路由原理与技术第11章互联网安全技术

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第十一章 互联网安全技术,北京邮电大学,网络技术研究院,下一代互联网技术研究中心,第一部分互联网安全技术概述,网络安全的范畴和定义,广义地讲，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全要研究的领域。,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠地正常运行，网络服务不中断。,常见的网络安全威胁,破环资源的保密性,破坏系统或信息的完整性,破坏系统或信息的可用性,未授权的使用资源,网络安全的主要需求,一个完善的安全网络在保证其计算机网络硬件平台和系统软件平台安全的基础上，应该还具备以下安全属性,:,1,、机密性,2,、完整性,3,、有效性（可用性）,4,、授权性,5,、审计性,网络攻击的主要方法,网络扫描（端口扫描和漏洞扫描）,网络窃听,恶意代码（病毒和木马）,网络欺骗（,IP,欺骗、,DNS,欺骗和,Web,欺骗）,拒绝服务攻击：,DoS,攻击,常见网络安全技术,数据加密技术,身份认证技术,访问控制技术,防火墙技术,入侵检测技术,基本密码技术,可实现数据加密,/,解密，也是认证、访问控制、数字签名等安全机制的基础。,实现完整性、数字签名和认证的重要工具是单向散列函数。,对称密钥密码体制。,公开密钥密码技术，用于数字签名，密钥分配等。,认证技术,认证即鉴别，是指验证一个实体的确是其所声称的实体的过程。,实体身份认证：连接建立阶段。数据源认证：数据传输阶段。,弱认证、强认证、连续认证。,访问控制技术,访问控制指按照一定的访问控制政策来保护资源的保密性、完整性或可用性，一般用于对合法用户行为的控制。,按照访问控制政策的不同，可以分为自主型访问控制、强制型访问控制、基于角色的访问控制。,防火墙技术,防火墙是一种用于保护某个网络或主机不被非法入侵的网络安全技术，它可以用于：限制只能访问网络的一些地点、防止非授权用户得到网络访问权、防止服务拒绝攻击和限制,Internet,用户在网络上的行为等。,按应用场合，可以分为主机型和网络型；按实现的层次，可以分为报文过滤型和应用网关型。,入侵检测技术,入侵检测系统（,IDS,）的作用是检测针对被监视网络或主机的各种非法入侵行为。一般来说，,IDS,是通过收集各种通信信息并对这些信息进行分析实现的。,当前有两种检测入侵的模型，即异常检测模型（,Abnormally Detection model,）和滥用检测模型（,Misuse Detection model,），前者常用的方法有常见的方法有统计学方法、神经网络等，而后者常用的方法有专家系统、状态机、模式匹配。,第二部分,IPSec,协议,IPSec,协议体系结构,IPSec,协议体系结构,ESP(Encapsulating Security Payload,封装安全负荷,),定义了,ESP,加密及验证处理的相关包格式和处理规则,AH(Authentication Header,，鉴别头,),定义了,AH,验证处理的相关包格式和处理规则,加密算法描述各种加密算法如何用于,ESP,中,验证算法描述各种身份验证算法如何应用于,AH,和,ESP,中,IKE,定义了密钥自动交换协议；,DOI,定义了密钥协商协议彼此相关部分的标识符及参数,策略则决定两个实体之间能否通信以及如何进行通信,安全联盟,两台运行,IPSec,协议的设备在交换数据之前，必须首先建立某种约定，决定用来保护数据包安全的,IPSec,协议、转码方式、密钥以及密钥的有效存在时间等。这种约定，称为“安全联盟（,SA,）”。,一条,SA,记录将包含：协议、,SPI,（安全参数索引）、隧道目的地址、序列号、生存期、模式、初始化向量、加密算法与密钥、认证算法与密钥等信息。,多个,SA,条目构成一个,SADB,。,SPD,SPD,（,Security Policy Database,，安全策略数据库）决定了为一个包提供的安全服务。它的每一个条目都定义了要保护什么通信、怎样保护以及和谁共享这种保护。对进入或离开,IP,堆栈的每一个包，都需查阅,SPD,以判断是否要为这个包提供安全服务。,AH,、,ESP,、,IKE,AH,协议为,IP,通信提供数据源认证、数据完整性和抗重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。,ESP,除具有,AH,的所有能力之外，还可选择保障数据的机密性，以及为数据流提供有限的机密性保证。,IPSec,有两种数据传输模式：隧道模式和传输模式。,IKE,协议主要用于协商共享密钥。,第三部分 分布式拒绝服务攻击,DDOS,攻击简介,一般,DOS,（,Denial of Service,）攻击往往是利用系统漏洞或者利用计算量很大的任务耗尽被攻击者的资源。,DDOS,（,Distributed Denial of service,）攻击方式与一般的,DOS,攻击不同，不依赖于任何特定的网络协议，也不利用任何被攻击系统的漏洞。,DDOS,攻击通过控制大量傀儡机同时向被攻击者发送大量无用的分组，导致被攻击者资源耗尽。,DDOS,攻击的方法,直接攻击：攻击者直接向被攻击主机发送大量攻击分组。,DDOS,攻击的方法（续）,反射攻击：攻击者利用中间节点（反射节点）进行攻击。,DDOS,攻击的防范方案,预防：防止傀儡机的产生,攻击发生时的快速检测,事后追踪,IP Traceback,定义,概率分组标记,点标记：路由器以一定概率对分组进行标记，被攻击者根据标记恢复攻击路径。,缺点：需要较多的分组数量。,边标记：在分组中对边进行标记。,其他算法,基于哈希的,IP Traceback,链路测试,ICMP Traceback,