79 目前常见到的无线接入应用一般仅限于小区域的局域网络，还算不上真正意义的远程接入。如果用户打算实现远程接入，就需要建立稳定的网络链路，通过无线网络及卫星地面站进行连接。 不过企业在选择无线接入时首要关注的是安全问题。当企业使用无线局域网技术，却没有采取适当的安全措施时，即使一些初级黑客都有可能利用容易得到的廉价设备对企业网络进行攻击。 目前常见到的无线接入应用一般仅限于小区域的局域网络，还算80 无线网络最基本的安全措施是WEP(WiredEquivalentPrivacy)。WEP在设计上是用来阻止窃听者，并且防止未经授权的无线局域网络联机。然而这项标准本身却存在许多限制。WEP使用RC4加密算法，这种算法使用同一组密钥来打乱以及重新组合网络封包。一个经验丰富的黑客能够在经过约五小时的资料收集时间后，便可破解一段经由RC4算法加密过的文字。除此以外，许多WEP的产品都使用同一组密钥。所以用户应该避免以一种可预测的方式来改变自己的密钥，黑客破解密码的方式是大量收集经由同一组密钥加密过的资料。 无线网络最基本的安全措施是WEP(WiredEquiv81 如果用户的密钥管理系统以一种可预测的方式循环使用一组不同的密钥，那么决心要破解密码的黑客便可以从正常用户的局域网络流量中收集资料，并且通过密钥的相关分析来帮助破解加密机制。他们的攻击技巧对于40位或者128位的RC4加密机制都同样有效。 基于以上原因，最新的标准整合了两项与认证和加密有关的关键组件。在认证功能方面，未来可能会采用802.1x标准，这是一项将会被整合到WindowsXP以及其他各种网络设备的认证管理系统通信协议。采用这项标准能够让用户每次登入网络都使用不同的加密密钥，而且这项标准本身也提供了密钥管理机制。 如果用户的密钥管理系统以一种可预测的方式循环使用一组不同82 802.1x也支持例如Kerberos以及拨号连接用户远程认证服务(RemoteAuthenticationDial-InUserService—RADIUS)这一类集中式的认证、辨识以及账号管理架构。微软、思科、3Com以及Enterasys等主要厂商都支持802.1x这项标准。在新的标准没有出来之前，如果要确保无线接入的安全性最好，应该采取以下措施。 1.使用动态秘钥管理 动态安全链路会自动生成一个新的128位加密秘钥，它对每个网络用户和每次网络会话来说都是惟一的。这一技术能够比静态共享秘钥策略提供更高的网络安全性，帮助用户从手工的输入工作中解脱出来。 802.1x也支持例如Kerberos以及拨号连接用户远83 由于确保了每一个用户拥有一个惟一、可以不断变更的秘钥，因此，即使黑客攻破加密防线并获取了网络的访问权，所获取的秘钥也只能工作几个小时，从而降低了企业因此需要承担的潜在损失。 2.定期稽核 强化无线接入安全性的一个必要步骤便是通过网络稽核，找出所有未受管制的无线局域网络联接器，进而将它们纳入系统既有安全政策的管制，或者干脆完全停止使用这些联接器。从短期来看，各企业应该使用具备无线局域网络流量侦测功能的产品，以便能够方便地找出无线局域网络联接器。 由于确保了每一个用户拥有一个惟一、可以不断变更的秘钥，因84 3.认证 由于以WEP为基础的标准规范存在安全缺陷，用户必须将眼光焦点放在无线局域网络用户的认证机制上面。一套强而有力的认证机制必须搭配防火墙一起使用，即将无线局域网络区段视为公众网际网络一样看待。第二层虚拟局域网络(Layer2virtualLANs)可以将无线局域网络流量区隔在单一防火墙之外，进而减少使用多重防火墙设备的需要。除了单纯地通过认证机制以及网络观测设备来进行存取控制之外，用户也可以部署一套入侵侦测系统(IntrusionDetectionSystem—IDS)，以便主动地事先辨认出局域网络入侵迹象。

