网络安全协议概述(PPT 93页).ppt

密钥管理（IKE）并非IPSec专有，其他协议也可以用IKE进行具体的安全服务。在IPSec模型中，使用IPSec保护一个数据报之前，必须先建立一个SA，SA可以手工创建，也可以自动建立。在自动建立SA时，要使用IKE协议。IKE代表IPSec与SA进行协商，并将协商好的SA填入SAD中。 * IKE协议主要是对密钥交换进行管理，它主要包括四个功能： 1、协商服务：对使用的协议、加密算法和密钥进行协商。 2、身份认证服务：对参与协商的身份进行认证，确保身份的合法性。 3、密钥的管理：对协商的结果进行管理。 4、安全交换：产生和交换所有密钥的信息。 * IKE是一种混合型协议，它建立在以下三个协议基础上： 1、ISAKMP：它是一种密钥交换框架，独立于具体的密钥交换协议。在这个框架上，可以支持不同的密钥交换协议。 2、OAKLEY：描述了一系列的密钥交换模式，以及每种模式所提供服务的细节，如身份保护和认证等。 3、SKEME：描述了一种通用的密钥交换技术。这种技术提供了基于公钥的身份认证和快速密钥刷新。 * VPN-IPSec拓扑结构 * 用户在使用图6.12所示的VPN-IPSec拓扑结构中的IPSec安全隧道时，应按以下步骤进行： （1）用户终端与VPN虚拟专用网上的安全网关进行物理联接； （2）用户终端通过DHCP动态主机分配方式，动态获取一个专用的IP地址。注意：此IP地址在通过安全隧道通信之前要做动态变动。此IP地址在未变动前，先作为用户外出包的源地址和进入用户的进入包的目的地址； 3）进入IKE的初始化阶段，一个部门和输入数据的信息，首先通过IPSec的安全性参考SPI索引，自动选择AH协议或者ESP协议，选择加密算法、密钥和密钥的相应生存周期，进行了以上初始化定义后。 * （4）进行安全关联SA处理。在IKE第一阶段，终端与网关之间只有一对交互数据包，在IKE的第二阶段会生成满足双方请求相应的四对交互数据包； （5）经过IKE的两个阶段后，就建成动态的专用安全隧道，此后进入和输出的数据包都要通过不同的SPI进行标识； （6）安全隧道建成后，安全网关又通过DHCP为用户终端分配一个防窃取的IP地址，供用户及对方使用。 * 6.4 传输层安全协议SSL/TSL SSL(Secure Sockets Layer?安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。SSL协议建立在运输层和应用层之间，是提供客户和服务器双方网络应用安全通信的开放式协议。SSL协议是一个分层协议，由两层组成：SSL握手协议和SSL记录协议。其中记录协议在握手协议的下端。 * 其中Handshake Protocol用来协商密钥，协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。 * SSL/TLS可提供3中基本的安全功能服务： 信息加密。加密技术既有对称加密技术DES、IDEA，也有非对称加密技术RSA。加密数据可防止数据中途被窃取。 身份认证。认证的算法包括RSA（数字签名技术）、DSA（数字签名算法）、ECDSA（椭圆曲线数字签名算法）。SSL协议要求在握手交换数据前进行验证，为的是确保用户的合法性。认证用户和服务器从而确保数据发送到正确的客户机和服务器。 信息完整性校验。发送方通过散列函数产生的消息验证码（MAC），接收方验证MAC来保证信息的完整性。维护数据的完整性，确保数据在传输过程中不被改变。 * SSL握手协议是位于SSL记录协议之上的主要子协议，包含两个阶段。 第一阶段用于交换密钥等信息，通信双方通过相互发送HELLO消息进行初始化。通过HELLO消息，就有足够的信息确定是否需要一个新的密钥。 如果本次会话是建立在一个已有的连接上，双方则进入握手协议的第二阶段；如果本次会话是一个新会话，则需要产生新的密钥，双方需要进入密钥交换过程。此时服务器方的SERVER—HELLO消息将包含足够的信息使客户方产生一个新的密钥。 第二阶段用于用户身份认证。通常服务器方向客户方发出认证请求消息，客户方在收到该请求后，发出自己的证书，并等待服务器的应答。服务器如果收到客户的证书，则返回成功的消息，否则返回错误的消息。至此，握手协议结束。 *