8-数据通信网络安全.ppt

1、数据通信原理,王巍 w_ 哈尔滨工程大学,9 数据通信网络安全,计算机网络的安全 数据加密技术 网络安全策略 虚拟专用网 因特网的安全协议,计算机网络的安全,4,计算机网络面临的安全威胁,分为两大类 被动攻击 被动攻击试图从系统中窃取信息为主要目的，但不会造成系统资源的破坏。,主动攻击 除了窃取信息，还试图破坏对方的计算机网络为目标，竭力使其不能正常工作，甚至瘫痪。,5,计算机网络面临的安全威胁,6,一种特殊的主动攻击恶意程序 计算机病毒 可插入正常程序的可执行代码中的代码序列。 计算机蠕虫 一种进行自我复制的程序，它可以通过磁盘或邮件等传输机制进行自我复制和激活运行。 木马 一种可执行未授权

2、行为的恶意软件。 逻辑炸弹 一种编程代码，当运行环境满足某种特定条件时执行其他特殊的功能。 僵尸 一种秘密获取因特网联网计算机控制权的程序。 陷门(后门) 一种秘密的程序入口，允许知晓陷门的恶意对手绕过通常的安全访问规程直接获得访问权。,计算机网络面临的安全威胁,7,如何对付安全威胁 被动攻击难以检测，因为它们并没有引起数据的任何改变。对付被动攻击应重在防范而不是检测。 防范主动攻击则相当困难，因为必须对所有通信设施和路径进行全天候的物理保护。对付主动攻击应重在检测和恢复。完全防范主动攻击必须对所有通信设施和路径进行全天候的物理保护。,计算机网络面临的安全威胁,8,被动攻击和主动攻击,计算机网

3、络安全的目标：防止析出报文内容；防止通信量分析；检测拒绝报文服务；检测更改报文流；检测伪造报文。,计算机网络面临的安全威胁,计算机网络的安全性需求, 保密性（confidentiality） 指计算机网络中的信息只准许被授权者访问。 完整性（integrity） 指属于某个计算机网络的资源只能被授权者所更改。 有效性（availability） 指属于某个计算机网络的资源可以提供给授权者使用。 真实性（authenticity） 指计算机网络能够验证一个用户的标识。,9,数字加密技术,11,数据加密技术,加密通信的一般模型,加密通信模型(续1),一些重要概念 密码编码学(cryptograph

4、y)是密码体制的设计学，而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。 如果不论截取者获得了多少密文，但在密文中都没有足够的信息来惟一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。但在无任何限制的条件下，目前几乎所有实用的密码体制均是可破的，所以人们关心的是研制出在计算上(而不是在理论上)是不可破的密码体制。,12,13,加密通信模型(续2),一些重要概念(续) 如果一个密码体制中的密码不能被可使用的计算资源所破译，则认为这一密码体制在计算上是安全的。

5、完成加密和解密的算法称为密码体制。 如果一个密码体制中的密码在可以使用的资源范围内不能被破译，那么就认为这一密码体制在计算上是安全的。加密或破密还与经济有着密切的关系。,14,12.4.2 对称密钥密码体制,对称密钥密码体制 指加密密钥和解密密钥相同的密码体制，又称常规密码体制。 1、典型加密方法 早期的对称密钥密码体制的加密方法很多，但本质上可分为两大类： 换位密码 不改变明文中字符本身，仅按照某种模式将其重新排列构成密文的加密方法。典型的有列换位、按样本换位和分组换位。 列换位法把明文按行顺序写入二维矩阵，再按列顺序读出来构成密文。,15,对称密钥密码体制(续1),换位密码(列换位)举例,

6、16,12.4.2 对称密钥密码体制(续2),换位密码(列换位)举例,17,对称密钥密码体制(续3),换位密码(列换位)举例,18,对称密钥密码体制(续4),换位密码(列换位)举例,19,对称密钥密码体制(续5),换位密码(列换位)举例,20,对称密钥密码体制(续6),换位密码(列换位)举例,21,对称密钥密码体制(续7),密文的得出,22,对称密钥密码体制(续8),密文的得出,23,对称密钥密码体制(续9),密文的得出,24,对称密钥密码体制(续10),密文的得出,25,对称密钥密码体制(续11),密文的得出,对称密钥密码体制,密文的得出,27,对称密钥密码体制(续13),接收端收到密文后按

