Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
1
RKO-1 2006/2007 1-170
Arso Savanović
ISO OSI vs. TCP/IP
fizična
povezovalna
omrežna
transportna
sejna
predstavitvena
aplikacijska
fizična
povezovalna
omrežna
transportna
aplikacijska
RKO-1 2006/2007 1-171
Arso Savanović
Predstavitvene storitve ISO/OSI� Predstavitvena plast
� Transformacija uporabniških podatkov v obliko, ki je primerna za prenos prek omrežja
� Kodiranje podatkov z različnimi postopki za različne namene
� Storitve:� Predstavitveno formatiranje:
� Prikaz podatkov v obliki, ki je razumljiva lokalnemu računalniku
� Stiskanje in raztezanje (de/kompresija)� Boljša izraba omrežja oz. prenosnih kapacitet
� Šifriranje (kodiranje)� Zaščita podatkov pri prenosu prek omrežja
RKO-1 2006/2007 1-172
Arso Savanović
Predstavitveno formatiranje� Omogoča združljivost podatkov med računalniki
� Različni računalniki – različno interno delovanje � ASN.1 – Abstract Syntax Notation One
� Standardna pravila za tehnološko nedovisnoopisovanje strukture podatkovnih objektov
� Formalna, nedvoumna definicija podatkovnih objektov� Določa abstraktno sintakso objektov� Za prenos podatkov poleg ASN.1 potreben še
standard kodiranja� določa dejanski način kodiranja podatkov v sporočilu � npr. BER, CER, DER
� Kodne tabele za prikazovanje alfanumeričnihznakov � Npr. Latin-2: CP-1250, ISO-8859-2, UTF-8
2
RKO-1 2006/2007 1-173
Arso Savanović
Stiskanje/raztezanje podatkov� Prednosti: hitrejši prenos, boljša izraba omrežja� Slabost: dodatna zakasnitev
� Stiskanje ni vedno možno ali pa je drago (npr. MPEG4)
� Zmanjšanje velikosti podatkov do 90%� Brezizgubno (reverzibilno)
� Podatki pridobljeni z raztezanjem so povsem enaki originalnim podatkov pred stiskanjem
� Večinoma za stiskanje datotek, kjer ne sme priti do izgub� Izgubno (ireverzibilno)
� Algoritem za stiskanje povzorči izgube, podakti po raztezanju niso več enaki originalnim
� Večinoma za stiskanje videa, slik, govora, zvoka� Človeška čutila: omejitve/kompenzacije
� Višja stopnja stiskanja
RKO-1 2006/2007 1-174
Arso Savanović
Napadi, grožnje v omrežjih� Prisluškovanje: prestrezanje sporočil� Ponarejanje: aktivno vrivanje sporočil na povezavo� Pretvarjanje: ponarejanje identitete (naslova)
oddajnika� Nepooblaščena uporaba virov: uporabnik dostopa do
virov, do katerih nima pravice� Zanikanje sodelovanja: uporabnik zanika sodelovanje
v določeni komunikaciji oz. aktivnosti� DoS (denial of service): preprečevanje dostopa do
virov in storitev� itd...
