IPv6技术(第6章)课件.ppt

1、第6章IPv6安全技术，机械工业出版社ISBN 7-111-23468-5，第6章学习内容和要求，牙齿章节的学习内容和要求了解IPv6安全问题的主要内容了解IPv6使用的加密机制和特性了解IPv6的安全因素了解IPv6的IPsec说明、实现和分发方法认证IPv6实施和部署的漏洞和不足，与IPv6协议相关的设计、算法、硬件和软件的实施与人的业务郑智薰IP层攻击密不可分，IPv6安全性仅适用于IP层，其他层的IPv6网络攻击仍然存在。IPv4-IPv6转换的安全漏洞、IPv4网络和IPv6网络共存以及切换技术存在安全风险。无状态地址自动配置、ICMPv6和路径MTU发现PMTU、用于IP地址和MA

2、C地址解析的相邻发现协议、移动IPv6上错误绑定消息导致的拒绝服务攻击等IPv6网络安全问题。电子信息是网络安全，一般区别纸质文本的原件和副本是可能的电子信息。区分原件和副本是很困难的。纸文本的修改必然会留下物理痕迹。修改内存或存储设备的电子信息二进制字符串不会留下物理痕迹。所有与纸质文本相关的物理证据都可以依赖于纸张文本本身的物理特征(例如，手写签名、音文或双文的公证印章等电子信息)来提供这种认证。网络安全特征、身份可认证性保密完整性；可控性审查性。网络安全必须考虑三个茄子方面：安全攻击是威胁网络系统信息安全的所有活动。提供保护网络系统不被拦截、阻止安全攻击和恢复受攻击系统的安全机制网络信息

3、传输安全的服务，安全服务使用一个或多个安全机制防止网络攻击。网络安全面临的威胁可分为四个茄子类别。interception是从一般窃听器开始，在系统上部署特洛伊木马，控制系统中断(interruption)中断是防止接收人接收牙齿信息的。中断攻击主要包括服务中断或拒绝服务(DoS)调制(fabrication)，源工作站，目标工作站，攻击工作站，阻止，源工作站，目标工作站，中断，源工作站，目标工作站，攻击工作站，调制，源工作站，目标工作站，攻击工作站，伪造，6计算机网络安全服务的内容是隐私完整性(ining访问控制访问控制(AC)可靠性，可以验证信息提供方的身份，网络安全加密技术模型，数据加密

4、过程公式是DH(Y)DH(EK(X)X数据加密，密码分析过程是5茄子基本组件，网络安全模型和对称密码加密过程，以及公钥密码系统是公钥密码系统的主要原因有两个。一种是解决普通密钥密码系统的密钥分配问题，另一种是解决和实现数位签章。是要说明的问题。第一个误解是，从密码分析的角度来看，公钥密码比现有密码更安全。第二个误解是公钥密码是常见的方法。第三个误解是，在现有密码中与密钥中心握手并不容易。数字签名和消息认证，数字签名保证收件人可以确认发件人的消息签名。发件人不能否认消息的签名。收信人渡边杏伪造对报纸的签名。6.2网络安全技术、6.2.1数据包过滤和防火墙的作用是将访客限制在严格控制的点。防止攻击

5、者接近受保护的设备。限制人们离开严格控制的地点。这种筛选可以在网络层和传输层实施，如IP、ICMP、UDP和TCP协议的第一个字段检查。构成应用层、防火墙配置和防火墙的主要部分是路由器。插有两个或更多网卡的主机连接有三个以上的网络介面一个内部网路存取另一个和外部网路存取各种代理服务器主机。子网，6.2.2传输层保护，传输层有两个茄子安全协议牙齿。安全套接字层安全套接字层(SSL)机密通信技术专用通信技术(PCT)SSL协议层最初是Netscape为保护网页伺服器和客户端之间的HTTP会话而设计的，供应商和其他客户端/服务器软件(应用层安全协议是在特定应用程序中设置的安全措施。独立于通信网络安全

6、措施，新的应用层安全机制通过传输过程中的认证确保了数据发送方和接收方的可靠性，在传输过程中数据没有改变。6.2.4影响网络安全的开放性、网络安全的开放实施的主要原因是无法协作的现有加密/认证系统和产品过多，与公共公钥基础设施PKI安全服务相关的功能级别的划分仍处于争论的安全框架下的操作系统中的一些细微变化。利用部分“内置”安全模块和方法导入整个安全框架(或其中的一部分)，可能与安装的系统安全模型不兼容安全环境的一致性需要考虑IT安全软件和特定安全配置中的错误和缺陷、法律和规则不健全和非标准问题、6.3 IPv4的安全因素，6.3.1 IPsec IPsec是未连接访问控制的完整性数据源身份验证

7、序列、6.3.2 IPsec框架、IPsec框架是由6个截然不同的元素组成的： IP安全体系结构，是对网络层安全要求和机制的一般说明。RFC2406文档中定义了专用于加密安全元素的封装安全加载(ESP)。仅身份验证安全元素AH(身份验证第一个)在RFC 2402文档中定义。用于加密算法、加密和验证的特定密码算法定义验证算法、通信合作伙伴之间安全策略和安全关联的定义密钥更换协议、IPsec密钥管理，以及基于更通用框架的密钥管理。IPsec框架组件和联系人、6.3.3 IPsec安全相关SA、SA是由两个通信实体协商的协议，其中包括用于保护包安全的IPsec协议、转换代码格式、密钥和密钥的有效存在

