《物聯(lián)網(wǎng)信息安全》(桂小林版)(第6章)ppt課件

《《物聯(lián)網(wǎng)信息安全》(桂小林版)(第6章)ppt課件》由會(huì)員分享，可在線閱讀，更多相關(guān)《《物聯(lián)網(wǎng)信息安全》(桂小林版)(第6章)ppt課件（76頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、第六章系統(tǒng)安全桂小林2014.9.17第六章 系統(tǒng)安全桂小林桂小林桂小林桂小林桂小林 1 1 2 26.1 6.1 系統(tǒng)安全的概念系統(tǒng)安全的概念6.2 6.2 惡意攻擊惡意攻擊6.3 6.3 入侵檢測(cè)入侵檢測(cè)6.4 6.4 攻擊防護(hù)攻擊防護(hù)6.5 6.5 網(wǎng)絡(luò)安全通信協(xié)議網(wǎng)絡(luò)安全通信協(xié)議6.6 6.6 本章小結(jié)本章小結(jié)本章內(nèi)容 26.1 系統(tǒng)安全的概念本章內(nèi)容桂小林桂小林桂小林桂小林 2 2 3 3第六章系統(tǒng)安全基本要求熟悉系統(tǒng)安全的概念和各種隱患了解惡意攻擊的概念、來(lái)源和攻擊的原理了解入侵檢測(cè)的相關(guān)方法技術(shù)了解攻擊防護(hù)技術(shù)相關(guān)概念熟悉網(wǎng)絡(luò)安全通信協(xié)議根據(jù)本章文獻(xiàn)，參閱一篇感興趣的文獻(xiàn)并總結(jié)。

2、3第六章 系統(tǒng)安全基本要求桂小林桂小林桂小林桂小林 3 3 4 46.1系統(tǒng)安全概念u系統(tǒng)安全的范疇嵌入式節(jié)點(diǎn)的安全網(wǎng)絡(luò)通信系統(tǒng)的安全存儲(chǔ)系統(tǒng)的安全 46.1系統(tǒng)安全概念系統(tǒng)安全的范疇桂小林桂小林桂小林桂小林 4 4 5 56.1系統(tǒng)安全概念u系統(tǒng)安全的隱患什么是安全威脅安全威脅是指對(duì)安全的一種潛在的侵害，威脅的實(shí)施稱為攻擊信息安全的威脅就是指某個(gè)主體對(duì)信息資源的機(jī)密性、完整性、可用性等所造成的侵害。系統(tǒng)缺陷系統(tǒng)缺陷又可稱為系統(tǒng)漏洞，是指應(yīng)用軟件、操作系統(tǒng)或系統(tǒng)硬件在邏輯設(shè)計(jì)上無(wú)意造成的設(shè)計(jì)缺陷或錯(cuò)誤。惡意軟件攻擊惡意軟件的攻擊主要表現(xiàn)在各種木馬和病毒軟件對(duì)信息系統(tǒng)的破壞 56.1系統(tǒng)安全概念

3、系統(tǒng)安全的隱患桂小林桂小林桂小林桂小林 5 5 6 66.1系統(tǒng)安全概念u系統(tǒng)安全的隱患外部網(wǎng)絡(luò)攻擊TCP flood攻擊Smurf攻擊DDoS攻擊釣魚攻擊非授權(quán)和認(rèn)證訪問(wèn)行為否認(rèn)非授權(quán)訪問(wèn) 66.1系統(tǒng)安全概念系統(tǒng)安全的隱患桂小林桂小林桂小林桂小林 6 66.2 惡意攻擊什么是惡意攻擊網(wǎng)絡(luò)惡意攻擊通常是指利用系統(tǒng)存在的安全漏洞或弱點(diǎn)，通過(guò)非法手段獲得某信息系統(tǒng)機(jī)密信息的訪問(wèn)權(quán)，以及對(duì)系統(tǒng)部分或全部的控制權(quán)，并對(duì)系統(tǒng)安全構(gòu)成破壞或威脅。惡意攻擊的來(lái)源惡意軟件木馬蠕蟲病毒DDoS6.2 惡意攻擊什么是惡意攻擊桂小林桂小林桂小林桂小林 7 76.2 惡意攻擊病毒攻擊的原理計(jì)算機(jī)病毒計(jì)算機(jī)病毒（Co

4、mputer Virus）的廣義定義是一種人為制造的、能夠進(jìn)行自我復(fù)制的、具有對(duì)計(jì)算機(jī)資源的破壞作用的一組程序或指令的集合。中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中定義的計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。6.2 惡意攻擊病毒攻擊的原理桂小林桂小林桂小林桂小林 8 86.2 惡意攻擊病毒攻擊的原理病毒的特征可執(zhí)行性傳染性非授權(quán)性隱蔽性潛伏性破壞性寄生性不可預(yù)見(jiàn)性誘惑欺騙性6.2 惡意攻擊病毒攻擊的原理桂小林桂小林桂小林桂小林 9 96.2 惡意攻擊病毒攻擊的原理病毒的分類引導(dǎo)型病毒文件型病毒復(fù)合型病