RKO-1 2006/2007 1-175
Arso Savanović
Prijatelji in zlobneži: Alice, Bob, Trudy� Standardni igralci v “zgodbah” o informacijski in
komunikacijski varnosti� Bob, Alice želita komunicirati varno� Trudy (napadalec) lahko prestreza, briše in dodaja
sporočila v povezavo med Bobom in Alice
varen oddajnik
varensprejemnik
povezava
podatkovna in kontrolna sporočila
podatki podatki
Alice Bob
Trudy
3
RKO-1 2006/2007 1-176
Arso Savanović
Varnostne storitve� Zasebnost (Confidentiality): vsebina sporočila poznana,
razumljiva samo oddajniku in sprejemniku� Celovitost sporočil (Message integrity): potrebno je
zaznati vsako neavtorizirano spremembo sporočila med prenosom prek omrežja
� Overjanje (Authentication): oddajnik overi identiteto sprejemnika in obratno
� Preprečevanje zanikanja (Non-repudiation): oddajnik overi identiteto sprejemnika in obratno
� Kontrola dostopa (Access Control): potrebno je nadzorovati in omejevati dostop do virov glede na uporabnikova pooblastila
� Razpoložljivost (Availability): viri in storitve moreajo biti uporabnikom dostopni
RKO-1 2006/2007 1-177
Arso Savanović
čistopis(plaintext)
Šifriranje (encryption, cryptography)
simetrično šifriranje: uporabnik in sprejemnik uporabljata identičen ključ
asimetrično šifriranje: šifrirni in dešifrirni ključ sta različna, vendar povezana
čistopis(plaintext)
tajnopis(cyphertext)
KA
šifriranje dešifriranje
Alicin šifrirni ključ
Bobovdešifrirniključ
KB
RKO-1 2006/2007 1-178
Arso Savanović
Simetrično šifriranje
Simetrično šifriranje: Bob in Alice uporabljata isti, simetrični (skupni) šifrirni ključ: K
� Npr., ključ je sistem zamenjave črk v monoalfabetičnem algoritmu
� Kako se Alice in Bob določita skupni ključ?
čistopistajnopis
KA-B
šifriranje dešifriranje
A-B
KA-B
čistopissporočilo, m
K (m)A-B
K (m)A-B
m = K ( )A-B
4
RKO-1 2006/2007 1-179
Arso Savanović
Simetrični substitucijski algoritmi� zamenjava podatkov z drugimi podatki
� monoalfabetični algoritem: zamenjava ene črke z drugo črko
čistopis: abcdefghijklmnopqrstuvwxyz
tajnopis: mnbvcxzasdfghjklpoiuytrewq
čistopis: bob. i love you. alice
tajnopis: nkn. s gktc wky. mgsbc
Npr.:
RKO-1 2006/2007 1-180
Arso Savanović
Simetrični algoritem DES
� DES - Data Encryption Standard� Ameriški standard šifriranja [NIST 1993]� 56-bit simetrični ključ, 64-bitni bloki podatkov (čistopis)� Varnost DES-a
� DES Challenge: tekst “Strong cryptography makes the world a safer place”, ki je bil šifriran z DESom s 56-bitnim ključem, je bil dešifriran z “brute force”metodo v slabih 4 mesecih (1997)
� Boljša metoda od “brute force” ni poznana� 3DES - izboljšava DES:
� Vsak blok podatkov gre trikrat čez DES s tremi različnimi ključi
RKO-1 2006/2007 1-181
Arso Savanović
AES: Advanced Encryption Standard
� nov standard simetričnega šifiriranja, ki nadomešča DES (NIST nov 2001)
� Obdeluje 128 bitne bloke podatkov� 128, 192, or 256 bitni ključ� brute force dešifriranje (preskus vsakega
ključa):�Če za DES brute force potrebna 1 sec potem�Za AES brute force potrebno 149 bilijonov let
(?)
5
RKO-1 2006/2007 1-182
Arso Savanović
Asimetrično šifriranje� Problem simetričnega šifriranja:
� Oddajnik in sprejemnik vnaprej poznata skupni skriti ključ
� Kako se dogovorita za ključ, še zlasti � Na daljavo prek mreže?� Če se nista prej poznala?
� Asimetrično šifriranje� Povsem drugačen pristop [Diffie-Hellman76, RSA78]� Oddajnik in sprejemnik uporabljata drugačna, a
povezana ključa� javni šifrirni ključ je poznan vsem
� privatni dešifrirni ključ je poznan le sprejemniku
RKO-1 2006/2007 1-183
Arso Savanović
Asimetrično šifriranje (Public keyencryption)
čistopissporočilo, m
tajnopisšifriranje dešifriranje
Bobov javniključ
čistopissporočiloK (m)
B+
K B+
Bobov privatniključ
K B-
m = K (K (m))B+
B-
RKO-1 2006/2007 1-184
Arso Savanović
Simetrično vs. asimetrično šifriranje� Simetrično:
� Hitro� Problem distribucije skupnega skritega ključa med oddajnikom in
sprejemnikom� Asimetrični šifriranje - večinoma� Pooblaščen distribucijski center
� Uporablja se za šifriranje uporabniških podatkov
� Asimetrično:� Počasno (tudi 2 velikostna razreda počasneje od simetričnega
šifriranja)� Problem: kako Alice preveri ali Bobov javni ključ, ki ga dobi npr.
