Internet协议安全性分析(-119张)课件.ppt

1、1 2.1 Internet 2.1 Internet 的安全性需求的安全性需求 2.2 2.2 安全套接层与传输层的安全安全套接层与传输层的安全 2.3 Kerberos2.3 Kerberos认证系统认证系统 2.4 PGP2.4 PGP电子邮件加密电子邮件加密 2.5 2.5 安全电子交易安全电子交易 22.1 Intern32.1.1 InterIP包，包，对对IP地地址址不不进进行行认认证。证。存存在在几几种种欺欺骗骗攻攻击击方方式：式：MAC欺欺骗骗 ARP欺欺骗骗 IP欺欺骗骗 DNS欺欺骗骗41.MAMAC攻击之一：攻击之一：MAC地址欺骗地址欺骗 将合法的将合法的MAC 地址

2、修改成不存在地址修改成不存在的的MAC 地址或其它地址或其它计算机的计算机的MAC 地址，地址，从而隐藏自己真实从而隐藏自己真实的的MAC，来达到一，来达到一些不可告人的目的，些不可告人的目的，这就是这就是MAC 地址欺地址欺骗。骗。5MAMAC攻击之二：攻击之二：MAC地址洪泛攻击地址洪泛攻击交换机内部的交换机内部的MAC地址表空间是有限的，地址表空间是有限的，MAC攻击会很快占满交换机内部攻击会很快占满交换机内部MAC地址表，使得单地址表，使得单播包在交换机内部也变成广播包向同一个播包在交换机内部也变成广播包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可中所有端口转发，每个连在

3、端口上的客户端都可以收到该报文，交换机变成了一个以收到该报文，交换机变成了一个Hub，用户的，用户的信息传输也没有安全保障了。信息传输也没有安全保障了。6MA交换机交换机攻击者攻击者MAC APC BMAC BPC CMAC C MAC Port H 1 X 2 Y 3 交换机内部的交换机内部的MAC地址表空间很快被地址表空间很快被不存在的源不存在的源MAC地地址占满。没有空间址占满。没有空间学习合法的学习合法的MAC B，MAC C流量流量 CB流量流量 CB流量流量CB单播流量在交换机内部以单播流量在交换机内部以广播包方式在所有端口转广播包方式在所有端口转发，非法者也能接受到这发，非法者也

4、能接受到这些报文些报文MAC攻击：每秒攻击：每秒发送成千上万个随发送成千上万个随机源机源MAC的报文的报文7MA交换机交换机攻击者攻击者 FTP 服务器服务器PC C用户名、密码用户名、密码用户名、密码用户名、密码用户名、密码用户名、密码用户名：用户名：unit密码：密码：qy7ttvj7vgSniffer截取数据包截取数据包利用利用MAC地址洪泛地址洪泛攻击截获客户信息攻击截获客户信息8MA9MA 1、MAC静态地址锁静态地址锁 2、802.1x自动绑定自动绑定MAC地址地址 3、限定交换机某个端口上可以学习的、限定交换机某个端口上可以学习的MAC数量数量10MA 交换机交换机攻击者攻击者

5、当端口学习的源当端口学习的源MAC地地址数量大于一定的数量址数量大于一定的数量（这个值可以自己设定）（这个值可以自己设定）或源或源MAC地址和端口绑地址和端口绑定的不一样，受到的数据定的不一样，受到的数据帧丢弃帧丢弃/发送警告信息通发送警告信息通知网管员知网管员/端口可关闭端口可关闭MAC攻击防范攻击防范11122.AR址址和和MAC地地址址实实现现ARP欺欺骗，骗，能能够够在在网网络络中中产产生生大大量量的的ARP通通信信量量使使网网络络阻阻塞，塞，攻攻击击者者只只要要持持续续不不断断的的发发出出伪伪造造的的ARP响响应应包包就就能能更更改改目目标标主主机机ARP缓缓存存中中的的IP-MAC

