【计算机网络安全】网络通信安全.pptVIP

网络通信安全 第三章 网络通信安全 第一节 网络通信的安全性 第二节 网络通信存在的安全威胁 第三节 调制解调器的安全 第四节 IP安全 知识点 网络通信线路的安全、不同层的安全 网络通信存在的安全威胁 调制解调器的安全 IP安全 难 点 不同层的安全 IP安全机制 要求 熟练掌握以下内容： 网络通信线路的安全 传输过程中的威胁 IP的基础知识、IP安全 调制解调器的安全 了解以下内容： 不同层的安全 RAS的安全性 第一节 网络通信的安全性 线路安全 不同层的安全 3.1.1 线路安全 电缆加压技术：提供了安全的通信线路。不是将电缆埋在地下，而是架线于整座楼中，每寸电缆都暴露在外。如果任何人企图割电缆，监视器会自动报警，通知安全保卫人员电缆有可能被破坏。如果有人成功地在电缆上接上了自己的通讯设备，安全人员定期检查电缆的总长度，就会发现电缆的拼接处。加压电缆是屏蔽在波纹铝钢包皮中的，因此几乎没有电磁辐射，如果要用电磁感应窃密，势必会动用大量可见的设备，因此很容易被发觉。 光纤通讯线：曾被认为是不可搭线窃听的，因为其断列或者破坏处会立即被检测到，拼接处的传输会令人难以忍受的缓慢。光纤没有电磁辐射，所以也不可能有电磁感应窃密。不幸的是光纤的最大长度有限制，长于这一最大长度的光纤系统必须定期地放大信号，这就需要将信号转换成电脉冲，然后再恢复成光脉冲，继续通过另一条线传送。完成这一操作的设备（复制器）是光纤通讯系统的安全薄弱环节，因为信号可能在这一环节被搭线窃听。有两个办法可以解决这个问题：距离大于最大长度限制的系统间，不要用光纤通信（目前，网络覆盖范围半径约100公里），或者加强复制器的安全（如用加压电缆、警卫、报警系统等）。 3.1.2 不同层的安全 1. Internet层的安全性 2. 传输层的安全性 3. 应用层的安全性 第二节 网络通信存在的安全威胁 传输过程中的威胁 TCP/IP协议的脆弱性 3.2.1 传输过程中的威胁 1. 截获 2. 窃听 3. 篡改 4. 伪造： 3.2.2 TCP/IP协议的脆弱性 1. 易被窃听和欺骗 2. 脆弱的TCP/IP服务 3. 缺乏安全策略 4. 复杂的系统配置 第三节 调制解调器的安全 拨号调制解调器访问安全 RAS的安全性概述 3.3.1 拨号调制解调器访问安全 1. 使用一次性口令 2. 基于位置的身份验证 3. 设置回呼安全机制 4. 增加核实身份服务器 5. 不传播拨号号码 6. 防范通过调制调解器对Windows NT的RAS访问带来的安全隐患 3.3.2 RAS的安全性概述 Windows NT的远程访问服务（RAS）给用户提供了一种远程用调制解调器访问远程网络的功能，当用户通过远程访问服务连接到远程网络当中，电话线就变得透明了，用户可以访问所有资源，就像他们坐在办公室进而访问这资源一样，RAS 调制解调器起着像网卡一样的作用。 在Windows NT操作系统域中，主域控制器是通过RAS服务器实现其安全性的。RAS服务器只允许合法的域用户访问，并且对已认证和注册的信息加密。 通过在RAS客户和RAS服务器之间连接一个中间的安全性主机，而使为RAS配置另一个级别的安全机制成为可能。 第四节 IP安全  有关IP的基础知识 IP安全 安全关联（SA） IP安全机制 3.4.1 有关IP的基础知识 （1）IP地址 在Internet上，每台计算机或路由器都有一个由授权机构分配的号码，这就是IP地址。 （2）IP协议 IP协议是国际网络协议，由于它对底层网络硬件几乎没有任何要求，因此具有适应各种各样的网络硬件的灵活性。 3.4.2 IP安全 IP安全主要包括： 间接访问控制支持 无连接完整性 数据源认证 防止IP包重放／重排的保护 机密性 有限话务流的秘密性 3.4.3 安全关联（SA） 安全关联是单向网络连接，只使用一种IP安全协议（即AH或ESP）。如果AH和ESP都需要，则每种协议都要有一个SA。相应地，在双向连接中，每个方向上都有一个单独的SA。这种方法为在各种服务中、不同方向上及各种通讯节点上选择安全属性（如密码算法及密钥）提供了灵活性。 3.4.4 IP安全机制 1. 认证头 IP认证头是一种安全机制，它为IP包提供