freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

第九講網(wǎng)絡(luò)安全協(xié)議(修訂)-資料下載頁(yè)

2025-01-08 08:54本頁(yè)面
  

【正文】 填充長(zhǎng)度 : 指出填充字段的長(zhǎng)度,接收方利用它來(lái)恢復(fù) ESP凈載荷數(shù)據(jù)。 ? (6) 下一負(fù)載頭標(biāo)識(shí) : 標(biāo)識(shí) ESP凈載荷數(shù)據(jù)的類型。 2. ESP的格式 ? (7) 認(rèn)證數(shù)據(jù) : 認(rèn)證數(shù)據(jù)字段是可選的,該字段的長(zhǎng)度是可變的,只有在 SA初始化時(shí)選擇了完整性和身份認(rèn)證, ESP分組才會(huì)有認(rèn)證數(shù)據(jù)字段。具體格式因所使用的算法的不同而不同, ESP要求至少支持兩種認(rèn)證算法,即 HMACMD5和 HMACSHA1。 安全關(guān)聯(lián) ? 當(dāng)利用 IPSec進(jìn)行通信時(shí),采用哪種認(rèn)證算法、加密算法以及采用什么密鑰都是事先協(xié)商好的。一旦通信雙方取得一致后,在通信期間將共享這些安全參數(shù)信息來(lái)進(jìn)行安全信息傳輸。 1. 安全關(guān)聯(lián)的定義 ? 為了使通信雙方的認(rèn)證算法和加密算法保持一致,相互間建立的聯(lián)系被稱為安全關(guān)聯(lián),簡(jiǎn)稱 SA (Security Association)。 ? SA是構(gòu)成 IPSec的重要組成部分,是與給定的一個(gè)網(wǎng)絡(luò)連接或一組網(wǎng)絡(luò)連接相關(guān)的安全信息參數(shù)的集合。 ? 它包含了通信系統(tǒng)執(zhí)行安全協(xié)議 (AH或 ESP)所需要的相關(guān)信息,是安全協(xié)議 (AH和 ESP)賴以執(zhí)行的基礎(chǔ),是發(fā)送者和接收者之間的一個(gè)簡(jiǎn)單的單向邏輯連接。 2. 安全關(guān)聯(lián)的特點(diǎn) ? 由于 SA是單向的, 因此在一對(duì)對(duì)等系統(tǒng)間進(jìn)行雙向安全通信時(shí),就需要兩個(gè) SA。如果通信雙方(用戶 A和用戶 B)通過(guò) ESP進(jìn)行安全通信,那么用戶 A需要有一個(gè) SA,即 SA(out),用來(lái)處理發(fā)送的(流出 )數(shù)據(jù)包 。 同時(shí)還需要另一個(gè)不同的 SA,即SA(in),用來(lái)處理接收到的 (流入 )數(shù)據(jù)包。 ? 用戶 A的 SA(out)和用戶 B的 SA(in)共享相同的加密參數(shù),同樣用戶 A的 SA(in)和用戶 B的 SA(out)共享相同的加密參數(shù)。 2. 安全關(guān)聯(lián)的特點(diǎn) ? SA與協(xié)議相關(guān),一個(gè) SA 為業(yè)務(wù)流僅提供一種安全機(jī)制 (AH或 ESP),即每種協(xié)議都有一個(gè) SA。如果用戶 A和用戶 B同時(shí)通過(guò) AH 和 ESP進(jìn)行安全通信,那么針對(duì)每個(gè)協(xié)議都 會(huì)建立一個(gè)相應(yīng)的 SA。因此,如果要對(duì)特定業(yè)務(wù)流提供多種安全保護(hù),那么就要有多個(gè) SA序列組合 (稱為 SA綁定 )。 ? SA可以通過(guò)靜態(tài)配置來(lái)建立,也可以利用密鑰管理協(xié)議 (IKE)來(lái)動(dòng)態(tài)建立。 3. 安全關(guān)聯(lián)的組成 ? 一個(gè) SA通常由以下參數(shù)定義 : – (1) AH使用的認(rèn)證算法和算法模式。 – (2) AH認(rèn)證算法使用的密鑰。 – (3) ESP使用的加密算法、算法模式和變換。 – (4) ESP使用的加密算法的密鑰。 – (5) ESP使用的認(rèn)證算法和模式。 3. 安全關(guān)聯(lián)的組成 – (6) 加密算法的密鑰同步初始化向量字段的存在性和大 – (7) 認(rèn)證算法使用的認(rèn)證密鑰。 – (8) 密鑰的生存周期。 – (9) SA的生存周期。 – (10) SA的源地址。 – (11) 一個(gè)系統(tǒng)中,可能存在多個(gè) SA,而每一個(gè) SA都是通過(guò)一個(gè)三元組 (安全參數(shù)索引 SPI 、目的 IP地址、安全協(xié)議標(biāo)識(shí)符 AH/ESP)來(lái)唯一標(biāo)識(shí)的。 