网络安全技术及应用 第5版 课件 Ch2 网络安全技术基础.pptx

“十三五”国家重点出版规划 项目,上海市高校优秀教材奖;目 录;教学目标; 美国的网络部队破坏力堪比核武器。国内外多位专家指出网络攻击的破坏力堪比核武器。2022年6月美国承认在俄乌军事冲突期间多对俄罗斯进行网络攻击，造成很多机构或设施瘫痪，主要利用网络协议等漏洞实施的攻击。美国之前还曾借口伊拉克拥有大规模生化武器为由与英国组成联军进行进攻，率先侵入伊拉克军事系统窃取情报并破坏进行破坏，快速攻占伊拉克。;网络协议（Protocol）是进行网络通信和数据交换的规则、标准或约定的集合，是一种特殊的软件。 网络体系层次结构模型主要有两种：开放系统互连参考模型OSI（Open System Interconnection）模型和TCP/IP模型。国际标准化组织ISO的OSI模型共有七层，最初设计时是为了网络体系与协议发展提供一种国际标准，此后由于其过于庞杂且难以实现，致使TCP/IP协议成为了Internet的基础协议和实际应用的“网络协议标准”。 TCP/IP模型主要由4部分组成，由低到高分别为网络接口层、网络层、传输层和应用层。TCP/IP模型的4层体系对应OSI参考模型的7层体系，常用的相关协议的对应关系如图2-1;图2-1 OSI模型和TCP/IP模型及协议对应关系;网络协议的安全风险，主要概括为3个方面： 1）网络协议（软件）自身的设计缺陷和实现中存在的一些安全漏洞缺陷，很容易被黑客利用侵入网络系统并实施攻击和破坏。 2）网络协议本身没有认证机制，不能验证通信双方的真实性。 3）网络协议没有保密机制，不能对网上数据保密性进行保护。; ; ;2.1 网络协议安全概述 ;2.1 网络协议安全概述 ;2.1 网络协议安全概述 ;2.1 网络协议安全概述 ; 2.1.3 IPv6的安全性概述 1.IPv6的优势及特点 IPv6是在IPv4基础上升级改进的下一代互联网协议，对IPv6的网络安全性研究和应用已成为研究的一个热点。世界领先且具有我国知识产权的IPv9，可以自主决定安全等级、系数和控制的权力分配和手段，是彻底摆脱受制于人的国家安全大计。 1)扩展地址空间及功能。IPv6主要是解决因互联网快速发展使IPv4地址空间问题。IPv4采用32位地址，只有大约43亿个地址，IPv6采用128位地址长度，将IP地址空间扩展到天文数字。对其研发还解决了很多其他问题：安全性、端到端IP连接、服务质量QoS、多播、移动性和即插即用等。IPv6对报头重新设计，由一个简化长度固定的基本报头和多个可选的扩展报头组成。既可加快路由速度，又能灵活支持多种应用，便于扩展新应用。;2.1 网络协议安全概述 ;2.1 网络协议安全概述 ; ;2.1 网络协议安全概述 ;3)篡改分组头部和分段信息。在IPv4网络中的设备和端系统都可对分组进行分片，常见的分片攻击有两种：利用分片躲避网络监控，如防火墙等。或直接利用网络设备中协议栈实现中的漏洞，以错误的分片分组头部信息直接对网络设备发动攻击。IPv6网络中的中间设备不再分片，对多个IPv6扩展头防火墙难以计算有效数据报最小尺寸，传输层协议报头也可能不在第一个分片分组内，致使网络监控设备在不分片重组时，将无法实施基于端口信息的访问控制策略。 4)伪造源地址。IPv4网络伪造源地址的攻击较多，而且防范和追踪难度也比较大。IPv6 网络中，由于地址汇聚对于过滤类方法实现相对简单且负载更小，另外转换网络地址少且容易追踪。防止伪造源地址的分组穿越隧道成为一个研究重要。; ; ;4.移动IPv6的安全性 移动IPv6是IPv6的一个重要组成部分，移动性是其最大的特点。利用移动IP协议给网络带来新的安全隐患，需要采取特殊的具体有效的安全措施。 (1) 移动IPv6的主要特性 IPv6使移动IP技术发生根本性变化，其很多新特性也为结点移动性提供更好支持，如“无状态地址自动配置”和“邻居发现”等。IPv6组网技术极大简化网络重组，更有效促进因特网移动性。移动IPv6的高层协议可辨识移动结点MN（Move Node）唯一标识的归属地址。当MN移动到外网获得一个转交地址CoA（Care-of Address）时，CoA和归属地址的映射关系称为一个绑定。MN通过绑定注册过程将CoA通知给位于归属网络的归属代理HA（Home Agent）后。对端通信结点CN（Correspondent Node）发往MN的数据包先被路由送到HA，HA根据MN的绑定关系，将数据包封装后发送给MN。为了优化迂回路由的转发效率，移动IPv6也允许MN直接将绑定消息发送到对端结点CN，无需经过HA的转发，即可实现MN和对端通信主机的直接通信。;4.移动IPv6的安全性 (2) 移动IPv6