7、列写下,28,对称密钥密码体制(续14),接收端收到密文后按列写下,29,对称密钥密码体制(续15),接收端收到密文后按列写下,30,对称密钥密码体制(续16),接收端收到密文后按列写下,31,对称密钥密码体制(续17),接收端收到密文后按列写下,32,对称密钥密码体制(续18),接收端收到密文后按列写下,33,对称密钥密码体制(续19),接收端从密文解出明文,34,对称密钥密码体制(续20),接收端从密文解出明文,35,对称密钥密码体制(续21),CIPHER 145326 attack begins atfour,密钥 顺序 明文,最后按行读出明文,接收端从密文解出明文,CIPHER 14

8、5326 attack begins atfour,密钥 顺序 明文,最后按行读出明文,CIPHER 145326 attack begins atfour,密钥 顺序 明文,最后按行读出明文,得出的明文：attackbeginsatfour,收到的密文：abacnuaiotettgfksr,36,对称密钥密码体制(续22),替代密码 分为简单替代、多名替代、多表替代和区位替代四种： 例：简单替代是把明文中的每个字符都用它右边 第k个字母，并认为Z后面又是A。其映射关系可表示为,37,对称密钥密码体制(续23),替代密码举例(密钥是 3),abcdefghijklmnopqrstuvwxyz

9、DEFGHIJKLMNOPQRSTUVWXYZABC,明文 密文,caesar cipher,F,38,对称密钥密码体制(续24),abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC,caesar cipher,FD,明文 密文,39,对称密钥密码体制(续25),由于英文字母中各字母出现的频率早已有人进行过统计，所以根据字母频度表可以很容易对这种替代密码进行破译。目前替代密码只作为复杂编码过程中的一个中间步骤。,40,对称密钥密码体制(续26),两种对称密钥密码体制 序列密码体制将明文看成是连续的比特流(或字符流)P1P2P3，并且用密码

10、序列K=K1K2K3 中的第i个元素Ki对明文中的第i个元素Pi进行加密，所得密文为 Ck(P)=Ck1(P1) Ck2(P2) Ck3(P3) 该体制的安全性取决于密钥的随机性。如密钥是真正的随机数，又称一次一密乱码本体制。,41,对称密钥密码体制(续27),在开始工作时，种子 I0 对密钥序列产生器进行初始化。 按照模 2 进行运算，得出：,序列密码体制,42,对称密钥密码体制(续28),序列密码体制(续),对称密钥密码体制(续29),序列密码体制的保密性 序列密码体制的保密性完全在于密钥的随机性。 如果密钥是真正的随机数，则这种体制在理论上是不可破的。因此又称为一次一密乱码本体制。 严格

11、的一次一密乱码本体制所需的密钥量不存在上限，但很难实用化。 密码学家试图模仿这种一次一密乱码本体制。目前常使用伪随机序列作为密钥序列。关键是序列的周期要足够长，且序列要有很好的随机性(这是很难寻找的)。,43,44,对称密钥密码体制(续30),分组密码密码体制是将明文划分成固定位数的数据组，并以组为单位，在密钥控制下进行一系列线性或非线性的变换(一次变换一组数据)来形成密文。 分组密码算法的特点：分组密码与序列密码的差别在于输出的每一位数字不是只与相应时刻输入的明文数字有关，还与一组长为m的明文数字有关。通常取n=m。若nm，是有数据扩展的分组密码；若nm，是有数据压缩的分组密码。 分组密码的

12、优点是不需要同步，因而在分组交换网中得到广泛应用。最有名的分组密码是美国的数据加密标准DES和国际数据加密算法IDEA。,45,对称密钥密码体制(续31),分组密码体制,46,对称密钥密码体制(续32),数据加密标准DES 数据加密标准 DES 属于常规密钥密码体制，由IBM公司研制。DES是一种分组密码。 在加密前，先对整个明文进行分组。每一个组长为64bit。 然后对每一个64bit二进制数据进行加密处理，产生一组64bit密文数据。 最后将各组密文串接起来，即得出整个的密文。 使用的密钥为64bit(实际密钥长度为56bit，其中8bit用于奇偶校验)。,DES 加密标准,64bit的明

