编辑: 会说话的鱼 | 2019-07-09 |
工作站)等软件操作系统、应用软件等数据电子邮件、电子商务、电子政务、信息发布等
第一章 网络安全综述 1.1网络安全概述1.2网络参考模型与安全模型1.3网络各层的相关安全协议1.4密码学基础知识1.5数字签名与认证技术1.6网络安全的标准、评价准则 1.2 网络参考模型与安全模型 网络的体系结构采用分层原则层与协议的集合网络参考模型ISO - OSI (国际标准化组织-开放系统互连)模型TCP/IP模型(IETF)安全体系结构:ITU-T的X.800(ISO安全框架)和IETF的RFC2828安全攻击安全机制安全服务安全模型网络安全模型:涉及信息在网络传输中的安全(公网上的私有性保护)网络访问安全模型:涉及网络本身的安全(访问控制) ISO-OSI模型 分组 帧PDU: Protocol Data Unit 协议数据单元 物理层:缆线,信号的编码,网络接插件的电、机械接口 数据链路层:成帧,差错控制、流量控制,物理寻址,媒体访问控制 网络层:路由、转发,拥塞控制 传输层:为会话层提供与下面网络无关的可靠消息传送机制 表示层: 在两个应用层之间的传输过程中负责数据的表示语法 应用层:处理应用进程之间所发送和接收的数据中包含的信息内容. 数据的封装 OSImnemonicsAllPeopleSeemToNeedDataProcessingPleaseDoNotThrowSausagePizzaAway 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 TCP/IP模型 OSI与TCP/IP模型的比较 相同点:1.都是基于独立的协议栈概念.2.两者都有功能相似的应用层、传输层、网络层. 不同点:1.在OSI模型中,严格地定义了服务、接口、协议;
在TCP/IP模型中,并没有严格区分服务、接口与协议.2.OSI模型支持非连接和面向连接的网络层通信,但在传输层只支持面向连接的通信;
TCP/IP模型只支持非连接的网络层通信,但在传输层有支持非连接和面向连接的两种协议可供用户选择.3.TCP/IP模型中不区分、甚至不提起物理层和数据链路层. 安全体系结构 RFC 2828(Internet Security Glossary)X.800(Security Architecture for OSI)安全攻击:损害机构所拥有信息的安全的任何行为.安全机制:设计用于检测、预防安全攻击或者恢复系统的机制.安全服务:系统提供的对资源进行特殊保护的进程或者通信服务.用一种或多种安全机制来实现安全服务,安全服务致力于抵御安全攻击. 安全体系结构――安全攻击 主动攻击: 更改数据流,或伪造假的数据流.伪装(masquerade)重放(replay)篡改(modification)拒绝服务(denial of service)被动攻击: 对传输进行偷听与监视,获得传输信息.窃听攻击流量分析 即冒名顶替.一般而言,伪装攻击的同时往往还伴随着其他形式的主动攻击 先被动地窃取通信数据,然后再有目的地重新发送 即修改报文的内容.或者对截获的报文延迟、重新排序 阻止或占据对通信设施的正常使用或管理.针对特定目标或是某个网络 窃听和分析所传输的报文内容 分析通信主机的位置、通信的频繁程度、报文长度等信息 安全体系结构――安全机制(可以嵌入协议的) 加密:用加密算法对信息加密.保护信息的机密性数字签名:用签名算法对信息进行计算,计算结果附加于信息单元.用于身份认证、数据完整性和非否认服务访问控制:用于实施资源访问权限的机制数据完整性:用于确保信息的完整性身份认证:确保信息交换的实体是所声称的实体流量填充:填充信息,防止流量分析路由控制:能够为特定数据选择特定路由公证:采用可信任的第三方以确保一些信息交换的性质 安全体系结构――安全服务 认证(Authentication):提供某个实体的身份保证对等实体认证、数据源认证访问控制(Access control):保护资源,防止对它的非法使用和操纵数据机密性(Data encryption):保护信息不被泄露连接保密性、无连接保密性、选择域保密性、流量保密性数据完整性(Integrity):保护信息以防止非法篡改具有恢复功能的连接完整性、无恢复功能的连接完整性、选择与连接完整性、无连接完整性、选择域无连接完整性不可否认性(No-repudiation):防止参与通信的一方事后否认源点的不可否认性、信宿的不可否认性可用性( Availability ):确保系统的可用,与其他安全服务相关的的性质 X.800定义了五类共14种安全服务 系统的性质 安全服务与攻击的关系 攻击服务报文分析 流量分析 伪装 重放 篡改 拒绝服务 对等实体认证 Y 数据源认证 Y 访问控制 Y 机密性 Y 流量机密性 Y 数据完整性 Y Y 非否认服务 可用性 Y 安全服务与机制的关系 机制服务加密 数字签名 访问控制 完整性 认证 流量填充 路由控制 公证 对等实体认证 Y Y Y 数据源认证 Y Y 访问控制 Y 机密性 Y Y 流量机密性 Y Y Y 数据完整性 Y Y Y 非否认服务 Y Y Y 可用性 Y Y 安全服务与机制的关系 机制服务1234567对等实体认证 Y Y Y 数据源认证 Y Y Y 访问控制 Y Y 连接机密性 Y Y Y Y Y Y 无连接保密性 Y Y Y Y Y 选择域保密性 Y 流量机密性 Y Y 具有恢复功能的连接完整性 Y Y Y 不具有恢复功能的连接完整性 Y Y 选择域无连接完整性 Y Y Y 无连接完整性 Y 选择域无连接完整性 Y Y Y 源点不可否认性 Y 信宿不可否认性 Y 网络安全模型 算法机制协议 身份认证信息的机密性、完整性、不可否认性 网络访问安全模型 Firewalls and Security Gateways IDSVPN 保证网络的可用性、可控性