网络安全协议与信任体系结构.ppt

网络安全协议 与信任体系结构,国家信息化专家咨询委员会委员 沈昌祥 院士,当前互联网不可信任的主要原因： 协议安全性差，源接入地址不真实，源数据难标识和验证。 没有完整的信任体系结构，难以实现可信接入和端点安全保护；用户、控制、管理三大信息流难以实现安全可信。,一、IPv6 的安全挑战,下一代互联网是基于IPv6的网络 IPv6相对于IPv4的主要优势是：扩大了地址空间、提高了网络的整体吞吐量、服务质量得到很大改善、安全性有了更好的保证、支持即插即用和移动性、更好地实现了多播功能。 巨大的地址空间使所有终端都使用真实地址。是信任接入的基础。 真实IP地址访问和全局用户标识是建设可信任互联网的根本。,IPv6的安全特性是其主要特点之一。IPv6协议内置安全机制，并已经标准化。 IPSec提供如下安全性服务：访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、保密、有限的业务流保密性。,IPv6并不能彻底解决互联网中的安全问题，更大规模接入和应用，更快的速度会增加安全风险 对存在的安全风险必须做认真地研究。,引入扩展头可能存在安全性问题 通常情况下扩展头只有在包的终点才能作相应处理，但在有些处理中获取源路由就能形成 IP 欺骗攻击。,ICMPv6存在重定向和拒绝服务攻击的可能 伪装最后一跳路由，给访问者发重定向包; 用不同的源或目的MAC地址发邻居请求包实现欺骗； 重复地址检测和邻居发现Dos攻击,移动IPv6可能存在的安全问题 节点移动需要经常向MN的本地代理和CN发送绑定更新报文可能被重定向。 高层应用和操作系统的漏洞隐患，影响网络安全连接。,二、骨干网络可信任的体系结构,保护网络与基础设施是一个体系，只靠一两项单纯的技术并不能实现真正的安全，必须构建科学合理、可信任的体系结构。,网络支持三种不同的数据流:用户、控制和管理: 用户通信流就是简单地在网上传输用户信息。确保信息可信赖发出。 控制通信流是为建立用户连接而在所必备的网络组件之间传送的信息，信令协议，以保障用户连接正确建立。 管理通信流是用来配置网络组件或表明网络组件状态的信息。确保网络组件没有被非授权用户改变。 骨干网的可信任达到真正的可用仍是下一代互联网面临的严重挑战。,将骨干网模型分为九个主要方面： 1、网络与网络的通信 2、设备与设备的通信 3、设备管理和维护 4、用户数据接口 5、远程操作员与NMC(网络管理中心)的通信 6、网络管理中心与设备的通信 7、网络管理中心飞地 8、制造商交付于维护 9、制造商环境 下图表示它们之间的关系。,图：骨干网可用性模型,外网,安全要求： 访问控制： 访问控制必须能够区别用户对数据传输的访问和管理员对网络管理与控制的访问 访问控制必须能够限制对网络管理中心的访问 认证： 鉴别路由、管理人员、制造商来源、分发配置 可用性： 软硬件对用户必须时刻用的 服务商必须向用户提供高层次的系统可用性,保密性： 必须保护关键材料的保密性 网络管理系统必须提供路由信息、信令信息、网络管理通信流的保密性，以保障它们的安全 完整性： 必须保护网络设备之间通信的完整性 必须保护网络设备的硬件和软件的完整性 必须保护网络设备和网络管理中心之间通信的完整性 必须保护制造商提供的硬件和软件的完整性 必须保护向网络管理中心的拨号通信的完整性,不可否认性： 网络人员一定不能否认对网络设备的配置所作的改动 制造商一定不能否认有他们提供或开发的软硬件,潜在的攻击和对策 被动攻击：监测和收集网络传输的信息 主动攻击：来自网络外部的攻击 带宽攻击：噪声阻塞、洪流淹没、服务窃取 网络管理通信破坏攻击：网络管理信息被篡改 使网络基础设施失控攻击：操作控制失灵,内部人员攻击： 网络管理人员发起：操作人员、开发程序员 分发攻击： 在安装分配过程中改变供应商的软件和硬件,对策与措施： 网络管理通信的保护：确保管理信息流的完整性、真实性以及保密性。