【文章內(nèi)容簡介】 o Systems 建議的標(biāo)準(zhǔn)。它在 RFC 2341中定義，是基于 ISP的、為遠(yuǎn)程接入服務(wù)器RAS提供 VPN功能的協(xié)議。它是 1998年標(biāo)準(zhǔn)化的遠(yuǎn)程訪 問 VPN 3. L2TP 1996年 6月， Microsoft和 CISCO 向 IETF PPP擴(kuò)展工作組(PPPEXT)提交了一個 MSPPTP和 Cisco L2F協(xié)議的聯(lián)合版本，該提議被命名為第二層隧道協(xié)議 (L2TP)。 L2TP是 綜合了 PPTP和 L2F等協(xié)議的另一個基于數(shù)據(jù)鏈路層的隧道協(xié)議，它繼承了 L2F的格式和 PPTP 第 9章 網(wǎng)絡(luò)安全協(xié)議 實際上， L2TP和 PPTP十分相似，主要的區(qū)別在于，PPTP只能在 IP網(wǎng)絡(luò)上傳輸，而 L2TP實現(xiàn)了 PPP幀在 IP、 、幀中繼及 ATM等多種網(wǎng)絡(luò)上的傳輸 。 同時， L2TP提供了較為完善的身份認(rèn)證機(jī)制，而 PPTP的身份鑒別完全依賴于 PPP協(xié) 第 9章 網(wǎng)絡(luò)安全協(xié)議 為傳輸層提供安全保護(hù)的協(xié)議主要有 SSL和 TLS。 TLS用于在兩個通信應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性服務(wù)。 SSL 第 9章 網(wǎng)絡(luò)安全協(xié)議 SSL 到現(xiàn)在為止， SSL有 3個版本 : 、 。 1996年 3月正式發(fā)行，相比前２個版本提供了更多的算法支持和一些安全特性。 1999年， IETF在基于 SSL協(xié)議可提供以下 3 (1) 信息加密。 SSL 所采用的加密技術(shù)既有對稱加密技術(shù)(如 DES、 IDEA)，也有非對稱加密技術(shù) (如 RSA)，從而確保 第 9章 網(wǎng)絡(luò)安全協(xié)議 (2) 身份認(rèn)證。通信雙方的身份可通過 RSA(數(shù)字簽名技術(shù) )、 DSA(數(shù)字簽名算法 )和 ECDSA(橢圓曲線數(shù)字簽名算法 )來驗證， SSL協(xié)議要求在握手交換數(shù)據(jù)前進(jìn)行身份認(rèn)證，以 (3) 信息完整性校驗。通信的發(fā)送方通過散列函數(shù)產(chǎn)生消息驗證碼 (MAC)，接收方通過驗證 MAC來保證信息的完整性。 SSL 提供完整性校驗服務(wù)，使所有經(jīng)過 SSL協(xié)議處理 SSL不是一個單獨的協(xié)議，而是兩層協(xié)議，如圖 931所示。其中，最主要的兩個 SSL子協(xié)議是握手協(xié)議和記錄協(xié)議。 第 9章 網(wǎng)絡(luò)安全協(xié)議 SSL SSL記錄協(xié)議從它的高層 SSL子協(xié)議收到數(shù)據(jù)后，進(jìn)行數(shù)據(jù)分段、壓縮、認(rèn)證和加密， 即它把輸入的任意長度的數(shù)據(jù)輸出為一系列的 SSL數(shù)據(jù)段 (或者叫“ SSL記錄” )， 每個這樣的數(shù)據(jù)段最大為 16 383(2141) 每個 SSL記錄包括內(nèi)容類型、協(xié)議版本號、長度、 數(shù)據(jù)有效載荷和 MAC等信息。 第 9章 網(wǎng)絡(luò)安全協(xié)議 其中 : “內(nèi)容類型”定義了用于隨后處理 SSL記錄有效載荷 (在合適的解壓縮和解密之后 )的高層協(xié)議 。 “協(xié)議版本號”確定了所用的 SSL版本號 (例如 )。 “ MAC”提供了消息源認(rèn)證和數(shù)據(jù)完整性服務(wù)，它是在有效數(shù)據(jù)載荷被加密之前經(jīng)計算并加入 SSL記錄的。 與加密算法類似，用于計算和驗證 MAC的算法是根據(jù)密碼說明和當(dāng)前的會話狀態(tài)而定義的。在默認(rèn)情況下， SSL記錄協(xié)議采用了 RFC 2104中指定的HMAC結(jié)構(gòu)的修正版本。此處的修正，是指在雜湊之前將一 第 9章 網(wǎng)絡(luò)安全協(xié)議 在 SSL記錄協(xié)議上面有幾個子協(xié)議，每個子協(xié)議都可能指向正用 SSL記錄協(xié)議發(fā)送的特定類型的消息。如圖 931所示， 3個 SSL協(xié)議 : 握手協(xié)議、更改加密說明協(xié)議和報警協(xié)議。 SSL握手協(xié)議是最重要的一個子協(xié)議。 SSL更改加密說明協(xié)議被用來在一個加密說明和另外一個加密說明之間進(jìn)行轉(zhuǎn)換。