返回
于银辉教授吉林大学通信工程学院

于银辉教授吉林大学通信工程学院

ID:1390757

大小:721.00 KB

页数:46页

时间:2017-11-11

于银辉教授吉林大学通信工程学院_第1页
于银辉教授吉林大学通信工程学院_第2页
于银辉教授吉林大学通信工程学院_第3页
于银辉教授吉林大学通信工程学院_第4页
于银辉教授吉林大学通信工程学院_第5页
资源描述:

《于银辉教授吉林大学通信工程学院》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、于银辉教授吉林大学通信工程学院第八章宽带IP网络的安全1本章探讨与宽带IP网络安全有关的问题主要内容包括:宽带IP网络安全的基本概念VPN的实现28.1宽带IP网络安全的基本概念8.2VPN的实现38.1宽带IP网络安全的基本概念8.1.1宽带IP网络面临的安全性威胁1、网络安全的含义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。4网络安全从其本质上来讲主要就是网络上的信息安全,即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。5从内容看,网络安全大致包括4个方面。●网络实体安

2、全●软件安全●数据安全●安全管理6宽带IP网络面临的安全性威胁分为两类被动攻击和主动攻击。2、宽带IP网络面临的安全性威胁7在被动攻击中,攻击者只是观察和分析某一个协议数据单元PDU,不对数据信息做任何修改。(1)被动攻击8截获信息是指攻击者在未经用户同意和认可的情况下获得信息或相关数据即从网络上窃听他人的通信内容。被动攻击一般检测不出来,对付被动攻击可以采取数据加密技术。9主动攻击是更改信息和拒绝用户使用资源的攻击,攻击者对某个连接中通过的协议数据单元PDU进行各种处理。这类攻击可分为篡改、伪造、中断和抵赖。(2)主动攻击10①篡改篡改是指一个合法协议数据单元PDU的某些部分被非法改

3、变、删除,或者协议数据单元PDU被延迟等。11②伪造伪造是指某个实体(人或系统)发出含有其他实体身份信息的数据信息,即假扮成其他实体伪造一些信息在网络上传送。12③中断中断也称为拒绝服务,有意中断他人在网络上的通信,会导致对通信设备的正常使用或管理被无条件地中断。中断可能是对整个网络实施破坏,以达到降低性能、中断服务的目的;也可能是针对某一个特定的目标,使应到达的所有数据包都被阻止。13④抵赖抵赖是发送端不承认发送了信息或接收端不承认收到了信息。主动攻击可采取适当措施检测出来,而要有效地防止是十分困难的。对付主动攻击需要将数据加密技术与适当的鉴别技术相结合。14另外还有一种特殊的主动攻

4、击就是恶意程序。恶意程序种类繁多,主要有:●计算机蠕虫●特洛伊木马●逻辑炸弹15网络安全的基本需求包括以下几个方面。8.1.2宽带IP网络安全服务的基本需求16保密性指信息不泄露给未授权的用户,不被非法利用。被动攻击中的截获信息(即监听)就是对系统的保密性进行攻击。采用数据加密技术可以满足保密性的基本需求。1、保密性17完整性就是保证信息系统上的数据处于一种完整和未受损的状态,不会因有意或无意的事件而被改变或丢失,即防止信息被未授权的人进行篡改。主动攻击中的篡改即是对系统的完整性进行破坏。可采用数据加密、数字签名等技术手段来保护数据的完整性。2、完整性18可用性指可被授权者访问并按需求

5、使用的特性,即当需要时授权者总能够存取所需的作息,攻击者不能占用所有的资源而妨碍授权者的使用。3、可用性19网络环境下拒绝服务、破坏网络和有关系统的正常运行等(即主动攻击中的中断)属于对可用性的攻击。可用性中的按需使用可通过鉴别技术来实现,即每个实体都的确是它们所宣称的那个实体。20可控性指对信息及信息系统应实施安全监控管理,可以控制授权范围内的信息流向及行为方式,对信息的传播及内容具有控制能力。主动攻击中的伪造即是对系统的可控性进行破坏。4、可控性21保证可控性的措施有:●系统通过访问控制列表等方法控制谁能够访问系统或网络上的数据,以及如何访问(是只读还是可以修改等);●通过握手协议

6、和鉴别对网络上的用户进行身份验证;●将用户的所有活动记录下来便于查询审计。22不可否认性指信息的行为人要对自己的信息行为负责,不能抵赖自己曾做出的行为,也不能否认曾经接到对方的信息。主动攻击中的抵赖即是对系统的不可否认性进行破坏。通常将数字签名和公证技术一同使用来保证不可否认性。5、不可否认性238.2VPN的实现8.2.1VPN的概念虚拟专网是虚拟私有网络(VPN)的简称,它是一种利用公共网络(如公共分组交换网、帧中继网、ISDN或Internet等)来构建的私有专用网络,VPN将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。24VPN有两层含义:●它是虚拟的网,虚拟(V

7、irtual)的概念是指网络没有固定的物理连接,而是利用共享的通信基础设施,仿真出专用网络的效果。25●专用(Private)的含义是用户可以为自己制定一个最符合自己需求的网络,使网内业务独立于网外的业务流,且具有独立的寻址空间和路由空间,使得用户获得等同于专用网络的通信体验261、IPVPN的分类IPVPN可以从不同的角度进行分类。8.2.2IPVPN27●专线VPN●拨号VPN(1)按接入方式划分28●采用第二层隧道协议的VPN——用公用I

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。