【正文】 網(wǎng)絡管理與安全技術 第 6章 網(wǎng)絡安全技術 ? ? ? ? VPN技術 ? 網(wǎng)絡病毒防治技術 第 6章安全通信協(xié)議 網(wǎng)絡層安全協(xié)議體系 — IPSec ? IPSec— IP Security IPSec的作用 IPSec通過在 IP層對所有業(yè)務流加密和認證，保證了所有分布式應用程序的安全性。 ? 企業(yè)可在公網(wǎng)上建立自己的虛擬專用網(wǎng)。 ? 配有 IPSec系統(tǒng)的用戶，通過 ISP獲取安全訪問。 ? IPSec既可用于建立內(nèi)部網(wǎng)安全連接也可用于外部網(wǎng)的安全連接。 ? IPSec可增加已有的安全協(xié)議的安全性。 IPSec應用示例 用戶系統(tǒng) IPSecWANIPSec網(wǎng)絡設備 IPLAN IP 報頭 IPSec 報頭 安全 IP 負載 具有 IPSec的用戶系統(tǒng) 具有 IPSec的網(wǎng)絡設備 IPSec具有以下意義： ? IPSec用于防火墻和路由器等網(wǎng)絡設備中 ， 以提供安全的業(yè)務流 ， 而在 LAN內(nèi)則可以不必進行安全性處理 。 ? IPSec用于防火墻可防止用 IP的業(yè)務流繞過防火墻 。 ? IPSec位于網(wǎng)絡層 ， 對于應用程序來說是透明的 。 無需修改用戶或服務器所使用的軟件 。 網(wǎng)絡層安全協(xié)議體系 — IPSec IP層的安全問題涉及了認證 、 保密和密鑰管理三個領域 。 其安全性應達到： ? 期望安全的用戶能夠使用基于密碼學的安全機制； ? 應能同時適用于 IPv4和 IPv6。 ? 算法獨立； ? 有利于實現(xiàn)不同安全策略； ? 對沒有采用該機制的用戶不會有負面影響 。 網(wǎng)絡層安全協(xié)議體系 — IPSec IPSec體系結構 ? IPSec在 IP層提供安全業(yè)務的方式是讓系統(tǒng)選擇所要求的安全協(xié)議 、 算法和密鑰 。 ? 安全協(xié)議有： 1. 認證報頭 AH（ Authentication Header),即認證協(xié)議。 2. 封裝的安全負載 ESP（ Encapsulating Security Payload),即加密與認證協(xié)議。 ESP又分為僅加密和加密與認證結合兩種情況。 IPSec體系結構 體系 封裝安全負載 ESP 驗證頭 AH 驗證算法 加密算法 解釋域 DOI 密鑰管理 策略 ? 體系：定義 IPSec技術的機制； ? ESP：用其進行包加密的報文格式和一般性問題； ? AH：用其進行包認證的報文包格式和一般性問題 ? 加密算法：描述將各種不同加密算法用于 ESP的文檔； ? 認證算法：描述將各種不同加密算法用于 AH以及ESP認證選項的文檔； ? 密鑰管理：描述密鑰管理模式 ? DOI ：其他相關文檔 ， 如加密和認證算法標識及運行參數(shù)等 。 IPSec體系結構中涉及的主要概念有： 安全關聯(lián) 、 模式 、 AH、 ESP IPSec體系結構 （ Security Associations） ? SA是 IP認證和保密機制中最關鍵的概念。 ? 一個關聯(lián)就是發(fā)送與接收者之間的一個單向關系。 ? 如果需要一個對等關系，即雙向安全交換，則需要兩個 SA。 ? SA提供安全服務的方式是使用 AH或 ESP之一。 ? 一個 SA可由三個參數(shù)惟一地表示 安全參數(shù)索引 ， 目標 IP地址 ， 安全協(xié)議標識符 （ Security Associations） IPSec的實現(xiàn)還需要維護兩個數(shù)據(jù)庫： ? 安全關聯(lián)數(shù)據(jù)庫 SAD ? 安全策略數(shù)據(jù)庫 SPD 通信雙方如果要用 IPSec建立一條安全的傳輸通路，需要事先協(xié)商好將要采用的安全策略，包括使用的算法、密鑰及密鑰的生存期等。 SA就是能在其協(xié)商的基礎上為數(shù)據(jù)傳輸提供某種 IPSec安全保障的一個簡單連接。（可以是 AH或 ESP） SA的組合方式有：傳輸模式和隧道模式 2. AH和 ESP的兩種使用模式 1) 傳輸模式 ? 