5、毒宏病毒計(jì)算機(jī)蠕蟲特洛伊木馬6.2 惡意攻擊病毒攻擊的原理桂小林桂小林桂小林桂小林 10106.2 惡意攻擊病毒攻擊的原理病毒攻擊的原理分析以引導(dǎo)型病毒為例分析正常DOS自舉帶病毒的DOS自舉6.2 惡意攻擊病毒攻擊的原理正常DOS自舉帶病毒的DOS自桂小林桂小林桂小林桂小林 11116.2 惡意攻擊木馬攻擊的原理什么是木馬木馬是一種后門程序，黑客可以利用其盜取用戶的隱私信息，甚至遠(yuǎn)程控制對(duì)方的計(jì)算機(jī)。完整的木馬程序一般由兩個(gè)部份組成，一個(gè)是服務(wù)器被控制端程序，一個(gè)是客戶端控制端程序。木馬典型攻擊原理當(dāng)服務(wù)器端在目標(biāo)計(jì)算機(jī)上被執(zhí)行后，木馬打開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽(tīng)，當(dāng)客戶端（控制端）向服務(wù)器端

6、（被控主機(jī)部分）提出連接請(qǐng)求，被控主機(jī)上的木馬程序就會(huì)自動(dòng)應(yīng)答客戶端的請(qǐng)求，服務(wù)器端程序與客戶端建立連接后，客戶端（控制端）就可以發(fā)送各類控制指令對(duì)服務(wù)器端（被控主機(jī)）進(jìn)行完全控制，其操作幾乎與在被控主機(jī)的本機(jī)操作權(quán)限完全相同。6.2 惡意攻擊木馬攻擊的原理桂小林桂小林桂小林桂小林 12126.2 惡意攻擊木馬攻擊的原理木馬植入原理通過(guò)電子郵件附件的方式捆綁在各類軟件中網(wǎng)頁(yè)掛馬木馬隱藏原理木馬程序隱藏啟動(dòng)隱藏方式進(jìn)程隱藏通信隱藏通過(guò)設(shè)備驅(qū)動(dòng)和動(dòng)態(tài)連接口隱藏6.2 惡意攻擊木馬攻擊的原理桂小林桂小林桂小林桂小林 13136.3 入侵檢測(cè)入侵檢測(cè)的概念入侵入侵是指在信息系統(tǒng)中進(jìn)行非授權(quán)的訪問(wèn)或活動(dòng)

7、，不僅指非系統(tǒng)用戶非授地登陸系統(tǒng)和使用系統(tǒng)資源，還包括系統(tǒng)內(nèi)的用戶濫用權(quán)力對(duì)系統(tǒng)造成的破壞，如非法盜用他人帳戶，非法獲得系統(tǒng)管理員權(quán)限，修改或刪除系統(tǒng)文件等。入侵檢測(cè)入侵檢測(cè)可以被定義為識(shí)別出正在發(fā)生的入侵企圖或已經(jīng)發(fā)生的入侵活動(dòng)的過(guò)程。對(duì)外部入侵（非授權(quán)使用）行為的檢測(cè)。對(duì)內(nèi)部用戶（合法用戶）濫用自身權(quán)限的檢測(cè)。6.3 入侵檢測(cè)入侵檢測(cè)的概念桂小林桂小林桂小林桂小林 14146.3 入侵檢測(cè)入侵檢測(cè)的概念入侵檢測(cè)系統(tǒng)進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）入侵檢測(cè)的內(nèi)容試圖闖入成功闖入冒充其他用戶違反安全策略合法用戶的泄漏

8、獨(dú)占資源以及惡意使用6.3 入侵檢測(cè)入侵檢測(cè)的概念桂小林桂小林桂小林桂小林 15156.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)組成數(shù)據(jù)源探測(cè)器分析器管理器管理員安全策略6.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)桂小林桂小林桂小林桂小林 16166.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)分類基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（Network Intrusion Detection System，NIDS）基于主機(jī)的入侵檢測(cè)系統(tǒng)（Host-based Intrusion Detection System，HIDS）NIDS優(yōu)勢(shì)：獨(dú)立與操作系統(tǒng)，檢測(cè)實(shí)時(shí)性強(qiáng)缺點(diǎn)：需要傳回大量的網(wǎng)絡(luò)數(shù)據(jù)包，無(wú)法分析加密數(shù)據(jù)，存在攻擊特征被拆分的情況等6.3

9、入侵檢測(cè)入侵檢測(cè)系統(tǒng)桂小林桂小林桂小林桂小林 17176.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)HIDS優(yōu)勢(shì)能很好的處理加密數(shù)據(jù)包可以綜合多個(gè)數(shù)據(jù)源進(jìn)行分析高速網(wǎng)絡(luò)情況下不存在數(shù)據(jù)表丟失的情況缺點(diǎn)降低系統(tǒng)性能配置和維護(hù)困難逃避檢測(cè)存在數(shù)據(jù)欺騙的問(wèn)題實(shí)時(shí)性較差6.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)桂小林桂小林桂小林桂小林 18186.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)入侵檢測(cè)的方法特征檢測(cè)統(tǒng)計(jì)檢測(cè)專家系統(tǒng)其他檢測(cè)方法6.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)桂小林桂小林桂小林桂小林 19196.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)入侵檢測(cè)的方法特征檢測(cè)統(tǒng)計(jì)檢測(cè)專家系統(tǒng)其他檢測(cè)方法基于免疫系統(tǒng)的檢測(cè)方法遺傳算法基于內(nèi)核的檢測(cè)方法6.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)

