返回
路由原理与技术第11章互联网安全技术.ppt

路由原理与技术第11章互联网安全技术.ppt

ID:48807325

大小:3.28 MB

页数:26页

时间:2020-01-27

路由原理与技术第11章互联网安全技术.ppt_第1页
路由原理与技术第11章互联网安全技术.ppt_第2页
路由原理与技术第11章互联网安全技术.ppt_第3页
路由原理与技术第11章互联网安全技术.ppt_第4页
路由原理与技术第11章互联网安全技术.ppt_第5页
资源描述:

《路由原理与技术第11章互联网安全技术.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第十一章互联网安全技术北京邮电大学网络技术研究院下一代互联网技术研究中心第一部分互联网安全技术概述网络安全的范畴和定义广义地讲,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全要研究的领域。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠地正常运行,网络服务不中断。常见的网络安全威胁破环资源的保密性破坏系统或信息的完整性破坏系统或信息的可用性未授权的使用资源网络安全的主要需求一个完善的安全网络在保证其计算机网络硬件平台和系

2、统软件平台安全的基础上,应该还具备以下安全属性:1、机密性2、完整性3、有效性(可用性)4、授权性5、审计性网络攻击的主要方法网络扫描(端口扫描和漏洞扫描)网络窃听恶意代码(病毒和木马)网络欺骗(IP欺骗、DNS欺骗和Web欺骗)拒绝服务攻击:DoS攻击常见网络安全技术数据加密技术身份认证技术访问控制技术防火墙技术入侵检测技术基本密码技术可实现数据加密/解密,也是认证、访问控制、数字签名等安全机制的基础。实现完整性、数字签名和认证的重要工具是单向散列函数。对称密钥密码体制。公开密钥密码技术,用于数字签名,密钥分配等。认证技术认证即

3、鉴别,是指验证一个实体的确是其所声称的实体的过程。实体身份认证:连接建立阶段。数据源认证:数据传输阶段。弱认证、强认证、连续认证。访问控制技术访问控制指按照一定的访问控制政策来保护资源的保密性、完整性或可用性,一般用于对合法用户行为的控制。按照访问控制政策的不同,可以分为自主型访问控制、强制型访问控制、基于角色的访问控制。防火墙技术防火墙是一种用于保护某个网络或主机不被非法入侵的网络安全技术,它可以用于:限制只能访问网络的一些地点、防止非授权用户得到网络访问权、防止服务拒绝攻击和限制Internet用户在网络上的行为等。按应用场合

4、,可以分为主机型和网络型;按实现的层次,可以分为报文过滤型和应用网关型。入侵检测技术入侵检测系统(IDS)的作用是检测针对被监视网络或主机的各种非法入侵行为。一般来说,IDS是通过收集各种通信信息并对这些信息进行分析实现的。当前有两种检测入侵的模型,即异常检测模型(AbnormallyDetectionmodel)和滥用检测模型(MisuseDetectionmodel),前者常用的方法有常见的方法有统计学方法、神经网络等,而后者常用的方法有专家系统、状态机、模式匹配。第二部分IPSec协议IPSec协议体系结构IPSec协议体系

5、结构ESP(EncapsulatingSecurityPayload,封装安全负荷)定义了ESP加密及验证处理的相关包格式和处理规则AH(AuthenticationHeader,鉴别头)定义了AH验证处理的相关包格式和处理规则加密算法描述各种加密算法如何用于ESP中验证算法描述各种身份验证算法如何应用于AH和ESP中IKE定义了密钥自动交换协议;DOI定义了密钥协商协议彼此相关部分的标识符及参数策略则决定两个实体之间能否通信以及如何进行通信安全联盟两台运行IPSec协议的设备在交换数据之前,必须首先建立某种约定,决定用来保护数据

6、包安全的IPSec协议、转码方式、密钥以及密钥的有效存在时间等。这种约定,称为“安全联盟(SA)”。一条SA记录将包含:协议、SPI(安全参数索引)、隧道目的地址、序列号、生存期、模式、初始化向量、加密算法与密钥、认证算法与密钥等信息。多个SA条目构成一个SADB。SPDSPD(SecurityPolicyDatabase,安全策略数据库)决定了为一个包提供的安全服务。它的每一个条目都定义了要保护什么通信、怎样保护以及和谁共享这种保护。对进入或离开IP堆栈的每一个包,都需查阅SPD以判断是否要为这个包提供安全服务。AH、ESP、I

7、KEAH协议为IP通信提供数据源认证、数据完整性和抗重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。ESP除具有AH的所有能力之外,还可选择保障数据的机密性,以及为数据流提供有限的机密性保证。IPSec有两种数据传输模式:隧道模式和传输模式。IKE协议主要用于协商共享密钥。第三部分分布式拒绝服务攻击DDOS攻击简介一般DOS(DenialofService)攻击往往是利用系统漏洞或者利用计算量很大的任务耗尽被攻击者的资源。DDOS(DistributedDenialofservice)攻击方式与一般的DOS

8、攻击不同,不依赖于任何特定的网络协议,也不利用任何被攻击系统的漏洞。DDOS攻击通过控制大量傀儡机同时向被攻击者发送大量无用的分组,导致被攻击者资源耗尽。DDOS攻击的方法直接攻击:攻击者直接向被攻击主机发送大量攻击分组。DDOS攻击的方法(续)反

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。