




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
网络安全协议
与信任体系结构国家信息化专家咨询委员会委员沈昌祥院士网络安全协议
与信任体系结构国家信息化专家咨询委员会委员1当前互联网不可信任的主要原因:协议安全性差,源接入地址不真实,源数据难标识和验证。没有完整的信任体系结构,难以实现可信接入和端点安全保护;用户、控制、管理三大信息流难以实现安全可信。当前互联网不可信任的主要原因:2一、IPv6的安全挑战一、IPv6的安全挑战3下一代互联网是基于IPv6的网络IPv6相对于IPv4的主要优势是:扩大了地址空间、提高了网络的整体吞吐量、服务质量得到很大改善、安全性有了更好的保证、支持即插即用和移动性、更好地实现了多播功能。巨大的地址空间使所有终端都使用真实地址。是信任接入的基础。真实IP地址访问和全局用户标识是建设可信任互联网的根本。下一代互联网是基于IPv6的网络4IPv6的安全特性是其主要特点之一。IPv6协议内置安全机制,并已经标准化。IPSec提供如下安全性服务:访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、保密、有限的业务流保密性。IPv6的安全特性是其主要特点之一。IPv6协议内置安全机制5IPv6并不能彻底解决互联网中的安全问题,更大规模接入和应用,更快的速度会增加安全风险对存在的安全风险必须做认真地研究。构建可信的信息系统课件6引入扩展头可能存在安全性问题通常情况下扩展头只有在包的终点才能作相应处理,但在有些处理中获取源路由就能形成IP欺骗攻击。引入扩展头可能存在安全性问题7ICMPv6存在重定向和拒绝服务攻击的可能伪装最后一跳路由,给访问者发重定向包;用不同的源或目的MAC地址发邻居请求包实现欺骗;重复地址检测和邻居发现Dos攻击ICMPv6存在重定向和拒绝服务攻击的可能8移动IPv6可能存在的安全问题节点移动需要经常向MN的本地代理和CN发送绑定更新报文可能被重定向。高层应用和操作系统的漏洞隐患,影响网络安全连接。移动IPv6可能存在的安全问题9二、骨干网络可信任的体系结构二、骨干网络可信任的体系结构10保护网络与基础设施是一个体系,只靠一两项单纯的技术并不能实现真正的安全,必须构建科学合理、可信任的体系结构。保护网络与基础设施是一个体系,只靠一两项单纯的技术并不能实现11网络支持三种不同的数据流:用户、控制和管理:用户通信流就是简单地在网上传输用户信息。确保信息可信赖发出。控制通信流是为建立用户连接而在所必备的网络组件之间传送的信息,信令协议,以保障用户连接正确建立。管理通信流是用来配置网络组件或表明网络组件状态的信息。确保网络组件没有被非授权用户改变。骨干网的可信任达到真正的可用仍是下一代互联网面临的严重挑战。网络支持三种不同的数据流:用户、控制和管理:12将骨干网模型分为九个主要方面:1、网络与网络的通信2、设备与设备的通信3、设备管理和维护4、用户数据接口5、远程操作员与NMC(网络管理中心)的通信6、网络管理中心与设备的通信7、网络管理中心飞地8、制造商交付于维护9、制造商环境下图表示它们之间的关系。将骨干网模型分为九个主要方面:13图:骨干网可用性模型外网图:骨干网可用性模型外网14安全要求:访问控制:访问控制必须能够区别用户对数据传输的访问和管理员对网络管理与控制的访问访问控制必须能够限制对网络管理中心的访问认证:鉴别路由、管理人员、制造商来源、分发配置可用性:软硬件对用户必须时刻用的服务商必须向用户提供高层次的系统可用性安全要求:15保密性:必须保护关键材料的保密性网络管理系统必须提供路由信息、信令信息、网络管理通信流的保密性,以保障它们的安全完整性:必须保护网络设备之间通信的完整性必须保护网络设备的硬件和软件的完整性必须保护网络设备和网络管理中心之间通信的完整性必须保护制造商提供的硬件和软件的完整性必须保护向网络管理中心的拨号通信的完整性保密性:16不可否认性:网络人员一定不能否认对网络设备的配置所作的改动制造商一定不能否认有他们提供或开发的软硬件不可否认性:17潜在的攻击和对策被动攻击:监测和收集网络传输的信息主动攻击:来自网络外部的攻击带宽攻击:噪声阻塞、洪流淹没、服务窃取网络管理通信破坏攻击:网络管理信息被篡改使网络基础设施失控攻击:操作控制失灵潜在的攻击和对策18内部人员攻击:网络管理人员发起:操作人员、开发程序员分发攻击:在安装分配过程中改变供应商的软件和硬件内部人员攻击:19对策与措施:网络管理通信的保护:确保管理信息流的完整性、真实性以及保密性。网络管理数据分离:网络管理通信流和用户数据分离。网络管理中心保护:访问控制,约束对网络管理的操作。配置管理:严格配置管理操作,支持安全设计和系统分析。对策与措施:20谢谢
!谢谢!21网络安全协议
与信任体系结构国家信息化专家咨询委员会委员沈昌祥院士网络安全协议