6、条条目，目，造造成成网网络络中中断断或或中中间间人人攻攻击。击。ARP攻攻击击主主要要是是存存在在于于局局域域网网网网络络中，中，局局域域网网中中若若有有一一台台计计算算机机感感染染ARP木木马，马，则则感感染染该该ARP 木木马马的的系系统统将将会会试试图图通通过过“ARP欺欺骗骗”手手段段截截获获所所在在网网络络内内其其它它计计算算机机的的通通信信信信息，息，并并因因此此造造成成网网内内其其它它计计算算机机的的通通信信故故障。障。13AR ARP协议原理：协议原理：局域网中两台局域网中两台PC通讯，一台通讯，一台PC B要和另一台要和另一台PC A通通讯，首先需要知道讯，首先需要知道PC

7、A的的MAC地址。地址。PC B先查找机器缓存中存贮的先查找机器缓存中存贮的ARP表。如果没有，必表。如果没有，必须先发出一个须先发出一个ARP请求的广播报文。请求的广播报文。局域网里的局域网里的PC都会收到都会收到ARP请求报文，并查看自己的请求报文，并查看自己的IP是否是是否是PC A，如果是则响应。，如果是则响应。PC APC BPC CPC DARP请求：请求：IP A?ARP响应：响应：IP AMAC A14AR 按照按照RFC的规定，的规定，PC在发在发ARP响应时，不需要一定要先收响应时，不需要一定要先收到到ARP请求报文，局域网中任何一台请求报文，局域网中任何一台PC都可以向网

8、络内其它都可以向网络内其它PC通告：自己就是通告：自己就是PC A和和MAC A的对应关系，这就给攻击的对应关系，这就给攻击者带来可乘人之危的漏洞者带来可乘人之危的漏洞！ARP协议的缺陷协议的缺陷PC APC BPC CPC D非法非法ARP响应：响应：IP AMAC C15ARARP攻击之一：攻击之一：ARP欺骗欺骗ARP欺骗：利用上页讲到的欺骗：利用上页讲到的ARP漏洞，发送虚假漏洞，发送虚假的的ARP请求报文和响应报文，报文中的源请求报文和响应报文，报文中的源IP和源和源MAC均为虚假的，扰乱局域网中被攻击均为虚假的，扰乱局域网中被攻击PC中保中保存的存的ARP表，使得网络中被攻击表，使

9、得网络中被攻击PC的流量都可流的流量都可流入到攻击者手中。入到攻击者手中。16ARPC B攻击者：攻击者：发送发送ARP欺欺骗骗192.168.10.1MAC A192.168.10.3MAC C192.168.10.2MAC B发送发送ARP响应，告诉：响应，告诉：192.168.10.1对应的对应的MAC是是MAC CARP表刷新，表刷新，192.168.10.1对应的是对应的是MAC C发送到发送到PC A的的流量均到攻击流量均到攻击者手中者手中MAC C发送发送ARP响应，告响应，告诉：诉：192.168.10.2对对应的应的MAC是是MAC CARP表刷新，表刷新，192.168.1

10、0.2对对应的是应的是MAC CPC A17ARARP攻击之二：攻击之二：ARP恶作剧恶作剧ARP恶作剧：和恶作剧：和ARP欺骗的原理一样，报文中的欺骗的原理一样，报文中的源源IP和源和源MAC均为虚假的，或错误的网关均为虚假的，或错误的网关IP和网和网关关MAC对应关系。它的主要目的不是窃取报文，对应关系。它的主要目的不是窃取报文，而是扰乱局域网中合法而是扰乱局域网中合法PC中保存的中保存的ARP表，使得表，使得网络中的合法网络中的合法PC无法正常上网、通讯中断。无法正常上网、通讯中断。18ARPC B攻击者：攻击者：发送发送ARP欺骗欺骗192.168.10.1 MAC A192.168.

11、10.3MAC C192.168.10.2MAC B发送发送ARP响应，告诉：响应，告诉：192.168.10.1对应的对应的MAC是是MAC XARP表刷新，表刷新，192.168.10.1对应对应的是的是MAC X正常的网络访问数正常的网络访问数据包，据包，WWW、QQ、FTP网关网关找不到正确的网关，找不到正确的网关，所有访问外网的数据所有访问外网的数据都无法得到回应都无法得到回应19AR发包工具发包工具TouchStone20ARARP攻击之三：攻击之三：ARP洪泛洪泛ARP洪泛：网络病毒利用洪泛：网络病毒利用ARP协议，在网络中大协议，在网络中大量发送伪造量发送伪造ARP报文，扰乱网