na spletnem strežniku, v resnici pripada Bobu in ne Trudy� Digitalni certifikat (potrdilo)� Certifikatske agencije (CA - certification authority)� Infrastruktura javnih ključev (PKI)
6
RKO-1 2006/2007 1-185
Arso Savanović
Digitalni certifikat� Certifikatska agencija (CA): poveže določen javni ključ
in njegovega lastnika E� Lastnik E (npr. oseba, strežnik) registrira svoj javni
ključ pri CA� lastnik E fizično predloži CA-ju “identifikacijsko dokazilo”� CA izda digitalni certfikat s katerim poveže lastnika E in
njegov javni ključ� Certifikat: vsebuje identiteto javni ključ lastnika E, podpisan z
javnim ključem CA� CA trdi “to je E-jev ključ”
Bobovjavni ključ K B
+
Bobov osebni
dokument
Digitalni podpis(šifrir)
Privatni ključ CA K CA
-
K B+
Certifikat za Bobov javni ključ, podpisan s
strani CA
RKO-1 2006/2007 1-186
Arso Savanović
Digitalni certifikat� Kako Alice varno pridobi Bobov javni ključ:
�Pridobi Bobov certifikat (pri Bobu ali kje drugje), ki vsebuje njegov javni ključ
�S pomočjo javnega ključa CA preveri certifikat
BobovjavniključK B
+
preverjanjepodpisa(dešifr)
Javni ključ CA K CA
+
K B+
RKO-1 2006/2007 1-187
Arso Savanović
veliko sporočilo
mzgostitev(hash) H(m)
digitalnipodpis(šifrir)
Bobovprivatni
ključ K B-
+
Bob pošlje sporočilo z elektronskim podpisom:
Alice preveri podpis (in celovitost) Bobovega sporočila:
KB(H(m))-
šifriran hash
KB(H(m))-
šifriran hash
velikosporočilo
m
Zgostitev(hash)
H(m)
prevrjanjepodpisa(dešifr)
H(m)
Bobovjavniključ K B
+
Ali sta enaka?
Elektronski podpis = zgoščeno in podpisano sporočilo
7
RKO-1 2006/2007 1-188
Arso Savanović
Umestitev varnostnih storitev (šifriranja)
Lahko v različnih plasteh�Aplikacijska: varna elektronska pošta
(S/MIME, PGP)�Transportna: SSL/TLS�Omrežna: IPSec�Povezovalna: Varnost v 802.11
(WLAN)
RKO-1 2006/2007 1-189
Arso Savanović
Secure sockets layer (SSL)� Enotne varnostne storitve v transportni plasti
�za vse aplikacije, ki uporabljajo TCP� Uporabljajo WWW strežniki in odjemalci v
elektronskem posovanju (https://).� Varnostne storitve:
�Overjanje strežnika�Šifriranje podatkov�Overjanje odjemalca (opcijsko)
� SSL: osnova IETF standarda Transport Layer Security (TLS)
RKO-1 2006/2007 1-190
Arso Savanović
Secure sockets layer (SSL)
� Overjanje strežnika:�Spletni brkljalnik javne ključe CA-jev, ki jim
zaupa�Brkljalnik zahteva strežnikov certifikat, ki ga je
izdala ena od “zaupnih” CA.�Brkljalnik z javnim ključem CA preveri certifiakt
in iz njega pobere javni ključ strežnika
� Uporabniki lahko dodajajo nove certifikate v svoj brkljalnik
8
RKO-1 2006/2007 1-191
Arso Savanović
Secure sockets layer (SSL)� Šifrirana SSL seja:
�Brkljalnik generira simetrični ključ seje, ga šifrira z javnim ključem strežnika in šifriran ključ pošlje strežniku.
