网络对抗6-安全体系结构和网络安全组建.ppt

网络攻击与防御-绪论 安全管理 安全套接字层协议（SSL） 安全套接字层协议是美国Netscape公司于1996年推出的一种著名安全协议。此协议是一个建立在TCP／IP协议之上提供客户和服务器双方网络应用安全通讯的开放式协议。 SSL协议建立在传送层和应用层之间，由记录协议和握手协议组成，其中记录协议在握手协议下端。 SL记录协议主要完成分组和组合，压缩和解压缩，以及消息认证和加密等功能。加密过程如图1所示，解密过程如图2所示。 安全套接字层协议（SSL） 安全套接字层协议（SSL） SSL握手协议描述安全连接建立的过程，在客户和服务器传送应用层数据之前，完成加密算法，密钥加密密钥算法的确定，以及交换预主密钥，并最后产生相应的客户和服务器MAC秘密、会话加密密钥等功能，协议由下面不同的连续过程组成： 1. 加密编码技术 2. 数字签名技术 3. 散列技术 利用Hash函数加解密 4. 身份鉴别技术 口令，或专门硬件 5. 自动回叫技术 增加连接的隐蔽性 6. 防火墙和入侵检测 7. VPN技术 安全技术 加密传输： 防止传输中的信息泄密 加密存储： 防止存储中的信息泄密 数据加密 数字签名 D SK PK 用公开密钥 核实签名 用秘密密钥 进行签名 X 发送者A 接收者B DSK(X) X E 加密+数字签名 D SKA PKA 用公开密钥 核实签名 用秘密密钥 签名 X 发送者A 接收者B DSKA(X) X E E PKB 用公开密钥 加密 EPKB(DSKA(X)) D SKB 用秘密密钥 解密 DSKA(X) 密文 报文鉴别码 报 文 鉴别 算法 K MAC 报 文 报 文 发送 鉴别 算法 K 比较 MAC 发送方 接收方 安全体系结构和模型 安全问题出自内部漏洞， 网络防御就是堵住所有漏洞+抓住漏网黑客 第3章 安全体系结构和模型 安全漏洞可能由以下因素引起： 网络物理连接 网络电磁耦合 网络设备的操作系统 网络设备的应用程序 网络中的数据库 网络用户行为 网络物理连接 与外界连通就有合法者进来，要避免非法者进来 网络电磁耦合 没有物理连通，但通过电磁辐射可以接收，通过电磁干扰和耦合可以注入 网络设备的操作系统 有合法者使用，要避免非法者偷用 网络设备的应用程序 有合法者使用，要避免非法者偷用 网络中的数据库 有合法读写，要避免组合分析和非法读写 网络用户行为 内联：全内部域 专线 DDN 帧中继 …… 内部域 内部专用 内部域 相对比较安全 内联：通过外部域 内部域 相对不安全 专线 DDN 帧中继 …… 外部租用 外联：内部网与外部网互连 内部域 外部域 外部域 相对更不安全 Hack Crack 黑客 要“上锁”，提前消除漏洞 要“检查”，及时发现漏洞 要“监视”，及时发现入侵者 漏洞是不可避免的 积极防御包括： 网络安全防护 网络安全评估 网络安全监测 用假目标欺骗 3.1 OSI安全体系结构 安全 机制 安全 机制 安全 机制 安 全 服 务 … … 安全威胁 网络应用 1、对等实体鉴别服务 2、数据源鉴别服务 3、访问控制服务 4、连接保密服务 5、无连接保密服务 6、选择字段保密服务 7、业务流保密服务 8、可恢复连接完整性服务 9、无恢复连接完整性服务 10、选择字段连接完整性服务 11、无连接完整性服务 12、选择字段无连接完整性服务 13、带源验证的来源不可否认服务 14、带交付验证的交付不可否认服务 OSI 规定 14 种服务和 8 种机制 （1）加密 （2）伪装业务流 （3）数字签名 （4）数据完整性 （5）身份鉴别 ①通信对方鉴别 ▲单方鉴别 ▲互相鉴别 ②数据发方鉴别 （6）访问控制 （7）路由控制 （8）第三方公证 OSI 规定 14 种服务和 8 种机制 使安全机制和安全服务能够正常发挥作用； 支持安全审计和追踪； 3.2 动态自适应的安全模型 安全策略 安全防护 安全检测 安全响应 3.4 六层网络安全体系 链路安全 物理安全 环境安全 设备安全 介质安全 网络级安全 信息安全 传输安全 存储安全 安全审计 应用安全 传输安全 存储安全 安全审计 用户安全 3.5 基于六层体系的网络安全方案 1、物理安全保障 2、数据链路安全保障 3、网络访问安全保障 4、身份认证体系 5、漏洞扫描和安全评估 6、入侵检测和病毒防护 7、审计、追踪、取证 8、主机系统安全 9、桌面应用安全 10、应急响应和灾难恢复 基于TCP/IP的安全体系结构 SSL 安全套接字层 IPsec 加密的IP 物理通信网 链路层通信安全机制 IP加密解密防火墙的安全控制与过滤及 IPsec IP 路