12、络中主机和设备的报文，扰乱网络中主机和设备的ARP缓存，导致无法正常访问网络的攻击行为。缓存，导致无法正常访问网络的攻击行为。相关病毒：相关病毒：TrojanDropper.Win32.Juntador.c Win32.Troj.Mir2 Win32.Troj.Zypsw.33952 21AR 需要使用专用的交换机端口需要使用专用的交换机端口ARP Check功能功能 ARP-Check技术对流入的技术对流入的ARP报文内容进行合法性检查，报文内容进行合法性检查，丢弃非法报文，防止受控端口下联的主机对网关或其它丢弃非法报文，防止受控端口下联的主机对网关或其它主机发起主机发起ARP欺骗攻击。欺骗

13、攻击。ARP-Check通常需要结合通常需要结合SAM认证，用户通过认证后将认证，用户通过认证后将在在NAS上绑定用户的上绑定用户的IP和和MAC信息；信息；ARP-Check根据在根据在NAS上动态绑定用户的上动态绑定用户的IP和和MAC信息来检查信息来检查ARP报文内报文内容，转发合法报文，丢弃非法报文容，转发合法报文，丢弃非法报文。22ARPC B攻击者：攻击者：发送发送ARP欺骗欺骗192.168.10.3MAC C192.168.10.2MAC B发送发送ARP响应，响应，说：说：PC A对应的对应的MAC是是MAC C发送发送ARP响应，说：响应，说：PC B对应的对应的MAC是是

14、MAC CARP攻击防范攻击防范192.168.10.1MAC APC A23243、IPIP欺骗：盗用合法用户的欺骗：盗用合法用户的IP地址，隐藏自己的真正地址，隐藏自己的真正身份。身份。IP欺骗和欺骗和MAC欺骗相结合，伪装成其他人进行网欺骗相结合，伪装成其他人进行网络访问。络访问。不断修改不断修改IP，发送，发送TCP SYN连接，攻击连接，攻击Server，造成造成SYN Flood 攻击。攻击。25IP欺骗262728Libn29Libn30Win31在在Linux平台上，打开一个平台上，打开一个raw socket，自己填写，自己填写IP头和传输层数据，然头和传输层数据，然后发送出

15、去后发送出去32IP欺欺利用利用TCP协议缺陷，变化协议缺陷，变化IP，发送了大量伪造，发送了大量伪造的的TCP连接请求，使得被攻击方资源耗尽，无法及时回应连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求；或处理正常的服务请求；l 在服务器端发送应答包后，如果客户端不发出确认，服在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都务器会等待到超时，期间这些半连接状态都；l 如果大量的如果大量的SYN包发到服务器端后没有应答，就会使服包发到服务器端后没有应答，就会使服务器端的务器端的TCP资源迅速耗尽，导致正常的连接不能进入，资源迅速耗尽，导致正

16、常的连接不能进入，甚至会导致服务器的系统崩溃。甚至会导致服务器的系统崩溃。33IP欺欺 1、交换机端口静态绑定、交换机端口静态绑定IP地址地址 2、交换机端口静态绑定、交换机端口静态绑定IP和和MAC地址地址 3、802.1x自动绑定自动绑定IP和和MAC地址地址 4、DHCP动态绑定动态绑定 5、路由器上设置欺骗过滤器、路由器上设置欺骗过滤器 入口过滤，外来的包带有内部入口过滤，外来的包带有内部IP地址地址 出口过滤，内部的包带有外部出口过滤，内部的包带有外部IP地址地址34353637与与DNS相相关关BI携携手手合合作作破破获获全全球球僵僵尸尸网网络络/傀傀儡儡网网络络Botnet犯犯罪

17、罪集集团，团，击击溃溃百百万万网网络络僵僵尸尸大大军！军！纽纽约约时时间间11月月8日，日，警警方方破破获获以以Rove Digital 为为首首的的网网络络犯犯罪罪集集团团在在纽纽约约以以及及芝芝加加哥哥的的数数据据中中心，心，顺顺利利在在爱爱沙沙尼尼亚亚逮逮捕捕此此犯犯罪罪集集团团母母公公司司Rove Digital CEO Vladimir Tsastsin。此此集集团团除除了了透透过过木木马马程程序序入入侵侵用用户户计计算算机机并并更更改改用用户户的的DNS网网域，域，一一旦旦使使用用者者上上网网浏浏览览网网页页将将会会被被转转址址到到特特定定的的网网址址下下载载其其他他恶恶意意软软件