雖然加密說明一般在握手協(xié)議后改變，但它也可以在 其他任何時候改變。 SSL報警協(xié)議通過 SSL記錄協(xié)議傳輸警告。它由兩部分組成 : 第 9章 網(wǎng)絡(luò)安全協(xié)議 SSL SSL 握手協(xié)議是位于 SSL記錄協(xié)議之上的主要子協(xié)議，SSL握手消息被提供給 SSL記錄層，在那里它們被封裝進(jìn)一個或多個 SSL記錄里。 這些記錄根據(jù)當(dāng)前 SSL會話指定的 壓縮方法、加密說明和當(dāng)前 SSL連接對應(yīng)的密鑰來進(jìn)行處理和傳輸。 SSL握手協(xié)議使客戶端和服務(wù)器建立并保持用于安全通信的狀態(tài)信息， 此協(xié)議使得客戶端和服務(wù)器獲得共同的SSL 協(xié)議版本號、選擇壓縮方法和密碼說明、可選的相互認(rèn)證、產(chǎn)生一個主要秘密并由此得到消息認(rèn)證和加密的各種會 第 9章 網(wǎng)絡(luò)安全協(xié)議 SSL SSL 1. SSL的應(yīng)用降低了 HTTP服務(wù)器和瀏覽器之間相互作用的速度，原因在于在瀏覽器和服務(wù)器之間用來初始化 SSL會話和連接的狀態(tài)信息時需要用到公鑰加密和解密方案。實際上，在開始連接到 HTTP服務(wù)器和收到第一個 HTML頁面時，用戶經(jīng)歷了一個額外的幾秒鐘的停頓 (SSL協(xié)議對接下來的會話中的主密鑰進(jìn)行緩存處理 ) 第 9章 網(wǎng)絡(luò)安全協(xié)議 這個耽擱只影響瀏覽器和服務(wù)器之間的第一次 SSL連接。與創(chuàng)建會話相比，采用 DES、 RC RC4算法來進(jìn)行加密和解密數(shù)據(jù)的額外負(fù)擔(dān)很少 (沒必要讓用戶感覺到 )，所以，對于擁有高速計算機(jī)，而聯(lián)網(wǎng)速度相對很慢的用戶來說，在SSL會話或多個利用共享的主秘密的會話建立后，傳送大量數(shù)據(jù)時， SSL的開銷就顯得微不足道。另一方面，繁忙的SSL服務(wù)器管理者會考慮為了配合公鑰操作而去尋找速度很快的計算機(jī)或者硬件配置。 第 9章 網(wǎng)絡(luò)安全協(xié)議 2. SSL并不能抵抗通信流量分析。例如，通過檢查沒有被加密的 IP源和目的地址以及 TCP端口號或者檢查通信數(shù)據(jù)量，一個通信分析者可以揭示哪一方在使用什么服務(wù)，有時甚至揭露商業(yè)或私人關(guān)系的秘密。為了利用 SSL的安全保護(hù)，客戶和服務(wù)器必須知道另一方也在用 SSL 第 9章 網(wǎng)絡(luò)安全協(xié)議 IPSec通過 AH(Authentication Header)ESP( Encapsulated Security Payload)兩個協(xié)議確保基于無連接的數(shù)據(jù)的真實性、機(jī)密性和完整性的要求，加強(qiáng)了 IP協(xié)議的安全性，克服了原有 IPv4協(xié)議在安全性方面存在的不足。 IPSec 第 9章 網(wǎng)絡(luò)安全協(xié)議 IPSec IPSec協(xié)議由兩部分組成，即安全協(xié)議部分和密鑰協(xié)商部分。安全協(xié)議部分定義了對通信的各種保護(hù)方式 。 密鑰協(xié)商部分定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)，以及如何對通信實體的身份進(jìn)行鑒別。具體來講， IPSec協(xié)議主要由因特網(wǎng)密鑰交換 (IKE)協(xié)議、認(rèn)證頭 (AH)以及安全封裝載荷 (ESP)三個子協(xié)議組成，同時還涉及認(rèn)證、加密算法以及安全關(guān)聯(lián)(SA)等內(nèi)容。 第 9章 網(wǎng)絡(luò)安全協(xié)議 IPSec的安全體系結(jié)構(gòu)如圖 941所示，其中各個模塊的功能如下 : (1) 因特網(wǎng)密鑰交換 (IKE)協(xié)議 : 用于動態(tài)建立安全關(guān)聯(lián)(SA)，管理用于 IPSec連接的 SA (2) 認(rèn)證頭 (AH)：是 IPSec協(xié)議的一個協(xié)議， 用來保護(hù)一個上層協(xié)議 (傳輸模式 )或者一個完整的 IP數(shù)據(jù)包 (隧道模式 )。在兩種模式下， AH頭都會緊跟在 IP頭后，用于為 IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和一些可選的、 第 9章 網(wǎng)絡(luò)安全協(xié)議 (3) 安全封裝載荷（ ESP）： 是 IPSec協(xié)議的另一個協(xié)議，可以在傳輸模式以及隧道模式下使用， ESP頭可以位于 I