网络安全与信息加密技术第二十章概论.pptxVIP

Internet社团开发了各种应用的安全机制，如电子邮件(S/MIME，PGP)，客户端/服务器(Kerberos)，Web访问(SSL)等。然而，用户还有与协议层相关的安全需求。例如：企业为了确保内部IP网络的安全性和隐私性，它可能会不允许链接不信任站点，并对向外发出的数据包加密以及对进来的数据包认证。通过实现IP级安全性，企业不仅可以保护各种带有安全机制的应用，而且可以保护许多无安全机制的应用。 IP级安全性包括三个方面的内容：认证、保密和密钥管理。认证机制不仅要确保收到的包是由包头部所标志的源端发出，还要确保该包在传输过程中未被篡改。保密性是将消息加密后传送，防止第三方窃听。密钥管理机制与密钥的安全交换有关。;1994年Internet结构委员会(IAB)在报告中提出了“因特网结构中的安全性”(RFC 1636)问题。该报告定义了安全机制中的关键领域。在这些领域中包含保障网络??础设施使网络通信免于在未认证情况下被监控，以及保证终端用户到终端用户之间使用认证和密码机制通信。 为了提供安全性，IAB将认证和加密作为下一代IP(即IPv6)中必要的安全特性。幸运的是，这些安全特性可以同时在IPv4和IPv6中使用。这意味着生产商可以现在就提供这样的安全性能，而事实上很多厂商也已将IPsec的性能加入到产品中。IPsec规范现在已经有了一系列的Internet标准。;IPsec的应用 IPsec提供了在LAN、WAN和Internet中安全通信的能力。其用途包括如下方面： 分支机构通过Internet安全互连：一个公司可以在Internet和共用WAN上建立安全的虚拟专用网，使得依赖于Internet的交易成为可能，并减少了对专用网络的需求，节省了开销和网络管理费用。 远程安全访问Internet：使用了IP安全协议的终端用户可以通过本地访问Internet服务提供商(ISP)，以获得对公司网络的安全访问，减少了远程通信的费用。 与合作者建立外联网和内联网联系：使用IPsec可以与其他组织进行安全通信，确保认证、保密并提供密钥交换机制。;加强电子商务的安全性：虽然一些Web和电子商务应用程序是建立在安全协议之上的，但是用IPsec能加强其安全性。IPsec通过在应用层附加一个安全层来保证任何由网络管理员指定的通信都是经过加密和认证的。 IPsec能支持各种应用的关键在于它可以在IP层加密和(或)认证所有流量，这样就可以保护所有的分布应用，包括远程登录、客户/服务器，e-mail、文件传输、Web访问等。 下图是IPsec的一个典型工作示意图。;;一个使用LAN的组织可以分布在各地。非安全的IP流量在各LAN内部使用，通过专用或公用WAN的外部流量则使用IPsec协议。这些协议在网络设备，如路由器或防火墙中运行，它们将各LAN与外部世界相连。IPsec网络设备将对所有进入WAN的流量加密、压缩，并解密和解压来自WAN的流量，这些操作对LAN上的工作站和服务器是透明的。当然，对于使用拨号上网的个人用户也可以进行安全传输。这些用户的工作站就必须使用IPsec协议提供安全保障。;IPsec的优点 IPsec的优点如下所述： 当防火墙或路由器使用IPsec时，它能对通过其边界的所有通信提供强安全保障。而公司或工作组内部的通信不会导致与安全处理相关的开销。 防火墙内的IPsec能阻止所有外部流量的旁路，因为防火墙是从Internet进入组织内部的唯一通道。 位于传输层(TCP、UDP)之下的IPsec对所有应用都是透明的。因此，当防火墙或路由器使用IPsec时，不需要对用户系统或服务系统做任何改变，即使在终端系统中使用IPsec，也不需要改变上层的软件和应用。 IPsec可以对终端用户透明，不需要对用户进行安全机制培训，如对每个用户分配一个密钥，在用户离开组织时收回密钥等。;如果需要，IPsec可以为个体用户提供安全性。这对上网上班族非常有用，它可以在进行敏感应用程序时为用户和企业之间建立一个虚拟子网。 路由应用 除了支持终端用户和保护上述系统和网络外，IPsec在Internet的路由结构中扮演了一个非常重要的角色。参考文献列举了使用IPsec的例子，IPsec确保： 路由广播(一个新的路由器公告它的存在)来自于授权路由器。 邻居广播(路由器寻找建立或维护与其他路由区域中路由器的相邻关系)来源于授权路由器。 重定向报文来源于发送包的初始路由器。 路由更新无法伪造。;没有以上安全措施，攻击者可以中断通信或转发某些流量。路由协议如开放式最短路径优先(OSPF)必须在用IPsec安全协议的路由器上运行。 IPsec文档 IPsec包含三个功能领域：认证、保密和密钥管理。这个IPsec规范是由数十个RFC文档和IETF草案文档组成的，这使得掌握