网络通信安全管理员认证－中级ISEC

虚拟专用网2VPN核心技术一、VPN中的关键技术隧道访问控制密码算法密钥管理用户鉴别网络管理隧道技术VPN系统被设计成通过Internet提供安全的点到点(或端到端)的“隧道”。隧道是在公共通信网络上构建的一条数据路径，可以提供与专用通信线路等同的连接特性。VPN隧道对要传输的数据用隧道协议进行封装，这样可以使数据穿越公共网络(通常是指Internet)。整个数据包的封装和传输过程称为挖隧道。数据包所通过的逻辑连接称为一条隧道。在VPN中,数据包流由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再达到另一个LAN上的路由器。隧道协议-数据封装隧道使用隧道协议来封装数据。一种协议X的数据报被封装在协议Y中，可以实现协议X在公共网络的透明传输。这里协议X称作被封装协议，协议Y称为封装协议。隧道的一般封装格式为(协议Y(隧道头(协议X)))。隧道协议第二层（链路层）：PPTP、L2F、L2TP第三层（网络层）：IPSec访问控制一般而言，对资源的访问应在访问策略的控制下进行。访问控制决定了主体是否被授权对客体执行某种操作。它依赖鉴别对主体的身份认证，将特权与主体对应起来。只有经鉴别的主体，才允许访问特定的网络资源。密码算法VPN中的安全机制本质上依托于密码系统，如各种加密算法、鉴别算法。密码系统中各种算法的特性、密钥长度、应用模式不同，直接影响在VPN提供的安全服务的强度。安全强度更高的新算法、各种算法的硬件实现自然代表VPN技术发展的趋势。密钥管理VPN技术的开放性预示着必须采用各种公开密码算法，这样算法的安全强度不能依赖于算法本身，只能依靠密钥的机密性。大规模部署VPN，也离不开自动密钥管理协议的支持。

VPN系统中常用的几种密钥管理协议包括：IKE协议、SKIP协议、Kerberos协议用户鉴别一种典型的VPN应用是远程用户拨号接入（VDPN），与普通的拨号接入不同，VDPN通常需要“二次拨号”：一次接入到当地ISP的普通拨号，一次完成接入到内部网络的VPN“拨号”。 第二次拨号因为涉及对敏感的内部资源的访问，因此必须采用AAA机制对用户进行严格控制，控制的核心是对用户的身份鉴别。网络管理作为网络技术一个分支，VPN系统无论采用哪种实现形式（软件/硬件/软硬结合），均涉及网络化管理问题。而且VPN对网管安全提出了更高要求，目前经常采用标准的网管协议SNMPV2一方面安全机制不健全，另一方面缺乏对VPN系统的内在支持。从某种意义上讲，网管技术的发展直接制约着VPN技术的大规模应用。二、VPN的隧隧道技技术1、隧隧道的的相关关知识识2、隧隧道协协议类类型3、第第二层层隧道道：PPTP4、第二二层隧道道：L2TP5、第三三层隧道道技术：：IPSec6、几种种隧道技技术的比比较1、隧道道的相关关知识隧道的定定义：实实质上是是一种封封装，将将一种协协议（协协议X））封装在在另一种种协议（（协议Y）中传传输，从从而实现现协议X对公用用传输网网络(采采用协议议Y)的的透明性性隧道协议内内包括以下下三种协议议乘客协议（（PassengerProtocol）封装协议（（EncapsulatingProtocol）运载协议（（CarrierProtocol）隧道协议例例子2、隧道协协议类型分类依据：：被封装的的数据在OSI/RM的层次次第二层隧道道：以PPTP，L2TP为为代表第三层隧道道：IPSec3、第二层层隧道：PPTP（（1）PPTP由由微软公司司设计，用用于将PPP分组通通过IP网网络封装传传输（PPTP:PointtoPointTunnelingProtocol点对点点隧道协协议）3、第二二层隧道道：PPTP（（2）PPTP的数据据封装：：数据链路层报头IP报头GRE报头PPP报头数据链路层报尾加密PPP有效载荷PPTP客户机机或PPTP服服务器在在接收到到PPTP数据据包后，，将做如如下处理理：处理并去去除数据据链路层层报头和和报尾；；处理并去去除IP报头；；处理并去去除GRE和PPP报报头；如果需要要的话，，对PPP有效效载荷即即传输数数据进行行解密或或解压缩缩；对传输数数据进行行接收或或转发处处理。