《网络安全协议》PPT课件.ppt
《《网络安全协议》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《网络安全协议》PPT课件.ppt(84页珍藏版)》请在三一办公上搜索。
1、网络安全协议Network Security Protocols,薛开平(Xue Kaiping)信息网络实验室Lab.of Information and Networks,教科书和参考书Textbook&Reference,教科书William Stallings,Network Security Essentials:Applications and Standards,Prentice Hall,2007英文影印版,清华大学出版社,2007中文版,清华大学出版社,2007参考教材1.PKI技术,荆继武,林璟锵,冯登国编著,科学出版社,2008 2.何泾沙译,Linux防火墙,机械出版社
2、,20063.Charlie Kaufman等著,许剑卓、左英男等译“网络安全公众世界中的秘密通信”,电子工业出版社,20044.IPSec VPN 的安全实施,Carlton R Davis著,周永彬等译,清华大学出版社,2002 课程主页:http:/(),课程安排和成绩评定,课程安排:36学时授课成绩评定:期末考试70%平时作业30%(大作业15%,课程小作业15%),Contents of the Course,第一章:网络安全综述第二章:公钥基础设施PKI第三章:IPSec-AH和ESP第四章:IPSec-IKE第五章:SSL/TLS基本协议第六章:防火墙第七章:虚拟专用网VPN第八
3、章:应用层安全协议第九章:WLAN的安全,第一章 网络安全综述,1.1网络安全引入1.2 网络安全概述1.3网络参考模型与安全模型1.4网络各层的相关安全协议1.5密码学基础知识1.6数字签名与认证技术1.7网络安全的标准、评价准则,引入:现实中的举例,电子门钥认证挂窗帘 防止外人偷窥加锁 防小偷养狗 拒绝不受欢迎之客电围墙,篱笆,门卫 审查安装警报系统,摄像头 检测不速之客,网络安全事件网络监听?,服务器,网络监听者,屏幕输入用户名:abcde密码:12345,屏幕显示用户名:abcde密码:12345,网络安全事件假冒站点?,当浏览者输入时,实际访问的是服务器B,这样他的私人信息就可能被B
4、非法获取,网络安全事件不安全Email,网络安全事件抵赖?,1.1 网络安全概述,网络安全的重要性政务、商务、金融、军事、社会稳定等网络安全是一个跨多门学科的综合性科学包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学等 在理论上,网络安全是建立在密码学以及网络安全协议的基础上的从技术上,网络安全取决于两个方面:网络设备的硬件和软件的安全,以及设备的访问控制,1.常见的不安全因素,物理因素:物理设备的不安全,电磁波泄漏等系统因素:系统软、硬件漏洞,病毒感染,入侵网络因素:网络协议漏洞,会话劫持、数据篡改,网络拥塞,拒绝服务管理因素:管理员安全意识淡漠,误操作,2.网络不安全的原因,自身
5、的缺陷:系统软硬件缺陷,网络协议的缺陷开放性系统开放:计算机及计算机通信系统是根据行业标准规定的接口建立起来的。标准开放:网络运行的各层协议是开放的,并且标准的制定也是开放的。业务开放:用户可以根据需要开发新的业务。黑客攻击基于兴趣的入侵基于利益的入侵信息战,3.常见攻击手段,社会工程:攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息从而提高攻击成功率口令破解:攻击者可通过获取口令文件,然后运用口令破解工具获得口令,也可通过猜测或窃听等方式获取口令地址欺骗:攻击者可通过伪装成被信任的IP 地址等方式来骗取目标的信任连接盗用:在合法的通信连接建立后,攻击者可通过阻塞或
6、摧毁通信的一方来接管已经过认证建立起来的连接,从而 假冒被接管方与对方通信网络窃听:网络的开放性使攻击者可通过直接或间接窃听获取所需信息数据篡改:攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性,常见攻击手段(续),恶意扫描:攻击者可编制或使用现有扫描工具发现目标的漏洞,进而发起攻击基础设施破坏:攻击者可通过破坏DNS 或路由信息等基础设施,使目标陷于孤立数据驱动攻击:攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标拒绝服务:攻击者可直接发动攻击,也可通过控制其它主机发起攻击,使目标瘫痪,如发送大量的数据洪流阻塞目标,2007年国内安全事件统计,国家计算机网络应急技术处