18、，件，借借此此从从事事不不法法行行为，为，更更透透过过谎谎称称中中毒毒的的讯讯息息诱诱骗骗用用户户付付费费购购买买假假防防病病毒毒软软件。件。估估计计受受害害计计算算机机超超过过4百百万万台，台，受受害害者者遍遍及及全全球球100个个国国家，家，总总犯犯罪罪获获利利达达1400万万美美元。元。38上上22点点左左右，右，DNSPod主主站站及及多多个个DNS服服务务器器遭遭受受超超过过10G流流量量的的恶恶意意攻攻击。击。耗耗尽尽了了整整个个机机房房约约三三分分之之一一的的带带宽宽资资源，源，为为了了不不影影响响机机房房其其他他用用户，户，最最终终导导致致DNS服服务务器器被被迫迫离离线。线。

19、该该事事件件关关联联导导致致了了使使用用DNSPod进进行行解解析析的的暴暴风风影影音音程程序序频频繁繁的的发发生生域域名名重重新新申申请，请，产产生生请请求求风风暴，暴，大大量量积积累累的的不不断断访访问问申申请请导导致致各各地地电电信信网网络络负负担担成成倍倍增增加，加，网网络络出出现现堵堵塞。塞。于于2009年年5月月19日日晚晚21时时左左右右开开始，始，江江苏、苏、安安徽、徽、广广西、西、海海南、南、甘甘肃、肃、浙浙江江六六省省陆陆续续出出现现大大规规模模网网络络故故障，障，很很多多互互联联网网用用户户出出现现访访问问互互联联网网速速度度变变慢慢或或者者无无法法访访问问网网站站等等情

20、情况。况。在在零零点点以以前，前，部部分分地地区区运运营营商商将将暴暴风风影影音音服服务务器器IP加加入入DNS缓缓存存或或者者禁禁止止其其域域名名解解析，析，网网络络情情况况陆陆续续开开始始恢恢复。复。3941方方式式二：二：DN数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。42方方式式三：三：D43关于欺4445路路由由器器在在收收到到R RI IP P数数据据包包时时一一般般不不作作检检查，查，即即不不对对R RI IP P数数据据包包发

21、发送送者者进进行行认认证。证。攻攻击击者者可可以以声声称称他他所所控控制制的的路路由由器器A A可可以以最最快快地地到到达达某某一一站站点点B B，从从而而诱诱使使发发往往B B的的数数据据包包由由A A中中转。转。由由于于A A受受攻攻击击者者控控制，制，攻攻击击者者可可侦侦听、听、篡篡改改数数据。据。46NetworkXG2G1AB47NetworkXG2G1AB4849T漏漏洞洞吗？吗？SYN-SENTESTAB-LISHEDSYN-RCVDLISTENESTAB-LISHEDSYN=1,seq=xACK=1,seq=x+1,ack=y 1CLOSEDCLOSED数据传送主动打开被动打开

22、AB客户服务器SYN=1,ACK=1,seq=y,ack=x 150515253TCP54TCP标标主主机机发发送送一一个个特特别别伪伪造造的的S SY YN N包，包，它它的的I IP P源源地地址址和和目目标标地地址址都都被被设设置置目目标标主主机，机，此此举举将将导导致致目目标标主主机机向向它它自自自自身身发发送送S SY YN N-A AC CK K消消息，息，而而其其自自身身又又发发回回A AC CK K消消息息并并创创建建一一个个空空连连接，接，每每一一个个这这样样的的连连接接都都将将保保留留直直到到超超时，时，这这样样的的空空连连接接多多了，了，由由于于T TC CP P/I I