3.认证852.4小结 在这一章里介绍了网络通信安全的基本知识。首先介绍了在网络通信线路中存在的安全问题。然后介绍了TCP/IP协议下各个层次的安全性问题和TCP/IP协议组的安全缺陷。在远程访问安全中主要介绍了提高远程访问网络安全性的方法，比较详细地阐述了三种远程访问方式存在的问题及解决方法。2.4小结 在这一章里介绍了网络通信安全的基本知识。首先86习题与思考题 1.试述哪些因素会影响网络通信线路的安全。 2.网络层的安全性体现在什么地方？ 3.传输层安全性不足表现在什么地方？ 4.举例说明IP的缺陷导致易被欺骗。 5.为什么说调制解调器给上网的用户带来不安全因素？ 6.简述三种远程访问的安全问题。习题与思考题 1.试述哪些因素会影响网络通信线路的安全87第2章网络通信安全2.1网络通信的安全性2.2TCP/IP协议存在的安全威胁2.3远程访问的安全

2.4小结习题与思考题第2章网络通信安全2.1网络通信的安全性882.1网络通信的安全性 2.1.1网络通信线路的安全性 网络通信线路的安全问题主要有以下六个方面。 1.电磁泄露 络端口、传输线路和计算机都有可能因屏蔽不严或未屏蔽而造成电磁泄露。目前，大多数机房屏蔽和防辐射设施都不健全，通信线路也同样容易出现信息泄露。2.1网络通信的安全性 2.1.1网络通信线路的安全性89 2.搭线窃听 随着信息传递量的不断增加，传递数据的密级也在不断提高，犯罪分子为了获取大量情报，可能监听通信线路，非法接收信息。 3.非法终端 有可能在现有终端上并接一个终端，或合法用户从网上断开时，非法用户乘机接入，并操纵该计算机通信接口使信息传到非法终端。 4.非法入侵 非法分子通过技术渗透或利用电话线侵入网络，非法使用、破坏或获取数据和系统资源。目前的网络系统大都采用口令验证机制来防止非法访问，一旦口令被窃，就无安全可言。 2.搭线窃听90 5.注入非法信息 通过电话线有预谋地注入非法信息，截获所传信息，再删除原有信息或注入非法信息后再发出，使接收者收到错误信息。 6.线路干扰 当公共转接载波设备陈旧和通信线路质量低劣时，会产生线路干扰。如调制解调器会随着传输速率的上升，迅速增加错误。 5.注入非法信息91 对于网络通信线路的安全问题通常采用数据加密、用户认证和室外使用光缆传输介质等措施来解决。近年来，计算机网络系统由于电磁辐射使信息被截获而失密的案例很多，这种截获，其距离可达几百甚至千米，给计算机系统信息的保密工作带来了极大的危害。为了防止计算机网络系统中信息在空间上扩散，通常在物理上采取对主机房和重要部门进行屏蔽处理的防护措施，以减少扩散出去的空间信号。终端分散的重要部门采取主动式的干扰设备(如干扰机)来干扰扩散出去的空间信号，以破坏信息的窃取。 对于网络通信线路的安全问题通常采用数据加密、用户认证和室92 2.1.2网络层次结构的安全性 TCP/IP的不同层次提供的安全性不同。表2-1描述了TCP/IP与OSI模型相应层次的安全措施。下面将重点介绍TCP/IP不同层次的安全性和提高各层安全性的方法。 2.1.2网络层次结构的安全性93表2-1TCP/IP协议与OSI模型的安全性表2-1TCP/IP协议与OSI模型的安全性94 1.网络层的安全性

在过去十年里，对网络层的安全协议已经提出了一些方案。例如，“安全协议3号(SecureProtocol3—SP3)”就是美国国家安全局以及标准技术协会作为“安全数据网络系统(SecureDataNetworkSystem—SDNS)”的一部分而制定的。“网络层安全协议(NetworkLayerSecureProtocol—NLSP)”是由国际标准化组织为“无连接网络协议(ConnectionlessNetworkProtocol—CLNP)”制定的安全协议标准。这些提案的共同点多于不同点。事实上，它们用的都是IP封装技术。其本质是，纯文本的包被加密后，封装在外层的IP报头里，用来对加密的包进行Internet上的路由选择。到达另一端时，外层的IP报头被拆开，报文被解密，然后送到收报地点。

