網(wǎng)絡安全協(xié)議與信任體系結(jié)構(gòu).ppt_第1頁
網(wǎng)絡安全協(xié)議與信任體系結(jié)構(gòu).ppt_第2頁
網(wǎng)絡安全協(xié)議與信任體系結(jié)構(gòu).ppt_第3頁
網(wǎng)絡安全協(xié)議與信任體系結(jié)構(gòu).ppt_第4頁
網(wǎng)絡安全協(xié)議與信任體系結(jié)構(gòu).ppt_第5頁
已閱讀5頁,還剩16頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

網(wǎng)絡安全協(xié)議 與信任體系結(jié)構(gòu),國家信息化專家咨詢委員會委員 沈昌祥 院士,當前互聯(lián)網(wǎng)不可信任的主要原因: 協(xié)議安全性差,源接入地址不真實,源數(shù)據(jù)難標識和驗證。 沒有完整的信任體系結(jié)構(gòu),難以實現(xiàn)可信接入和端點安全保護;用戶、控制、管理三大信息流難以實現(xiàn)安全可信。,一、IPv6 的安全挑戰(zhàn),下一代互聯(lián)網(wǎng)是基于IPv6的網(wǎng)絡 IPv6相對于IPv4的主要優(yōu)勢是:擴大了地址空間、提高了網(wǎng)絡的整體吞吐量、服務質(zhì)量得到很大改善、安全性有了更好的保證、支持即插即用和移動性、更好地實現(xiàn)了多播功能。 巨大的地址空間使所有終端都使用真實地址。是信任接入的基礎。 真實IP地址訪問和全局用戶標識是建設可信任互聯(lián)網(wǎng)的根本。,IPv6的安全特性是其主要特點之一。IPv6協(xié)議內(nèi)置安全機制,并已經(jīng)標準化。 IPSec提供如下安全性服務:訪問控制、無連接的完整性、數(shù)據(jù)源身份認證、防御包重傳攻擊、保密、有限的業(yè)務流保密性。,IPv6并不能徹底解決互聯(lián)網(wǎng)中的安全問題,更大規(guī)模接入和應用,更快的速度會增加安全風險 對存在的安全風險必須做認真地研究。,引入擴展頭可能存在安全性問題 通常情況下擴展頭只有在包的終點才能作相應處理,但在有些處理中獲取源路由就能形成 IP 欺騙攻擊。,ICMPv6存在重定向和拒絕服務攻擊的可能 偽裝最后一跳路由,給訪問者發(fā)重定向包; 用不同的源或目的MAC地址發(fā)鄰居請求包實現(xiàn)欺騙; 重復地址檢測和鄰居發(fā)現(xiàn)Dos攻擊,移動IPv6可能存在的安全問題 節(jié)點移動需要經(jīng)常向MN的本地代理和CN發(fā)送綁定更新報文可能被重定向。 高層應用和操作系統(tǒng)的漏洞隱患,影響網(wǎng)絡安全連接。,二、骨干網(wǎng)絡可信任的體系結(jié)構(gòu),保護網(wǎng)絡與基礎設施是一個體系,只靠一兩項單純的技術并不能實現(xiàn)真正的安全,必須構(gòu)建科學合理、可信任的體系結(jié)構(gòu)。,網(wǎng)絡支持三種不同的數(shù)據(jù)流:用戶、控制和管理: 用戶通信流就是簡單地在網(wǎng)上傳輸用戶信息。確保信息可信賴發(fā)出。 控制通信流是為建立用戶連接而在所必備的網(wǎng)絡組件之間傳送的信息,信令協(xié)議,以保障用戶連接正確建立。 管理通信流是用來配置網(wǎng)絡組件或表明網(wǎng)絡組件狀態(tài)的信息。確保網(wǎng)絡組件沒有被非授權用戶改變。 骨干網(wǎng)的可信任達到真正的可用仍是下一代互聯(lián)網(wǎng)面臨的嚴重挑戰(zhàn)。,將骨干網(wǎng)模型分為九個主要方面: 1、網(wǎng)絡與網(wǎng)絡的通信 2、設備與設備的通信 3、設備管理和維護 4、用戶數(shù)據(jù)接口 5、遠程操作員與NMC(網(wǎng)絡管理中心)的通信 6、網(wǎng)絡管理中心與設備的通信 7、網(wǎng)絡管理中心飛地 8、制造商交付于維護 9、制造商環(huán)境 下圖表示它們之間的關系。,圖:骨干網(wǎng)可用性模型,外網(wǎng),安全要求: 訪問控制: 訪問控制必須能夠區(qū)別用戶對數(shù)據(jù)傳輸?shù)脑L問和管理員對網(wǎng)絡管理與控制的訪問 訪問控制必須能夠限制對網(wǎng)絡管理中心的訪問 認證: 鑒別路由、管理人員、制造商來源、分發(fā)配置 可用性: 軟硬件對用戶必須時刻用的 服務商必須向用戶提供高層次的系統(tǒng)可用性,保密性: 必須保護關鍵材料的保密性 網(wǎng)絡管理系統(tǒng)必須提供路由信息、信令信息、網(wǎng)絡管理通信流的保密性,以保障它們的安全 完整性: 必須保護網(wǎng)絡設備之間通信的完整性 必須保護網(wǎng)絡設備的硬件和軟件的完整性 必須保護網(wǎng)絡設備和網(wǎng)絡管理中心之間通信的完整性 必須保護制造商提供的硬件和軟件的完整性 必須保護向網(wǎng)絡管理中心的撥號通信的完整性,不可否認性: 網(wǎng)絡人員一定不能否認對網(wǎng)絡設備的配置所作的改動 制造商一定不能否認有他們提供或開發(fā)的軟硬件,潛在的攻擊和對策 被動攻擊:監(jiān)測和收集網(wǎng)絡傳輸?shù)男畔?主動攻擊:來自網(wǎng)絡外部的攻擊 帶寬攻擊:噪聲阻塞、洪流淹沒、服務竊取 網(wǎng)絡管理通信破壞攻擊:網(wǎng)絡管理信息被篡改 使網(wǎng)絡基礎設施失控攻擊:操作控制失靈,內(nèi)部人員攻擊: 網(wǎng)絡管理人員發(fā)起:操作人員、開發(fā)程序員 分發(fā)攻擊: 在安裝分配過程中改變供應商的軟件和硬件,對策與措施: 網(wǎng)絡管理通信的保護:確保管理信息流的完整性、真實性以及保密性。

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論