第5章 IPV6安全.pptVIP

中国信息安全认证中心(ISCCC)是国家批准的信息安全专业认证与培训机构。 信息安全专业的最高认证是：CISSP。CISSP 全称 Certified Information System Security Professional，国际注册信息系统安全专家，由国际信息系统安全认证协会((ISC)2)组织和管理，是目前全球范围内最权威，最专业，最系统的信息安全认证。 * * IPSec与秘钥交换协议密切联系，IPSec没有定义任何特定的加密和鉴别方法，而是提供框架和机制，让实体选择加密、鉴别和散列方法。 IPSec采用IP封装技术，把原IP分组加密、封装在外层IP首部中，用外层IP首部对加密的协议包进行路由选择，到达目的后，取出原IP分组。 * 安全需求定义在RFC4301中，是通过SPD(Security policy datbase，安全策略数据库）来定义的，对每个数据包应用IPSec安全服务进行保护，或者丢弃，或者旁路IPSec的保护策略。RFC4301增加了新的数据库PAD(Peer Authorization Database,对等体授权数据库）。 IPSEC数据库：IPSEC模型包含3个重要数据库 SPD:安全策略数据库 SAD:安全关联数据库 PAD:对等体授权数据库 * IKEV1使用UDP500，要经历两个阶段： 阶段1：通讯对等体协商一个ISAKMP SA的安全通道(ISAKMP SA)，交换基于diffie\Hellman算法，通过预共享秘钥或接收端公钥实现安全认证的秘钥。 阶段2：通过第一阶段建立的安全通道和为其他协议交换加密算法和秘钥。第二阶段的结果就是形成IPSec SA（基于IPSec的安全关联）.IPSec SA为保护传输过程中的流量定义了安全服务。阶段1建立的安全通道可以协商多个IPSec SA. * 1 1 第5章 IPV6安全 IPV6 安全 安全概述 Ipv6安全 Ipsec技术 安全 概念：国家标准(GB/T28001)对“安全”给出的定义是:“免除了不可接受的损害风险的状态”. （分不同领域：如人身安全、财产安全、交通安全、校园安全） ICT领域 计算机安全、网络安全、信息安全 计算机安全 计算机安全是指计算机资产安全，是保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。 网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露。 信息安全 信息安全主要包括五方面的内容，即需保证信息的保密性、完整性、可用性、不可否认性、真实性。 5.1 安全概述 ? ? ⑴截获(interception) \ 从常用的窃听器，到在系统中放置特洛伊木马来控制系统 ⑵中断(interruption) \ \ 中断是让接收者接收不到信息 中断攻击主要包括服务中断或者拒绝服务(DoS) ? ? ⑶篡改(modification) \ 故意修改网络中传输的报文 ⑷伪造(fabrication) \ 伪造是无中生有 网络安全 网络面临的威胁 被动攻击和主动攻击 ? 截获属于被动攻击，其他属于主动攻击。 源站 目的站 源站 目的站 源站 目的站 源站 目的站 截获 篡改 伪造 中断 攻击站 攻击站 攻击站 截获 篡改 伪造 中断 被动攻击 主 动 攻 击 目的站 源站 源站 源站 源站 目的站 目的站 目的站 网络安全防范 网络安全设备及技术： Firewall VPN IDS、IPS 漏洞扫描 网络过滤 防病毒网关 入侵检测 公钥基础设施（PKI） 课件制作人：谢希仁 (1) 防止析出报文内容； (2) 防止通信量分析； (3) 检测更改报文流； (4) 检测拒绝报文服务； (5) 检测伪造初始化连接。 网络安全的目标 在信息安全等级保护中，根据信息系统的机密性（Confidentiality）、完整性（Integrity）、 可用性（Availability）来划分信息系统的安全等级，三个性质简称CIA。 CIA: Confidentiality\Integrity\Availability，不包括但需要： Non repudiation\ Authenticity AAA: Authentication\authorization\Accounting（AAA是基于网络访问的认证授权计费） 网络信息安全 ? 信息安全服务的内容要求包括： \ \ \ \ \ ⑴保密性(Confidentiality) ⑵完整性(Integrity) ⑶可用性(Availability).通过认证的用户可以随时访问信息 ⑷不可抵赖性(Non repudiation) ⑸真实性（Authenticity),信息提供者身份可以被证