网络通信安全.pptVIP

abcdefghi abc def ghi abc TCP def TCP ghi TCP TCP Application data uvw TCP IP IPSec xyz TCP IP IPSec lmn TCP IP IPSec IP/IPSec Data in TCP/IPSec/IP 2. 安全关联（SA) 为使通信双方的认证/加密算法及其参数、密钥的一致，相互间建立的联系被称为安全组合或安全关联（Security Association）。 关联是发送方和接收方之间的单向关系，如果双向安全交换需要一个同级关系，那么就需要两个安全关联。 SA由一个三元组唯一地标识，该三元组为安全索引参数SPI、一个用于输出处理的目的IP地址（或用于输入处理的源IP地址）和协议（如AH或ESP）。 SPI是为了唯一标识SA而生成的一个32位整数。包含在AH头标和ESP头标中。有了SPI，相同源、目的节点的数据流可以建立多个SA。 3. 认证头标AH 认证（鉴别）头标AH（Authentication Header）提供无连接的完整性、数据源认证和抗重放保护服务。 4.加密头标ESP ESP（Encapsulating Security Payload）提供数据保密、无连接完整性服务。 ESP一般采用对称密码体制加密数据。 根据用户要求，该机制可以用来给传送层的段加密（如TCP、用户数据报协议——UDP或ICMP），或者给整个IP分组加密。前者叫作传送模式ESP，后者叫作隧道模式ESP。 图4-2 传送模式下IP报文加密 图4-3 隧道模式下IP报文加密 5．鉴别与保密的综合 鉴别与保密这两种IP安全机制可以综合运用，以传输要求保密和鉴别的IP分组。有两种综合方案可供选择。 先加密，后鉴别 在这种情况下，要鉴别整个IP分组，包括加密的和未加密的部分。 2) 软件式VPN 由生产厂商和协作厂商提供的VPN应用程序可执行加密、隧道建立与身份辨识，让用户通过VPN与企业内部网络相连。这种技术可使现有设备继续沿用，即将软件安装在现有的服务器上，不需变动网络组态。另外，程序可与现有的网络操作系统的身份辨识服务相连，可大幅简化VPN的管理工作。 3) 防火墙式VPN 许多企业以防火墙为Internet安全措施的核心，用来防范黑客的攻击。许多防火墙厂商已在它们的产品中支持VPN服务，保护用户的内部网络免于被未授权的用户侵入。一个良好的防火墙可以根据用户、应用程序和传输源辨识通信流。 这种作法的好处是现有网络架构保持不变，就可以管理VPN服务所用的接口，而且与原来管理防火墙时使用的接口相同。因为加密与建立隧道等VPN服务都是由软件来处理的，从而进一步提高了效能。 2. ?VPN的安全管理 同任何的网络资源一样，VPN也必须得到有效的管理，需要关注VPN的安全问题。目前所有的VPN设备都应用了相关的核心技术，这些技术包括隧道协议 (Tunneling)、资料加密 (Encryption)、认证 (Authentication)及存取控制 (Access Control)等。 (1) 隧道技术 隧道技术就是将原始报文在A地进行封装，到达B地后去掉封装，还原成原始报文，这样就形成了一条由A到B的通信隧道。隧道协议技术分为两种不同的类型。 端对端(End-to-End)隧道技术。从用户的PC延伸到用户所连接的服务器上。 点对点(Node-to-Node)隧道技术。主要是连接不同地区的局域网络。在局域网络内部传送的资料并不需做任何的变动。 (2) 加密技术 大部分VPN设备厂商都支持市场上主要的几种加密技术，像RSA Security公司的Rivest Cipher技术、DES及Triple-DES (三重DES)等。密钥长度的选择取决于许多因素，较明显的因素包括确保资料机密的重要性程度以及资料所流经的网络安全性等。 在VPN中，加密应只使用于特别敏感的交通，当有需要时才使用，或加装硬件加密模块，因为加密非常占用处理器资源，而且会影响速度性能。 一旦VPN采用加密技术后，系统也必须提供用户一套取得密钥的方法。最常见的几种密钥管理技术为PPP (Point-to-Point Protocol，点对点协议)中的加密技术。 ECP协议(Encryption Control Protoco