网络安全协议chap-1

网络安全协议信息安全专业December17,2019网络安全协议NetworkSecurityProtocols薛开平（XueKaiping）信息网络实验室（电三楼305）kpxue@ustc.edu.cn~kpxue网络安全协议信息安全专业2教科书和参考书Textbook&Reference教科书WilliamStallings,NetworkSecurityEssentials:ApplicationsandStandards,5thEdition，PrenticeHall，2010•英文影印版4th，清华大学出版社，2010•中文版5th，清华大学出版社，2014参考教材1.荆继武等，PKI技术，科学出版社，20082.何泾沙译，Linux防火墙第三版，机械出版社，20063.CharlieKaufman等著，许剑卓、左英男等译“网络安全——公众世界中的秘密通信”，第二版，电子工业出版社，2004WilliamStallings,CryptographyandNetworkSecurity:PrinciplesandPractice(5thEdition),2010BehrouzA.Forouzan著，马振晗等译，密码学与网络安全，清华大学出版社，2009课程主页：课程讨论QQ群：543136364课程助教：张祥(mm1201@mail.ustc.edu.cn)，电三楼313薛颖杰(xyj1108@mail.ustc.edu.cn)，电三楼313网络安全协议信息安全专业3课程安排和成绩评定课程安排：50学时授课+6学时研讨+2学时复习成绩评定：期末考试60%平时作业25%(大作业15%，课程小作业10%)课堂等平时表现5%+课堂测试10%网络安全协议信息安全专业4ContentsoftheCourse第一章：网络安全综述第二章：公钥基础设施PKI第三章：IPSec-AH和ESP第四章：IPSec-IKE第五章：SSL/TLS基本协议第六章：防火墙与NAT第七章：虚拟专用网VPN第八章：应用层安全协议第九章：无线局域网安全网络安全协议信息安全专业5第一章网络安全综述1.1网络安全概述1.2网络参考模型与安全模型1.3网络各层的相关安全协议1.4密码学基础知识1.5数字签名与认证技术1.6网络安全的标准组织网络安全协议信息安全专业6引入:现实中的举例电子门钥认证挂窗帘防止外人偷窥（保密）加锁（防盗锁）防小偷（保密）养狗拒绝不受欢迎之客（访问控制、防火墙）安装警报系统，摄像头检测不速之客（入侵检测）物业，门卫审查，授权（权限管理、访问控制）网络安全协议信息安全专业7网络安全事件——网络监听？服务器正常连接网络监听者屏幕输入用户名：abcde密码：12345屏幕显示用户名：abcde密码：12345信息被截获网络安全协议信息安全专业8网络安全事件——假冒站点？服务器A网址连接，访问站点时，且不被访问者察觉时，实际访问的是服务器B，这样他的私人信息就可能被B非法获取网络安全协议信息安全专业9网络安全事件——不安全EmailABEmail偷盗者邮件在传送过程中被截取偷盗者篡改邮件后以甲的身份重新发送1.如果偷盗者截取Email后不发给乙，怎么办？2.如果偷盗者直接假冒甲的身份给乙发了假邮件，怎么办？乙收到该Email甲给乙发出Email网络安全协议信息安全专业10网络安全事件——抵赖？甲给乙发送了一封Email甲否认发送过甲通过商家的网站购买了某些商品，并通过网络支付了所需的货款商家否认收到过来自甲的购货款网络安全协议信息安全专业11网络安全概述网络安全的重要性政务、商务、金融、军事等网络安全是一个跨多门学科的综合性科学包括：通信技术、网络技术、计算机软件、硬件设计技术、密码学等在理论上，网络安全是建立在密码学以及协议设计的基础上的从技术上，网络安全取决于两个方面：网络设备的硬件和软件的安全，以及设备的访问控制网络安全协议信息安全专业12常见的不安全因素物理因素：物理设备的不安全，电磁波泄漏等系统因素：系统软、硬件漏洞，病毒感染，入侵网络因素：网络协议漏洞，会话劫持、数据篡改，网络拥塞，拒绝服务管理因素：管理员安全意识淡漠，误操作网络安全协议信息安全专业13不安全的原因自身的缺陷：系统软硬件缺陷，网络协议的缺陷开放性系统开放：计算机及计算机通信系统是根据行业标准规定的接口建立起来的。标准开放：网络运行的各层协议是开放的，并且标准的制定也是开放的。业务开放：用户可以根据需要开发新的业务。黑客攻击基于兴趣的入侵基于利益的入侵信息战网络安全协议信息安全专业14网络安全的特征机密性信息不泄漏给非授权的用户、实体或者过程的特性。完整性数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏的特性。可用性可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。