10、桂小林桂小林桂小林桂小林 20206.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)蜜罐和蜜網(wǎng)蜜罐（Honeypot）Honeypot是一種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，它誘導(dǎo)攻擊者訪問(wèn)預(yù)先設(shè)置的蜜罐而不是工作中網(wǎng)絡(luò)，可以提高檢測(cè)攻擊和攻擊者行為的能力，降低攻擊帶來(lái)的破壞蜜罐與NIDS相比較的特點(diǎn)較小的數(shù)據(jù)量減少誤報(bào)率捕獲漏報(bào)資源最小化6.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)桂小林桂小林桂小林桂小林 21216.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)蜜罐和蜜網(wǎng)蜜網(wǎng)（Honeynet）蜜網(wǎng)的概念由蜜罐發(fā)展而來(lái)，是由真實(shí)計(jì)算機(jī)組成的網(wǎng)絡(luò)系統(tǒng)，部署有入侵檢測(cè)系統(tǒng)，系統(tǒng)和網(wǎng)絡(luò)的安全防護(hù)級(jí)別設(shè)置較低，誘導(dǎo)入侵者進(jìn)入系統(tǒng)，并監(jiān)控和記錄入侵者的行為蜜網(wǎng)和蜜罐的異同蜜

11、網(wǎng)是一個(gè)網(wǎng)絡(luò)系統(tǒng)，而并非某臺(tái)單一主機(jī)蜜網(wǎng)中的所有系統(tǒng)都是標(biāo)準(zhǔn)的機(jī)器，上面運(yùn)行的都是真實(shí)完整的操作系統(tǒng)及應(yīng)用程序蜜罐是通過(guò)把系統(tǒng)的脆弱性暴露給入侵者或是故意使用一些具有強(qiáng)烈誘惑性的信息的假信息來(lái)誘騙入侵者蜜網(wǎng)是在入侵檢測(cè)的基礎(chǔ)上實(shí)現(xiàn)入侵誘騙6.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)桂小林桂小林桂小林桂小林 22226.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)蜜網(wǎng)的原型系統(tǒng)防火墻入侵檢測(cè)系統(tǒng)二層網(wǎng)關(guān)蜜網(wǎng)6.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)桂小林桂小林桂小林桂小林 23236.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)病毒檢測(cè)檢測(cè)方法直接觀察法特征代碼法校驗(yàn)和法行為監(jiān)測(cè)法軟件模擬法6.3 入侵檢測(cè)入侵檢測(cè)系統(tǒng)桂小林桂小林桂小林桂小林 24246.4 攻擊

12、防護(hù)防火墻概念防火墻（Firewall）是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)設(shè)備，常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)連接到Internet的點(diǎn)上，它對(duì)傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查，來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許。防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”(trusted network)，而將外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡(luò)”(untrusted network)。防火墻可用來(lái)解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問(wèn)題。6.4 攻擊防護(hù)防火墻桂小林桂小林桂小林桂小林 25256.4 攻擊防護(hù)防火墻功能防火墻的功能有兩個(gè)：阻止和允許?！白柚埂本褪亲柚鼓撤N類型的通信量通過(guò)防火墻（從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)

13、絡(luò)，或反過(guò)來(lái)）。“允許”的功能與“阻止”恰好相反。防火墻必須能夠識(shí)別通信量的各種類型。不過(guò)在大多數(shù)情況下防火墻的主要功能是“阻止”。6.4 攻擊防護(hù)防火墻桂小林桂小林桂小林桂小林 26266.4 攻擊防護(hù)防火墻在網(wǎng)絡(luò)中的位置G內(nèi)聯(lián)網(wǎng)可信賴的網(wǎng)絡(luò)不可信賴的網(wǎng)絡(luò)分組過(guò)濾路由器 R分組過(guò)濾路由器 R應(yīng)用網(wǎng)關(guān)外局域網(wǎng)內(nèi)局域網(wǎng)防火墻因特網(wǎng)6.4 攻擊防護(hù)防火墻G內(nèi)聯(lián)網(wǎng)可信賴的網(wǎng)絡(luò)不可信賴的網(wǎng)絡(luò)分組桂小林桂小林桂小林桂小林 27276.4 攻擊防護(hù)防火墻惡意軟件檢測(cè)防護(hù)工具惡意軟件檢測(cè)防護(hù)工具的工作原理(Android系統(tǒng))6.4 攻擊防護(hù)防火墻惡意軟件檢測(cè)防護(hù)工具的工作原理(And桂小林桂小林桂小林桂小