（GRE:GenericRoutingEncapsulation）通用路由由封装（（GRE）定义义了在任任意一种种网络层层协议上上封装另另一个协协议的规规范。4、第二二层隧道道：L2TP数据封装装格式：：特点：它综合了了第二层层转发协协议（L2F））和PPTP两两种协议议各自的的优点协议的额额外开销销较少5、第三三层隧道道技术：：IPSecIPSec：即即IP层层安全协协议，是是由Internet组织IETF的IPSec工作组组制定的的IP网网络层安安全标准准。它通通过对IP报文文的封装装以实现现TCP/IP网络上上数据的的安全传传送。数据封装装格式：：6、几种种隧道技技术的比比较应用范围围：PPTP、L2TP：：主要用用在远程客户户机访问问局域网网方案中中；IPSec主要要用在网网关到网网关或主主机方案案中，不不支持远远程拨号号访问。。安全性：：PPTP提供认认证和加加密功能能，但安安全强度度低L2TP提供认认证和对对控制报报文的加加密，但但不能对对传输中中的数据据加密。。IPSec提供供了完整整的安全全解决方方案。QoS（（qualityofservice））保证：都都未提供供对多协议议的支持持：IPSec不支持持三、基于于IPSec的的VPN的体系系结构1、IPSec体系结结构2、IPSec协议框框架3、AH协议4、ESP协议议5、IPSec传输模模式6、IPSec隧道模模式7、安全全策略数数据库(SPD)8、安全全联盟数数据库(SADB)9、数据据包输出出处理10、数数据包输输入处理理11、包包处理组组件实现现模型1、IPSec体系结结构2、IPSec协议框框架（1）综合了密密码技术术和协议议安全机机制，IPSec协议的设设计目标标是在IPV4和IPV6环境中为为网络层层流量提提供灵活活的安全全服务。。IPSec协议提供供的安全全服务包包括：访访问控制制、无连连接完整整性、数数据源鉴鉴别、攻攻击保护护、机密密性、有有限的流流量保密密等。IPSec协议主要要内容包包括：●协议框框架－RFC2401；●安全协协议：AH协议－RFC2402、ESP协议－RFC2406；●密钥管理理协议：：IKE－RFC2409、、ISAKMP－RFC2408、、OAKLEY协议－－RFC2412。●密码算法：：HMAC－RFC2104/2404、CAST－RFC2144、ESP加密密算法－RFC2405/2451等等。●其他：解解释域DOI－RFC2407、IPComp－RFC2393、Roadmap－RFC2411。2、IPSec协议议框架（2）IPSec架构密钥管理ESP协议AH协议解释域（DOI）加密算法鉴别算法IPSec协议文件框架图2、IPSec协议议框架（3）ike定义义了安全参参数如何协协商,以及及共享密钥钥如何建立立,但它没没有定义的的是协商内内容.这方方面的定义义是由"解解释域(doi)"文档来进进行的3、AH协协议4、ESP协议5、IPSec传输输模式6、IPSec隧道道模式7、安全策策略数据库库(SPD)（1））SP是一个个描述规则则，定义了了对什么样样的数据流流实施什么么样的安全全处理，至至于安全处处理需要的的参数在SP指向的的一个结构构SA中存存储。SP描述：：对本地子子网和远程程网关后的的子网间的的通信流，，实施ESP通道保保护，采用用3DES加密算法法和HMAC-SHA1验证证算法。7、安全策策略数据库库(SPD)（2））系统中的安安全策略组组成了SPD,每个个记录就是是一条SP,一般般分为应用用IPSec处理、、绕过、丢丢弃。从通信数据据包中，可可以提取关关键信息填填充到一个个称为“选选择符”的的结构中去去，包括目目标IP、、源IP、、传输层协协议、源和和目标端口口等等。然然后利用选选择符去搜搜索SPD，找到描描述了该通通信流的SP。8、安全联联盟数据库库(SADB)（1）SA(SecurityAssociation)是是两个IPSec通通信实体之之间经协商商建立起来来的一种共共同协定，，它规定了了通信双方方使用哪种种IPSec协议保保护数据安安全、应用用的算法标标识、加密密和验证的的密钥取值值以及密钥钥的生存周周期等等安安全属性值值。8、安全联联盟数据库库(SADB)（2）安全联盟常常用参数加密及验验证密钥钥。密码算法法在系统统中的标标识。