【正文】 網(wǎng)絡(luò)安全協(xié)議 SA與協(xié)議相關(guān)，一個 SA 為業(yè)務(wù)流僅提供一種安全機(jī)制(AH或 ESP)，即每種協(xié)議都有一個 SA。如果用戶 A和用戶 B同時通過 AH 和 ESP進(jìn)行安全通信，那么針對每個協(xié)議都 會建立一個相應(yīng)的 SA。因此，如果要對特定業(yè)務(wù)流提供多種安全保護(hù)，那么就要有多個 SA序列組合 (稱為 SA綁定 ) SA可以通過靜態(tài)配置來建立，也可以利用密鑰管理協(xié)議(IKE) 第 9章 網(wǎng)絡(luò)安全協(xié)議 3. 一個 SA通常由以下參數(shù)定義 : (1) AH (2) AH (3) ESP (4) ESP (5) ESP 第 9章 網(wǎng)絡(luò)安全協(xié)議 (6) 加密算法的密鑰同步初始化向量字段的存在性和大 (7) (8) (9) SA (10) SA (11) 一個系統(tǒng)中，可能存在多個 SA，而每一個 SA都是通過一個三元組 (安全參數(shù)索引 SPI 、目的 IP地址、安全協(xié)議標(biāo)識符 AH/ESP) 第 9章 網(wǎng)絡(luò)安全協(xié)議 4. SPI是和 SA相關(guān)的一個非常重要的元素。 SPI實際上是一個 32位長的數(shù)據(jù)，用于唯一地標(biāo)識出接收／發(fā)送端上的一個SA 在通信過程中，需要解決如何標(biāo)識 SA的問題，即需要指出發(fā)送方用哪一個 SA來保護(hù)發(fā)送的數(shù)據(jù)包，接收方用哪一個SA來檢查接收到的數(shù)據(jù)包是否安全。通常的做法是隨每個數(shù)據(jù)包一起發(fā)送一個 SPI，以便將 SA唯一地標(biāo)識出來。 第 9章 網(wǎng)絡(luò)安全協(xié)議 目標(biāo)主機(jī)再利用這個值，對 SADB數(shù)據(jù)庫進(jìn)行檢索查詢，提取出適當(dāng)?shù)?SA。如何保證 SPI和 SA之間的唯一性呢？根據(jù)IPSec結(jié)構(gòu)文檔的規(guī)定，在數(shù)據(jù)包內(nèi)，由 SPI、目的地址來唯一標(biāo)識一個 SA，如果接收端無法實現(xiàn)唯一性，數(shù)據(jù)包就不能通過安全檢查。發(fā)送方對發(fā)送 SADB數(shù)據(jù)庫進(jìn)行檢索，檢索的結(jié)果就是一個 SA，該 SA中包括已經(jīng)協(xié)商好的所有的安全參數(shù) (包括 SPI) 第 9章 網(wǎng)絡(luò)安全協(xié)議 在實際使用過程中， SPI被當(dāng)作 AH和 ESP頭的一部分進(jìn)行傳輸，接收方通常使用 SPI、目的地址、協(xié)議類型來唯一標(biāo)識 SA，此外，還有可能加上一個源地址 (即 SPI、源地址、目的地址、協(xié)議類型 )來唯一標(biāo)識一個 SA。對于多 IP地址的情況，還有可能使用源地址來唯一標(biāo)識一個 SA 第 9章 網(wǎng)絡(luò)安全協(xié)議 用 IPSec保護(hù)一個 IP包之前，必須建立一個安全關(guān)聯(lián)，SA可以手工創(chuàng)建或動態(tài)建立。 因特網(wǎng)密鑰交換協(xié)議 (IKE)用于動態(tài)建立安全關(guān)聯(lián) (SA)，IKE以 UDP的方式通信，其端口號為 500 IKE是 IPSec目前正式確定的密鑰交換協(xié)議。 IKE為 IPSec的 AH 和 ESP協(xié)議提供密鑰交換管理和安全關(guān)聯(lián)管理，同時也為 ISAKMP (密鑰管理協(xié)議， IKE沿用此框架 )提供密鑰管 理和安全管理。 IKE定義了通信實體間進(jìn)行身份認(rèn)證、創(chuàng)建安全關(guān)聯(lián)、協(xié)商加密算法以及生成共享會話密鑰的方法。IKE分為兩個階段來實現(xiàn) (如圖 946所示 ) 第 9章 網(wǎng)絡(luò)安全協(xié)議 圖 946 IKE的兩個階段 第 9章 網(wǎng)絡(luò)安全協(xié)議 第一階段為建立 IKE本身使用的安全信道而協(xié)商 SA，主要是協(xié)商建立“主密鑰”。通常情況下，采用公鑰算法來建立系統(tǒng)之間的 ISAKMP安全關(guān)聯(lián)，同時還用來建立用于保護(hù) 第二階段中 ISAKMP 第二階段利用第一階段建立的安全信道來交換 IPSec通信中使用的 SA的有關(guān)信息，即建立 IPSec 第 9章 網(wǎng)絡(luò)安全協(xié)議 當(dāng)利用 IKE進(jìn)行相互認(rèn)證時， IKE對發(fā)起方和應(yīng)答方定義了三種相互認(rèn)證方式 : 預(yù)先共享密鑰、數(shù)字簽名 (DSS和 RSA)、公鑰加密 (RSA和修改的 RSA) 在這三種認(rèn)證方式中只有預(yù)先共享密鑰是必須配置的，大多數(shù) VPN 第 9章 網(wǎng)絡(luò)安全協(xié)議 (1) 由于 TCP/IP協(xié)議在最初設(shè)計時是基于一種可信環(huán)境的，沒有考慮安全性問題，因此它自身存在許多固有的安全缺陷。 