13、文X进行初始置换IP后得出X0，其左半边32bit和右半边32bit分别记为L0和R0。然后再经过16次的迭代。如果用Xi表示第 i 次的迭代结果，同时令Li 和 Ri 分别代表Xi表示的左半边和右半边(各32bit)，则可得加密方程为 Li Ri-1 Ri = Li-1 f (Ri-1, Ki) 式中i=116，而Ki 是48bit密钥(由原来的64bit密钥经过若干次变换后得出)。,对称密钥密码体制(续34),DES 的不足 DES实际上是一种单字符替代，而这种字符的长度是64bit。也就是说，对于 DES算法，相同的明文就产生相同的密文。这对DES的安全性来说是不利的。 为了提高DES的

14、安全性，可采用加密分组链接的方法。,48,对称密钥密码体制(续35),DES的保密性 DES的保密性仅取决于对密钥的保密，而算法是公开的。尽管人们在破译DES方面取得了许多进展，但至今仍未能找到比穷举搜索密钥更有效的方法。 DES是世界上第一个公认的实用密码算法标准，它曾对密码学的发展做出了重大贡献。 目前较为严重的问题是DES的密钥的长度。56bit长的密钥意味着256种可能，约有7.61016种密钥。若以计算机1微秒执行一次DES加密为例，且搜索密钥空间的一半即可找到密钥，破译DES要超过1000年。现在已经设计出来搜索DES密钥的专用芯片，可大大缩短搜索时间。,49,50,公开密钥密码体

15、制,对称密钥密码体制生成密文的安全性有赖于密钥的保密性，因此密钥的分配和安全管理就成为密文安全的最重要课题。 密钥分配必须使用传送密文信道以外的安全信道。委派信使护送密钥是最可靠的办法。 在对称密钥密码体制中，密钥量与用户数N2成正比，对大密钥的管理必须采取有力的保护措施。 1976年，美国斯坦福大学赫尔曼(M.E.Hallman)、迪菲(W.Diffie)和默克尔(R.Merkle)提出了“公开密钥密码体系”(Public Key System)，简称公钥密码体制。,51,公开密钥密码体制(续1),公开密钥密码体制使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不

16、可行的”密码体制。 公开密钥密码体制产生的两个主要原因：一是对称密钥密码体制的密钥分配问题；二是数字签名的需求。 现有三种公开密钥密码体制，其中最著名的是RSA体制，它基于数论中大数分解问题的体制，由美国三位科学家 Rivest, Shamir 和 Adleman 于1976年提出并在1978年正式发表的。,52,公开密钥密码体制(续2),加密密钥与解密密钥 在公开密钥密码体制中，加密密钥(即公钥) PK是公开信息，而解密密钥(即私钥) SK是需要保密的。 加密算法E和解密算法D都是公开的。 虽然秘密密钥SK是由公开密钥PK决定的，但却不能根据PK计算出SK。,53,12.4.3 公开密钥密码

17、体制(续3),注意三点 任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量。对此，公开密钥密码体制并不具有比传统加密体制更加优越之处。也就是说，“公开密钥加密方法并不比传统加密方法更加安全”。 由于目前公开密钥加密算法的开销较大，在可见的将来还看不出来要放弃传统的加密方法。说明“传统密码体制也不陈旧”，无须放弃传统的加密算法。 公开密钥密码体制还需要密钥分配协议，具体的分配过程并不比采用传统加密方法时更为简单。说明“公开密钥分配并不简单”。,54,公开密钥密码体制(续4),1、RSA算法 公开密钥密码体制的特点： 加密算法E和解密算法D都是公开的。由密钥对产生器产生一密钥对：加密密