可控性对网络信息的传播及内容具有控制能力网络安全协议信息安全专业15常见攻击手段社会工程：攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息从而提高攻击成功率口令破解：攻击者可通过获取口令文件，然后运用口令破解工具获得口令，也可通过猜测或窃听等方式获取口令地址欺骗：攻击者可通过伪装成被信任的IP地址，邮件地址等方式来骗取目标的信任连接盗用：在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信网络窃听：网络的开放性使攻击者可通过直接或间接窃听获取所需信息数据篡改：攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性网络安全协议信息安全专业16常见攻击手段（续）恶意扫描：攻击者可编制或使用现有扫描工具发现目标的漏洞，进而发起攻击基础设施破坏：攻击者可通过破坏DNS或路由信息等基础设施，使目标陷于孤立数据驱动攻击：攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标拒绝服务：攻击者可直接发动攻击，也可通过控制其它主机发起攻击，使目标瘫痪，如发送大量的数据洪流阻塞目标网络安全协议信息安全专业17常见攻击小结中断（Interruption）〈-〉可用性（Availability）窃听（Interception）〈-〉机密性（Confidentiality）修改（Modification）〈-〉完整性（Integrity）伪造（Fabrication）〈-〉可认证性（Authenticity）网络安全协议信息安全专业18信息安全分类密码学计算机安全通信与网络安全加密算法（对称、非对称）签名算法系统的软硬件安全访问控制和授权身份认证审计入侵检测和病毒防范基于网络的入侵检测技术防火墙技术网络安全协议IKE(因特网密钥交换)虚拟专网(VPN)安全路由PKI(公钥基础设施)与CA(认证机构)……安全芯片安全操作系统指纹识别虹膜识别信息隐藏量子密码网络安全协议信息安全专业19网络安全的主要任务保障网络与系统安全、可靠、高效、可控、持续地运行和被访问保障信息机密、完整、不可否认、可认证地传输和使用网络安全协议信息安全专业20需要保护的对象硬件服务器、路由器、主机（PC&工作站等）等软件操作系统、应用软件等数据电子邮件、电子商务、电子政务、信息发布等网络安全协议信息安全专业21第一章网络安全综述1.1网络安全概述1.2网络参考模型与安全模型1.3网络各层的相关安全协议1.4密码学基础知识1.5数字签名与认证技术1.6网络安全的标准组织网络安全协议信息安全专业221.2网络参考模型与安全模型网络的体系结构采用分层原则层与协议的集合网络参考模型ISO-OSI（国际标准化组织-开放系统互连）模型TCP/IP模型（IETF）安全体系结构：ITU-T的X.800（ISO安全框架）和IETF的RFC2828安全攻击安全机制安全服务安全模型网络安全模型：涉及信息在网络传输中的安全（公网上的私有性保护）网络访问安全模型：涉及网络本身的安全（访问控制）网络安全协议信息安全专业23ISO-OSI模型分组帧PDU:ProtocolDataUnit协议数据单元物理层：缆线，信号的编码，网络接插件的电、机械接口数据链路层：成帧，差错控制、流量控制，物理寻址，媒体访问控制网络层：路由、转发，拥塞控制传输层：为会话层提供与下面网络无关的可靠消息传送机制表示层：在两个应用层之间的传输过程中负责数据的表示语法应用层：处理应用进程之间所发送和接收的数据中包含的信息内容。网络安全协议信息安全专业24数据的封装PhysicalPhysicalDatalinkDatalinkNetworkNetworkTransportTransportSessionSessionPresentationPresentationApplicationApplicationPhysicalPhysicalDatalinkDatalinkNetworkNetworkTransportTransportSessionSessionPresentationPresentationApplicationApplicationAAAAAAPPPPPSSSSTTTNNDDVirtualdataflowActualdataflowSenderReceiverPhysicalPhysicalDatalinkDatalinkNetworkNetworkTransportTransportSessionSessionPresentationPresentationApplicationApplicationPhysicalPhysicalDatalinkDatalinkNetworkNetworkTransportTransportSessionSessionPresentationPresentationApplicationApplicationPhysicalPhysicalDatalinkDatalinkNetworkNetworkTransportTransportSessionSessionPresentationPresentationApplicationApplicationAAAAAAPPPPPSSSSTTTNNDDVirtualdataflowActualdataflowSenderReceiverOSImnemonicsAllPeopleSeemToNeedDataProcessingPleaseDoNotThrowSausagePizzaAway应用层表示层会话层传输层网络层数据链路层物理层网络安全协议信息安全专业25TCP/IP模型HTTPSMTPDNSRTPTCPUDPIP网络层链路+物理层传输层应用层………网络接口1网络接口2网络接口3网络安全协议信息安全专业26OSI与TCP/IP模型的比较相同点：1.都是基于独立的协议栈概念。2.两者都有功能相似的应用层、传输层、网络层。不同点：1.在OSI模型中，严格地定义了服务、接口、协议；在TCP/IP模型中，并没有严格区分服务、接口与协议。2.OSI模型支持非连接和面向连接的网络层通信，但在传输层只支持面向连接的通信；TCP/IP模型只支持非连接的网络层通信，但在传输层有支持非连接和面向连接的两种协议可供用户选择。3.TCP/IP模型中不区分、甚至不提起物理层和数据链路层。网络安全协议信息安全专业27安全体系结构RFC2828(InternetSecurityGloss