1.网络层的安全性95 网络层安全性的主要优点是它的透明性，也就是说，安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。它的最主要的缺点是网络层一般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能，也会导致性能下降。针对面向主机的密钥分配的这些问题，推荐使用面向用户的密钥分配，其中，不同的连接会得到不同的加密密钥。但是，面向用户的密钥分配需要对相应的操作系统内核作比较大的改动。 网络层安全性的主要优点是它的透明性，也就是说，安全服务的96 简而言之，网络层是非常适合提供基于主机对主机的安全服务的。相应的安全协议可以用来在Internet上建立安全的IP通道和虚拟私有网。例如，利用它对IP包的加密和解密功能，可以简捷地强化防火墙系统的防卫能力。RSA数据安全公司已经发起了一个倡议，来推进多家防火墙和TCP/IP软件厂商联合开发虚拟私有网。该倡议被称为安全广域网(SecureWideAreaNetwork—S-WAN)倡议，其目标是制订和推荐Internet层的安全协议标准。 简而言之，网络层是非常适合提供基于主机对主机的安全服务的97 2.传输层的安全性 在Internet应用编程中，通常使用广义的进程间通信机制来与不同层次的安全协议打交道。在Internet中提供安全服务的首先一个想法便是强化它的进程间通信的界面，具体做法包括双端实体的认证，数据加密密钥的交换等。Netscape通信公司遵循了这个思路，制定了建立在如TCP/IP所提供的在可靠的传输服务基础上的安全套接层协议(SecureSocketLayer—SSL)。SSL版本3于1995年12月制定，它主要包含两个协议。一个是SSL记录协议，它涉及应用程序提供的信息的分段、压缩、数据认证和加密。另一个是SSL握手协议，用来交换版本号、加密算法、相互身份认证并交换密钥。 2.传输层的安全性98