18、钥PKB (公开)和解密密钥SKB (秘密) 。 成对密钥易产生，但不可能从PKB 推导出SKB 。 公钥PKB可用来加密，但不能用来解密，即 DPKB(EPKB(P) P (12-5) 对明文P进行D运算和E运算的先后次序无关，其结果都一样，即 DSKB(EPKB(P) EPKB(DSKB(P) P (12-6),55,公开密钥密码体制(续5),公开密钥密码体制的加/解密的步骤 发送端用加密算法E和加密密钥对明文加密成密文C，即 C=EPKB(P) 接收端则用与PKB不同的解密密钥SKB和解密算法D将密文C破解为明文P，即 DSKB(C)=DSKB(EPKB(P)=P,56,公开密钥密码体制

19、(续6),公开密钥密码体制的加/解密过程,57,公开密钥密码体制(续7),2、数字签名 数字签名是对纯数字的电子信息进行签名以表明该信息真实性的一种有效方法。 数字签名必须具有以下三个功能： 接收者能够核实发送者对报文的签名； 接收者不能伪造对报文的签名； 发送者事后不能抵赖对报文的签名。 目前已有多种实现数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。,58,公开密钥密码体制(续8),数字签名的实现过程,发送者A用自己的私钥SKA对报文P进行D运算，变成签名文C=DSKA(P)传送给接收者B。B收到签名文后，用A的公钥PKA对其进行E运算还原成原报文，即EPKA(C) =E

20、PKA(DSKA(P) P。,公开密钥密码体制(续9),数字签名的作用 因为除A外没有别人能有私钥SKA产生密文C=DSKA(P)。这足以说明报文P是由A签名发送的。若A想抵赖发送行为，接收者可出示报文P和C=DSKA(P)进行公证，以证实发送者确实是A。因为只有A才有私钥SKA，因此A难以否认自己的发送行为。说明数字签名也是对报文来源的鉴别。 如果第三者篡改了报文，因没有SKA而用其他密钥加密发送，则B得到不可读的被篡改的报文，从而保证了报文的完整性。,59,60,公开密钥密码体制(续10),具有保密性的数字签名 通过对签过名的报文进行加密，可同时实现秘密通信和数字签名。,网络安全策略,62

21、,网络安全策略加密策略,从网络传输信息的角度，有两种不同的加密策略： 链路加密 对两结点之间的链路上传送的数据进行加密的一种技术。用来对PDU的控制信息(主要是目的地址)进行加密。,63,加密策略(续1),链路加密要点： 加密算法常采用序列密码。 每条链路都使用不同的密钥，独立地实现加密和解密处理。 由于加密功能是由通信子网提供的，所以链路加密对用户来说是透明的。 优点是：简单，便于实现；不需要传送额外的数据，不影响网络的有效带宽；仅要求相邻结点具有相同的密钥，密钥管理易于实现。 缺点是：中间结点(包括路由器)上的数据已被解密，存在泄漏数据的可能性；不适用于广播网。,64,加密策略(续2),端

22、到端加密 对源结点和目的结点之间传送的PDU进行全程加密的一种技术。报文的安全性不会因中间结点的不可靠而受到影响。 在端到端加密的情况下，PDU的控制信息部分(如源结点地址、目的结点地址、路由信息等)不能被加密，否则中间结点就不能正确选择路由。这就使得这种方法易受通信量分析的攻击。,加密策略(续4),混合加密 是链路加密和端到端加密的混合应用。在这种方式下，报文被两次加密，而报文首部则只经链路加密。,65,66,密钥分配,密钥管理是密码学的一个重要分支。密钥管理包括：密钥的产生、分配、注入、验证和使用。 密钥分配(或称密钥分发)是密钥管理中一个重要问题。 从输送密钥的渠道来看，密钥分配有两种方

