网络安全协议与信任体系结构

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实现欺骗; 重复地址检测和邻居发现Dos攻击
安全ppt
8
移动IPv6可能存在的安全问题
节点移动需要经常向MN的本地代理和 CN发送绑定更新报文可能被重定向。
高层应用和操作系统的漏洞隐患,影响 网络安全连接。
安全ppt
9
二、骨干网络可信任的体系结构
安全ppt
10
保护网络与基础设施是一个体系, 只靠一两项单纯的技术并不能实现 真正的安全,必须构建科学合理、 可信任的体系结构。
对存在的安全风险必须做认真地研究。
安全ppt
6
引入扩展头可能存在安全性问题
通常情况下扩展头只有在包的终点才能作 相应处理,但在有些处理中获取源路由就 能形成 IP 欺骗攻击。
安全ppt
7
ICMPv6存在重定向和拒绝服务攻击的可能
伪装最后一跳路由,给访问者发重定向包; 用不同的源或目的MAC地址发邻居请求包
安全ppt
15
保密性:
必须保护关键材料的保密性
网络管理系统必须提供路由信息、信令信息、 网络管理通信流的保密性,以保障它们的安全
完整性:
必须保护网络设备之间通信的完整性 必须保护网络设备的硬件和软件的完整性
必须保护网络设备和网络管理中心之间通信的 完整性
必须保护制造商提供的硬件和软件的完整性 必须保护向网络管理中心的拨号通信的完整性
安全ppt
16
不可否认性:
网络人员一定不能否认对网络设备的配置所作 的改动
制造商一定不能否认有他们提供或开发的软硬 件
安全ppt
17
ຫໍສະໝຸດ Baidu
潜在的攻击和对策
被动攻击:监测和收集网络传输的信息 主动攻击:来自网络外部的攻击
带宽攻击:噪声阻塞、洪流淹没、服务窃取 网络管理通信破坏攻击:网络管理信息被篡改 使网络基础设施失控攻击:操作控制失灵
安全ppt
11
网络支持三种不同的数据流:用户、控制和管理:
用户通信流就是简单地在网上传输用户信息。确保 信息可信赖发出。
控制通信流是为建立用户连接而在所必备的网络组 件之间传送的信息,信令协议,以保障用户连接正 确建立。
管理通信流是用来配置网络组件或表明网络组件状 态的信息。确保网络组件没有被非授权用户改变。
网络安全协议 与信任体系结构
安全ppt
http://www.pprpe.cnPE管材 PE管价格 PE管材管件 为您1 整理
http://www.jsjyzs.cn HDPE管材为您整理
当前互联网不可信任的主要原因:
协议安全性差,源接入地址不真实,源数 据难标识和验证。
没有完整的信任体系结构,难以实现可信 接入和端点安全保护;用户、控制、管理 三大信息流难以实现安全可信。
配置管理:严格配置管理操作,支持安全 设计和系统分析。
安全ppt
20
谢谢!
安全ppt
21
骨干网的可信任达到真正的可用仍是下一代 互联网面临的严重挑战。
安全ppt
12
将骨干网模型分为九个主要方面:
1、网络与网络的通信 2、设备与设备的通信 3、设备管理和维护 4、用户数据接口 5、远程操作员与NMC(网络管理中心)的通信 6、网络管理中心与设备的通信 7、网络管理中心飞地 8、制造商交付于维护 9、制造商环境
安全ppt
2
一、IPv6 的安全挑战
安全ppt
3
下一代互联网是基于IPv6的网络
IPv6相对于IPv4的主要优势是:扩大了地址空间、 提高了网络的整体吞吐量、服务质量得到很大改 善、安全性有了更好的保证、支持即插即用和移 动性、更好地实现了多播功能。
巨大的地址空间使所有终端都使用真实地址。是 信任接入的基础。
安全ppt
18
内部人员攻击:
网络管理人员发起:操作人员、开发程序员
分发攻击:
在安装分配过程中改变供应商的软件和硬件
安全ppt
19
对策与措施:
网络管理通信的保护:确保管理信息流的 完整性、真实性以及保密性。
网络管理数据分离:网络管理通信流和用 户数据分离。
网络管理中心保护:访问控制,约束对网 络管理的操作。
下图表示它们之间的关系。
安全ppt
13
外网
图:骨干安网全ppt可用性模型
14
安全要求:
访问控制:
访问控制必须能够区别用户对数据传输的访问 和管理员对网络管理与控制的访问
访问控制必须能够限制对网络管理中心的访问
认证:
鉴别路由、管理人员、制造商来源、分发配置
可用性:
软硬件对用户必须时刻用的 服务商必须向用户提供高层次的系统可用性
真实IP地址访问和全局用户标识是建设可信任互 联网的根本。
安全ppt
4
IPv6的安全特性是其主要特点之一。IPv6协 议内置安全机制,并已经标准化。
IPSec提供如下安全性服务:访问控制、无 连接的完整性、数据源身份认证、防御包 重传攻击、保密、有限的业务流保密性。
安全ppt
5
IPv6并不能彻底解决互联网中的安全问题, 更大规模接入和应用,更快的速度会增加 安全风险
相关文档
最新文档