網(wǎng)絡(luò)安全協(xié)議是為了增強(qiáng)現(xiàn)有 TCP/IP網(wǎng)絡(luò)的安全性而 (2) 目前已經(jīng)有眾多的網(wǎng)絡(luò)安全協(xié)議，根據(jù) TCP/IP分層模型相對應(yīng)的主要的安全協(xié)議有應(yīng)用層的 SHTTP、 PGP，傳輸層的 SSL、 TLS，網(wǎng)絡(luò)層的 IPSec以及網(wǎng)絡(luò)接口層的 PPTP、 L2TP 小 第 9章 網(wǎng)絡(luò)安全協(xié)議 (3) SSL協(xié)議是在傳輸層提供安全保護(hù)的協(xié)議。 SSL協(xié)議可提供以下 3種基本的安全功能服務(wù) : 信息機(jī)密、身份認(rèn)證和信息完整。 SSL協(xié)議不是一個單獨(dú)的協(xié)議，而是兩層協(xié)議， 最主要的兩個 SSL子協(xié)議是 SSL握手協(xié)議和 SSL記錄協(xié)議。SSL記錄協(xié)議收到高層數(shù)據(jù)后，進(jìn)行數(shù)據(jù)分段、壓縮、認(rèn)證、加密，形成 SSL記錄后送給傳輸層的 TCP進(jìn)行處理。 SSL握 手協(xié)議的目的是使客戶端和服務(wù)器建立并保持用于安全通信的狀態(tài)信息，如 SSL 協(xié)議版本號、選擇壓縮方法和密碼說明 第 9章 網(wǎng)絡(luò)安全協(xié)議 (4) IPSec協(xié)議由兩部分組成，即安全協(xié)議部分和密鑰協(xié)商部分。安全協(xié)議部分定義了對通信的各種保護(hù)方式 。 密鑰協(xié)商部分定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)，以及如何對通信實體的身份進(jìn)行鑒別。安全協(xié)議部分包括 AH和 ESP兩個安全協(xié)議，通過這兩個協(xié)議為 IP協(xié)議提供基于無連接的數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性，加強(qiáng) IP協(xié)議的安全性。密鑰協(xié)商部分主要是因特網(wǎng)密鑰交換協(xié)議 (IKE)，其用于動態(tài)建立安全關(guān)聯(lián)(SA) ，為 IPSec的 AH 和 ESP協(xié)議提供密鑰交換管理和安全關(guān)聯(lián)管理，同時也為 ISAKMP提供密鑰管理和安全管理。 第 9章 網(wǎng)絡(luò)安全協(xié)議 1. 圖 (a)和圖 (b)分別是 TCP和 IP數(shù)據(jù)包結(jié)構(gòu)圖，請將其補(bǔ)充完整。 習(xí) 第 9章 網(wǎng)絡(luò)安全協(xié)議 圖 (a) TCP數(shù)據(jù)包結(jié)構(gòu)圖 第 9章 網(wǎng)絡(luò)安全協(xié)議 圖 (b) IP數(shù)據(jù)包結(jié)構(gòu)圖 第 9章 網(wǎng)絡(luò)安全協(xié)議 2. 應(yīng)用層安全協(xié)議主要是針對特定的應(yīng)用服務(wù)提供的 的協(xié)議標(biāo)準(zhǔn)，常見的主要有 SHTTP和 PGP 3. 安全超文本傳輸協(xié)議 (SHTTP)是一種結(jié)合 而設(shè)計的消息的安全通信協(xié)議。 PGP創(chuàng)造性地把 公鑰體系和傳統(tǒng)的加密 第 9章 網(wǎng)絡(luò)安全協(xié)議 4. SSL協(xié)議是在 提供安全保護(hù)的協(xié)議。 SSL協(xié)議可提供以下 3種基本的安全功能服務(wù) : 、 、 。 5. 認(rèn)證頭 (AH)的協(xié)議代號為 51 ，是基于 的一個安全協(xié)議。它是 IPSec協(xié)議的重要組成部分，是用于為 IP數(shù)據(jù)包 第 9章 網(wǎng)絡(luò)安全協(xié)議 6. 因特網(wǎng)密鑰交換協(xié)議 (IKE)用于動態(tài)建立 ，為IPSec的 AH 和 ESP協(xié)議提供 ，同時也為 ISAKMP提供 第 9章 網(wǎng)絡(luò)安全協(xié)議 1. 簡述 TCP/IP 2. SHTTP和 PGP這兩個網(wǎng)絡(luò)安全協(xié)議是為什么應(yīng)用而設(shè)計的 ? 3. 假設(shè)甲需要發(fā)送一份機(jī)密文件 (如 )給乙，試簡述甲、乙雙方采用 SSL協(xié)議 4. 簡述 IPSec分別工作在傳輸模式和隧道模式下的數(shù)據(jù)安 第 9章 網(wǎng)絡(luò)安全協(xié)議 演講完畢，謝謝觀看！