网络安全协议浅析.pptVIP

* * IPSec的优越性： 1） IPSec具有更好的兼容性。 2）比高层安全协议的性能更好，实现起来更方便；比底层安全协议更能适应通信介质的多样性。 3）系统开销小。 4）透明性。 5）开放性。 IPSec安全协议定义了如何通过在IP数据包中增加扩展头和字段来保证IP包的秘密性、可认证性和完整性。 * * 4.4.2 IPSec体系结构 IPSec也是由多个子协议组成，将几种安全技术结合形成一个比较完整的安全体系结构。它是由因特网密钥交换协议（IKE：Internet Key Exchange）、认证头（Authentication Header，AH）以及安全封装载荷（Encapsulating Security Payload，ESP）三个子协议组成。 IPSec通过在IP协议中增加两个基于密码的安全机制——认证头和安全封装载荷来支持IP数据段的秘密性、可认证性和完整性。通过IP安全协议和密钥管理协议构建起IP层安全体系结构的框架，以保护所有基于IP的服务和应用。当这些安全机制正确实现时，它不会对用户、主机和其他未采用这些安全机制的Internet部件产生负面影响。由于这些安全机制是独立于算法的，所以在选择和改变算法时也不会影响其它部分的实现，对用户和上层应用是透明的。 * * 1）因特网密钥交换协议（IKE）：用于动态建立安全关联（SA：Security Association），所谓SA是通信对等方中间对某些要素的一种协定。IKE协议主要是对密钥交换进行管理，它主要包括三个功能：对使用的协议、加密算法和密钥进行协商；方便的密钥交换机制(这可能需要周期性的进行)；跟踪对以上这些约定的实施。 2）认证头（AH）：设计AH协议的主要目的是用来增加数据完整性的认证机制，为IP数据流提供高强度的密码认证，以确保修改过的数据包可以被检查出来。通过它可以防止地址欺骗攻击和重发攻击。它支持的散列算法是HMAC－MD5－96，HMAC－SHA－1－96。 3）安全封装载荷（ESP）：设计ESP协议的主要目的是提供IP数据包的安全性。ESP的作用是提供机密性、数据完整性、数据源认证和抗重播保护等安全服务。ESP支持的加密算法有：3DES，RC5，IDEA，三密钥三重IDEA，CAST，Blowfish，支持的散列算法有HMAC－MD5－96，HMAC－SHA－1－96。 IPSec各个子协议的功能 * * IPSec体系结构模型 TCP/UDP 传输层 IPSec驱动程序 受保护的IP数据包 TCP/UDP 传输层 IPSec驱动程序 IKE SA对 主机A IKE SA对 主机B 网络层 SA协商 * * 4.4.3 基于IPSec的虚拟专用网 IPSec作为网络层安全协议，产生于IPv6的制定之中，用于提供IP层的安全性。 目前IPSec最主要的应用是构建安全虚拟专用网（VPN，Virtual Private Network）。VPN是利用开放的公众网络资源建立私有数据传输通道，将远程的分支机构、商业伙伴、移动办公人员等连接起来，并且提供安全的端到端的数据通信的一种广域网技术。VPN有两层含义：它是“虚拟的”，即建立隧道或虚电路把不同的物理网络或设备连接起来，不再使用物理的专线建立专用网，而是将其建立在分布广泛的公共网络上，如Internet；它是“专用的”，对基于IPSec的VPN而言，是一组连接的闭合用户群（CVC），它不仅具有服务质量（QoS）的保证，而且更多地强调安全服务。VPN是企业网在公共网络上的无缝延伸，VPN可将位于不同地点的远程用户、分支机构和合作伙伴等连接起来。 * * VPN是当前企业最大限度的利用Internet进行安全经济商务活动的最佳解决方案。安全是构建VPN的首要考虑问题，IPSec是实现VPN安全性的关键技术，并已成为VPN国际标准，IPSec为VPN的可互操作性、安全网络管理和通信提供了一个安全手段。 * * 4.4.4 IPSec的应用举例 建立和实现IPSec的过程： 1）建立域或本地计算机策略，制定哪些网络通信需要是安全的，以及如何处理安全性。 2）根据这些策略，IPSec将建立一组筛选器，以决定需要安全地传输哪些网络数据包。 3）当IPSec从发送应用程序到接收一系列需要安全传输地网络数据包时，发送计算机将这种情况传递到接收计算机。两台计算机将根据IPSec策略交换证书，并验证彼此的身份。 4）在验证了身份之后，两台计算机将商定一个算法，每一台计算机都将生成同一个私钥，而不必在网络上传输密钥，这同样是根据IPSec策略进行的。 5）发送计算机使用私钥加密所传输的数据包，加上数字签名，这样接收计算机就知道是谁发送数据包，然后传输数据包。 6）接收计算机验