23、P P协协议议栈栈对对连连接接有有数数量量的的限限制，制，这这就就造造成成了了拒拒绝绝服服务务攻攻击。击。不不同同系系统统对对L La an nd d攻攻击击反反应应不不同，同，许许多多U UN NI IX X系系统统将将崩崩溃，溃，N NT T变变的的极极其其缓缓慢。慢。55TCP56TCP57TCP被攻击主机被攻击主机 攻击主机攻击主机伪造源地址伪造源地址不存在的主机不存在的主机不断重试及不断重试及等待，消耗等待，消耗系统资源系统资源不响应不响应SYNSYN+ACK58TCP59TCP用用适适当当的的R RS ST T来来回回复复F FI IN N数数据据包。包。这这种种方方法法和和系系统

24、统的的实实现现有有一一定定的的关关系。系。有有的的系系统统不不管管端端口口是是否否打打开，开，都都回回复复R RS ST T，这这样，样，这这种种扫扫描描方方法法就就不不适适用用了。了。并并且且这这种种方方法法在在区区分分U Un ni ix x和和N NT T时，时，是是十十分分有有用用的。的。慢慢速速扫扫描：描：由由于于一一般般扫扫描描检检测测器器的的实实现现是是通通过过监监视视某某个个时时间间段段里里一一台台特特定定主主机机被被连连接接的的数数目目来来决决定定是是否否在在被被扫扫描，描，这这样样攻攻击击者者可可以以通通过过使使用用扫扫描描速速度度慢慢一一些些的的扫扫描描软软件件进进行行扫

25、扫描，描，这这样样检检测测软软件件就就不不会会判判别别出出他他在在进进行行扫扫描描了。了。60TCP61TCP初者者在在一一定定程程度度上上是是可可以以预预测测的。的。首首先，先，攻攻击击者者发发送送一一个个S SY YN N包，包，目目标标主主机机响响应应后，后，攻攻击击者者可可以以知知道道目目标标主主机机的的T TC CP P/I IP P协协议议栈栈当当前前使使用用的的初初始始序序列列号。号。然然后，后，攻攻击击者者可可以以估估计计数数据据包包的的往往返返时时间，间，根根据据相相应应的的初初始始序序号号产产生生方方法法较较精精确确的的估估算算出出初初始始序序号号的的一一个个范范围。围。有

26、有了了这这个个预预测测出出的的初初始始序序号号范范围，围，攻攻击击者者可可以以对对目目标标主主机机进进行行T TC CP P欺欺骗骗的的盲盲攻攻击击62UDP个个协协议议很很简简单，单，所所以以扫扫描描变变得得相相对对比比较较困困难。难。这这是是由由于于打打开开的的端端口口对对扫扫描描探探测测并并不不发发送送一一个个确确认，认，关关闭闭的的端端口口也也并并不不需需要要发发送送一一个个错错误误数数据据包。包。许许多多主主机机在在向向一一个个未未打打开开的的U UD DP P端端口口发发送送一一个个数数据据包包时，时，会会返返回回一一个个I IC CM MP P_ _P PO OR RT T_ _

27、U UN NR RE EA AC CH H错错误。误。这这样样就就能能发发现现哪哪个个端端口口是是关关闭闭的。的。63TCP待待超超时）时）时时间：间：由由于于S SY YN N f fl lo oo od di in ng g攻攻击击的的效效果果取取决决于于服服务务器器上上保保持持的的S SY YN N半半连连接接数，数，这这个个值值等等于于S SY YN N攻攻击击的的频频度度乘乘以以S SY YN N T Ti im me eo ou ut t，所所以以通通过过缩缩短短从从接接收收到到S SY YN N报报文文到到确确定定这这个个报报文文无无效效并并丢丢弃弃改改连连接接的的时时间间（过过

28、低低的的S SY YN N T Ti im me eo ou ut t设设置置可可能能会会影影响响客客户户的的正正常常访访问）问），可可以以成成倍倍的的降降低低服服务务器器的的负负荷。荷。2)2)根根据据源源I IP P记记录录S SY YN N连连接：接：就就是是对对每每一一个个请请求求连连接接的的I IP P地地址址都都进进行行记记录，录，如如果果短短时时间间内内连连续续受受到到某某个个I IP P的的重重复复S SY YN N报报文，文，就就认认定定是是受受到到了了攻攻击，击，以以后后从从这这个个I IP P地地址址来来的的包包会会被被丢丢弃。弃。64TCP的的一一些些重重要要参参数数有

