计算机网络安全CH9网络通信安全.ppt

网络安全概述 第9章 网络通信安全 本章主要内容： 9.1 网络通信的安全性 9.2 网络通信存在的安全威胁 9.3 调制解调器的安全 9.4 IP安全 知识点 网络通信线路的安全 网络通信存在的安全威胁 IP安全、Psec的概念 难 点 不同层的安全 IP安全机制 要求 熟练掌握以下内容： 网络通信线路的安全 传输过程中威胁 IP基础知识、IP安全和IPsec安全 了解以下内容： 不同层的安全 RAS的安全性 随着计算机网络技术的不断发展，网络安全已经成为一个很重要的问题。为了能够使网络上的各种资源达到网络共享的目的，就必须保证计算机通信网络具有很高的通信安全性。不仅要充分认识计算机网络系统的脆弱性和面临的各种威胁，还要采取各种卓有成效的安全策略，保证计算机网络具有高度的保密性和完整性。 9.1 网络通信的安全性 线路安全 不同层的安全 9.1.1 线路安全 如果所有的系统和所有连接到系统的网络和连接到系统的终端都封闭在一个环境里，那通信是安全的，但是，现在通信网络业的发达，所有系统不可能封闭在一个环境中，因此当系统的通信线在这个封闭的环境外，问题便会随之而来。 用一种简单但很昂贵的高新技术给电缆加压，可以获得通信的物理安全。这一技术是为美国电话技术而开发的。通信电缆密封在塑料套管中，并在线缆的两端充气加压。线上连接了带有报警器的显示器，用来测量压力。如果压力下降，则意味着电缆可能被破坏了，维修人员将被派出维修出现问题的电缆。 9.1.1 线路安全 电缆加压技术提供了安全的通信线路。不是将电缆埋在地下，而是架线于整座楼中，每寸电缆都暴露在外。如果任何人企图割电缆，监视器会自动报警。如果有人成功地在电缆上接上了自己的通讯设备，安全人员定期检查电缆的总长度，就会发现电缆的拼接处。加压电缆是屏蔽在波纹铝钢包皮中的，因此几乎没有电磁辐射，如果要用电磁感应窃密，势必会动用大量可见的设备，因此很容易被发觉。 9.1.2 不同层的安全 1. Internet层的安全性 对于Internet层的安全协议进行标准化的工作已经进行的很多，比较典型的有美国国家安全局以及标准技术协会为“安全数据网络系统（SDNS）”的一部分而制定的“安全协议3号（SP3）”；由国际标准化组织为“无连接网络协议（CLNP）”制定的“网络层安全协议（NLSP）”；由美国国家科技研究所提出的“集成化NLSP”等。这些协议用的都是IP封装技术。 Internet 工程特谴组IETF（Internet Engineering Task Force）已经特许Internet协议安全协议（IPSEC）工作组对IP安全协议（IPSP）和对应的Internet密钥管理协议（IKMP）进行标准化工作。IPSP的主要目的是使需要使用安全措施的用户能够使用相应的加密安全体制。该体制既能在目前通行的IP V4下工作，也能在IP V6下工作。该体制必须能实行多种安全策略，但要避免给不使用该体制的人造成不利影响。按照以上要求，IPSEC工作组制定了一个规范：认证头（Authentication Header，AH）和封装安全有效负荷（Encapsulating Security Payload，ESP）。简言之，AH提供IP包的真实性和完整性，ESP提供机要内容。 9.1.2 不同层的安全 IP AH 指一段消息认证代码（Message Authentication Code，MAC），在发送IP包之前，它已经被事先计算好。发送方用加密密钥算出AH，接收方用同一或另一密钥对之进行验证。如果收发双方使用的是单钥体制，那它们就使用同一密钥；如果收发双方使用的是公钥体制，那它们就使用不同的密钥。RFC 1828首次规定了加封状态下AH的计算和验证中要采用带密钥的MD5算法。而与此同时，MD5和加封状态都被批评为加密强度太弱，并有替换的方案提出。 IP ESP的基本想法是对整个IP包进行封装，或者只对ESP内上层协议的数据（运输状态）进行封装，并对ESP的绝大部分数据进行加密。在管道状态下，为当前已经加密的ESP附加了一个新的IP头（纯文本），它可以用来对IP包在Internet上作路由选择。接受方把这个IP 头去掉，再对ESP 进行解密，处理并去掉ESP 头。再对原来的IP 包或更高层的协议的数据像普通的IP包那样进行处理。 9.1.2 不同层的安全 Internet层安全性的主要优点是它的透明性，也就是说，提供完全服务并不需要应用程序、其它通信层协议和网络部件做任何改动。它的主要缺点是Internet层一般对属于不同进度和相应条例的包不作区别。对所有去网络中同一地址的包，它将按照同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能，也会