�Strežnik dešifrira simetrični ključ s svojim privatnim ključem.
�Strežnik in odjemalec poznata skupni ključ� Oba s tem ključem šifrirata podatke, preden jih
pošljeta prek TCP vtičnice
� Overjanje odjemalca� možno, kadar ima odjemalec svoj certifikat.
RKO-1 2006/2007 1-192
Arso Savanović
ISO OSI vs. TCP/IP
fizična
povezovalna
omrežna
transportna
sejna
predstavitvena
aplikacijska
fizična
povezovalna
omrežna
transportna
aplikacijska
RKO-1 2006/2007 1-193
Arso Savanović
Storitve Interneta� Protokolni model: vsaka plast ponuja
določene storitve plasti nad seboj� Storitve Interneta:
�Storitve aplikacijske plasti, ki jih nudi neposredno uporabniku
�“Storitve”�Pomožne storitve, npr. DNS
� Aplikacije:�Programi v aplikacijski plasti, ki
� Dejansko realizirajo storitve interneta� Uporabljajo različne aplikacijske protokole
9
RKO-1 2006/2007 1-194
Arso Savanović
Imenski sistem - DNS� DNS - Domain Name System� Računalniki imajo “ljudem prijazna” imena� Komunikacija z imeni ni možna, potrebno je poznat
IP-naslov� DNS:
� Porazdeljena imenska baza� Hierarhični sistem DNS strežnikov za prevajanje imen v
IP-naslove� Korenski strežniki (Root Servers)� Vrhnji imenski strežniki (Top Level Domain – TLD
server)� Avtoritativni strežnik (Authoritative Server)
RKO-1 2006/2007 1-195
Arso Savanović
Imenski sistem - DNS
� Porazdeljena imenska baza
edu com
princeton…mit
cs ee
xyz uvz
physics
cisco…yahoo nasa…nsf acm …ieee siol t-2
gov org net si uk fr
dns mail
ijs arnes
razor mail
RKO-1 2006/2007 1-196
Arso Savanović
računalnikjaka.siol.net
mail.yahoo.com
korenski DNS strežnik
lokalni DNS strežnikdns.siol.net
1
23
4
5
6
Avtoritativni strežnikdns.yahoo.com
78
TLD strežnik
Imenski sistem - DNS� Hierarhični sistem DNS
strežnikov za prevajanje imen v IP-naslove� Računalnik jaka.siol.net
išče IP naslov računalnikamail.yahoo.com
10
RKO-1 2006/2007 1-197
Arso Savanović
Storitve interneta� Elektronska pošta (e-
mail)� Svetovni splet
(WWW)� Neposredno
sporočanje (Instant messaging)
� Oddaljen dostop� Peer-2-Peer (P2P)� Večuporabniške
omrežne igre� Pretočni video
(Streaming video)
� Internetna telefonija (Internet telephony, VoIP)
� Video konference� Paralelno računanje
(Parallel computing)� Internetna televizija
(IPTV – IP Television)� Video na zahtevo
(VoD – Video on Demand)
� itd...
RKO-1 2006/2007 1-198
Arso Savanović
Storitve interneta� Elektronska pošta (e-mail)� Svetovni splet (WWW)� Neposredno sporočanje (Instant messaging)� Oddaljen dostop� Peer-2-Peer (P2P)� Večuporabniške omrežne igre� Pretočni video (Streaming video)� Internetna telefonija (Internet telephony, VoIP)� Video konference� Paralelno računanje (Parallel computing)� Internetna televizija (IPTV – IP Television)� Video na zahtevo (VoD – Video on Demand)� itd...
