網(wǎng)絡(luò)安全協(xié)議與信任體系結(jié)構(gòu).ppt

網(wǎng)絡(luò)安全協(xié)議 與信任體系結(jié)構(gòu),國(guó)家信息化專(zhuān)家咨詢(xún)委員會(huì)委員 沈昌祥 院士,當(dāng)前互聯(lián)網(wǎng)不可信任的主要原因： 協(xié)議安全性差，源接入地址不真實(shí)，源數(shù)據(jù)難標(biāo)識(shí)和驗(yàn)證。 沒(méi)有完整的信任體系結(jié)構(gòu)，難以實(shí)現(xiàn)可信接入和端點(diǎn)安全保護(hù)；用戶(hù)、控制、管理三大信息流難以實(shí)現(xiàn)安全可信。,一、IPv6 的安全挑戰(zhàn),下一代互聯(lián)網(wǎng)是基于IPv6的網(wǎng)絡(luò) IPv6相對(duì)于IPv4的主要優(yōu)勢(shì)是：擴(kuò)大了地址空間、提高了網(wǎng)絡(luò)的整體吞吐量、服務(wù)質(zhì)量得到很大改善、安全性有了更好的保證、支持即插即用和移動(dòng)性、更好地實(shí)現(xiàn)了多播功能。 巨大的地址空間使所有終端都使用真實(shí)地址。是信任接入的基礎(chǔ)。 真實(shí)IP地址訪問(wèn)和全局用戶(hù)標(biāo)識(shí)是建設(shè)可信任互聯(lián)網(wǎng)的根本。,IPv6的安全特性是其主要特點(diǎn)之一。IPv6協(xié)議內(nèi)置安全機(jī)制，并已經(jīng)標(biāo)準(zhǔn)化。 IPSec提供如下安全性服務(wù)：訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)源身份認(rèn)證、防御包重傳攻擊、保密、有限的業(yè)務(wù)流保密性。,IPv6并不能徹底解決互聯(lián)網(wǎng)中的安全問(wèn)題，更大規(guī)模接入和應(yīng)用，更快的速度會(huì)增加安全風(fēng)險(xiǎn) 對(duì)存在的安全風(fēng)險(xiǎn)必須做認(rèn)真地研究。,引入擴(kuò)展頭可能存在安全性問(wèn)題 通常情況下擴(kuò)展頭只有在包的終點(diǎn)才能作相應(yīng)處理，但在有些處理中獲取源路由就能形成 IP 欺騙攻擊。,ICMPv6存在重定向和拒絕服務(wù)攻擊的可能 偽裝最后一跳路由，給訪問(wèn)者發(fā)重定向包; 用不同的源或目的MAC地址發(fā)鄰居請(qǐng)求包實(shí)現(xiàn)欺騙； 重復(fù)地址檢測(cè)和鄰居發(fā)現(xiàn)Dos攻擊,移動(dòng)IPv6可能存在的安全問(wèn)題 節(jié)點(diǎn)移動(dòng)需要經(jīng)常向MN的本地代理和CN發(fā)送綁定更新報(bào)文可能被重定向。 高層應(yīng)用和操作系統(tǒng)的漏洞隱患，影響網(wǎng)絡(luò)安全連接。,二、骨干網(wǎng)絡(luò)可信任的體系結(jié)構(gòu),保護(hù)網(wǎng)絡(luò)與基礎(chǔ)設(shè)施是一個(gè)體系，只靠一兩項(xiàng)單純的技術(shù)并不能實(shí)現(xiàn)真正的安全，必須構(gòu)建科學(xué)合理、可信任的體系結(jié)構(gòu)。,網(wǎng)絡(luò)支持三種不同的數(shù)據(jù)流:用戶(hù)、控制和管理: 用戶(hù)通信流就是簡(jiǎn)單地在網(wǎng)上傳輸用戶(hù)信息。確保信息可信賴(lài)發(fā)出。 