计算机网络管理和安全.pptVIP

* 第12章 内容提纲 12.1 计算机网络的管理 12.2 简单网络管理协议SNMP 12.3 计算机网络的安全 12.4 数字加密技术 12.5 网络安全策略 12.6 虚拟专用网 12.7 因特网的安全协议 ? * 12.7 因特网的安全协议12.7.1 网络层安全协议 关于因特网网络层安全最重要的请求评论是［RFC 2401］和［RFC 2411］。前者描述IP安全体系结构，后者提供IPsec协议族的概述。 IPsec是“IP安全协议”的缩写。 IPsec最主要的两个协议是：鉴别首部AH协议和封装安全有效载荷ESP协议。AH提供源点鉴别和数据完整性功能，但不能保密；ESP提供源点鉴别、数据完整性和加密，比AH要复杂得多。IPsec支持IPv4和IPv6。这两个协议同时存在。 * 12.7.1 网络层安全协议(续1) 1、安全关联 安全关联SA（security association）是指在发送端与接收端之间存在的单向关系，它向所承载的通信量提供安全服务。 安全关联必须在使用AH和ESP协议之前事先建立。 一个安全关联需有以下三个参数： ① 安全参数索引SPI 是一个分配给该SA的位串(32位)，仅在本地有意义。 ② IP目的地址 是SA的目的端地址(一个端用户系统或网络系统)，如防火墙或路由器。目前只允许单播地址。 ③ 安全协议标识符 指出该关联是一个AH的安全关联，还是ESP的安全关联。 * 12.7.1 网络层安全协议(续2) 2、鉴别首部协议 鉴别首部协议AH为数据的完整性和IP分组的鉴别提供了支持。 鉴别首部的格式。 下一个首部 净负荷长度 保留 安全参数索引 序号 鉴别数据(变长) 0 8 16 31 IP首部 AH首部 协议=51 原数据报数据部分 * 12.7.1 网络层安全协议(续3) 鉴别首部的组成 下一个首部(8位) 标识接在本首部后面的下一个首部的类型(如TCP或UDP)。 净负荷长度(8位) 以32位字为单位的鉴别首部的长度减去2。 保留(16位) 留待后用。 安全参数索引(32位) 标识一个安全关联。 序号(32位) 表示一个计数值。 鉴别数据(可变长) 一个可变长度的字段，但必须是32位字的整数倍。 * 12.7.1 网络层安全协议(续4) 3、封装安全有效净载荷协议 封装安全净负荷协议ESP可提供加密服务，包括对报文内容的加密以及受限的通信流量加密。它作为一个可选特性，它还可以提供与鉴别首部相同的鉴别服务。 封装安全净负荷分组的格式 * 12.7.1 网络层安全协议(续5) 封装安全净负荷分组的组成 安全参数索引(32位) 标识一个安全关联。 序号(32位) 表示一个计数值。 净负荷数据(可变长) 它是需要被加密保护的运输层报文（运输方式）或IP分组(隧道方式)。 填充(0～255字节) 因加密算法的需要，使明文是8位的整数倍。 填充长度(8位) 指出填充字段所填字节的数量。 下一个首部(8位) 通过标识净负荷中的第一个首部(如Ipv6中的扩展首部)来标识包含在该净负荷数据字段中的数据类型。 鉴别数据(可变长) 一个可变长度的字段，但必须是32位字的整数倍。 * 12.7.1 网络层安全协议(续6) 4、两种使用方式 运输方式 主要为上层协议提供支持，对IP分组(指TCP或UDP的报文段，或ICMP分组)进行加密。在典型情况下，运输方式用于两个主机之间的端对端的通信。 运输方式的AH鉴别IP净负荷，以及被选择的部分IP首部。运输方式的ESP对IP净负荷加密，并可选择地鉴别IP净负荷，但并不对IP首部进行处理。 隧道方式 采用隧道技术对整个IP分组提供安全保护。隧道方式的AH鉴别整个内层IP分组以及被选择的部分外层IP首部。隧道方式的ESP加密可选择地鉴别整个内部IP分组。 * 12.7.1 网络层安全协议(续7) ESP的两种使用方式 协议=50 IP首部 原数据报数据部分 ESP首部 鉴别数据 鉴别范围 加密部分 ESP尾部 (a)运输方式 协议=50 新IP首部 原数据报数据部分 鉴别数据 鉴别范围 加密部分 ESP尾部 ESP首部 原IP首部 (b)隧道方式 * 12.7.2 运输层安全协议 因特网商务就是通过因特网来进行的商务活动，如购物、订票、股票交易等应用，都迫切需要安全的连接。 因特网在商务安全方面有两个协议，即安全套接字层SSL(Secure Socket Layer)和安全电子交易(Secure Electronic Transaction)。 * 12.7.2 运输层安全协议