29、有一一个个常常规规的的设设置：置：S SY YN N T Ti im me eo ou ut t时时间、间、S SY YN N-A AC CK K的的重重试试次次数、数、S SY YN N报报文文从从路路由由器器到到系系统统再再到到W Wi in ns so oc ck k的的延延时时等等等。等。这这个个常常规规设设置置针针对对系系统统优优化，化，可可以以给给用用户户提提供供方方便便快快捷捷的的服服务；务；一一旦旦服服务务器器受受到到攻攻击，击，S SY YN N H Ha al lf f l li in nk k（S SY YN N半半连连接）接）的的数数量量超超过过系系统统中中T TC C

30、P P活活动动半半连连接接的的最最大大设设置，置，系系统统将将会会认认为为自自己己受受到到了了S SY YN N f fl lo oo od di in ng g攻攻击，击，并并将将根根据据攻攻击击的的判判断断情情况况作作出出反反应：应：减减短短S SY YN N T Ti im me eo ou ut t时时间、间、减减少少S SY YN N-A AC CK K的的重重试试次次数、数、自自动动对对缓缓冲冲区区中中的的报报文文进进行行延延时时等等等等措措施，施，力力图图将将攻攻击击危危害害减减到到最最低。低。65TCP66TCP载载均均衡衡架架构构中，中，基基于于D DN NS S解解析析的的

31、负负载载均均衡衡本本身身就就拥拥有有对对S SY YN N f fl lo oo od di in ng g的的免免疫疫力，力，基基于于D DN NS S解解析析的的负负载载均均衡衡能能将将用用户户的的请请求求分分配配到到不不同同I IP P的的服服务务器器主主机机上，上，攻攻击击者者攻攻击击的的永永远远只只是是其其中中一一台台服服务务器，器，一一来来这这样样增增加加了了攻攻击击者者的的成成本，本，二二来来过过多多的的D DN NS S请请求求可可以以帮帮助助我我们们追追查查攻攻击击者者的的真真正正踪踪迹迹（D DN NS S请请求求不不同同于于S SY YN N攻攻击，击，是是需需要要返返回

32、回数数据据的，的，所所以以很很难难进进行行I IP P伪伪装）装）。67TCP与与防防火火墙墙建建立立连连接；接；第第二二阶阶段，段，防防火火墙墙伪伪装装成成客客户户机机与与后后台台的的服服务务器器建建立立连连接；接；第第三三阶阶段，段，之之后后所所有有从从客客户户机机来来的的T TC CP P报报文文防防火火墙墙都都直直接接转转发发给给后后台台的的服服务务器。器。68针对针对SYN-Flooding攻击的防范措施攻击的防范措施4 攻击的技术与方法攻击的技术与方法69702.1.1 Inter71XSSer蠕蠕虫虫是是一一个个著著名名的的XSS攻攻击击实实例。例。Yahoo Mail系系统统有

33、有一一个个漏漏洞，洞，当当用用户户在在web上上察察看看信信件件时，时，有有可可能能执执行行到到信信件件内内的的javascript代代码。码。病病毒毒可可以以利利用用这这个个漏漏洞洞使使被被攻攻击击用用户户运运行行病病毒毒的的script。同同时时Yahoo Mail系系统统使使用用了了Ajax技技术，术，这这样样病病毒毒的的script可可以以很很容容易易的的向向Yahoo Mail系系统统发发起起ajax请请求，求，从从而而得得到到用用户户的的地地址址簿，簿，并并发发送送病病毒毒给给他他人。人。72SQL语语句句之之前前未未经经过过合合法法性性验验证证或或过过滤滤的的漏漏洞。洞。攻攻击击

34、者者可可以以利利用用SQL语语言言嵌嵌套套的的能能力力构构建建一一个个新新的的查查询，询，不不知知不不觉觉地地修修改改或或提提取取数数据据库库中中的的信信息。息。常常见见的的SQL注注入入攻攻击击目目标标是是通通过过Web服服务务器器执执行行的的CGI程程序序以以及及到到后后端端数数据据库库的的接接口。口。举举例，例，假假设设一一个个CGI程程序序执执行行用用户户名名和和密密码码检检测测的的任任务，务，它它将将Web客客户户端端提提供供的的用用户户名名和和密密码码与与数数据据库库中中存存储储的的信信息息进进行行比比对。对。如如果果Web客客户户端端提提供供的的用用户户名名和和密密码码没没有有被