7、理协调中心(CNCERT/CC)成立于2000年10月,每半年公布全国的网络安全工作报告,根据“2007年网络安全工作报告”,07年共接收到4390件非扫描类安全事件报告,与2006年相比,主要类型的安全事件数量均近成倍增加,网络仿冒事件数量由563件增加至1326件,增长率近1.4倍;垃圾邮件事件数量由587件增加至1197件,增长率达1倍;网页恶意代码事件数量由320件增加至1151件,增长率近2.6倍。,07年网络威胁的特征,间谍软件危害超过电脑病毒危害 网络钓鱼事件频出,增长势头有增无减 漏洞被发现和漏洞病毒出现的时间间隔越来越短 病毒传播方式和途径更加多样化、更加隐蔽 病毒与木马的结
8、合bot,带有蠕虫性质的木马。将大量感染bot程序(僵尸程序)的主机,在控制者和被感染主机之间形成一个可一对多控制的网络僵尸网络(botnet),再加上利用P2P的特性智能手机的出现,手机病毒呈上升趋势,常见攻击小结,中断(Interruption)-可用性窃听(Interception)-机密性修改(Modification)-完整性伪造(Fabrication)-认证,不可否认性,4.网络安全的特征,机密性 信息不泄漏给非授权的用户、实体或者过程的特性。完整性 数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏的特性。可用性 可被授权实体访问并按需求使用的特性,
9、即当需要时应能存取所需的信息。可控性 对信息的传输及访问具有控制能力,访问控制即属于可控性。,5.信息安全分类,6.网络安全的主要任务,保障网络与系统安全、可靠、高效、可控、持续地运行保障信息机密、完整、可认证、不可否认地传输和使用,7.需要保护的对象,硬件服务器、路由器、主机(PC&工作站)等软件操作系统、应用软件等数据电子邮件、电子商务、电子政务、信息发布等,安全性、功能性和易用性之间的矛盾,安全性,功能性,易用性,服务,第一章 网络安全综述,1.1网络安全概述1.2网络参考模型与安全模型1.3网络各层的相关安全协议1.4密码学基础知识1.5数字签名与认证技术1.6网络安全的标准、评价准则
10、,1.2 网络参考模型与安全模型,网络的体系结构采用分层原则层与协议的集合网络参考模型ISO-OSI(国际标准化组织-开放系统互连)模型TCP/IP模型(IETF)安全体系结构:ITU-T的X.800和IETF的RFC2828安全攻击:指损害机构所拥有信息的安全的任何行为 安全机制:设计用于检测、预防安全攻击或者恢复系统的机制 安全服务:采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务 基本安全模型网络安全模型:涉及信息在网络传输中的安全网络访问安全模型:涉及网络本身的安全,ISO-OSI模型,分组,帧,PDU:Protocol Data Unit 协议数据
11、单元,物理层:缆线,信号的编码,网络接插件的电、机械接口,数据链路层:成帧,差错控制、流量控制,物理寻址,媒体访问控制,网络层:路由、转发,拥塞控制,传输层:为会话层提供与下面网络无关的可靠消息传送机制,表示层:在两个应用层之间的传输过程中负责数据的表示语法,应用层:处理应用进程之间所发送和接收的数据中包含的信息内容。,会话层:用于约定传输的各种参数以及传输的起始和终止,数据的封装,OSImnemonicsAllPeopleSeemToNeedDataProcessingPleaseDoNotThrowSausagePizzaAway,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层
12、,TCP/IP模型,OSI与TCP/IP模型的比较,相同点:1.都是基于独立的协议栈概念。2.两者都有功能相似的应用层、传输层、网络层。,不同点:1.在OSI模型中,严格地定义了服务、接口、协议;在TCP/IP模型中,并没有严格区分服务、接口与协议。2.OSI模型支持非连接和面向连接的网络层通信,但在传输层只支持面向连接的通信;TCP/IP模型只支持非连接的网络层通信,但在传输层有支持非连接和面向连接的两种协议可供用户选择。3.TCP/IP模型中不区分、甚至不提起物理层和数据链路层。,安全体系结构,RFC 2828(Internet Security Glossary)X.800(Securi
13、ty Architecture for OSI)安全攻击:损害机构所拥有信息的安全的任何行为。安全机制:设计用于检测、预防安全攻击或者恢复系统的机制。安全服务:用于提高机构的数据处理系统安全和信息传输安全的服务。用一种或多种安全机制来提供安全服务,安全服务致力于抵御安全攻击。,安全体系结构安全攻击,主动攻击:更改数据流,或伪造假的数据流。伪装(masquerade)重放(replay)篡改(modification)拒绝服务(denial of service)被动攻击:对传输进行偷听与监视,获得传输信息。报文分析流量分析,即冒名顶替。一般而言,伪装攻击的同时往往还伴随着其他形式的主动攻击,先