14、林 28286.4 攻擊防護(hù)病毒查殺毒查殺就是指利用各類安全工具發(fā)現(xiàn)系統(tǒng)中隱藏的各類可疑病毒程序，并且能夠清除感染對(duì)象中的病毒，恢復(fù)被病毒感染前的原始信息的能力。病毒查殺工具運(yùn)行原理圖(Android系統(tǒng)）6.4 攻擊防護(hù)病毒查殺病毒查殺工具運(yùn)行原理圖(Androi桂小林桂小林桂小林桂小林 29296.4 攻擊防護(hù)沙箱工具沙箱是為一些來(lái)源不可信、具有破壞力或無(wú)法判定程序意圖的程序同實(shí)驗(yàn)的環(huán)境。軟件安全判定沙箱工具工作原理(Android系統(tǒng)）6.4 攻擊防護(hù)沙箱工具軟件安全判定沙箱工具工作原理(And桂小林桂小林桂小林桂小林 30306.4 網(wǎng)絡(luò)安全通信協(xié)議協(xié)議協(xié)議是指兩個(gè)或多個(gè)以上參與者為完

15、成某項(xiàng)特定的任務(wù)而采取的一系列步驟。通信協(xié)議通信協(xié)議是指通信各方關(guān)于通信如何進(jìn)行所達(dá)成的一致性規(guī)則，即由參與通信的各方按確定的步驟做出一系列通信動(dòng)作，是定義通信實(shí)體之間交換信息的格式及意義的一組規(guī)則。6.4 網(wǎng)絡(luò)安全通信協(xié)議協(xié)議 桂小林桂小林桂小林桂小林 31316.4 網(wǎng)絡(luò)安全通信協(xié)議安全協(xié)議安全協(xié)議是指通過(guò)信息的安全交換來(lái)實(shí)現(xiàn)某種安全目的所共同約定的邏輯操作規(guī)則。網(wǎng)絡(luò)安全通信協(xié)議屬于安全協(xié)議，是指在計(jì)算機(jī)網(wǎng)絡(luò)中使用的具有安全功能的通信協(xié)議。6.4 網(wǎng)絡(luò)安全通信協(xié)議安全協(xié)議桂小林桂小林桂小林桂小林 32326.4 網(wǎng)絡(luò)安全通信協(xié)議TCP/IP安全分析由于TCP/IP協(xié)議簇在早期設(shè)計(jì)時(shí)是以面向

16、應(yīng)用為根本目的的，因此未能充分考慮到安全性及協(xié)議自身的脆弱性、不完備性，導(dǎo)致網(wǎng)絡(luò)中存在著許多可能遭受攻擊的漏洞。網(wǎng)絡(luò)層協(xié)議的安全隱患IP協(xié)議在實(shí)現(xiàn)通信的過(guò)程中并不能為數(shù)據(jù)提供完整性和機(jī)密性保護(hù)，缺少基于IP地址的身份認(rèn)證機(jī)制，容易遭到IP地址欺騙攻擊6.4 網(wǎng)絡(luò)安全通信協(xié)議TCP/IP安全分析桂小林桂小林桂小林桂小林 33336.4 網(wǎng)絡(luò)安全通信協(xié)議傳輸層協(xié)議的安全隱患TCP協(xié)議的安全隱患服務(wù)器端維持大量的半連接列表而耗費(fèi)一定的資源。序列號(hào)可計(jì)算UDP協(xié)議的安全隱患不確認(rèn)報(bào)文是否到達(dá)不進(jìn)行流量控制不作糾錯(cuò)和重傳6.4 網(wǎng)絡(luò)安全通信協(xié)議傳輸層協(xié)議的安全隱患 桂小林桂小林桂小林桂小林 34346.

17、4 網(wǎng)絡(luò)安全通信協(xié)議應(yīng)用層協(xié)議的安全隱患大部分協(xié)議以超級(jí)管理員的權(quán)限運(yùn)行，一旦這些程序存在安全漏洞且被攻擊者利用，極有可能取得整個(gè)系統(tǒng)的控制權(quán)。許多協(xié)議采用簡(jiǎn)單的身份認(rèn)證方式，并且在網(wǎng)絡(luò)中以明文方式傳輸。6.4 網(wǎng)絡(luò)安全通信協(xié)議應(yīng)用層協(xié)議的安全隱患桂小林桂小林桂小林桂小林 35356.4 網(wǎng)絡(luò)安全通信協(xié)議TCP/IP的安全體系結(jié)構(gòu)SNMPPGPS/MIMEPEMSETIKETELNETHTTPSX.509RIPv2SNMPv3BGP-4SSLTLSTCPUDPIPsec（AH）IPsec（ESP）IPPPTPL2TPPPPL2F硬件設(shè)備驅(qū)動(dòng)程序及介質(zhì)介入?yún)f(xié)議應(yīng)用層傳輸層網(wǎng)絡(luò)層鏈路層6.4 網(wǎng)絡(luò)

18、安全通信協(xié)議TCP/IP的安全體系結(jié)構(gòu) SNMP桂小林桂小林桂小林桂小林 36366.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議IPSec（IP Security）是IETF于1998年11月公布的IP安全標(biāo)準(zhǔn)，目標(biāo)是為IPv4和IPv6提供透明的安全服務(wù)。IPSec通過(guò)對(duì)IP協(xié)議的分組進(jìn)行加密和認(rèn)證來(lái)保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族，用于保證數(shù)據(jù)的機(jī)密性、來(lái)源可靠性、無(wú)連接的完整性并提供抗重播服務(wù)。6.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議桂小林桂小林桂小林桂小林 37376.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議IPSec的組成Authentication Header（AH，驗(yàn)證報(bào)頭）協(xié)議定義了認(rèn)證的應(yīng)用方

