五计算机网络.pptVIP

安全关联 SA(Security Association) 在使用 AH 或 ESP 之前，先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联 SA。 IPsec 就将传统的因特网无连接的网络层转换为具有逻辑连接的层。 2)安全关联 安全关联是一个单向连接。它由一个三元组惟一地确定，包括： (1) 安全协议（使用 AH 或 ESP）的标识符 (2) 此单向连接的源 IP 地址 (3) 一个 32 bit 的连接标识符，称为安全参数索引 SPI (Security Parameter Index) 对于一个给定的安全关联 SA，每一个 Ipsec 数据报都有一个存放 SPI 的字段。通过此 SA 的所有数据报都使用同样的 SPI 值。 3). 鉴别首部 AH 在使用鉴别首部 AH 时，将 AH 首部插在原数据报数据部分的前面，同时将 IP 首部中的协议字段置为 51。 在传输过程中，中间的路由器都不查看 AH 首部。当数据报到达目的站时，目的站主机才处理 AH 字段，以鉴别源主机和检查数据报的完整性。 IP 首部 AH 首部 TCP/UDP 报文段 协议 = 51 可鉴别的 IP 数据报 原数据报的数据部分 AH 首部 (1) 下一个首部(8 bit)。标志紧接着本首部的下一个首部的类型（如 TCP 或 UDP）。 (2) 有效载荷长度(8 bit)，即鉴别数据字段的长度，以 32 bit 字为单位。 (3) 安全参数索引 SPI (32 bit)。标志安全关联。 (4) 序号(32 bit)。鉴别数据字段的长度，以32 bit字为单位。 (5) 保留(16 bit)。为今后用。 (6) 鉴别数据(可变)。为 32 bit 字的整数倍，它包含了经数字签名的报文摘要。因此可用来鉴别源主机和检查 IP 数据报的完整性。 4). 封装安全有效载荷 ESP 在 ESP 首部中有标识一个安全关联的安全参数索引 SPI (32 bit)，和序号(32 bit)。 在 ESP 尾部中有下一个首部（8 bit，作用和 AH 首部的一样）。ESP 尾部和原来数据报的数据部分一起进行加密，因此攻击者无法得知所使用的运输层协议。 ESP 的鉴别数据和 AH 中的鉴别数据是一样的。因此，用 ESP 封装的数据报既有鉴别源站和检查数据报完整性的功能，又能提供保密。 在 IP 数据报中的ESP 的各字段 IP 首部 ESP 首部 TCP/UDP 报文段 协议 = 50 可鉴别的保密的 IP 数据报 原数据报的数据部分 ESP 尾部 ESP 鉴别数据 加密的部分 鉴别的部分 10 防火墙(firewall) 防火墙是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。 防火墙内的网络称为“可信赖的网络”(trusted network)，而将外部的因特网称为“不可信赖的网络”(untrusted network)。 防火墙可用来解决内联网和外联网的安全问题。 防火墙在互连网络中的位置 G 内联网 可信赖的网络 不可信赖的网络 分组过滤 路由器 R 分组过滤 路由器 R 应用网关 外局域网 内局域网 防火墙 因特网 防火墙的功能 防火墙的功能有两个：阻止和允许。 “阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。 “允许”的功能与“阻止”恰好相反。 防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。 防火墙技术一般分为两类 (1) 网络级防火墙——用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据，而后者则是检查用户的登录是否合法。 (2) 应用级防火墙——从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止 FTP 应用的通过。 公开密钥算法的特点 (2) 加密密钥是公开的，但不能用它来解密，即 DPK(EPK(X)) ? X (6) (3) 在计算机上可容易地产生成对的 PK 和 SK。 (4) 从已知的 PK 实际上不可能推导出 SK，即从 PK 到 SK 是“计算上不可能的”。 (5) 加密和解密算法都是公开的。 公开密钥密码体制 接收者 发送者 E 加密算法 D 解密算法 加密密钥 PK 解密密钥 SK 明文 X 密文 Y = EPK(X) 密钥对 产生源 明文 X = DSK(EPK(X)) 3.2 RSA 公开