路由原理与技术第11章互联网安全技术.ppt

第十一章互联网安全技术 北京邮电大学网络技术研究院下一代互联网技术研究中心 第一部分互联网安全技术概述 网络安全的范畴和定义 广义地讲 凡是涉及网络上信息的保密性 完整性 可用性 真实性和可控性的相关技术和理论 都是网络安全要研究的领域 网络安全是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠地正常运行 网络服务不中断 常见的网络安全威胁 破环资源的保密性破坏系统或信息的完整性破坏系统或信息的可用性未授权的使用资源 网络安全的主要需求 一个完善的安全网络在保证其计算机网络硬件平台和系统软件平台安全的基础上 应该还具备以下安全属性 1 机密性2 完整性3 有效性 可用性 4 授权性5 审计性 网络攻击的主要方法 网络扫描 端口扫描和漏洞扫描 网络窃听恶意代码 病毒和木马 网络欺骗 IP欺骗 DNS欺骗和Web欺骗 拒绝服务攻击 DoS攻击 常见网络安全技术 数据加密技术身份认证技术访问控制技术防火墙技术入侵检测技术 基本密码技术 可实现数据加密 解密 也是认证 访问控制 数字签名等安全机制的基础 实现完整性 数字签名和认证的重要工具是单向散列函数 对称密钥密码体制 公开密钥密码技术 用于数字签名 密钥分配等 认证技术 认证即鉴别 是指验证一个实体的确是其所声称的实体的过程 实体身份认证 连接建立阶段 数据源认证 数据传输阶段 弱认证 强认证 连续认证 访问控制技术 访问控制指按照一定的访问控制政策来保护资源的保密性 完整性或可用性 一般用于对合法用户行为的控制 按照访问控制政策的不同 可以分为自主型访问控制 强制型访问控制 基于角色的访问控制 防火墙技术 防火墙是一种用于保护某个网络或主机不被非法入侵的网络安全技术 它可以用于 限制只能访问网络的一些地点 防止非授权用户得到网络访问权 防止服务拒绝攻击和限制Internet用户在网络上的行为等 按应用场合 可以分为主机型和网络型 按实现的层次 可以分为报文过滤型和应用网关型 入侵检测技术 入侵检测系统 IDS 的作用是检测针对被监视网络或主机的各种非法入侵行为 一般来说 IDS是通过收集各种通信信息并对这些信息进行分析实现的 当前有两种检测入侵的模型 即异常检测模型 AbnormallyDetectionmodel 和滥用检测模型 MisuseDetectionmodel 前者常用的方法有常见的方法有统计学方法 神经网络等 而后者常用的方法有专家系统 状态机 模式匹配 第二部分IPSec协议 IPSec协议体系结构 IPSec协议体系结构 ESP EncapsulatingSecurityPayload 封装安全负荷 定义了ESP加密及验证处理的相关包格式和处理规则AH AuthenticationHeader 鉴别头 定义了AH验证处理的相关包格式和处理规则加密算法描述各种加密算法如何用于ESP中验证算法描述各种身份验证算法如何应用于AH和ESP中IKE定义了密钥自动交换协议 DOI定义了密钥协商协议彼此相关部分的标识符及参数策略则决定两个实体之间能否通信以及如何进行通信 安全联盟 两台运行IPSec协议的设备在交换数据之前 必须首先建立某种约定 决定用来保护数据包安全的IPSec协议 转码方式 密钥以及密钥的有效存在时间等 这种约定 称为 安全联盟 SA 一条SA记录将包含 协议 SPI 安全参数索引 隧道目的地址 序列号 生存期 模式 初始化向量 加密算法与密钥 认证算法与密钥等信息 多个SA条目构成一个SADB SPD SPD SecurityPolicyDatabase 安全策略数据库 决定了为一个包提供的安全服务 它的每一个条目都定义了要保护什么通信 怎样保护以及和谁共享这种保护 对进入或离开IP堆栈的每一个包 都需查阅SPD以判断是否要为这个包提供安全服务 AH ESP IKE AH协议为IP通信提供数据源认证 数据完整性和抗重播保证 它能保护通信免受篡改 但不能防止窃听 适合用于传输非机密数据 ESP除具有AH的所有能力之外 还可选择保障数据的机密性 以及为数据流提供有限的机密性保证 IPSec有两种数据传输模式 隧道模式和传输模式 IKE协议主要用于协商共享密钥 第三部分分布式拒绝服务攻击 DDOS攻击简介 一般DOS DenialofService 攻击往往是利用系统漏洞或者利用计算量很大的任务耗尽被攻击者的资源 DDOS DistributedDenialofservice 攻击方式与一般的DOS攻击不同 不依赖于任何特定的网络协议 也不利用任何被攻击系统的漏洞 DDOS攻击通过控制大量傀儡机同时向被攻击者发送大量无用的分组 导致被攻击者资源耗尽 DDOS攻击的方法 直接攻击 攻击者直接向被攻击主机发送大量攻击分组 DDOS攻击的方法 续 反射攻击 攻击者利用中间节点 反射节点 进行攻击 DDOS攻击的防范方案 预防 防止傀儡机的产生攻击发生时的快速检测事后追踪 IPTraceback定义