组网技术与网络管理（第二版） 教学课件 作者 978 7 302 19418 7 ch12.pptVIP

在小册子 SSL采用公众钥匙技术识别对方身份，受验证方须持有某发证机关(CA)的证书(certificate)，其中内含其持有者的公众钥匙，CA的签名可证明该公众钥匙的合法性，而持有者的私有钥匙和证书即可证明自己的身份，在实际应用上，SSL要求服务器至少得持有CA颁发的证书，客户端可选择性的持有自己的证书，此种做法主要在于保护一般用户不会被欺骗。 12.4 网络安全协议 12.4.2 SSL协议 灵活简洁的IP是Internet传播得如此迅速的主要原因。但是这种简洁产生了一个重大的问题：缺少IP基础的安全机制。IP网络的弱点促进了对防火墙的需求和其他形式的网络安全。目前，由IETF提出的一种新的协议IPSec(IP安全协议)，瞄准了直接在IP上最终解决安全问题。IPSec提供3个主要范围上的安全：鉴定性，它用于验证正在通信的个体；完整性，它用于确保数据不被改变；保密性，它用于确保数据不被截获和查看。 1. IPSec简介 IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上层提供访问控制、数据源认证、数据加密等网络安全服务。IPSec的安全特性主要有以下几个方面： 12.4.3 IPSec协议 12.4 网络安全协议 不可否认性 反重播性 数据完整性 数据可靠性(加密) 认证数据源发送信任状，由接收方验证信任状的合法性，只有通过认证的系统才可以建立通信连接。 12.4 网络安全协议 12.4.3 IPSec协议 2. IPSec基本工作原理 IPSec的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展，如图12-4所示。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配，当找到一个相匹配的规则时，包过滤防火墙就按照该规则制订的方法对接收到的IP数据包进行处理。这里的处理工作只有两种：丢弃或转发。其工作原理图如下所示： 12.4 网络安全协议 12.4.3 IPSec协议 IPSec通过查询SPD(Security Po1icy Database安全策略数据库)决定对接收到的IP数据包进行处理。但是，IPSec不同于包过滤防火墙的是：对IP数据包的处理方法除了丢弃和直接转发(绕过IPSec)外，还有一种即进行IPSec处理。正是这个新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。 12.4 网络安全协议 12.4.3 IPSec协议 12.4 网络安全协议 12.4.3 IPSec协议 进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，也可以拒绝某个内部站点对某些外部网站的访问。但是，包过滤防火墙不能保证从内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性、真实性、完整性，通过Internet进行安全的通信才成为可能。 IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施两者。但无论是进行加密还是进行认证，IPSec都有两种工作模式：一种是与其前一节提到的协议工作方式类似的隧道模式；另一种是传输模式。 3. IPSec中的3个主要协议 为了进行加密和认证，IPSec还需要有密钥的管理和交换的功能，以便向加密和认证提供所需要的密钥，并对密钥的使用进行管理。以上3方面的工作分别由AH，ESP和IKE 3个协议进行规定。为了介绍这3个协议，首先需要引人一个术语：SA(Securlty Association，安全关联)。所谓安全关联指的是安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA，而IKE的主要功能就是建立和维护SA。主要实现AH和ESP提供对SA的支持。 12.4 网络安全协议 12.4.3 IPSec协议 对使用的协议、加密算法和密钥进行协商。