国家信息安全技术水平考试.pptVIP

* * IPSec协议（一） IPSec细则首先于1995年在互联网标准草案中颁布 IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全 IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证 IPSec协议（二） IPSec提供三种形式来保护通过IP网络传送的私有数据 数据认证--可以确定所接受的数据与所发送的数据在数据完整性方面是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的 完整--保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变 机密性--使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容 IPv6 从IPv4向IPv6过渡 IPv6发展现状 从IPv4向IPv6过渡 通过双协议栈实现过渡 双协议栈是保证能对IPv6和IPv4服务访问的关键 双协议栈方案的工作方式 如果应用程序使用的目的地址是IPv4地址，则使用IPv4协议； 如果应用程序使用的目的地址是IPv6中的IPv4兼容地址，则同样使用IPv4协议，所不同的是，此时IPv6就封装（encapsulated）在IPv4当中； 如果应用程序使用的目的地址是一个非IPv4兼容的IPv6地址，那么此时将使用IPv6协议，而且很可能此时要采用隧道等机制来进行路由、传送； 如果应用程序使用域名来作为目标地址，那么此时先要从DNS服务器那里得到相应的IPv4/IPv6地址，然后根据地址的情况进行相应的处理。 IPv6技术 隧道技术 翻译器技术 隧道技术 所谓隧道，就是在一方将IPv6的包封装在IPv4包里，然后在目的地将其解封，得到IPv6包 翻译器技术 IPv6的特点 与原有的IPv4相比，IPv6有如下优点 更大的地址：将32比特的地址增大为128比特； 灵活的首部格式：IPv6使用一种全新的不兼容的数据报格式 增强的选项：IPv6允许数据报包含可选的控制信息，也可以提供新的设施 支持资源分配：IPv6允许对网络资源的预分配，这些新的机制支持实时视像等应用 对协议扩展的保障：允许协议新增特性，这样协议就从要全面描述所有细节的状况中摆脱出来 IPv6数据报的一般形式 基本首部 扩展首部1 …. 扩展首部N 数据…. 可选的 具有多个首部的IPv6数据报的一般形式。只有基本 首部是必需的，扩展首部是可选的。 IPv6基本首部格式 数据报首部的变化反映了协议的变化 对齐已经从32比特的整数倍改为64比特的整数倍 取消了首部长度自段，数据报长度字段被PAYLOAD LENGTH字段所取代。 源地址和目的地址字段的大小都被增加成每个字段16个八位组 分片信息已从基本首部的固定字段移到了一个扩展首部中 TIME-TO-LIVE字段改为HOP LIMIT字段 SERVICE TYPE字段改为FLOW LABEL字段 PROTOCOL字段改为一个新的字段，用来指明下一个首部的类型 IPv6的扩展首部 IPv6的扩展首部同IPv4的任选项相似 每个数据报包含的扩展首部只提供那些它所需要使用的设施 IPv6数据报的分析 基本首部 TCP报文段 基本首部 基本首部 路由首部 路由首部 TCP报文段 TCP报文段 Auth首部 (a) (b) (c) IPv6的分片和重组 当数据报要穿越某个网络，而数据报的长度对该网络的MTU又太大时，IPv4要求中间的路由器对数据报进行分片，而在IPv6中，分片被限制为由最初的源站来完成。IPv6基本首部中并不像IPv4首部那样包含有用于分片的字段，而是在需要分片时，源站便在每每一数据报片的基本首部之后插入一个小的扩展首部 下一首部 保留 片偏移 MF 数据报标识符 端到端分片的后果 该方法可以减少路由器的开销,并允许路由器在单位时间内处理更多的帧 改变了Internet 的基本假设 使用端到端分片的互联网协议要求发送端发现到达每个目的站的路径MTU，并将发出的大于此路径MTU的数据报分片。端到端的分片并不适应用于路由变更 IPv6地址空间的大小 在IPv6中每个地址占据16个八位组,是一个IPv4地址长度的四倍。可以承受任何合理的地址分配策略 地球上的每个人都可以具有足够的地址来构成他们各自的、像目前这个Internet一样大的互联网 一个16个八位组的整数可以容纳2128个值，因此地址空间大于3.4*1038。如果每秒分配一百万个地址的速率进行，需要二十年的时间才有可能分配完 三种基本IPv6地址类型 报文的目的地址可以归为以下三类之一 单播（Unicast）：目的地址指明一个单一的计算机（主机或路由器）；数据报将选择一条最短的路径到达目的站 群集（Cluster）：目的站是共享一个地址前缀的计算机的集合（如，挂在同一个