35、被正正确确地地过过滤，滤，那那么么用用于于执执行行验验证证的的查查询询语语句句就就很很容容易易遭遭受受到到注注入入攻攻击。击。注注入入攻攻击击可可以以改改变变查查询询语语句，句，使使得得它它不不仅仅会会检检查查用用户户名名和和密密码码是是否否匹匹配，配，还还会会使使用用一一个个新新的的查查询询去去修修改改数数据据库库中中的的数数据。据。攻攻击击者者可可以以通通过过这这种种攻攻击击方方式式为为任任何何用用户户设设置置密密码，码，甚甚至至设设置置一一个个管管理理员员级级别别用用户户的的密密码。码。73u使用密码技术、认证技术等来提供必要的安全性。u在TCPIP协议栈和各层中实现安全协议和应用：IP

36、Sec在保护IP网络以便提供私密通信中发挥着重要的作用。SSL在传输层（TCP）提供安全性。应用层SHTTP、Kerberos、SET、PGP 74 2.1 Internet 2.1 Internet 的安全性需求的安全性需求 2.2 2.2 安全套接层与传输层的安全安全套接层与传输层的安全 2.3 Kerberos2.3 Kerberos认证系统认证系统 2.4 PGP2.4 PGP电子邮件加密电子邮件加密 2.5 2.5 安全电子交易安全电子交易75（Secure Socket Layer）在Internet基础上提供一种基于会话加密和认证的安全协议。u SSL协议已成为Internet上

37、保密通讯的工业标准。现行Web浏览器普遍将HTTP和SSL相结合，从而实现安全通信。7677SSL协议有以下三个特性：保密性。因为在握手协议定义了会话密钥后，所有的消息都被加密。确认性。因为尽管会话的客户端认证是可选的，但是服务器端始终是被认证的。可靠性。因为传送的消息包括消息完整性检查（使用MAC）。78图图 2 2 1 SSL1 SSL在在TCP/IPTCP/IP协议栈中的位置协议栈中的位置IPHTTPFTPSMTPTCPSSL or TLS79图图 2 2 2 SSL Protocol Stack2 SSL Protocol StackIPSSLSSL修改密文修改密文规约协议规约协议SS

38、L 告警告警协议协议HTTPTCPSSL 记录协议记录协议SSL 握手协议握手协议提供数据封提供数据封装、压缩、装、压缩、加密等基本加密等基本功能的支持功能的支持用于在实际的数据传输开始前，通用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算讯双方进行身份认证、协商加密算法、交换加密密钥等。它由三个协法、交换加密密钥等。它由三个协议组成议组成SSL协议分为两层协议协议分为两层协议8081 2.1 Internet 2.1 Internet 的安全性需求的安全性需求 2.2 2.2 安全套接层与传输层的安全安全套接层与传输层的安全 2.3 Kerberos2.3 Kerberos认证系

39、统认证系统 2.4 PGP2.4 PGP电子邮件加密电子邮件加密 2.5 2.5 安全电子交易安全电子交易822.3 Kerberos认证系统认证系统 图图 2 2 5 5 认证双方与认证双方与KerberosKerberos的关系的关系 Kerberos Kerberos Client ClientServerServer83可可信信第第三三方方服服务务的的面面向向开开放放系系统统的的认认证证机机制。制。网网络络上上的的Kerberos服服务务器器起起着着可可信信仲仲裁裁的的作作用，用，每每当当客客户户(client)申申请请得得到到某某服服务务程程序序(server)的的服服务务时，时，c

40、lient和和server会会首首先先向向Kerberos要要求求认认证证对对方方的的身身份，份，认认证证建建立立在在client和和server对对Kerberos的的信信任任的的基基础础上。上。在在申申请请认认证证时，时，client和和server都都可可看看成成是是Kerberos认认证证服服务务的的用用户，户，认认证证双双方方与与Kerberos的的关关系系如如图图2 5所所示。示。842.3 Kerberos认证系统认证系统 2.3.1 Kerboros2.3.1 Kerboros模型模型 852.3 Kerberos认证系统认证系统 2.3.2 Kerboros2.3.2 Ker

