第12章 网络安全协议及VPN.ppt

　　内容导读　　应用安全技术构建网络安全协议并进而采用安全协议进行通信，是保护网络通信安全的客观要求。ISO/IEC 7498-2给出了OSI参考模型七层协议之上的信息安全体系结构。依据该体系结构与TCP/IP协议簇的映射关系，科研人员针对不同的网络层研制了大量特制的安全协议。用户具体要在哪个层次上应用哪个协议，要依赖于具体应用的安全目标和协议所能实现的功能。 　　网络层安全协议簇IPSec使用共享密钥为数据传输提供安全服务。AH协议主要用来实现数据完整性服务，而ESP协议除提供完整性服务外，还提供保密性服务。共享密钥和安全算法的选取是通过执行IKE协议构建安全关联SA实现的。IPSec有传输模式和隧道模式两种实现方式，隧道模式是实现VPN的主要途径之一。 　　传输层安全协议簇SSL/TLS主要用于保护Web通信。部署SSL/TLS证书是保证网银系统和电子商务网站通信安全的最佳解决方案。 12.1 网络安全协议概述 OSI(Open Systems Interconnection)标准由ISO(International Standard Organization)与ITU(International Telecommunication Union)联合制定，将开放互连网络用7层描述，并通过相应的7层协议实现系统间的相互连接。 ISO/IEC 7498-2(GB/T 9387.2—1995)给出了OSI参考模型的七层协议之上的信息安全体系结构，这是一个普遍适用的安全体系结构，对具体网络环境的信息安全体系结构具有重要指导意义。该标准定义了五大类安全服务和实现这些服务的八类基本安全机制和普遍性安全机制，给出了各种安全服务在OSI模型的七层协议中相应的参考位置(见表12-1)。 表12-1 OSI协议层与相关安全服务 TCP/IP协议簇是Internet的事实通信标准。由于TCP/IP协议簇在早期设计时是以面向应用为根本目的的，因此未能充分考虑到安全性及协议自身的脆弱性、不完备性，导致网络中存在着许多可能遭受攻击的漏洞。例如，网络层协议IP在实现通信的过程中并不能为数据提供完整性和机密性保护，缺少基于IP地址的身份认证机制，容易遭到IP地址欺骗攻击；在使用传输层协议TCP进行通信时，存在服务器端需维持大量的半连接列表而耗费一定的资源、序列号可计算等安全隐患； 　　在使用传输层协议UDP进行通信时，不确认报文是否到达，不进行流量控制，不作纠错和重传；大部分应用层协议需要以超级管理员的权限运行，一旦这些程序存在安全漏洞且被攻击者利用，极有可能取得整个系统的控制权，许多协议采用简单的身份认证方式，并且在网络中以明文方式传输。 将ISO7498-2建议的OSI参考模型上的信息安全体系结构映射到TCP/IP协议簇上，我们可得到TCP/IP协议层的网络安全体系结构，见表12-2。 表12-2 ISO7498-2到TCP/IP的映射 根据TCP/IP协议簇的上述安全体系结构，科研人员研制了大量特制的安全协议，专门用来保障网络各个层次的安全，见表12-3。用户具体要在哪个层次上应用安全措施，要依赖于应用(程序)对安全保密的要求和协议本身所能实现的功能。值得指出的是，有些场合可能需要在多个网络层实现安全服务以实现增强安全的效果。 表12-3 网络层次与相关安全通信协议 所谓构建虚拟专用网(Virtual Private Network，VPN)，就是利用上述某个安全协议，实现在公用网络上构建私人专用网络。“虚拟”主要是指这种网络是一种逻辑上的网络。目前实现VPN的几种主要技术及相关协议都已经非常成熟，并且都有广泛应用，尤其以L2TP、IPSec和 SSL协议应用最广。 12.2 网络层安全协议IPSec 网络层的安全性应达到以下几个标准：① 期望安全的用户能够使用基于密码学的安全机制；② 能同时适用于IPv4和IPv6；③ 算法独立；④ 有利于实现不同的安全策略；⑤ 对没有采用该机制的用户不会有负面影响。 IPSec(IP Security)协议簇产生于IPv6的制定之中，目的是提供IP层的安全性。IPSec通过支持一系列的加密算法来确保通信双方数据的机密性和完整性。IPSec协议簇对IPv4和IPv6都可用，只是在IPv6中更易于实现。 IPSec协议簇主要包含AH(Authentication Header，验证报头)和ESP(Encapsulating Security Payload，封装安全有效负载)两个安全协议。其中AH协议提供数据源认证和完整性保证；ESP协议除具有AH协议的功能外，还可