第5章internet基础设施安全.pptVIP

第5章 Internet基础设施安全 5.1 Internet安全概述 5.2 DNS的安全性 5.3 IPSec安全协议 5.4 VPN及其安全性 5.5 E-Mail的安全性 5.6 Web的安全性 Internet安全 (1)如何防止敏感信息被随意的访问 (2)如何保护网络及其资源，以防止黑客的蓄意破坏 破坏网上信息的方法 （1）数据包探测器 （2）IP欺骗 （3）口令袭击 （4）敏感信息发布 （5）中间人（Man-in-the-middle)袭击 （6）Deny of service(DOS)拒绝服务攻击 顶级域 1、顶级域作用：通常由两三个字母组成，指示国家或单位类型。 2、Internet上常见的8个顶级域： ①com： 用于商业组织 ②edu： 用于教育机构 ③org： 用于商业非赢利组织 ④net： 用于提供大规模Internet或电话服务的组织 ⑤gov： 用于政府机构 ⑥mil： 用于军事机构 ⑦int： 国际机构 ⑧arpa：属于高级项目代理机构 除上述8个顶级域中还保留了两个字母的国家编码。 中国互联网络的域名体系 在DNS系统中，采用固定格式的DNS报文在客户端和服务器端之间进行交互。 DNS安全关注的应该是：如何保证收到的DNS报文是可信任的，如何判断该报文是否完整、如何保证附加字段的信息是值得信任的。 IETF1999年3月发布了DNSSEC协议，根本目的：保护DNS查询报文的数据完整性和数据源的正确性。 采用机制：非对称加密机制和数字签名机制 5.3 IPSec安全协议 IPV6的地址 协议部分，分为： AH（认证头，Authentication Header）： 提供完整性保护和认证功能； ESP（封装安全载荷，Encapsulating Security Payload） ：提供机密性、完整性保护和认证功能； 密钥管理（Key Management） IKE是因特网密钥交换协议 IPSec体系结构 IPsec的模式 5.4 VPN及其安全性 专线方式对比VPN方式 专线方式对比VPN方式 VPN 具有的优点 构建成本和使用费用大幅降低 (降低 30-70% 的网络费用) 免去长途费用 降低建立私有专网的费用 网络架构弹性大，扩展容易 相比专线而言，很容易实现扩充或变更网络架构 管理维护方便 较少的网络设备和线路 网络的维护更加容易 VPN的功能 虚拟专用网至少应能提供如下功能： 加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。 提供访问控制，不同的用户有不同的访问权限。 VPN的分类 VPN的分类 VPN的分类 VPN的分类 VPN相关技术 隧道技术 VPN的基本技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。 加解密技术 在VPN应用中将认证信息、通信数据等要进行加密。 身份认证技术 在正式的隧道连接开始之前需要确认用户的身份，以便系统进一步实施资源访问控制或用户授权。 对通过隧道的数据进行处理的两个基本过程：加密和封装。 加密：保证VPN的“私有性” 。 封装：隧道协议用附加的报头来封装帧，附加的报头提供了路由信息。 电子邮件系统的核心就是邮件服务器 邮件服务器的作用： 接收用户送来的邮件并转发 接收其他邮件服务器发来的邮件并分发 安全电子邮件的标准 （1）保密性 （2）信息完整性 （3）认证身份 （4）不可否认性 1. PGP(Pretty Good Privacy) PGP是针对电子邮件在Internet上通信的安全问题而设计的一种混合加密系统。 PGP加密算法包括四个方面： （1）一个单钥加密算法（IDEA）。 （2）一个公钥加密算法（RSA）。 （3）一个单向散列算法（MD5）。 （4）一个随机数产生器。 PEM（Privacy Enhanced Mail，私密性增强邮件），是增强Internet电子邮件隐秘性的标准草案，在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能。 S/MIME（Secure/MIME，安全的多功能Internet电子邮件扩展）是由RSA公司于1995年提出的电子邮件安全协议，为电子邮件提供了数字签名和加密功能。 MOSS（MIME对象安全服务）是将PEM和MIME两者的特性进行了结合。MOSS对算法没有特别的要求，但技术上较为复杂。该协议并没有被广泛的使用。 存储加密技术，确保存储在WEB服务器上的页面文件的安全性； Web页面原始性鉴别技术，确保页面未被修改（图5-30）； 分级访问控制技术，确保不被非法访问（图5-31，5-32)； SSL技术 SSL判别 双向认证