信息技术--赵泽茂--第九章.pptVIP

9.4.4 安全封装载荷　　由于认证信息只能确保数据包的来源和完整性，而不能为IP数据包提供机密性保护，因此，需要引入机密性服务，这就是安全封装载荷(简称ESP)，其协议代号为50。　　1. ESP的功能　　 ESP主要支持IP数据包的机密性，它将需要保护的用户数据进行加密后再封装到新的IP数据包中。另外，ESP也可提供认证服务，但与AH相比，二者的认证范围不同，ESP只认证ESP头之后的信息，比认证的范围要小。 图 9-4-5 ESP的格式 　　2. ESP的格式　　 ESP的格式在RFC 2406中有明确的规定(如图9-4-5所示)，由7个字段组成: 　　(1) 安全参数索引(SPI): 被用来指定加密算法和密钥信息，是经过认证但未被加密的。　　如果SPI本身被加密，接收方就无法确定相应的安全关联(SA)。 (2) 序列号: 是一个增量的计数值，用于防止重传攻击。SN是经过认证但未被加密的，这是为了在解密前就可以判断该数据包是否是重复数据包，不至于为解密耗费大量的计算资源。 9.2.2 传输层的安全协议　　传输层的安全协议有SSL、TLS、SOCKS v5等。Netscape公司开发的SSL(Secure Socket　Layer)协议是安全套接层协议，是一种安全通信协议。 　　SSL是为客户端/服务器之间的HTTP协议提供加密的安全协议，作为标准被集成在浏览器上。SSL位于传输层与应用层之间，并非是Web专用的安全协议，也能为Telnet、SMTP、 FTP等其他协议所应用，但SSL只能用于TCP，不能用于UDP。　　TLS是SSL通用化的加密协议，由IETF标准化。 9.3节将详细介绍SSL协议和TLS协议。 　　SOCKS v4是为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议的客户端/服务器应用提供的协议。SOCKS v5扩展了SOCKS v4以使其支持UDP，扩展了框架以包含一般的强安全认证方案，扩展了寻址方案以包括域名和IPv6地址，此协议在传输层及应用层之间进行操作。 9.2.3 网络层的安全协议　　IPSec协议是在网络层上实现的具有加密、认证功能的安全协议，由IETF标准化，它既适合于IP v4，也适合于IP v6。IPSec协议能够为所有基于TCP/IP协议的应用提供安全服务。9.4节将详细介绍IPSec协议。 9.2.4 网络接口层的安全协议　　网络接口层的安全协议主要有PPTP、L2F、L2TP等。　　1. PPTP　　PPTP(点到点隧道协议)是由微软、朗讯和3COM等公司推出的协议标准，是集成在Windows NT 4.0、Windows 98等系统上的点对点的安全协议，它使用扩展的GRE(GenericRouting Encapsulation，通用路由封装)协议封装PPP分组，通过在IP网上建立的隧道来透明传送PPP帧。PPTP在逻辑上延伸了PPP会话，从而形成了虚拟的远程拨号。 　　PPTP是目前较为流行的第二层隧道协议，它可以建立PC到LAN的VPN连接，满足了日益增多的内部职员异地办公的需要。PPTP提供给PPTP客户机和PPTP服务器之间的加密通信功能主要是通过PPP协议来实现的，因此PPTP并不为认证和加密指定专用算法，而是提供了一个协商算法时所用的框架。这个协商框架并不是PPTP专用的，而是建立在现有的PPP 协商可选项、挑战握手认证协议(CHAP)以及其他一些PPP 的增强和扩展协议基础上的。  　　2. L2F 　　L2F是第二层转发协议，是由Cisco Systems 建议的标准。它在RFC 2341中定义，是基于ISP的、为远程接入服务器RAS提供VPN功能的协议。它是1998年标准化的远程访问VPN的协议。　　3. L2TP　　1996年6月，Microsoft和CISCO 向IETF PPP扩展工作组(PPPEXT)提交了一个MS-PPTP和Cisco L2F协议的联合版本，该提议被命名为第二层隧道协议(L2TP)。L2TP是综合了PPTP和L2F等协议的另一个基于数据链路层的隧道协议，它继承了L2F的格式和PPTP中的最出色的部分。 　　实际上，L2TP和PPTP十分相似，主要的区别在于，PPTP只能在IP网络上传输，而L2TP实现了PPP帧在IP、X.25、帧中继及ATM等多种网络上的传输; 同时，L2TP提供了较为完善的身份认证机制，而PPTP的身份鉴别完全依赖于PPP协议。 　　为传输层提供安全保护的协议主要有SSL和TLS。 TLS用于在两个通信应用程序之间提供保密性和数据完整性服务。 9.3