第的九章 IPv6网络管理技术.ppt

密码功能和密钥管理基础设施 加密和身份验证算法：重要的密码功能大致有5类，包括 对称加密：采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密。常用的对称加密有：DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES算法等 公共密钥加密：使用两个不同的密钥：加密密钥和解密密钥。前者公开，简称公钥。后者保密，简称私钥。这两个密钥是数学相关的，用某用户加密密钥加密后所得的信息只能用该用户的解密密钥才能解密。RSA算法（由发明者Rivest，Shmir和Adleman姓氏首字母缩写而来）是著名的公开密钥加密算法。 密钥交换：在Internet这样的开放信道上要实现秘密共享难度很大。但是很有必要实现对共享秘密的处理，因为两个实体之间需要共享用于加密的密钥。共享密钥有一些重要的加密算法，是以对除预定接受者之外的任何人都保密的方式来实现的。典型的密钥交换协议是IKE（Internet Key Exchange），用于实现IPsec中的SA。 安全散列：散列是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。SHA是公认的最安全的散列算法之一。 数字签名：公共密钥加密RSA+安全散列SHA 安全性关联： 安全关联(SecurityAssociation,SA)是IPSec的基本概念。安全性关联包含能够唯一标识一个安全性连接的数据组合。连接是单方向的，每个SA由目的地址和安全性参数索引( SPI)来定义。SPI是说明使用SA的IP头类型，如AH或ESP。SPI为3 2位，用于对SA进行标识及区分同一个目的地址所链接的多个SA。进行安全通信的两个系统有两个不同的SA，每个目的地址对应一个。 每个SA还包括与连接协商的安全性类型相关的多个信息。这意味着系统必须了解其SA、 与SA目的主机所协商的加密或身份验证算法的类型、密钥长度和密钥生存期。 密钥管理 密钥管理不仅包括使用密钥协议来分发密钥，还包括在通信系统之间对密钥的长度、生存期和密钥算法进行协商。 ISAKMP（Internet Security Association Key Management Protocol，Internet安全联盟密钥管理协议）为密钥的安全交换定义了整个基本构架。是一个应用协议，协议中定义了用于系统之间协商密钥交换的不同类型报文，它在传输层使用UDP。 但是ISAKMP只是特定机制所使用的框架，而没有定义实际完成交换的机制和算法。 人工密钥管理也是一个重要选项，而且在很多情况下是唯一的选项。 实现Ipsec IPSec用于保护IP数据报。它不一定要涉及用户或应用。用户无需注意所有的数据报在发送到Internet之前，需要进行加密或身份验证，所有的加密数据报都要由另一端的主机正确地解密。 实现IPsec的方式 将IPSec作为IPv4栈或IPv6栈的一部分来实现 将IP安全性支持引入IP网络栈，并且作为任何IP实现的一个必备部分。但是，这种方法也要求对整个实体栈进行更新以反映上述改变。 将IPSec作为“栈中的一块” ( BITS)来实现 将特殊的IPSec代码插入到网络栈中，在现有IP网络软件之下、本地链路软件之上。换言之，这种方法通过一段软件来实现安全性，该软件截获从现有IP栈向本地链路层接口传送的数据报，对这些数据报进行必要的安全性处理，然后再交给链路层。这种方法可用于将现有系统升级为支持IPSec的系统，且不要求重写原有的IP栈软件。 将IPSec作为“线路的一块” ( BITW )来实现 使用外部加密硬件来执行安全性处理功能。该硬件设备通常是作为一种路由器使用的IP设备，或者是安全性网关，此网关为位于它后面的所有系统发送的IP数据报服务。如果这样的设备只用于一个主机，其工作情况与BITS方法类似，但如果一个BITW设备为多个系统服务，实现相对要复杂得多。 上述方法的适用情况不同。要求高级别安全性的应用最好使用硬件方法实现；而如果系统不具备与新的IPSec兼容的网络栈，应用最好选择BITS方法。 1. QoS简介 QoS（Quality of Service，服务质量）是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。 现在的路由器一般均支持QoS。 在IP网上实现实时多媒体应用的问题焦点便集中在了如何传输这些时延敏感的业务上。IPv4网络无法保障实时多媒体业务服务质量，因此在IP网上实现QoS的机制已成为网络研究热点。 QoS在IPv4网络中是可选项，而在IPv6网络中是必选项。 IPv6数据包中包含一个8位的业务流类别（Traffic Class）和20位的流标签（Flow Label）。 在RFC1883中定义了4位的优先级字段，可以区分16个不同的优先级。 允许发送业务流的源节点和转