组网技术与网络管理（第二版） 作者 978-7-302-19418-7 ch12.pptVIP

在小册子 12.4.1 SSH 12.4 网络安全协议 SSH是Secure Shell的缩写，是一种为了在不安全的网络上提供安全的远程登录和安全的网络服务而设计的协议。它包括以下3个主要部分： (1)传输层协议提供一些认证、信任和完整性。 (2)用户认证协议层认证连接到服务器的客户端用户。 (3)当安全的传输层连接建立之后，客户端将发送一个服务请求。 SSL与应用协定无关，在它之上可以叠加各种网路应用，而SSL对于这些应用是透明的。 SSL双方利用公众钥匙(public key)技术识别对方的身份，SSL支持一般的公众钥匙演算法，例如RSA、DSS。 SSL连接是受加密保护的，双方在连线建立之初即商定一个用以对后续连线加密的秘密钥匙(secret key)及加密演算法，例如DES或RC4。 SSL连线是可信赖的，SSL在所传输的每段信息中附有用于验证讯息完整性(integrity)的讯息认证码(MAC)，SSL支持一般用于产生MAC的碎映(hash)函式，例如SHA、MD5。 12.4.2 SSL协议 12.4 网络安全协议 SSL(Secure Socket Layer)是Netscape公司提出的Internet安全标准，由于SSL应用范畴广泛、且颇具弹性，许多国际知名厂商的多数产品都支持此协定，包括微软的，而IETF也正在考虑将SSL纳入Internet的标准。 SSL的目的是在网络应用软件之间提供安全、可信赖的传输服务，安全表示透过SSL建立的连线，可以防范外界任何可能的窃听或监控，可信赖表示经由SSL连线传输的资料不会失真，SSL的特色如下： SSL采用公众钥匙技术识别对方身份，受验证方须持有某发证机关(CA)的证书(certificate)，其中内含其持有者的公众钥匙，CA的签名可证明该公众钥匙的合法性，而持有者的私有钥匙和证书即可证明自己的身份，在实际应用上，SSL要求服务器至少得持有CA颁发的证书，客户端可选择性的持有自己的证书，此种做法主要在于保护一般用户不会被欺骗。 12.4 网络安全协议 12.4.2 SSL协议 灵活简洁的IP是Internet传播得如此迅速的主要原因。但是这种简洁产生了一个重大的问题：缺少IP基础的安全机制。IP网络的弱点促进了对防火墙的需求和其他形式的网络安全。目前，由IETF提出的一种新的协议IPSec(IP安全协议)，瞄准了直接在IP上最终解决安全问题。IPSec提供3个主要范围上的安全：鉴定性，它用于验证正在通信的个体；完整性，它用于确保数据不被改变；保密性，它用于确保数据不被截获和查看。 1. IPSec简介 IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上层提供访问控制、数据源认证、数据加密等网络安全服务。IPSec的安全特性主要有以下几个方面： 12.4.3 IPSec协议 12.4 网络安全协议 不可否认性 反重播性 数据完整性 数据可靠性(加密) 认证数据源发送信任状，由接收方验证信任状的合法性，只有通过认证的系统才可以建立通信连接。 12.4 网络安全协议 12.4.3 IPSec协议 2. IPSec基本工作原理 IPSec的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展，如图12-4所示。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配，当找到一个相匹配的规则时，包过滤防火墙就按照该规则制订的方法对接收到的IP数据包进行处理。这里的处理工作只有两种：丢弃或转发。其工作原理图如下所示： 12.4 网络安全协议 12.4.3 IPSec协议 IPSec通过查询SPD(Security Po1icy Database安全策略数据库)决定对接收到的IP数据包进行处理。但是，IPSec不同于包过滤防火墙的是：对IP数据包的处理方法除了丢弃和直接转发(绕过IPSec)外，还有一种即进行IPSec处理。正是这个新增添的处理方法提供了比包过滤防火墙