与信任体系结构国家信息化专家咨询委员会委员22当前互联网不可信任的主要原因:协议安全性差,源接入地址不真实,源数据难标识和验证。没有完整的信任体系结构,难以实现可信接入和端点安全保护;用户、控制、管理三大信息流难以实现安全可信。当前互联网不可信任的主要原因:23一、IPv6的安全挑战一、IPv6的安全挑战24下一代互联网是基于IPv6的网络IPv6相对于IPv4的主要优势是:扩大了地址空间、提高了网络的整体吞吐量、服务质量得到很大改善、安全性有了更好的保证、支持即插即用和移动性、更好地实现了多播功能。巨大的地址空间使所有终端都使用真实地址。是信任接入的基础。真实IP地址访问和全局用户标识是建设可信任互联网的根本。下一代互联网是基于IPv6的网络25IPv6的安全特性是其主要特点之一。IPv6协议内置安全机制,并已经标准化。IPSec提供如下安全性服务:访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、保密、有限的业务流保密性。IPv6的安全特性是其主要特点之一。IPv6协议内置安全机制26IPv6并不能彻底解决互联网中的安全问题,更大规模接入和应用,更快的速度会增加安全风险对存在的安全风险必须做认真地研究。构建可信的信息系统课件27引入扩展头可能存在安全性问题通常情况下扩展头只有在包的终点才能作相应处理,但在有些处理中获取源路由就能形成IP欺骗攻击。引入扩展头可能存在安全性问题28ICMPv6存在重定向和拒绝服务攻击的可能伪装最后一跳路由,给访问者发重定向包;用不同的源或目的MAC地址发邻居请求包实现欺骗;重复地址检测和邻居发现Dos攻击ICMPv6存在重定向和拒绝服务攻击的可能29移动IPv6可能存在的安全问题节点移动需要经常向MN的本地代理和CN发送绑定更新报文可能被重定向。高层应用和操作系统的漏洞隐患,影响网络安全连接。移动IPv6可能存在的安全问题30二、骨干网络可信任的体系结构二、骨干网络可信任的体系结构31保护网络与基础设施是一个体系,只靠一两项单纯的技术并不能实现真正的安全,必须构建科学合理、可信任的体系结构。保护网络与基础设施是一个体系,只靠一两项单纯的技术并不能实现32网络支持三种不同的数据流:用户、控制和管理:用户通信流就是简单地在网上传输用户信息。确保信息可信赖发出。控制通信流是为建立用户连接而在所必备的网络组件之间传送的信息,信令协议,以保障用户连接正确建立。管理通信流是用来配置网络组件或表明网络组件状态的信息。确保网络组件没有被非授权用户改变。骨干网的可信任达到真正的可用仍是下一代互联网面临的严重挑战。网络支持三种不同的数据流:用户、控制和管理:33将骨干网模型分为九个主要方面:1、网络与网络的通信2、设备与设备的通信3、设备管理和维护4、用户数据接口5、远程操作员与NMC(网络管理中心)的通信6、网络管理中心与设备的通信7、网络管理中心飞地8、制造商交付于维护9、制造商环境下图表示它们之间的关系。将骨干网模型分为九个主要方面:34图:骨干网可用性模型外网图:骨干网可用性模型外网35安全要求:访问控制:访问控制必须能够区别用户对数据传输的访问和管理员对网络管理与控制的访问访问控制必须能够限制对网络管理中心的访问认证:鉴别路由、管理人员、制造商来源、分发配置可用性:软硬件对用户必须时刻用的服务商必须向用户提供高层次的系统可用性安全要求:36保密性:必须保护关键材料的保密性网络管理系统必须提供路由信息、信令信息、网络管理通信流的保密性,以保障它们的安全完整性:必须保护网络设备之间通信的完整性必须保护网络设备的硬件和软件的完整性必须保护网络设备和网络管理中心之间通信的完整性必须保护制造商提供的硬件和软件的完整性必须保护向网络管理中心的拨号通信的完整性保密性:37不可否认性:网络人员一定不能否认对网络设备的配置所作的改动制造商一定不能否认有他们提供或开发的软硬件不可否认性:38潜在的攻击和对策被动攻击:监测和收集网络传输的信息主动攻击:来自网络外部的攻击带宽攻击:噪声阻塞、洪流淹没、服务窃取网络管理通信破坏攻击:网络管理信息被篡改使网络基础设施失控攻击:操作控制失灵潜在的攻击和对策39内
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 历年二级建造师管理真题及答案
- 危险化学品安全知识考题及答案
- 坚持梦想努力奋斗的话题作文8篇
- 六一作文1000字:六一趣事作文4篇
- 技术研发及成果转化合作协议书
- 《近代化学基础知识概览:高中化学入门教案》
- 无人机技术在医疗行业中的应用
- 社会实践活动对小学生的影响
- 环境污染隐患现状与发展趋势分析
- 夜空中的星愿抒情作文14篇
- 物资运输安全管理制度模版(3篇)
- 初三中考英语高频词汇单选题100道及答案解析
- 2024年资料员考试题库及完整答案(历年真题)
- 老年脑卒中护理
- 门窗安装施工安全标准方案
- Module 3 Unit 1 Do you like bananas(说课稿)-2024-2025学年外研版(一起)英语二年级上册
- 外卖代理授权合同范例
- 白酒寄售合同协议书范文模板
- 历代中医名人
- 垃圾渗滤液处理站运维及渗滤液处理投标方案(技术方案)
- 国家开放大学本科《商务英语4》一平台机考真题及答案(第二套)
评论
0/150
提交评论