23、式：网外分配和网内分配。 网外分配 密钥分配不通过网络传输，可派遣信使携带着密钥分配给需要通信的用户。 网内分配 密钥通过网络内部传送，达到密钥自动分配给需要通信的用户。,67,密钥分配(续1),密钥分配通常采用集中管理方式，即设立密钥分配中心KDC，由它负责给需要进行秘密通信的用户临时分配一次性使用的会话密钥。,KDC还可在报文中加入时间戳，以防止截取者的重放攻击。,68,密钥分配(续2),KDC分配给用户A与用户B通信使用的密钥是一次性的，因此保密性很高。 KDC分配给用户的密钥如能做到定期更换，则更减少了攻击者破译密钥的可能性。 KDC还可以在报文中打上时间戳标记，以防止报文的截取者利用

24、过去截取的报文进行重放攻击。 目前最著名的密钥分配协议是Kerberos V5，是美国麻省理工学院MIT开发的。,69,鉴别,鉴别 对欲访问特定信息的发起者的身份或者对传送的报文的完整性进行的合法性审查或核实行为，是网络安全的一个重要环节。 报文鉴别 对收到报文的真伪进行辨认，确认其真实性。 实体鉴别 对人或进程进行辨认，确认其真实性。 鉴别与授权是两个不同的概念，授权是对所进行的过程是否被允许。,70,鉴别(续1),1、报文鉴别 报文摘要是一种广泛使用的进行报文鉴别的方法。 报文摘要的基本思路是： 用户A将报文经报文摘要算法运算，得到报文摘要H。再用A的私钥SKA对进行运算(即数字签名)，得

25、到签过名的报文摘要D(H)。然后将其追加在报文M后面发送给用户B。 用户B收到后，将报文M和签过名的报文摘要D(H)分离。一方面用A的公钥PKA对D(H)进行E运算(即核实签名)，得报文摘要H。另一方面对报文M重新进行报文摘要运算得出报文摘要H 。然后对H与H进行比较，如一样，就可断定收到的报文是用户A所为，否则就不是。,71,鉴别(续2),利用报文摘要进行报文鉴别的过程,72,鉴别(续3),报文摘要算法必须满足两个条件 欲想从某个报文摘要H反过来找到一个报文M，使得报文M经过报文摘要运算得出的报文摘要也正好是H ，则在计算上是不可行的。 任意两个报文，使得它们具有相同的报文摘要，则在计算上也

26、是不可行的。 这两个条件表明：若M，H是发送者生成的报文和报文摘要，则攻击者不可能伪造出另一个报文，使得该报文与M具有同样的报文摘要。发送者对报文摘要进行的数字签名，使得对报文具有可检验性和不可否认性。,73,鉴别(续4),报文摘要算法MD5 MD5算法的操作过程： 将任意长的报文按模264计算其余数(64位)，将其追加在报文的后面。 在报文和余数之间填充1512位，使得填充后的总长度是512整数倍。填充位的首位为1，其余为0。 将追加和填充后的报文划分为512位的数据块，同时再将512位的报文数据再分成4个128位的数据块依次送到不同的散列函数进行4轮计算。每一轮运算又都按32位的小数据块进

27、行复杂的运算，直到得出MD5报文摘要代码为止。,74,鉴别(续5),报文摘要算法MD5(续) RFC 1321提出的报文摘要算法MD5已在因特网上得到大量使用。它可对任意长的报文进行运算，然后得出128位的MD5报文摘要代码。 MD5代码中的每一位，都与原报文中的每一位有关。Rivest认为根据给定的MD5代码推算出原报文的难度，其所需操作量级为2128 。,75,鉴别(续6),实体鉴别 报文鉴别是对收到的每一个报文执行的鉴别动作，但实体鉴别只需在访问者接入系统时对其身份进行一次验证。 实体鉴别常用检查口令或个人身份识别码来实现。 利用对称密钥加密实体身份的实体鉴别。,此法的不足：不能防止入侵

28、者C通过重放攻击而冒充A。,76,鉴别(续7),利用不重数进行实体鉴别可以对付重放攻击。,不重数是一个不重复使用的大随机数，可做到“一次一数”。由于每一次通信都使用不同的不重数，即便入侵者C进行重放攻击，也无法使用所截获的不重数。,77,防火墙,防火墙是一种由软件、硬件构成的系统，在两个网络之间实施存取控制的安全策略。 防火墙应当适合本单位的需要，所以它是由使用防火墙的单位自行研制或授权专业公司研制的。 防火墙在互连网络中的位置,78,防火墙(续1),防火墙的功能 “阻止” 这是防火墙的主要功能，意即阻止某种类型的通信量通过防火墙。 “允许” 该功能恰好与“阻止”相反。意即防火墙必须具有识别通