序列号，，32位位的字段段，在处处理外出出的数据据包时，，一个SA被应应用一次次，它的的序列号号号字段段就递增增一，并并被填充充到数据据包的IPSec头中中，接收收方可以以利用此此字段进进行抗重重播攻击击。抗重播窗窗口。接接收方使使用滑动动窗口算算法来进进行对恶恶意主机机重复发发出的数数据包进进行检测测。生存周期期。规定定了该SA的有有效使用用周期，，可以按按照建立立至今的的时间或或者处理理的流量量来计算算。实施模模式。。即通通道模模式还还是传传输模模式。。IPSec隧道道目的的地址址。安全参参数索索引(SPI)。参参与唯唯一标标识某某SA。9、数数据包包输出出处理理数据据包包被被从从网网络络设设备备发发送送出出去去之之前前，，截截取取到到IP包包，，然然后后从从中中提提取取选选择择符符信信息息，，依依据据之之搜搜索索SPD，，产产生生如如下下可可能能结结果果：：SP决决定定丢丢弃弃此此包包，，于于是是直直接接丢丢弃弃，，或或者者还还可可以向向源源主主机机发发送送ICMP信信息息；；SP决决定定通通过过此此包包，，直直接接将将数数据据包包投投放放到到网网络络设设备备的的发发送送队队列列；；SP决决定定应应用用IPSec，，此此时时SP指指向向一一个个SA,可可以以根根据据它它进进行行安安全全处处理理（（需需要要的的SA不不存存在在，，则则触触发发IKE模模块块协协商商建建立立SA，，协协商商周周期期内内数数据据包包进进入入等等待待队队列列等等待待协协商商完完成成，，若若协协商商超超时时，，也也会会丢丢弃弃该该包包。。））10、、数数据据包包输输入入处处理理系统统收收到到IP包包后后，，判判断断如如果果是是IPSec包包，，则则从从头头部部取取到到<SPI>，，搜搜索索SADB。。若找找不不到到SA，，触触发发IKE或或丢丢弃弃包包；；若找找到到，，根根据据其其进进行行解解封封装装，，得得到到去去通通道道化后后的的原原始始IP包包，，再再从从原原始始IP包包中中提提取取选选择择符符，，搜索索到到SPD中中某某一一条条目目，，检检查查收收到到包包的的安安全全处处理理是否否符符合合描描述述规规则则，，不不符符合合则则丢丢弃弃包包，，符符合合则则转转入系系统统IP协协议议栈栈进进行行后后继继处处理理。。11、、包包处处理理组组件件实实现现模模型型四、、互互联联网网密密钥钥交交换换(InternetKeyExchange)1、、IKE功功能能2、、密密钥钥交交换换包包格格式式(ISAKMP)-3、、安安全全联联盟盟的的协协商商4、、密密钥钥交交换换的的两两个个阶阶段段5、Diffie-Hellman密密钥交交换6、交交换流流程1、IKE功能能用IPSec保保护数数据包包，必必须首首先建建立一一个IPSec的安安全联联盟，，这个个安全全联盟盟可以以手工工建立立，也也可以以动态态由特特定进进程来来创建建。这这个特特定的的进程程就是是InternetKeyExchange,即IKE。IKE的用用途就就是在在IPSec通通信双双方之之间通通过协协商建建立起起共享享安全全参数数及验验证过过的密密钥，，也就就是建建立安安全联联盟。。IKE协议议是Oakley和和SKEME协协议的的混合合，在在由ISAKMP规规定的的一个个框架架内运运作，，可以以为多多种需需要安安全服服务的的协议议进行行策略略磋商商和密密钥建建立，，比如如SNMPv3,OSPFv2,IPSec等等。2、密密钥交交换包包格式式(ISAKMP)—1因特网网安全全关联联和密密钥管管理协协议（（ISAKMP,InternetSecurityAssociationandKeyManagementProtocol)2、密密钥交交换包包格式式(ISAKMP)--2安全联联盟载载荷，，转码载载荷表表示协协商时时供对对方选选择的的一组组安全全属性性字段段的取取值，，比如如算法法，安安全联联盟的的存活活期，，密钥钥长度度等等等。密钥交交换载载荷，，表示示了实实施密密钥交交换必必需的的信息息。散列载载荷，，是一一个散散列函函数的的运算算结果果值。。nonce载荷荷，是是一串串伪随随机值值，用用以衍衍生加加密材材料。。证书载载荷，，在身身份验验证时时向对对方提提供证证书。。证书请请求载载荷。。