41、boros工作原理工作原理 862.3 Kerberos认证系统认证系统 2.3.2 Kerboros2.3.2 Kerboros工作原理工作原理 请求许可票据。请求许可票据。证书响应。证书响应。请求应用服务器许可票据。请求应用服务器许可票据。服务器证书响应。服务器证书响应。请求服务。请求服务。服务器响应。服务器响应。KerberosKerberos的认证过程的认证过程 Kerberos认证服务器AS应用服务器Kerberos许可证颁发服务器TGS客户87 2.1 Internet 2.1 Internet 的安全性需求的安全性需求 2.2 2.2 安全套接层与传输层的安全安全套接层与传输层的

42、安全 2.3 Kerberos2.3 Kerberos认证系统认证系统 2.4 PGP2.4 PGP电子邮件加密电子邮件加密 2.5 2.5 安全电子交易安全电子交易882.4 PGP电子邮件加密电子邮件加密odPrivacy）开发：由美国在20世纪九十年代初开发的一个完整电子邮件安全软件包。功能：加密、认证、数字签名和压缩等 算法：PGP并没有使用什么新概念，它只是将现有的一些（如MD5、RSA，以及IDEA等）综合在一起。89902.4 PGP电子邮件加密电子邮件加密2.4.1 PGP2.4.1 PGP的主要功能的主要功能 919293949596972.4 PGP电子邮件加密电子邮件加密

43、2.4.1 PGP2.4.1 PGP的主要功能的主要功能 图 2 10 Radix-64变换98992.4 PGP电子邮件加密电子邮件加密2.4.2 PGP2.4.2 PGP的工作原理的工作原理1001012.4 PGP电子邮件加密电子邮件加密2.4.2 PGP2.4.2 PGP的工作原理的工作原理102103104105106107u发送消息的格式。PGP的报文格式如图 9 12所示，一个报文包含三部分成员：密钥部分、签字部分、报文部分。2.4 PGP电子邮件加密电子邮件加密2.4.2 PGP2.4.2 PGP的工作原理的工作原理图图 2 2 12 PGP12 PGP的报文格式的报文格式 1

44、08PGPPGP报文的生成报文的生成发送方处理消息的过程发送方处理消息的过程图 2 12 PGP报文的发送（从用户A到用户B）109110 图 2 11 PGP报文的接收（从用户A到用户B）PGPPGP报文的生成报文的生成收方处理消息的过程收方处理消息的过程111112 2.1 Internet 2.1 Internet 的安全性需求的安全性需求 2.2 2.2 安全套接层与传输层的安全安全套接层与传输层的安全 2.3 Kerberos2.3 Kerberos认证系统认证系统 2.4 PGP2.4 PGP电子邮件加密电子邮件加密 2.5 2.5 安全电子交易安全电子交易113u 安全电子交易（

45、SET-Secure Electronic Transaction）协议，是由VISA和Master Card两大信用卡公司于1997年5月联合推出的规范。uSET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及卡用户的合法身份、以及可操作性。uSET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。uSET能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。2.5安全电子交易安全电子交易2.5.1 SET2.5.1 SET概概述述114115 SET协议用以支持B to C（

46、Business to Consumer）类型的电子商务模式，即消费者持卡在网上购物与交易的模式。SET交易分三个阶段：购买请求阶段 用户与商家确定所用支付方式的细节；支付认定阶段 商家会与银行核实，随着交易的进展，他们将得到付款；受款阶段 商家向银行出示所有交易的细节，然后银行以适当方式转移货款。2.5安全电子交易安全电子交易2.5.1 SET2.5.1 SET概述概述1163.SET参与者2.5安全电子交易安全电子交易2.5.1 SET2.5.1 SET概述概述商家获得者证书管理机构卡用户支付网关发卡机构1172.6 小结小结 本章描述了Internet上数据所面临的威胁，SSL的功能和基本工作原理；SET工作原理及应用；PGP工作原理及应用；Kerberos工作原理及应用及Web安全的应用实例。118 1.实现Internet通信安全协议有哪些？2.SSL协议主要思想是什么？3.简述 SSL记录协议。4.简述SSL的握手协议。5.什么是Kerberos协议，简述Kerberos认证过程。6.什么是PGP？7.PGP具有什么功能？简述加密与认证功能。8.简述SET的特点。119