《13网络安全理论与技术（第十三讲）》.pdf

网络安全理论与技术网络安全理论与技术 张卫东 西安电子科技大学通信工程学院信息工程系 E-mail: xd_zwd@ 1 IPSec隧道协议 VPN——IP通信保护神 IETF (因特网工程工作组) 为 IP 网络层制订的安全标准。 强制包含在 IPv6 版本，在IPv4 版本可选择。 IPSec 是由Internet Engineering Task Force (IETF) 设计的作为基于设计的作为基于IPIP 通信环境下一种端到端的保证数据通信环境下一种端到端的保证数据 安全的机制。 IPSec不是一个单独的协议，而是一组协 议，整个IPSec 结构由一系列的RFC 文档定义，主要有 RFCs 2401~2412, 1826和1827。 IPSec 包含两个安全协议和一个密钥管理协议。 IPSec 协议的定义文件包括12个RFC 文件和几十 个个InternetInternet草案草案。 IPSec协议已经成为工业标准的网络安全协议。 IPSec 保证了支持IPSec协议的所有产品之间 的互操作性的互操作性。。IPSecIPSec 协议以标准加密技术为协议以标准加密技术为 基础，例如IPSec使用： (1) DES 和其它分组加密算法来加密数据； ((22)) 键值哈希算法键值哈希算法(HMAC(HMAC, MDMD55, SHA)SHA)来认证数据包来认证数据包；； (3) 验证公钥有效性的数字证书技术。 IPSec 协 议 IPSec是一套开放的，基于标准的安全体 系结构系结构(htt(http:////))，它提供它提供了大量大量 的安全特性，如： ● 提供认证，加密，数据完整性和抗重放保护； ● 加密密钥的安全产生和自动更新； ● 使用强加密算法来保证安全性； ●● 支持基于证书的认证支持基于证书的认证；； ● 支持下一代加密算法和密钥交换协议； ●● 为为LL22TPTP和和PPTPPPTP远程接入隧道协议提供安全性远程接入隧道协议提供安全性。 IPSec安全体系结构体现了很好的互操作能 力力。。只要实现得当只要实现得当，，它并不会影响那些不支持它并不会影响那些不支持 VPN 的网络或主机。 IPSecIPSec使用当今最好的加密算法使用当今最好的加密算法。我们通常我们通常 称IPSec 协议所使用的特定算法实现为一个变换 (Transform)(Transform) 。例如例如，ESPESP 协议所使用的协议所使用的DESDES 算法算法 称为ESP DES–CBC 变换。这些变换以及协议 由由一系列的系列的RFCRFC和互联网草案定义和发布和互联网草案定义和发布。 (详见http: ///htm1.charters.ipsec-charter.htm1) IPSec体系结构 IPSec安全体系 ESP协议 AH协议 加密算法 验证算法 解释域(DOI) IKE协议（密钥管理） IPSec 不是一个单独的协议，而是一套 协议包协议包，包括包括三个基本协议个基本协议： AHAH 协议提供信息源验证和完整性保证协议提供信息源验证和完整性保证；； ESP 协议提供信息源验证、机密性和完整 性保证性保证 ； 密钥管理协议（ ISAKMP ）提供双方交流 时的共享安全信息时的共享安全信息。 认证报头协议(Auth