6.3安全协议IPSec.ppt

* 第6章 Internet的基础设施安全 6.3 安全协议IPSec 6.3.1 IP协议简介 IP协议是位于ISO七层协议中网络层的协议，它实现了Internet中自动路由的功能，即寻径的功能。IP维系着整个TCP/IP协议的体系结构。除了数据链路层外，TCP/IP协议栈的所有协议都是以IP数据报的形式传输的。IP允许主机直接向数据链路层发送数据包， 这些数据包最终会进入物理网络，然后可能通过不同的网络传送到目的地。IP提供无连接的服务，在无连接的服务中，每个数据报都包含完整的目的地址并且路由相互独立，这样，使用无连接的服务时，数据报到达目的地的顺序可能与发送方发送的顺序不同。 TCP/IP协议有两种IP版本： 版本4(IPv4)和版本6(IPv6)。 我们现在使用的是IPv4， 最新的IPv6可以解决地址紧缺的问题， 而IPSec技术则为保护IP通信的安全提供了一个可行的解决方案， 它适合上面的两种IP版本。 6.3.2 下一代IP-IPv6 近年来随着通信业的高速发展，中国已经成为通信技术和应用发展的主要市场。2002年11月30日，中国移动电话用户已达到了2亿，固定电话的普及率为31.99%，互联网用户则为4829万。 由此，我国现有的IPv4已经不能满足网络市场对地址空间、端到端的IP连接、 服务质量、网络安全和移动性能的要求。因此， 以IPv6为核心技术的下一代网络在中国正越来越受到重视。 IPv6（Internet Protocol Version 6，Internet协议版本6）如表6.1所示， 它是Internet协议的最新版本，已作为IP的一部分并被许多主要的操作系统所支持。 IPv6也被称为“IPng”（下一代IP），它对现行的IP（版本4）进行了重大的改进。使用IPv4和IPv6的网络主机和中间结点可以处理IP协议中任何一层的包。 用户和服务商可以直接安装IPv6而不用对系统进行什么重大的修改。相对于版本4新版本的最大改进在于将IP地址从32位改为128位，这一改进是为了适应网络快速的发展对IP地址的需求，也从根本上改变了IP地址短缺的问题。可以预见，IPv6可以为未来10～15年左右分配足够的IP地址。 IPv6的改进有：简化IPv4首部字段，被删除或者成为可选字段，减少了一般情况下包的处理开销以及IPv6首部占用的带宽。 IP 首部选项编码方式的修改导致了更加高效的传输，在选项长度方面少了更多的限制，在将来引入新的选项时有了更强的适应性。加入一个新的能力，使得那些发送者要求特殊处理的传输流的包能够贴上标签，比如非缺省质量的服务或者实时服务。 为支持认证、数据完整性以及（可选的）数据保密的扩展都在IPv6中说明。 IPv6定义在RFC2373(IP Version 6 Addressing Architecture, 1998.7)， RFC2374(An IPv6, Aggregatable Global Unicast Address Format 1998.7)， RFC2375(IPv6 Multicast Address Assignments, 1998.7)和RFC2492(IPv6 Over ATM Network, 1999)中。 很显然IPv6(128位)和IPv4(32位)是有区别的， 因为它有8个16位地址段， 而IPv4有4个8位地址。 除了这个明显区别外，IPv6使用了一个不同的方式来表示它的编码。 表6.1 IPv6地址表示方法 请记住，可以使用一套双冒号(::)来替代许多组的16位0，从而可以避免在一个IPv6地址的一部分位置输入一整串0。同样这套双冒号在一个地址中只能使用一次，一般用来压缩开始或者结尾部分的0，因此，不会有这样的地址::10::(假如你想表示0:0:0:０:0:0:10:0:0:0)。  IPv6推广的复杂性来自于路由器和其它的网络设备。现在的路由器要么只支持IPv4，要么只支持IPv6，从来不会支持两种。 所以在网络技术有了新的发现和发明或者大规模部署IPv6路由设备之前，要广泛使用IPv6仍然需要几年的时间。 6.3.3 IP安全协议IPSec的用途 IP数据包本质上是不安全的。伪造IP地址，篡改IP数据报的内容，重放旧的内容，监测传输中的数据包的内容都是比较容易的。因此，既不能保证一个IP数据报确实来自它声称的来源，也不能保证IP数据报在从发源到目的地的传输过程中没有被第三方篡改或者窥视。  设计IPSec是为了给IPv4和IPv6数据提供高质量的、可互