19、法，提供數(shù)據(jù)源認(rèn)證和完整性保證Encapsulating Security Payload（ESP，封裝安全有效負(fù)載）協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供可靠性保證Internet Key Exchange（IKE，密鑰的交換標(biāo)準(zhǔn)）協(xié)議用于密鑰交換6.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議桂小林桂小林桂小林桂小林 38386.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議IPSec的體系結(jié)構(gòu)6.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議桂小林桂小林桂小林桂小林 39396.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議IPSec的工作模式傳輸模式傳送模式用來(lái)保護(hù)上層協(xié)議，用于兩個(gè)主機(jī)之間端對(duì)端的通信隧道模式也稱通道模式，是用

20、來(lái)保護(hù)整個(gè)IP數(shù)據(jù)報(bào)，通常在SA的一端或是兩端都是安全網(wǎng)關(guān)時(shí)使用6.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議桂小林桂小林桂小林桂小林 40406.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議IPSec工作模式比較傳輸模式隧道模式AH驗(yàn)證IP有效載荷和IP報(bào)頭及IPv6擴(kuò)展報(bào)頭的選擇部分驗(yàn)證各個(gè)內(nèi)部的IP包（內(nèi)部報(bào)頭加上IP有效載荷），加上外部IP報(bào)頭和外部IPv6擴(kuò)展報(bào)頭的選擇部分ESP加密IP有效載荷和跟在ESP報(bào)頭后面的任何IPv6擴(kuò)展加密內(nèi)部IP包具有身份驗(yàn)證的ESP加密IP有效載荷和跟在ESP報(bào)頭后面的任何IPv6擴(kuò)展；驗(yàn)證IP有效載荷，但沒(méi)有IP報(bào)頭加密內(nèi)部IP包和驗(yàn)證內(nèi)部IP包6.4 網(wǎng)絡(luò)安全通信

21、協(xié)議IPSec協(xié)議傳輸模式隧道模式AH驗(yàn)桂小林桂小林桂小林桂小林 41416.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議安全關(guān)聯(lián)(Security Association，SA)為了正確封裝和提取IPsec的數(shù)據(jù)包，有必要采取一套專門的方案，將安全服務(wù)、密鑰等與要保護(hù)的通信數(shù)據(jù)聯(lián)系在一起，這樣的構(gòu)建方案稱為安全關(guān)聯(lián)。SA是發(fā)送者和接收者兩個(gè)IPsec系統(tǒng)之間的一個(gè)單向邏輯連接，若要在一個(gè)對(duì)等系統(tǒng)間進(jìn)行源和目的的雙向安全通信，則需要兩個(gè)SA。安全關(guān)聯(lián)SA通過(guò)一個(gè)三元組（安全參數(shù)索引SPI、目的IP地址和安全協(xié)議AH或ESP）來(lái)唯一標(biāo)識(shí)。6.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議桂小林桂小林桂小林桂小林 42

22、426.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議抗重播服務(wù)IPSec協(xié)議通過(guò)數(shù)據(jù)包使用一個(gè)序列號(hào)和一個(gè)滑動(dòng)的接收窗口實(shí)現(xiàn)抗重播服務(wù)每個(gè)IPSec頭內(nèi)，都包含了一個(gè)獨(dú)一無(wú)二、且單調(diào)遞增的序列號(hào)接收窗口的大小可為大于32的任何值，但推薦為64。從性能考慮，窗口大小最好是最終實(shí)施IPSec的那臺(tái)計(jì)算機(jī)的字長(zhǎng)度的整數(shù)倍6.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議桂小林桂小林桂小林桂小林 43436.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議ESP協(xié)議ESP的作用是提供機(jī)密性保護(hù)、有限的流機(jī)密性保護(hù)、無(wú)連接的完整性保護(hù)、數(shù)據(jù)源認(rèn)證和抗重放攻擊等安全服務(wù)ESP支持傳輸模式和隧道模式ESP可以單獨(dú)使用，也可以和AH結(jié)合使用。一

23、般ESP不對(duì)整個(gè)數(shù)據(jù)包加密，而是只加密IP包的有效載荷部分，不包括IP頭。但在端對(duì)端的隧道通信中，ESP需要對(duì)整個(gè)數(shù)據(jù)包加密6.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議桂小林桂小林桂小林桂小林 44446.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議ESP協(xié)議ESP報(bào)頭的結(jié)構(gòu)示意圖ESP的兩種工作模式6.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議ESP報(bào)頭的結(jié)構(gòu)示意圖桂小林桂小林桂小林桂小林 45456.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議AH協(xié)議AH協(xié)議用于為IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)包源地址驗(yàn)證和一些有限的抗重播服務(wù)與ESP協(xié)議相比，AH不提供對(duì)通信數(shù)據(jù)的加密服務(wù)，但能比ESP提供更加廣的數(shù)據(jù)驗(yàn)證服務(wù)AH工作原