前面已介绍网络层安全机制的主要优点是它的透明性，即安全服务的提供不要求应用层做任何改变。这对传输层来说是做不到的。原则上，任何TCP/IP应用，只要应用传输层安全协议(如安全套接层协议)，就必定要进行若干修改以增加相应的功能，并使用稍微有些不同的进程间通信的界面。于是，传输层安全机制的主要缺点就是要对传输层进程间通信的界面和应用程序两端都进行修改。可是，比起网络层和应用层的安全机制来，这里的修改还是相当小的。另一个缺点是，基于用户数据报协议(UserDatagramProtocol—UDP)的通信很难在传输层建立起安全机制来。同网络层安全机制相比，传输层安全机制的主要优点是它提供基于进程对进程的(而不是主机对主机的)安全服务。这一成就如果再加上应用层的安全服务，就可以更安全。 前面已介绍网络层安全机制的主要优点是它的透明性，即安全服99 3.应用层的安全性 网络层(传输层)的安全协议允许为主机(进程)之间的数据通道增加安全属性。本质上，这意味着真正的、机密的数据通道还是建立在主机(或进程)之间，但却不可能区分在同一通道上传输的一个具体文件的安全性要求。比如说，如果一个主机与另一个主机之间建立起一条安全的IP通道，那么所有在这条通道上传输的IP包就都要自动地被加密。同样，如果一个进程和另一个进程之间通过传输层安全协议建立起了一条安全的数据通道，那么两个进程间传输的所有消息就都要自动地被加密。 3.应用层的安全性100 如果确实想要区分一个具体文件的不同的安全性要求，那么就必须借助于应用层的安全性。提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段。例如一个电子邮件系统可能需要对要发出的信件的个别段落实施数据签名。较低层的协议提供的安全功能一般不会知道任何要发出的信件的段落结构，从而不可能知道该对哪一部分进行签名。只有应用层是惟一能够提供这种安全服务的层次。 如果确实想要区分一个具体文件的不同的安全性要求，那么就必101 目前还没有Web安全性的公认标准。这样的标准只能由万维网协会(WWWConsortium)、Internet工程任务组(InternetEngineeringTaskForce—IETF)或其他有关的标准化组织来制定。而正式的标准化过程是漫长的，可能要拖上好几年，直到所有的标准化组织都充分认识到Web安全的重要性。安全的超文本传输协议(SecureHypertextTransferProtocol—S-HTTP)和SSL是从不同角度提供Web的安全性的。S-HTTP对单个文件作“私人/签字”的区分，而SSL则把参与通信的相应进程之间的数据通道按“私用”和“已认证”进行监管。 目前还没有Web安全性的公认标准。这样的标准只能由万维网1022.2TCP/IP协议存在的安全威胁 2.2.1TCP/IP协议概述 1.TCP/IP协议组简介 TCP/IP协议是网络中使用的基本通信协议，虽然从名字上看TCP/IP协议包括两个协议，即传输控制协议(TCP)和网际协议(IP)，但TCP/IP协议实际上是一组协议，包括上百个互为关联的协议，最常用的是下面几个协议。2.2TCP/IP协议存在的安全威胁 2.2.1TCP103 (1)Telnet(RemoteLogin)是远程登录协议，它的作用就是让用户以模拟终端的方式，登录到Internet的某台主机上。一旦连接成功，这些个人计算机就好像是远程计算机的一个终端，可以像使用自己的计算机一样输入命令，运行远程计算机中的程序。 (2)FTP(FileTransferProtocol)是远程文件传输协议，它允许用户在远程主机和自己的电脑之间互相Copy文件(也可删除改名等)。 (3)SMTP(SampleMailTransferProtocol)是简单邮政传输协议，用于传输电子邮件。 (1)Telnet(RemoteLogin)是远104 (4) NFS(NetworkFileSystem)是网络文件系统，可使多台计算机透明地访问彼此的目录。 (5) UDP(UserDatagramProtocol)是用户数据报协议，它和TCP协议一样位于传输层，和IP协议配合使用，在传输数据时省去包头，但它不能提供数据包的重传，所以适合传输较短的文件。 (4) NFS(NetworkFileSystem105 2. TCP/IP协议的数据传输原理 TCP/IP协议的基本传输单位是数据包(DataGram)。TCP协议负责把数据分成若干个数据包，并给每个数据包加上包头(就像给一封信加上信封)。包头上有相应的编号，以保证在数据接收端能将数据还原为原来的格式。IP协议在每个包头上再加上接收端主机地址，这样数据就会找到自己要去的地方(就像信封上要写明地址一样)。如果传输过程中出现数据丢失、数据失真等情况，TCP协议会自动要求数据重新传输，并重新组包。总之，IP协议保证数据的传输，TCP协议保证数据的质量。 2. TCP/IP协议的数据传输原理106 3. TCP/IP协议的层次结构 TCP/IP协议数据的传输基于TCP/IP协议的四层结构，分别是应用层、传输层、网络层、链路层(接口层)。数据在传输中每通过一层就要在数据上加个包头，其中的数据供接收端同一层协议使用，而在接收端，每经过一层要把用过的包头去掉，这样来保证传输数据的格式完全一致。 TCP/IP协议簇中的协议分布在这四层结构中，如图2-2-1所示。可见，TCP/IP协议组中的TCP协议位于传输层，IP协议位于网络层。 3. TCP/IP协议的层次结构107图2-2-1TCP/IP协议组四层结构图2-2-1TCP/IP协议组四层结构108 4.TCP/IP协议的包头结构 TCP/IP协议的基本传输单位是数据包。TCP协议将上层应用传送的报文(较长的数据信息)划分成较小数据段，并在每个数据段加上TCP包控制头(其中包括宿主机地址，数据重构所需的信息和防止信息包被毁坏的信息)，从而形成了TCP包，其结构如图2-2-2所示。 4.TCP/IP协议的包头结构109图2-2-2TCP的包头结构图2-2-2TCP的包头结构110

在TCP包形成后，TCP将它交给IP，IP将它作进一步的分解，并加上控制头(其中包括地址信息，以及装载的TCP信息和数据)，从而形成了IP包，其结构如图2-2-3所示。图2-2-3IP包头结构 在TCP包形成后，TCP将它交给IP，IP将它作进一步的111 2.2.2TCP/IP协议的安全问题

TCP/IP协议是进行一切互联网上活动的基础，没有它信息就不可能在不同操作系统、在不同通信协议中来去自由。也许是因为当时网络软、硬件设备的局限