29、信量的各种类型的本领。 防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。 “绝对阻止所不希望的通信”和“绝对防止信息泄漏” 是很难做到的，正确地使用防火墙可将安全风险降低到可接受的水平。,79,防火墙(续2),防火墙的类型 网络级防火墙 主要用来防止外来非法入侵。属于此类的有分组过滤和授权服务器。分组过滤是检查流入本网络的所有信息，然后拒绝不符合规定要求的数据。授权是检查用户登录的合法性。 应用级防火墙 由应用程序来解决存取控制问题。通常使用应用网关或委托服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止 FTP 应用的通过。,80,防火墙(续

30、3),该防火墙同时具有上述两种技术。路由器对进入和出去的分组进行检查，只有符合条件的分组才能通过，否则就被丢弃。应用网关是从应用层的角度来检查每一个分组，确定是否被允许通过防火墙。 分组过滤是靠查找系统管理员所设置的表格来实现的。表格中列出了合格的站点以及一些防火墙规则。,防火墙(续4),防火墙的局限性 防火墙对内部的防护能力较弱。因为它很难解决内部人员违反网络使用规定所引起的安全问题。据统计，网络上的安全攻击事件有70%以上来自内部。 防火墙系统很难配置，易造成安全漏洞。因为防火墙系统的配置与管理相当复杂，管理上稍有疏忽就可能造成潜在的危险。统计表明，30%的入侵是在有防火墙的情况下发生的。

31、 防火墙系统很难做到为不同用户提供不同的安全控制策略。 结论：将防火墙和其他网络管理技术等作综合考虑。,81,虚拟专用网,83,虚拟专用网,虚拟专用网VPN(Virtual Private Network)是建立在基础网络之上的一种功能性网络。它向使用者提供一般专用网所具有的功能，但本身却不是一个独立的物理网络，而是通过隧道技术，架构在公共网络服务商所提供的网络平台(如Internet、ATM和FR等)之上的逻辑网络。 虚拟专用网的两个含义：一是“虚拟”，因为整个VPN网上的任意两个结点之间的连接并没有传统专用网所需的端到端的物理链路，而是将它建立在分布广泛的公用网络的平台上；二是一个“专用网

32、”，每个VPN用户都可以从临时的“专用网”上获得所需的资源。,84,虚拟专用网(续1),VPN的特点 成本低廉，只需支付日常的上网费用。 得到最常用的网络协议的广泛支持。 具有身份验证、数据加密等安全可靠功能。 易于扩充和管理。,虚拟专用网(续2),虚拟网络技术的不足 安全性。由于因特网不是一个可信赖的安全网络，为确保数据传输的安全，应对入网传输的数据进行加密处理。 可管理性。VPN的管理要能够应对电信单位需求的快速变化，以避免额外的远行开支。 性能。由于ISP是“尽力交付”传输的IP分组，而跨因特网的传输性能又无法得到保证，且时有变化，所以附加的安全措施也会显著地降低性能。,85,86,虚拟

33、专用网(续2),VPN的类型 按最常用的应用范围 可分为远程接入VPN(Accsess VPN)、Internet VPN和Extranet VPN。 按网络结构基于VPN的远程访问、基于VPN的网络互联和基于VPN的点对点通信。 按接入方式固定专线VPN和拨号接入VPN。 按路由器管理方式有两种模式：叠加(或覆盖)模式和对等模式。多协议标记交换MPLS技术是当前主流的对等模式VPN技术。,87,虚拟专用网(续4),隧道技术 隧道的建立有两种方式：一种是自愿隧道，指服务器计算机或路由器可以通过发送VPN请求配置和创建的隧道；另一种是强制隧道，指由VPN服务提供商配置和创建的隧道。 隧道有两种类