24、理在每一個(gè)數(shù)據(jù)包上添加一個(gè)身份驗(yàn)證報(bào)頭。此報(bào)頭包含一個(gè)被加密的hash值（可以將其當(dāng)作數(shù)字簽名，只是它不使用證書），此hash值在整個(gè)數(shù)據(jù)包中計(jì)算，因此對(duì)數(shù)據(jù)的任何更改將導(dǎo)致hash值無(wú)效，這樣就提供了完整性保護(hù)。AH報(bào)頭位置在IP報(bào)頭和傳輸層協(xié)議頭之間。AH由協(xié)議號(hào)“51”標(biāo)識(shí)6.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議桂小林桂小林桂小林桂小林 46466.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議AH協(xié)議AH的報(bào)頭格式IP包在兩種模式下增加AH的位置和效果圖6.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議AH的報(bào)頭格式IP包在桂小林桂小林桂小林桂小林 47476.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議IKE協(xié)議IKE

25、協(xié)議是IPSec目前正式確定的密鑰交換協(xié)議IKE是一種混合型協(xié)議，由ISAKMP、Oakley和SKEME組成，沿用了ISAKMP的基礎(chǔ)，Oakley的模式以及SKEME的共享和密鑰更新技術(shù)使用了兩個(gè)交換階段，階段一用于建立IKE SA，階段二利用已建立的IKE SA為IPsec協(xié)商具體的一個(gè)或多個(gè)安全關(guān)聯(lián)，即建立IPsec SAIKE允許四種認(rèn)證方法，分別是基于數(shù)字簽名的認(rèn)證、基于公鑰加密的認(rèn)證、基于修訂的公鑰加密的認(rèn)證和基于預(yù)共享密鑰的認(rèn)證6.4 網(wǎng)絡(luò)安全通信協(xié)議IPSec協(xié)議桂小林桂小林桂小林桂小林 48486.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議SSL協(xié)議是一個(gè)傳輸層安全協(xié)議。SSL協(xié)議由N

26、etscape公司于1994年11月提出并率先實(shí)現(xiàn)，即SSL V2.0 Internet-Draft版本1996年3月推出了SSL V3.0 Internet-Draft版本,最終被IETF所采納，并制定為傳輸層安全標(biāo)準(zhǔn)。協(xié)議的目標(biāo)是保證兩個(gè)應(yīng)用間通信的保密性和可靠性，可在服務(wù)器和客戶機(jī)兩端同時(shí)實(shí)現(xiàn)支持優(yōu)勢(shì)在于它與應(yīng)用層協(xié)議獨(dú)立無(wú)關(guān)，高層的應(yīng)用層協(xié)議能透明的建立于SSL協(xié)議之上6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議桂小林桂小林桂小林桂小林 49496.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議SSL協(xié)議提供三方面服務(wù)認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取維護(hù)數(shù)據(jù)的完整

27、性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議桂小林桂小林桂小林桂小林 50506.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議SSL協(xié)議工作流程建立網(wǎng)絡(luò)連接選擇與該連接相關(guān)的加密方式和壓縮方式識(shí)別雙方的身份確定本次傳輸密鑰傳輸加密數(shù)據(jù)關(guān)閉網(wǎng)絡(luò)連接6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議桂小林桂小林桂小林桂小林 51516.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議SSL協(xié)議的分層結(jié)構(gòu)應(yīng)用層協(xié)議（HTTP、Telnet、FTP、SMTP等）SSL握手協(xié)議（Handshake Protocol）SSL記錄協(xié)議（Record Protocol）TCP協(xié)議IP協(xié)議SSL協(xié)議6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議應(yīng)用

28、層協(xié)議（HTTP、Te桂小林桂小林桂小林桂小林 52526.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議SSL記錄協(xié)議SSL記錄協(xié)議為每一個(gè)SSL連接提供以下兩種服務(wù)機(jī)密性(Confidentiality)：SSL記錄協(xié)議會(huì)協(xié)助雙方產(chǎn)生一把共有的密鑰，利用這把密鑰來(lái)對(duì)SSL所傳送的數(shù)據(jù)做傳統(tǒng)式加密。消息完整性(Message Integrity)：SSL記錄協(xié)議會(huì)協(xié)助雙方產(chǎn)生另一把共有的密鑰，利用這把密鑰來(lái)計(jì)算出消息認(rèn)證碼。6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議桂小林桂小林桂小林桂小林 53536.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議SSL記錄協(xié)議的運(yùn)作模式Application dataFragmentCompre

29、ssAdd MACEncryptAppend SSLrecord header6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議Application d桂小林桂小林桂小林桂小林 54546.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議SSL握手協(xié)議握手協(xié)議用來(lái)讓客戶端及服務(wù)器確認(rèn)彼此的身份。協(xié)助雙方選擇連接時(shí)所使用的加密算法、MAC算法、及相關(guān)密鑰握手協(xié)議由一些客戶與服務(wù)器交換的消息所構(gòu)成，每一個(gè)消息都含有以下三個(gè)字段類型(Type)，1個(gè)字節(jié)：表示消息的類型，總共有十種。長(zhǎng)度(Length)，3個(gè)字節(jié)：消息的位組長(zhǎng)度。內(nèi)容(Content)，大于或等于1個(gè)字節(jié)，與此消息有關(guān)的參數(shù)。6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議桂小

