网络安全理论与应用第九章.ppt

第九章 IP安全性与IPSec 前两章我们介绍的网络中的认证以及电子邮件的安全性。考虑的是特定应用系统的安全性。另外各应用系统的安全性还需从协议层加以考虑。 IP层的安全性（简称IPSec）包括认证性、保密性和密钥管理三个方面。认证可以保证收到的数据报的确是由数据报头所标识的数据源发来的，且可保证数据报在传输期间未被篡改；保密性可保证数据在传输期间不被第三方窃听；密钥管理则解决密钥的安全交换。 9.1 IP协议简介 为考虑IP的安全性，我们首先对IP协议即因特网协议作一简要介绍。 TCP/IP协议族的体系结构 TCP/IP的层次 TCP和UDP IP和IPv6 TCP/IP的层次 应用层 主机到主机层或运输层 互联网层 网络接入层 物理层 TCP/IP的层次 物理层（physical layer） 物理层定义了数据传输设备（比如工作站、计算机）和传输媒体或网络间的接口。这一层涉及到对于传输媒体特性、信号特性、数据速率和相关内容的确定。 TCP/IP的层次 网络接入层（network access layer） 网络接入层关心的是一个端系统和它连接的网络之间的数据交换。在这一层使用具体软件依赖于所使用的网络类型。 将有关网络接入的功能划分到一个单独层次中可以使得网络接入层以上的其他通信软件不必关心它们所使用网络的具体细节。 TCP/IP的层次 互联网层（internet layer） 互联网络层使数据穿过多个互连的网络。 互联网协议（IP）用在这一层提供越过多个网络的选路功能。这个协议在端系统和路由器中都要实现。路由器就是一个连接多个网络的处理机，其主要功能是将数据沿着源端系统到目的端系统的路径，从一个网络转送到另一个网络。 TCP/IP的层次 主机到主机层（host-to-host layer）或传输层（transport layer） 通常我们希望数据的传送可靠无误，实现可靠传送的机制与应用程序的特性实质上是无关的，因此，将这种机制集中到一个层次以便使所有的应用程序共享。 传输控制协议TCP（Transmission Control Protocl）时提供这项功能最常用的协议。 TCP/IP的层次 应用层（application layer） 应用层包括支持用户应用程序所需的逻辑功能。 TCP和UDP TCP为应用程序提供可靠的连接。 TCP和UDP UDP（User Datagram Protocol）用户数据报协议为应用曾提供无连接服务，也不保证按序传送以及不重复传送。 IP和IPv6 IP IP和IPv6 IPv6 为什么要使用IPv6 Internet 的巨大成功正在为它自身带来麻烦。 人们的上网 时间不断增长，上网人数在激增，能上网的计算机也越来越多。甚至邮政局也开始把因特网业务看作主要任务。因为 TCP/IP协议是最主要的网上通信协议。 目前采用的IP协议是1981年批准的，它由分成四个八位共计32位字节组成。 我们把它叫做IPv4。按IPv4 的32为寻址来说，这意味着总的地址会有40亿。当然，世界上的计算机还没有达到40亿台。由于IPv4的分类方式不合理，使得大部分已经分配的地址没有使用。这就造成IP地址将分配完按照现有情况发展，IPV4地址全球乐观估计 2009年耗尽，悲观估计2004年耗尽IPV4地址分配：美国64%，亚洲地区8%。 为什么要使用IPv6 IPv6具备下列特性： 1）更多的地址位128位，这样地址空间不会用完。 到2020年，地球上有100亿人，每人100台以上的计算机，68位二进制可通过1012个网络连接1015台计算机。 2) 更灵活的结构和组织方式，不再使用类的概念而使用无类型域间选路 CIDR(Classless InterDomain Routing ) 3) 新的地址分配方案，以便减少路由器上路由表的大小和增加CIDR的性能。 4) Internet的全球寻址和Intranet 的本地寻址。 IPv6 的优势 可扩展性 对接入网: 由于IPv6具有巨大的地址空间，每个接入设备（数量可达数十亿的移动终端，家用电器等等）都可以拥有一个全球唯一的，可被路由的IP地址 对核心网络: 基于ISP的结构化的IP地址，使得核心路由器只需要查看地址域中的一小部分就可以作出路由选择 对基于IP的应用和服务: 由于IP协议自身的模块化和灵活性，很容易实现新的服务并使之能适应未来的需求 IPv6 的优势 安全性 对所有IPv6节点， IPSec是强制实现的，因此当建立一个IPv6的连接时，可以得到一个安全的端到端连接 对通讯对端的验证和对数据的加密保护使