傳輸模式主要用于對上層協(xié)議的保護，如TCP、 UDP和 ICMP數(shù)據(jù)段的保護。 ? 以傳輸模式運行的 ESP協(xié)議對 IP報頭之后的數(shù)據(jù)（負載）進行加密和認證，但不對 IP報頭進行加密和認證。 ? 以傳輸模式運行的 AH協(xié)議對負載及報頭中選擇的一部分進行認證。 原 IP報頭 TCP 數(shù)據(jù) ESP報尾 ESP認證數(shù)據(jù) ESP報頭 加密的 認證的 2. AH和 ESP的兩種使用模式 2) 隧道模式 ? 隧道模式用于對整個 IP數(shù)據(jù)報的保護，即給原數(shù)據(jù)報加一個新的報頭（網(wǎng)關地址）。原數(shù)據(jù)報就成為新數(shù)據(jù)報的負載。 ? 原數(shù)據(jù)報在整個傳送過程中就象在隧道中一樣，傳送路徑上的路由器都有無法看到原數(shù)據(jù)報的報頭。 ? 由于封裝了原數(shù)據(jù)報，新數(shù)據(jù)報的源地址和目標地址都與原數(shù)據(jù)報不同，從而增加了安全性。 新 IP報頭 原 IP報頭 數(shù)據(jù) ESP報尾 ESP認證數(shù)據(jù) ESP報頭 加密的 認證的 6 . IPSec服務與應用 1. SA的組合方式 ? 一個 SA能夠實現(xiàn) AH協(xié)議或 ESP協(xié)議，但卻不能同時實現(xiàn)這兩種協(xié)議。 ? 當要求在主機間和網(wǎng)關間都實現(xiàn) IPSec業(yè)務時，就要求建立多個 SA， 即采用 SA組合方式。 Int e r Int e r Int e r LAN R o u te rR o u te r實現(xiàn) IPSec 安全網(wǎng)關 安全網(wǎng)關 隧道 SA 一個或兩個 SA SA的組合方式 LAN SA的組合方式 ?SA的基本組合有四種方式 ?每個 SA所承載的通信服務或為 AH或為 ESP ?對主機到主機的 SA， AH或 ESP的使用模式可以是傳輸模式也可以是隧道模式。 ?如果 SA的兩個端點中至少有一個安全網(wǎng)關，則AH或 ESP的使用模式必須是隧道模式。 6 . 傳輸層安全協(xié)議 SSL SSL協(xié)議概述 ? 安全套接層協(xié)議 SSL是在 Inter上提供一種保證私密性的安全協(xié)議 。 ? C/S通信中 ， 可始終對服務器和客戶進行認證 。 ? SSL協(xié)議要求建立在可靠的 TCP之上 ， 高層的應用協(xié)議能透明地建立在 SSL之上 。 ? SSL協(xié)議在應用層協(xié)議通信之前就已經(jīng)完成加密算法 、 通信密鑰的協(xié)商以及服務器認證工作 。 Web安全性方法 ? 保護 Web安全性的方法有多種 ， 這些方法所提供的安全業(yè)務和使用機制都彼此類似 ， 所不同之處在于它們各自的應用范圍和在 TCP/IP協(xié)議棧中的相對位置 。 HTTP FTP SMTP TCP IP/IPSec 網(wǎng)絡層 HTTP FTP SMTP TCP IP SSL or TLS 傳輸層 應用層 PGP SET TCP IP SMTP UDP Kerberos HTTP S/MIME Web安全性方法 網(wǎng)絡層安全實現(xiàn) 利用 IPSec提供 Web的安全性 ， 其優(yōu)點是對終端用戶和應用程序是透明的 ， 且為 Web安全提供一般目的的解決方法 。 傳輸層安全實現(xiàn) 將 SSL或 TLS作為 TCP基本協(xié)議組的一部分 ， 因此對應用程序來說是透明的 。 還可將 SSL嵌套在特定的數(shù)據(jù)包中 （ 如 IE等大多數(shù) Web服務器都裝有SSL） 。 應用層安全實現(xiàn) 對特定應用程序來說 ， 其安全業(yè)務可在應用程序內(nèi)部實現(xiàn) ， 這種方法的優(yōu)點是安全業(yè)務可按應用程序的特定需要來定制 。 協(xié)議規(guī)范 ? 安全套接字層 SSL是由 Netscape設計的 ， 目前有SSLv 3。 ? SSL協(xié)議主要由 SSL記錄協(xié)議和 SSL握手協(xié)議兩部分組成 。 其結構如下： HTTP SSL更改密碼說明協(xié)議