- 1、本文档共46页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第八章-吉林大学
本章探讨与宽带IP网络安全有关的问题主要内容包括: 宽带IP网络安全的基本概念 VPN的实现 8.1 宽带IP网络安全的基本概念 8.1.1 宽带IP网络面临的安全性威胁 1、网络安全的含义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲主要就是网络上的信息安全,即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。 从内容看,网络安全大致包括4个方面。 ●网络实体安全 ●软件安全 ●数据安全 ●安全管理 2、宽带IP网络面临的安全性威胁 宽带IP网络面临的安全性威胁分为两类被动攻击和主动攻击。 (1)被动攻击 在被动攻击中,攻击者只是观察和分析某一个协议数据单元PDU,不对数据信息做任何修改。 截获信息是指攻击者在未经用户同意和认可的情况下获得信息或相关数据即从网络上窃听他人的通信内容。 被动攻击一般检测不出来,对付被动攻击可以采取数据加密技术。 (2)主动攻击 主动攻击是更改信息和拒绝用户使用资源的攻击,攻击者对某个连接中通过的协议数据单元PDU进行各种处理。这类攻击可分为篡改、伪造、中断和抵赖。 ①篡改 篡改是指一个合法协议数据单元PDU的某些部分被非法改变、删除,或者协议数据单元PDU被延迟等。 ②伪造 伪造是指某个实体(人或系统)发出含有其他实体身份信息的数据信息,即假扮成其他实体伪造一些信息在网络上传送。 ③中断 中断也称为拒绝服务,有意中断他人在网络上的通信,会导致对通信设备的正常使用或管理被无条件地中断。 中断可能是对整个网络实施破坏,以达到降低性能、中断服务的目的;也可能是针对某一个特定的目标,使应到达的所有数据包都被阻止。 ④抵赖 抵赖是发送端不承认发送了信息或接收端不承认收到了信息。 主动攻击可采取适当措施检测出来,而要有效地防止是十分困难的。 对付主动攻击需要将数据加密技术与适当的鉴别技术相结合。 另外还有一种特殊的主动攻击就是恶意程序。 恶意程序种类繁多,主要有: ●计算机蠕虫 ●特洛伊木马 ●逻辑炸弹 8.1.2 宽带IP网络安全服务的基本需求 网络安全的基本需求包括以下几个方面。 1、保密性 保密性指信息不泄露给未授权的用户,不被非法利用。 被动攻击中的截获信息(即监听)就是对系统的保密性进行攻击。 采用数据加密技术可以满足保密性的基本需求。 2、完整性 完整性就是保证信息系统上的数据处于一种完整和未受损的状态,不会因有意或无意的事件而被改变或丢失,即防止信息被未授权的人进行篡改。 主动攻击中的篡改即是对系统的完整性进行破坏。 可采用数据加密、数字签名等技术手段来保护数据的完整性。 3、可用性 可用性指可被授权者访问并按需求使用的特性,即当需要时授权者总能够存取所需的作息,攻击者不能占用所有的资源而妨碍授权者的使用。 网络环境下拒绝服务、破坏网络和有关系统的正常运行等(即主动攻击中的中断)属于对可用性的攻击。 可用性中的按需使用可通过鉴别技术来实现,即每个实体都的确是它们所宣称的那个实体。 4、可控性 可控性指对信息及信息系统应实施安全监控管理,可以控制授权范围内的信息流向及行为方式,对信息的传播及内容具有控制能力。 主动攻击中的伪造即是对系统的可控性进行破坏。 保证可控性的措施有: ●系统通过访问控制列表等方法控制谁能够访问系统或网络上的数据,以及如何访问(是只读还是可以修改等); ●通过握手协议和鉴别对网络上的用户进行身份验证; ●将用户的所有活动记录下来便于查询审计。 5、不可否认性 不可否认性指信息的行为人要对自己的信息行为负责,不能抵赖自己曾做出的行为,也不能否认曾经接到对方的信息。主动攻击中的抵赖即是对系统的不可否认性进行破坏。 通常将数字签名和公证技术一同使用来保证不可否认性。 8.2 VPN的实现 8.2.1 VPN的概念 虚拟专网是虚拟私有网络(VPN)的简称,它是一种利用公共网络(如公共分组交换网、帧中继网、ISDN或Internet等)来构建的私有专用网络,VPN将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。 VPN有两层含义: ●它是虚拟的网,虚拟(Virtual)的概念是指网络没有固定的物理连接,而是利用共享的通信基础设施,仿真出专用网络的效果。 ●专用(Private)的含义是用户可以为自己制定一个最符合自己需求的网络,使网内业务独立于网外的业务流,且具有独立的寻址空间和路由空间,使得用户获得等同于专用网络的通信体验 8.2.2 IP VPN 1、IP VPN的分类 IP VPN可以从不同的角度进行分类。 (1)按接入方式划分
文档评论(0)