8、时间。所有SA部署方案都是安全相关数据库SAD。必须构建SA使用的参数(包括序列号)，序列号溢出防重播窗口；寿命(生存时间)；模式；模式。隧道目的地。IPsec有两种茄子类型的操作模式。在传输模式，传输模式下，SA定义两个终端系统之间的传输邻接。这意味着对同一IP数据报多次使用AH或ESP进行加密。这意味着在同一IP数据报内同时使用加密和身份验证服务、隧道模式、隧道模式(2)和6。SA实施包括两个茄子安全数据库-安全相关数据库(SAD)安全策略数据库安全策略数据库(SPD)。SA必须根据管理标准和规则安全策略数据库SPD中规定的策略，确定如何处理流入或流出系统的所有IP流量。所有定义的SA都通

9、过安全参数索引安全参数索引(SPI)、IP目标地址和安全协议(AH或ESP)存储在安全关联控制器(SAD)中，其中包括三部分标识符的数值标识；以及同时配置终端主机和路由器配置有助于徐璐其他问题的网络安全部署。IPsec实施有三种茄子方法。IPsec作为IPv6堆栈的一部分与操作系统OS集成实现IPsec作为堆栈的一部分(BITS)实施，将特殊IPsec代码插入网络堆栈。网络堆栈的网络层和数据链路层间实施的另一种方法是使用IPsec作为线路的一部分(BITW)进行外部加密硬件、IPsec VPN部署过程说明、6.3.6 IPsec的问题以及IPsec的最大缺陷是复杂性。IPsec包含太多选项和太

10、多灵活性。IPsec是通过专业工作组开发的开放式标准框架。牙齿框架考虑了一些国家和大公司的太多利益，在实施IPsec方面存在困难。目前各种IPsec产品之间的兼容性问题还没有解决。此外，使用IPsec可能会影响网络传输性能。6 . 4 . IPv6认证、6.4.1认证的内容和方法认证扩展第一部分每个认证扩展第一部分包括固定协议元素序列消息摘要计算和遵循IPv6认证的规则IPv6认证计算中选择IP数据报内容的规则、6.4.2 IPv6认证、IPv6认证具有两种茄子操作模式。验证所有端对端载荷和选定的第一个字段。、隧道模式身份验证第一、6.5 IPv6的加密、6.5.1 IPv6的加密概述IPv6

11、网络、通过封装安全负载(ESP)扩展第一(下一个第一个值为50)提供在一个IP包中发送的所有端到端数据的完整性和机密性每个ESP扩展第一部分的固定第二部分尾部的其他信息IPv6标准的密码算法传输模式和隧道模式传输模式加密所有端到端负载，包括传输协议的第一部分。如果需要加密整个IP，则必须使用隧道模式。原始完全加密的IP数据包封装在外部IP数据包中，由外部网络、6.6密钥更换(IKE)协议、6.6.1密钥更换协议概述网络安全性取决于密钥和密钥分配的安全性，密钥分配属于密钥管理。密钥管理的内容是密钥的生成、分配、注入、验证和使用。人们已经提出了以下公钥分配方案：公开发表；可访问目录公钥赋权公钥证书

12、。密钥分发中心设置密钥分发中心(KDC)，以便通过KDC分配密钥。5茄子密钥更换模式包括：主模式；关于正模型快速模式更换新组模式更换。6.6.2 ISAKMP、ISAKMP提供了用于处理SA和密钥交换的通用框架。ISAKMP是由美国国家安全局NSA研究人员开发的。ISAKMP定义了一组节目和数据包格式，用于设置、协商、修改和删除安全相关SA、ISAKMP的协议结构、6.6.3密钥更换协议OAKLEY和SKEME。OAKLEY密钥更换协议是基于Dime-Hellman密钥交换的协议。secure key exchange mechanism(skem)是一组密钥更换网络安全密钥更换机制(称为模式

13、)，描述了提供匿名、密钥傅晶和快速密钥刷新的快速密钥更换技术。6.6.4网络密钥更换(IKE)，IKE可以描述为在不安全的网络环境中安全地设置或更新密钥的协商协议。IKE是普遍的协议。IPsec协商安全连接或任何需要机密的网络协议协商安全参数IKE(如SNMPv3、RIPv2、OSPFv2等)可以使用ISAKMP中定义的数据格式，基于OAKLEY和SKEME密钥更换机制使用密钥更换和SA信息IKE。使用属于ISAKMP SA的属性是必需的，必须协商。连接和密钥管理标准关系；与6.6.5 IPsec和其他技术的连接；IPsec服务的提供还会影响应用层协议安全元素应用程序节目服务，如telnet、FTP、DNS和基于SNMP的网络管理。足够的安全网络地址转换NAT是互联网上广泛使用的技术。在IPsec环境中，必须仔细考虑移动性，例如漫游和远程访问服务质量QoS。数据丢失有特定要求。采用IPsec后，数据包丢弃被视为安全违规。1.网络安全的特征是什么？网络安全威胁是什么？网络安全密码分析和密码分析技术模式是什么？什么是