控制通信流是為建立用戶(hù)連接而在所必備的網(wǎng)絡(luò)組件之間傳送的信息，信令協(xié)議，以保障用戶(hù)連接正確建立。 管理通信流是用來(lái)配置網(wǎng)絡(luò)組件或表明網(wǎng)絡(luò)組件狀態(tài)的信息。確保網(wǎng)絡(luò)組件沒(méi)有被非授權(quán)用戶(hù)改變。 骨干網(wǎng)的可信任達(dá)到真正的可用仍是下一代互聯(lián)網(wǎng)面臨的嚴(yán)重挑戰(zhàn)。,將骨干網(wǎng)模型分為九個(gè)主要方面： 1、網(wǎng)絡(luò)與網(wǎng)絡(luò)的通信 2、設(shè)備與設(shè)備的通信 3、設(shè)備管理和維護(hù) 4、用戶(hù)數(shù)據(jù)接口 5、遠(yuǎn)程操作員與NMC(網(wǎng)絡(luò)管理中心)的通信 6、網(wǎng)絡(luò)管理中心與設(shè)備的通信 7、網(wǎng)絡(luò)管理中心飛地 8、制造商交付于維護(hù) 9、制造商環(huán)境 下圖表示它們之間的關(guān)系。,圖：骨干網(wǎng)可用性模型,外網(wǎng),安全要求： 訪問(wèn)控制： 訪問(wèn)控制必須能夠區(qū)別用戶(hù)對(duì)數(shù)據(jù)傳輸?shù)脑L問(wèn)和管理員對(duì)網(wǎng)絡(luò)管理與控制的訪問(wèn) 訪問(wèn)控制必須能夠限制對(duì)網(wǎng)絡(luò)管理中心的訪問(wèn) 認(rèn)證： 鑒別路由、管理人員、制造商來(lái)源、分發(fā)配置 可用性： 軟硬件對(duì)用戶(hù)必須時(shí)刻用的 服務(wù)商必須向用戶(hù)提供高層次的系統(tǒng)可用性,保密性： 必須保護(hù)關(guān)鍵材料的保密性 網(wǎng)絡(luò)管理系統(tǒng)必須提供路由信息、信令信息、網(wǎng)絡(luò)管理通信流的保密性，以保障它們的安全 完整性： 必須保護(hù)網(wǎng)絡(luò)設(shè)備之間通信的完整性 必須保護(hù)網(wǎng)絡(luò)設(shè)備的硬件和軟件的完整性 必須保護(hù)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)管理中心之間通信的完整性 必須保護(hù)制造商提供的硬件和軟件的完整性 必須保護(hù)向網(wǎng)絡(luò)管理中心的撥號(hào)通信的完整性,不可否認(rèn)性： 網(wǎng)絡(luò)人員一定不能否認(rèn)對(duì)網(wǎng)絡(luò)設(shè)備的配置所作的改動(dòng) 制造商一定不能否認(rèn)有他們提供或開(kāi)發(fā)的軟硬件,潛在的攻擊和對(duì)策 被動(dòng)攻擊：監(jiān)測(cè)和收集網(wǎng)絡(luò)傳輸?shù)男畔?主動(dòng)攻擊：來(lái)自網(wǎng)絡(luò)外部的攻擊 帶寬攻擊：噪聲阻塞、洪流淹沒(méi)、服務(wù)竊取 網(wǎng)絡(luò)管理通信破壞攻擊：網(wǎng)絡(luò)管理信息被篡改 使網(wǎng)絡(luò)基礎(chǔ)設(shè)施失控攻擊：操作控制失靈,內(nèi)部人員攻擊： 網(wǎng)絡(luò)管理人員發(fā)起：操作人員、開(kāi)發(fā)程序員 分發(fā)攻擊： 在安裝分配過(guò)程中改變供應(yīng)商的軟件和硬件,對(duì)策與措施： 網(wǎng)絡(luò)管理通信的保護(hù)：確保管理信息流的完整性、真實(shí)性以及保密性。