信息安全工程第14章常见的安全系统.ppt

第14章常见的平安系统;;;AH或ESP提供的平安性完全依赖于它们所采用的密码算法。为保证一致性和不同实现方案之间的互通性,必须定义一些需要强制实现的密码算法。因此,在使用认证和加密机制进行平安通信时,必须解决以下三个问题:

(1)通信双方必须协商所要使用的平安协议、密码算法和密钥。

(2)必须方便和平安地交换密钥(包括定期改变密钥)。

(3)能够对所有协商的细节和过程进行记录和管理。;2.平安关联

IPSec使用一种称为平安关联(SA,SecurityAssociations)的概念性实体集中存放所有需要记录的协商细节。因此,在SA中包含了平安通信所需的所有信息,可以将SA看做是一个由通信双方共同签署的有关平安通信的“合同〞。

SA使用一个平安参数索引(SPI,SecurityParameterIndex)来唯一地标识。SPI是一个32位随机数,通信双方要使用SPI来指定一个协商好的SA。

使用SA的好处是可以建立不同等级的平安通道。例如,一个用户可以分别与A网和B网建立平安通道,分别设置两个SA:SA(a)和SA(b)。在SA(a)中,可以协商使用更加健壮的密码算法和更长的密钥。;3.密钥管理

IPSec支持两种密钥管理协议:手工密钥管理和自动密钥管理(IKE,InternetKeyExchange)。其中,IKE是基于Inte