30、林桂小林桂小林桂小林 55556.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議SSL握手協(xié)議的消息類型消息種類參 數(shù)hello_requestclient_helloserver_hellocertificateserver_key_exchangecertificate_requestserver_donecertificate_verifyclient_key_exchangefinishedNull Version,random,session id,cipher suite,compression method Version,random,session id,cipher suite,compr

31、ession method 一連串的X.509 v3的證書 Parameters,signature Type,authorities Null Signature Parameters,signature Hash value 6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議消息種類參 數(shù)hell桂小林桂小林桂小林桂小林 56566.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議SSL握手過(guò)程6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議桂小林桂小林桂小林桂小林 57576.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議SSL協(xié)議安全性分析客戶端假冒SSL協(xié)議無(wú)法提供基于UDP應(yīng)用的安全保護(hù)SSL協(xié)議不能對(duì)抗通信流量分析針對(duì)基于公鑰加密標(biāo)準(zhǔn)(PKC

32、S)協(xié)議的自適應(yīng)選擇密文攻擊進(jìn)程中的主密鑰泄漏磁盤上的臨時(shí)文件可能遭受攻擊6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議桂小林桂小林桂小林桂小林 58586.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議SSL協(xié)議安全性分析不規(guī)范應(yīng)用引起的問(wèn)題對(duì)證書的攻擊和竊取中間人攻擊安全盲點(diǎn)IE瀏覽器的SSL身份鑒別缺陷6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議桂小林桂小林桂小林桂小林 59596.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議TLS協(xié)議提供保密性和數(shù)據(jù)完整性該協(xié)議由兩層組成TLS 記錄協(xié)議TLS 握手協(xié)議TLS協(xié)議三個(gè)階段對(duì)等協(xié)商支援的密鑰算法基于私鑰加密交換公鑰、基于PKI證書的身份認(rèn)證基于公鑰加密的數(shù)據(jù)傳輸保密。6.4 網(wǎng)絡(luò)安全通信協(xié)

33、議SSL協(xié)議桂小林桂小林桂小林桂小林 60606.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議TLS記錄協(xié)議的連個(gè)基本特性私有對(duì)稱加密用以數(shù)據(jù)加密（DES、RC4 等）。對(duì)稱加密所產(chǎn)生的密鑰對(duì)每個(gè)連接都是唯一的，且此密鑰基于另一個(gè)協(xié)議（如握手協(xié)議）協(xié)商可靠信息傳輸包括使用密鑰的MAC 進(jìn)行信息完整性檢查。6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議桂小林桂小林桂小林桂小林 61616.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議TLS握手協(xié)議三個(gè)基本屬性可以使用非對(duì)稱的或公共密鑰的密碼技術(shù)來(lái)認(rèn)證對(duì)等方的身份。該認(rèn)證是可選的，但至少需要一個(gè)結(jié)點(diǎn)方共享加密密鑰的協(xié)商是安全的對(duì)偷竊者來(lái)說(shuō)協(xié)商加密是難以獲得的。此外經(jīng)過(guò)認(rèn)證過(guò)的連接不能獲得

34、加密，即使是進(jìn)入連接中間的攻擊者也不能。協(xié)商是可靠的沒(méi)有經(jīng)過(guò)通信方成員的檢測(cè)，任何攻擊者都不能修改通信協(xié)商。6.4 網(wǎng)絡(luò)安全通信協(xié)議SSL協(xié)議桂小林桂小林桂小林桂小林 62626.4 網(wǎng)絡(luò)安全通信協(xié)議SSH協(xié)議協(xié)議結(jié)構(gòu)6.4 網(wǎng)絡(luò)安全通信協(xié)議SSH協(xié)議桂小林桂小林桂小林桂小林 63636.4 網(wǎng)絡(luò)安全通信協(xié)議SSH協(xié)議SSH傳輸層協(xié)議SSH傳輸層協(xié)議主要在不安全的網(wǎng)絡(luò)中為上層應(yīng)用提供一個(gè)加密的通信信道SSH傳輸層協(xié)議提供服務(wù)器身份認(rèn)證、通信加密、數(shù)據(jù)完整性效驗(yàn)以及數(shù)據(jù)壓縮等多項(xiàng)安全服務(wù)6.4 網(wǎng)絡(luò)安全通信協(xié)議SSH協(xié)議桂小林桂小林桂小林桂小林 64646.4 網(wǎng)絡(luò)安全通信協(xié)議SSH協(xié)議SSH傳

35、輸層協(xié)議流程6.4 網(wǎng)絡(luò)安全通信協(xié)議SSH協(xié)議桂小林桂小林桂小林桂小林 65656.4 網(wǎng)絡(luò)安全通信協(xié)議SSH協(xié)議SSH身份認(rèn)證協(xié)議SSH用戶認(rèn)證協(xié)議提供服務(wù)器對(duì)用戶的認(rèn)證三種認(rèn)證方式公鑰認(rèn)證方式口令認(rèn)證方式基于主機(jī)的認(rèn)證方式。連接協(xié)議主要功能是完成用戶請(qǐng)求的各種具體網(wǎng)絡(luò)服務(wù)6.4 網(wǎng)絡(luò)安全通信協(xié)議SSH協(xié)議桂小林桂小林桂小林桂小林 66666.4 網(wǎng)絡(luò)安全通信協(xié)議HTTPSHypertext Transfer Protocol over Secure Socket Layer由Netscape開發(fā)并內(nèi)置于其瀏覽器中，用于對(duì)數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果是以安全為目標(biāo)的HTT