RKO-1 2006/2007 1-199
Arso Savanović
Svetovni splet� Spletna stran je sestavljena iz objektov� Objekti so lahko:
� HTML datoteka � slika (JPEG, GIF, PNG), � javanski programček (Java applet), � zvočna datoteka (WAV, MP3), � video datoteka (WMV, MPEG, MOV),� itd...
� HTML - Hypertext Markup Language� URL – Uniform Resource Locator� HTTP – Hypertext Transfer Protocol
11
RKO-1 2006/2007 1-200
Arso Savanović
Svetovni splet
� Osnova spletne strani je HTML datoteka, ki povezuje druge objekte
� Vsak objekt ima svoj URL naslov � Primer URL:
www.matkurja.com/img_04/logo/kura-02.gif
ime strežnika pot do objekta
www.matkurja.com/si/index.html
ime strežnika pot do objekta
RKO-1 2006/2007 1-201
Arso Savanović
Svetovni splet HTTP: Hypertext Transfer
Protocol� Aplikacijski protokol svetovnega
spleta� Model strežnik/odjemalec
� odjemalec: spletni brkljalnik, ki zahteva, sprejema in “prikazuje” spletne strani (objekte)
� strežnik: sprejema in servisira HTTP zahteve – v odgovor pošilja spletne strani (objekte)
� TCP, vrata 80� HTTP 1.0: RFC 1945� HTTP 1.1: RFC 2068
Windows PC, brkljalnik IE
Strežnik,Spletni strežnik
Apache
Mac,brkljalnik Mozilla
HTTP zahteva
HTTP zahteva
HTTP odgovor
HTTP odgovor
RKO-1 2006/2007 1-202
Arso Savanović
Elektronska pošta1) Alice z uporabniškim agentom (UA) oz. poštnim
programom sestavi sporočilo za [email protected]
2) Alicin UA pošlje sporočilo njenemu poštnemu strežniku, ki postavi sporočilo v čakalno vrsto
3) Alicin strežnik vzpostavi TCP sejo z Bobovim poštnim strežnikom
poštnistrežnik
upor.agent
2 3 4 6
Poštni nabiralnik
Čakalna vrsta sporočil
poštnistrežnik
5
upor.agent
1
12
RKO-1 2006/2007 1-203
Arso Savanović
Elektronska pošta4) Alicin poštni strežnik pošlje sporočilo
Bobovemu strežniku5) Bobov strežnik postavi sporočilo v Bobov
poštni nabiralnik, kjer sporočilo čaka na prevzem
6) Bob s svojim uporabniškim agentom (UA) prevzame sporočilo strežnika in ga prebere
poštnistrežnik
upor.agent
2 3 46
Poštni nabiralnik
Čakalna vrsta sporočil
poštnistrežnik
5
upor.agent
1
RKO-1 2006/2007 1-204
Arso Savanović
Elektronska pošta� SMTP – Simple Mail transfer Protocol (vrata 25):
� Dostava in shranjevanje sporočila na sprejemnikovem poštnem strežniku
� Dostopovni protocol: prevzem pošte s strežnika
� POP3: Post Office Protocol (vrata 110) [RFC 1939]� overjanje (agent <-->strežnik) in prevzem (prenos)
� IMAP: Internet Mail Access Protocol [RFC 1730]� Več funkcij, bolj kompleksen kot POP
� Urejanje sporočil na strežniku � HTTP: Hotmail , Yahoo! Mail, GMail, etc.
“oddajni” poštnistrežnik
SMTP SMTP dostopovniprotokol
“sprejemni” poštnistrežnik
upor.agent
upor.agent
RKO-1 2006/2007 1-205
Arso Savanović
Prenos datotek - FTP� FTP – File Transfer Protocol� Prenos datotek s strežnika ali na strežnik� Model strežnik/odjemalec
� odjemalec: računalnik, ki sproži prenos z ali na oddaljeni računalnik
� strežnik: oddaljeni računalnik� TCP, vrata 20, 21� FTP: RFC 959
Prenos datotekFTP
strež.