3、安安全联联盟的的协商商通信双双方要要建立立共享享的安安全联联盟，，必须须进行行协商商。双方根根据本本方的的实际际安全全需求求，制制定采采用的的算法法，密密钥刷刷新频频率，，密钥钥的长长度等等等策策略。。发起起方在在发送送的安安全联联盟载载荷中中，根根据策策略的的优先先级顺顺序，，将计计划采采用的的安全全参数数的组组合以以提案案载荷荷和转转码载载荷的的形式式级联联表示示出来来，响响应方方收到到后，，依据据策略略选择择最合合适的的一种种，再再构建建应答答的安安全联联盟，，此时时应答答方只只包含含了选选中的的一种种安全全参数数组合合。这这样，，一个个共享享的安安全联联盟就就可以以获得得了。。在协商的的进程中中，双方方也通过过计算得得到共享享的密钥钥。4、密钥钥交换的的两个阶阶段1.阶段段一交换换(phase1exchange):在“阶阶段一””周期里里，两个个IKE实体建建立一个个安全的的，经验验证的信信道进行行后续通通信，要要建立这这样的安安全信道道，双方方会建立立一对ISAKMP安安全联盟盟。阶段段一交换换可以用用身份保保护模式式(也叫叫主模式式)或野野蛮模式式来实现现，而这这两种模模式也仅仅用于阶阶段一中中。2.阶段段二交换换(phase2exchange):“阶阶段二””周期里里，IKE实体体会在阶阶段一建建立起来来的安全全信道中中，为某某种进程程协商和和产生需需要的密密钥材料料和安全全参数，，在VPN实现现中，就就是建立立IPSec安安全联盟盟。快速速模式交交换可用用来实现现阶段二二交换并并且仅用用于此阶阶段中。。5、Diffie-Hellman密钥交交换D-H交交换的安安全性源源于在有有限域上上计算离离散对数数比计算算指数更更为困难难。6、交换换流程（（1）（（阶段段一身份份保护模模式）6、交换换流程（（2）阶阶段一说说明在消息(1)中中，发起起者生成成他认为为适当的的安全提提案列表表，提交交给响应应方。消消息(2)中，，响应者者与本地地策略进进行匹配配和选择择之后，，将最终终决定的的安全联联盟内容容同样用用相应载载荷回送送发起者者。在消息(3)、(4)中中，发起者和和响应者交换换DH公开值值，和随机信信息串nonce，在第第四步完成时时，双方已经经可以经计算算得出共享的的DH公共值值，以及各自自计算出SKEYID和和相关衍生密密钥。消息(5)和和消息(6)中，双方使使用前两步得得出的加密、、验证算法和和密钥保护传传输的数据。。当采用数字签签名的身份验验证方法时，，消息(5)和(6)可可以包含证书书载荷，将自自己的公钥证证书发给对方方，验证数据据AUTHDATA就就是数字签名名的运算结果果，在这里数数字证书也可可以是从有效效的远程有效效的认证中心心通过LDAP、DNSSEC等协协议获得。6、交换流程程（3）（（阶段二快速速模式）6、交换流程程（4）阶段段二说明所有消息从ISAKMP头之后都是是加密传输的的，并且在消消息头之后紧紧跟了散列值值进行验证。。如果使用了了完美向前加加密(PFS)，则消息息交换中还包包含一次DH交换的公开开值载荷KE,身份载荷荷表示的是要要保护的通信信流的源和目目的，通常是是子网内的主主机或主机的的集合。在前两个消息息交换完成后后，双方可以以计算出共享享的密钥材料料，这将是最最终提供给IPSec模模块的密钥信信息。五、IPSec的安安全性性评价价及其其改进进1、IPSecVPN的优势势2、IPSec过于于复杂杂3、IPSec协协议存存在的的问题题4、对对IKE协协议的的改进进5、IPSec与NAT的共共处6、远远程拨拨号接接入7、支支持组组播8、对对先加加密后后认证证顺序序的评评价9、对对IPSec的的总体体评价价1、IPSecVPN的优势势（1）VPN技术术虽然然种类类众多多，但但IETF下的的IPSec工工作组组推出出的IPSec协议议是目目前工工业界界IPVPN标准准，以以IPSec协协议构构建虚虚拟专专用网网已成成为主主流。。基于IPSec构建IPVPN是指利利用实实现IPsec协议的的安全全网关关（SecurityGateway）充当当边界界路由由器，，完成成安全全的远远程接接入和和在广广域网网上内内部网网络的的“虚虚拟””专线线互联联等。。