14、被动地窃取通信数据,然后再有目的地重新发送,即修改报文的内容。或者对截获的报文延迟、重新排序,阻止或占据对通信设施的正常使用或管理。针对特定目标或是某个网络,窃听和分析所传输的报文内容,分析通信主机的位置、通信的频繁程度、报文长度等信息,安全体系结构安全机制,加密:用加密算法对信息加密。保护信息的机密性数字签名:用签名算法对信息进行计算,计算结果附加于信息单元。用于身份认证、数据完整性和非否认服务访问控制:用于实施资源访问权限的机制数据完整性:用于确保信息的完整性身份认证:确保信息交换的实体是所声称的实体流量填充:填充信息,防止流量分析路由控制:能够为特定数据选择特定路由公证:采用可信任的第三
15、方以确保一些信息交换的性质,安全体系结构安全服务,认证(Authentication):提供某个实体的身份保证对等实体认证数据源认证访问控制(Access control):保护资源,防止对它的非法使用和操纵数据机密性(Data encryption):保护信息不被泄露数据完整性(Integrity):保护信息以防止非法篡改不可否认性(No-repudiation):防止参与通信的一方事后否认可用性(Availability):确保系统的可用,X.800定义了五类安全服务,系统的性质,安全服务与攻击的关系,安全服务与机制的关系,网络安全模型,算法机制协议,身份认证信息的机密性、完整性、不可否认
16、性,网络访问安全模型,Firewalls and Security Gateways IDSVPN,保证网络的可用性、可控性,第一章 网络安全综述,1.1网络安全概述1.2网络参考模型1.3网络各层的相关安全协议1.4密码学基础知识1.5数字签名与认证技术1.6网络安全的标准、评价准则,1.3 网络各层的相关安全协议,链路层:链路隧道协议、加密技术网络层:包过滤机制、NAT、IPSEC协议、VPN传输层/会话层:SSL/TLS 协议应用层:SHTTP、PGP、S/MIME等,Security Protocol Layers,第一章 网络安全综述,1.1网络安全概述1.2网络参考模型1.3网络各
17、层的相关安全协议1.4密码学基础知识1.5数字签名与认证技术1.6网络安全的标准、评价准则,1.4 密码学基础知识,1.密码学分类2.古典密码3.对称密码4.非对称密码5.Diffie-Hellman密钥交换,1.密码算法分类,按发展进程或体制分古典密码:基于字符替换的密码,现在已很少使用了,但是它代表了密码的起源对称密钥体制(Symmetric System):加密密钥和解密密钥相同,这些算法也叫作单钥密码体制(one-key system)非对称密钥体制(Asymmetric System):加密密钥和解密密钥不同,也叫公钥密码体制(public key system)或双钥密码体制(tw
18、o-key system)按加密模式分序列密码(stream cipher):序列密码按位或字节加密,也可以称为流密码,序列密码是手工和机械密码时代的主流。分组密码(block cipher):分组密码将明文分成固定长度的组,用同一密钥和算法对每一块加密,输出也是固定长度的密文。,2.古典密码,代替密码:简单代替,多表代替,多字母或多码代替换位密码:凯撒密码凯撒密码-将字母循环前移k位,k=5时a b c d e f g h i j k l m n o p q r s t u v w x y zf g h i j k l m n o p q r s t u v w x y z a b c d
19、eUniversity-Zsnajwxnyd,3.对称密码算法,DES(数据加密标准,Data Encryption Standard)背景1972年,NBS(NIST)美国国家标准局征集加密标准1974年,IBM的Tuchman和Meyers发明Lucifer加密算法1976年,NBS公布DES,当年估计破译需要2283年时间DES是一种对二元数据进行加密的算法,数据分组长度为64位,密文分组长度也是64位,使用的密钥为64位,有效密钥长度为56位,有8位用于奇偶校验,解密时的过程和加密时相似,但密钥的顺序正好相反,DES的整个体制是公开的,系统的安全性完全靠密钥的保密。,DES算法的过程,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全协议 网络安全 协议 PPT 课件
链接地址:https://www.31ppt.com/p-5569268.html