FTPUporabniš.
vmesnik
FTPodjema.
lokalnidatotečnisistem
Oddaljeni datotečni sistem
Uporabnikna odjemalcu
13
RKO-1 2006/2007 1-206
Arso Savanović
Dostop do Interneta� Klicni dostop
� Telefonski priključek + modem: 56kb/s� ISDN + “modem”: 64 kb/s, 128 kb/s
� Stalni dostop� FTTH – Fiber to the home
� >= 100 Mb/s
� xDSL -telefonski priključek + xDSL modem� do 20/40 Mb/s
� Kabelski dostop – kableska TV + kabelski modem:� do 1/20 Mb/s
RKO-1 2006/2007 1-207
Arso Savanović
Dostop do Interneta� Stalni dostop
� Brezžična povezava� Prek mobilnega omrežja (vir: Mobitel)
� GSM do 9,6 kb/s� GSM/GPRS do 53,6 kb/s� UMTS do 384 kb/s� UMTS/HSPDA do 3,6 Mb/s
� WLAN do 50 Mb/s
� WiMAX do 10 Mb/s (teoretično do 70 Mb/s)
� Najeti vod� E1 – 2Mb/s
� E3 – 34 Mb/s
RKO-1 2006/2007 1-208
Arso Savanović
Zgodovina Interneta
� 1961: Kleinrock – teorija vrst pokaže učinkovitost paketne komutacije
� 1964: Baran - packet-komutacija v vojaških mrežah� 1967: ARPA (Advanced Research Projects Agency)
zasnuje ARPAnet� 1969: prvo delujoče vozlišče v ARPAnet� 1972:
� Javni prikaz ARPAneta� NCP (Network Control Protocol) prvi protokol za
komunikacjo med računalniki� Prvi program za elektornsko pošto� 15 vozlišč v ARPAnetu
1961-1972: principi paketne komutacija
14
RKO-1 2006/2007 1-209
Arso Savanović
Zgodovina Interneta
� 1970: mreža ALOHAnet na Havajih� 1974: Cerf and Kahn – arhitektura omrežja omrežij
� minimalizem, autonomija – posameznih mrež ni potrebno interno spreminjati za povezovanje
� Prenos po najboljših močeh - “best effort”� Usmerjevalniki ne vzdržujejo stanja� Decentralizacija nadzora� osnova današnjega Interneta
� 1976: Xerox PARC razvije Ethernet� Pozna 70-ta: nestandardne tehnologije: DECnet, SNA, XNA� Pozna 70-ta: komutacija paketov fiksne dolžine (predhodnik
ATM-a )� 1979: 200 vozlišč v ARPAnetu
1972-1980: omrežje omrežij, nove nestandardne mreže
RKO-1 2006/2007 1-210
Arso Savanović
Zgodovina Interneta
� 1983: prehod na TCP/IP� 1982: določen protokol SMTP za elektronsko pošto� 1983: določen DNS - prevajanje imen v IP-naslove� 1985: določen protokol FTP� 1988: TCP kontrola zasičenja� Vedno več novih (nacionalnih) mrež se povezuje v
omrežje omrežij� 100,000 računalnikov povezanih v omrežje omrežij
1980-1990: novi protokoli, rast števila mrež
RKO-1 2006/2007 1-211
Arso Savanović
Zgodovina Interneta
� zgodnja 90-ta: ARPAnet uradno razpuščen� 1991: NSF odpravi omejitve za komercialno rabo NSFneta � zgodnja 90-ta: WWW
� hypertext [Bush 1945, Nelson 1960’s]� HTML, HTTP: Tim Berners-Lee� 1994: prvi brkljalnik Mosaic, nato Netscape
� Pozna 90-ta: komercializacija, predvsem svetovni splet� Konec 90-tih, 200x:
� Nove “killer aplikacije”: tekoče sporočanje, P2P izmenjava datotek� Varnost postane ključna� Pribl. 50 milijonov računalnikov, >100 milijonov uporabnikov� Hrbtenične povezave 1-10 Gb/s
1990, 200X: svetovni splet (WWW),
komercializacija, nove aplikacije in storitve