36、P通道，是HTTP的安全版HTTPS的安全基礎(chǔ)是SSL6.4 網(wǎng)絡(luò)安全通信協(xié)議HTTPS桂小林桂小林桂小林桂小林 67676.4 網(wǎng)絡(luò)安全通信協(xié)議HTTPS訪問(wèn)網(wǎng)頁(yè)流程用戶：在瀏覽器的地址欄里輸入https:/HTTP層：將用戶需求翻譯成HTTP請(qǐng)求，如GET/index.htm HTTP/1.1 Host http:/SSL層:借助下層協(xié)議的的信道，安全的協(xié)商出一份加密密鑰，并用此密鑰來(lái)加密HTTP請(qǐng)求。TCP層：與web server的443端口建立連接，傳遞SSL處理后的數(shù)據(jù)。練習(xí)設(shè)置HTTPS6.4 網(wǎng)絡(luò)安全通信協(xié)議HTTPS桂小林桂小林桂小林桂小林 68686.4 網(wǎng)絡(luò)安全通信協(xié)議V

37、PN虛擬專用網(wǎng)（Virtual Private Network，VPN）通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道VPN是在公網(wǎng)中形成的企業(yè)專用鏈路6.4 網(wǎng)絡(luò)安全通信協(xié)議VPN桂小林桂小林桂小林桂小林 69696.4 網(wǎng)絡(luò)安全通信協(xié)議VPNVPN的基本功能加密數(shù)據(jù)信息驗(yàn)證和身份識(shí)別訪問(wèn)控制地址管理密鑰管理多協(xié)議支持6.4 網(wǎng)絡(luò)安全通信協(xié)議VPN桂小林桂小林桂小林桂小林 70706.4 網(wǎng)絡(luò)安全通信協(xié)議VPNVPN采用的安全技術(shù)隧道技術(shù)點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）第二層隧道協(xié)議（L2TP）加解密技術(shù)密鑰管理技術(shù)使用者與設(shè)備身份認(rèn)證技術(shù)6

38、.4 網(wǎng)絡(luò)安全通信協(xié)議VPN桂小林桂小林桂小林桂小林 71716.4 網(wǎng)絡(luò)安全通信協(xié)議VPNIPSec VPN6.4 網(wǎng)絡(luò)安全通信協(xié)議VPN桂小林桂小林桂小林桂小林 72726.4 網(wǎng)絡(luò)安全通信協(xié)議VPNVPN的類型按應(yīng)用方式撥號(hào)VPN專用VPN按VPN協(xié)議第二層隧道協(xié)議第三層隧道協(xié)議部署模式端到端(End-to-End)模式供應(yīng)商企業(yè)(Provider-Enterprise)模式內(nèi)部供應(yīng)商(Intra-Provider)模式6.4 網(wǎng)絡(luò)安全通信協(xié)議VPN桂小林桂小林桂小林桂小林 73736.4 網(wǎng)絡(luò)安全通信協(xié)議VPNVPN的類型按照服務(wù)類型InternetVPN(內(nèi)部網(wǎng)VPN)AccessV

39、PN(遠(yuǎn)程訪問(wèn)VPN)ExtranetVPN(外聯(lián)網(wǎng)VPN)InternetVPNAccessVPNExtranetVPN6.4 網(wǎng)絡(luò)安全通信協(xié)議VPNInternetVPNAcce桂小林桂小林桂小林桂小林 74746.4 網(wǎng)絡(luò)安全通信協(xié)議VPNSSL VPN部署和管理費(fèi)用低，在安全性和為用戶提供更多便利性方面優(yōu)于傳統(tǒng)IPSecVPNSSL VPN安全性客戶端接入的安全性數(shù)據(jù)傳輸?shù)陌踩詢?nèi)部資源訪問(wèn)的安全性SSL VPN三種模式Web瀏覽器模式客戶端模式LAN 到LAN 模式6.4 網(wǎng)絡(luò)安全通信協(xié)議VPN桂小林桂小林桂小林桂小林 7575 76766.6 本章小結(jié)本章介紹了網(wǎng)絡(luò)與系統(tǒng)安全的概念以及存在的安全威脅概述了惡意攻擊的概念，分析了惡意攻擊的來(lái)源。從惡意攻擊本身、惡意攻擊的檢測(cè)、防護(hù)和安全協(xié)議四個(gè)方面全方位的介紹了惡意攻擊介紹了入侵檢測(cè)相關(guān)概念、方法和系統(tǒng)以及蜜罐和蜜網(wǎng)技術(shù)結(jié)合實(shí)際案例介紹了攻擊防護(hù)中常用的防火墻技術(shù)、病毒查殺技術(shù)和沙箱技術(shù)介紹了幾種主要的網(wǎng)絡(luò)安全通信協(xié)議 766.6 本章小結(jié) 本章介紹了網(wǎng)絡(luò)與系統(tǒng)安全的概念以及存桂小林桂小林桂小林桂小林 7676