34、型：点-点隧道。隧道由远程用户计算机延伸到企业服务器，由两边的设备负责隧道的建立，以及两点之间数据的加密和解密。端-端隧道。隧道中止于防火墙等网络边缘设备，它的主要功能是连接两端的局域网。,88,虚拟专用网(续3),用隧道技术实现虚拟专用网,因特网的安全协议,90,网络层安全协议,关于因特网网络层安全最重要的请求评论是RFC 2401和RFC 2411。前者描述IP安全体系结构，后者提供IPsec协议族的概述。 IPsec是“IP安全协议”的缩写。 IPsec最主要的两个协议是：鉴别首部AH协议和封装安全有效载荷ESP协议。AH提供源点鉴别和数据完整性功能，但不能保密；ESP提供源点鉴别、数据

35、完整性和加密，比AH要复杂得多。IPsec支持IPv4和IPv6。这两个协议同时存在。,91,网络层安全协议(续1),安全关联 安全关联SA（security association）是指在发送端与接收端之间存在的单向关系，它向所承载的通信量提供安全服务。 安全关联必须在使用AH和ESP协议之前事先建立。 一个安全关联需有以下三个参数： 安全参数索引SPI 是一个分配给该SA的位串(32位)，仅在本地有意义。 IP目的地址 是SA的目的端地址(一个端用户系统或网络系统)，如防火墙或路由器。目前只允许单播地址。 安全协议标识符 指出该关联是一个AH的安全关联，还是ESP的安全关联。,92,网络层

36、安全协议(续2),鉴别首部协议 鉴别首部协议AH为数据的完整性和IP分组的鉴别提供了支持。 鉴别首部的格式。,93,网络层安全协议(续3),鉴别首部的组成 下一个首部(8位) 标识接在本首部后面的下一个首部的类型(如TCP或UDP)。 净负荷长度(8位) 以32位字为单位的鉴别首部的长度减去2。 保留(16位) 留待后用。 安全参数索引(32位) 标识一个安全关联。 序号(32位) 表示一个计数值。 鉴别数据(可变长) 一个可变长度的字段，但必须是32位字的整数倍。,94,网络层安全协议(续4),封装安全有效净载荷协议 封装安全净负荷协议ESP可提供加密服务，包括对报文内容的加密以及受限的通信

37、流量加密。它作为一个可选特性，它还可以提供与鉴别首部相同的鉴别服务。 封装安全净负荷分组的格式,95,网络层安全协议(续5),封装安全净负荷分组的组成 安全参数索引(32位) 标识一个安全关联。 序号(32位) 表示一个计数值。 净负荷数据(可变长) 它是需要被加密保护的运输层报文（运输方式）或IP分组(隧道方式)。 填充(0255字节) 因加密算法的需要，使明文是8位的整数倍。 填充长度(8位) 指出填充字段所填字节的数量。 下一个首部(8位) 通过标识净负荷中的第一个首部(如Ipv6中的扩展首部)来标识包含在该净负荷数据字段中的数据类型。 鉴别数据(可变长) 一个可变长度的字段，但必须是3

38、2位字的整数倍。,96,网络层安全协议(续6),两种使用方式 运输方式 主要为上层协议提供支持，对IP分组(指TCP或UDP的报文段，或ICMP分组)进行加密。在典型情况下，运输方式用于两个主机之间的端对端的通信。 运输方式的AH鉴别IP净负荷，以及被选择的部分IP首部。运输方式的ESP对IP净负荷加密，并可选择地鉴别IP净负荷，但并不对IP首部进行处理。 隧道方式 采用隧道技术对整个IP分组提供安全保护。隧道方式的AH鉴别整个内层IP分组以及被选择的部分外层IP首部。隧道方式的ESP加密可选择地鉴别整个内部IP分组。,97,网络层安全协议(续7),ESP的两种使用方式,98,运输层安全协议,因特网商务就是通过因特网来进行的商务活动，如购物、订票、股票交易等应用，都迫切需要安全的连接。 因特网在商务安全方面有两个协议，即安全套接字层SSL(Secure Socket Layer)和安全电子交易(Secure Electronic Transaction)。,99,运输层安全协议(续1),安全