4. 安全參數(shù)索引 ? SPI是和 SA相關(guān)的一個(gè)非常重要的元素。 SPI實(shí)際上是一個(gè) 32位長(zhǎng)的數(shù)據(jù),用于唯一地標(biāo)識(shí)出接收/發(fā)送端上的一個(gè) SA ? 在通信過(guò)程中,需要解決如何標(biāo)識(shí) SA的問(wèn)題,即需要指出發(fā)送方用哪一個(gè) SA來(lái)保護(hù)發(fā)送的數(shù)據(jù)包,接收方用哪一個(gè) SA來(lái)檢查接收到的數(shù)據(jù)包是否安全。通常的做法是隨每個(gè)數(shù)據(jù)包一起發(fā)送一個(gè) SPI,以便將 SA唯一地標(biāo)識(shí)出來(lái)。 4. 安全參數(shù)索引 ? 目標(biāo)主機(jī)再利用這個(gè)值,對(duì) SADB數(shù)據(jù)庫(kù)進(jìn)行檢索查詢,提取出適當(dāng)?shù)?SA。如何保證 SPI和 SA之間的唯一性呢?根據(jù) IPSec結(jié)構(gòu)文檔的規(guī)定,在數(shù)據(jù)包內(nèi),由 SPI、目的地址來(lái)唯一標(biāo)識(shí)一個(gè) SA,如果接收端無(wú)法實(shí)現(xiàn)唯一性,數(shù)據(jù)包就不能通過(guò)安全檢查。發(fā)送方對(duì)發(fā)送 SADB數(shù)據(jù)庫(kù)進(jìn)行檢索,檢索的結(jié)果就是一個(gè) SA,該 SA中包括已經(jīng)協(xié)商好的所有的安全參數(shù) (包括 SPI)。 4. 安全參數(shù)索引 ? 在實(shí)際使用過(guò)程中, SPI被當(dāng)作 AH和 ESP頭的一部分進(jìn)行傳輸,接收方通常使用 SPI、目的地址、協(xié)議類型來(lái)唯一標(biāo)識(shí) SA,此外,還有可能加上一個(gè)源地址 (即 SPI、源地址、目的地址、協(xié)議類型 )來(lái)唯一標(biāo)識(shí)一個(gè) SA。對(duì)于多 IP地址的情況,還有可能使用源地址來(lái)唯一標(biāo)識(shí)一個(gè) SA。 因特網(wǎng)密鑰交換協(xié)議 ? 用 IPSec保護(hù)一個(gè) IP包之前,必須建立一個(gè)安全關(guān)聯(lián), SA可以手工創(chuàng)建或動(dòng)態(tài)建立。 ? 因特網(wǎng)密鑰交換協(xié)議 (IKE)用于動(dòng)態(tài)建立安全關(guān)聯(lián)(SA), IKE以 UDP的方式通信,其端口號(hào)為 500。 ? IKE是 IPSec目前正式確定的密鑰交換協(xié)議。 IKE為IPSec的 AH 和 ESP協(xié)議提供密鑰交換管理和安全關(guān)聯(lián)管理,同時(shí)也為 ISAKMP (密鑰管理協(xié)議, IKE沿用此框架 )提供密鑰管理和安全管理。 ? IKE定義了通信實(shí)體間進(jìn)行身份認(rèn)證、創(chuàng)建安全關(guān)聯(lián)、協(xié)商加密算法以及生成共享會(huì)話密鑰的方法。IKE IKE的兩個(gè)階段 IKE的兩個(gè)階段 ? 第一階段為建立 IKE本身使用的安全信道而協(xié)商 SA,主要是協(xié)商建立“主密鑰”。通常情況下,采用公鑰算法來(lái)建立系統(tǒng)之間的 ISAKMP安全關(guān)聯(lián),同時(shí)還用來(lái)建立用于保護(hù)第二階段中 ISAKMP協(xié)商報(bào)文所使用的密鑰。 ? 第二階段利用第一階段建立的安全信道來(lái)交換 IPSec通信中使用的 SA的有關(guān)信息,即建立 IPSec安全關(guān)聯(lián)。 IKE的認(rèn)證方式 ? 當(dāng)利用 IKE進(jìn)行相互認(rèn)證時(shí), IKE對(duì)發(fā)起方和應(yīng)答方定義了三種相互認(rèn)證方式 : 預(yù)先共享密鑰、數(shù)字簽名 (DSS和 RSA)、公鑰加密 (RSA和修改的 RSA) ? 在這三種認(rèn)證方式中只有預(yù)先共享密鑰是必須配置的,大多數(shù) VPN產(chǎn)品都支持使用基于標(biāo)準(zhǔn)的數(shù)據(jù)證書的認(rèn)證。
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1