1、IPSecVPN的优势势（2）为数据据的安安全传传输提提供了了身份份鉴别别、数数据完完整性性、机机密性性保证证等措措施，，并且且其提提供的的安全全功能能与密密钥管管理系系统松松散耦耦合。。端到端端的IPSecVPN专线租租费比比PVC等物物理专线的的租用用费低低很多多。远程接接入IPSecVPN接入成成本比比长途途电话话费用用低（（只考考虑本本地拨拨号和和VPN隧道占占用费费）。。2、IPSec过于于复杂杂（1）举例说说明。。比如如在IPSec中，，存在在两种种模式式，两两种协协议AH和和ESP。。若要要对两两台主主机之之间的的数据据包进进行认认证，，存在在以下下六种种方案案：传送模模式＋＋AH；隧道模模式＋＋AH；传送模模式＋＋ESP（（无加加密））；隧道模模式＋＋ESP（（无加加密））；传送模模式＋＋ESP（（加密密）；；隧道模模式＋＋ESP（（加密密）；；2、IPSec过于于复杂杂（2）建建议去去掉传传送模模式去掉传传送模模式；；去掉AH协协议；；在ESP中中，数数据源源认证证是必必须的的，而而加密密功能能是可可选的的；先加密密后认认证的的顺序序存在在问题题2、IPSec过过于复复杂（（3））建议议去掉掉AH协议议AH和和ESP在在功能能上重重叠AH的的认证证存在在的问问题隧道模模式＋＋ESP提供和和AH几乎乎同样样强度度的认认证通过压缩机机制来节省省带宽网络新技技术不断断涌现，，对IPSec协议提出出了新的挑战战；针对对IPSec协议的各各种不足足，IETF下的IPSec工作组正正在酝酿酿IPSec协议的改改进，包括IKEV2。国内外研研究发现现，IPSec协议大致致存在下下列问题：1.IKE协议的安安全性；；2.与现有网网络机制制的兼容容性；3.缺缺乏对远程拨号号接入的的支持；；4.不不支持组播播、多协协议；3、IPSec协议议存在的的问题1.网络新技技术不断断涌现，，对IPSec协议提出出了新的挑挑战；针针对IPSec协议的各各种不足足，IETF下的IPSec工作组正正在酝酿酿对IPSec协议的改进，即即IKEV2。2.J.Zhou在分析IKE协议基础础上，提提出HASH_I和HASH_R的计算公公式存在在安全隐隐患。3.BruceSchneier等人认为为IKE协议过于于复杂，某些细细节描述述不够清清楚，与与ISAKMP协议有冲突。4、对IKE协协议的改改进（1）4.J.M.Sierra等人提出出利用新新的协商商模式-发生器模模式（GeneratorMode）实现IKESA的的快速更新新。5.RadiaPerlman等研究发发现，IKE协议提供的用户户身份保保密功能能与采用用的身份份认证方方法直接相相关，对对激进模模式进行行适当的的修改也也能提供身身份保护护。J.Zhou提出采用用数字签签名认证方式式的主模模式可能能导致发发起方的的身份信信息泄漏。。4、对IKE协协议的改改进（2）网络地址址转换－－NAT技术通通过修改改IP包包内容实现现包的正正常传输输；而IPSec协议议通过采采用验证技技术保护护IP包包中数据据完整性性，因此此NAT与与IPSec是是一对矛矛盾。IETF下的网络络工作组组提出了了在隧道道模式下下使用IPC-NAT(IPSecControlNAT)的的解决决方案。。对于端到到端的IPSec与NAT的共处，，网络工工作组建建议使用用RSIP(RealmSpecificIP)协协议。5、IPSec与NAT的共共处（1）BalajiSivasubramanian等提出适适用于协协作IP网络的一一种的端端到端安安全解决决方案。。该方案案的巧妙妙之处在在于IPSec处理预先先使用NAT变换之后后的数据据（公共共IP地址或端端口），，数据包包经过NAT设备时，，NAT设设备对它的修修改正好好与IPSec提供的数数据完整整性保护护相吻合合。IPSec工作作组提出出利用UDP协协议封装装IPSec处处理后的的数据包包，则NAT设设备最多多需要涉涉及对UDP头头的数据据修改。。5、IPSec与NAT的共共处（2）IPSec协议本身身只提供供IP层的安全全服务，，无法在更高高层实施施更小颗颗粒的访访问控制制，这样样就有必要要借鉴高高层机制制，帮助助IPSec协议改进进对远程接接入的支支持。安全远程程接入解解决方案案大致有有：联合L2TP协协议利用MobileIP协议议；修改IKE协议－Xauth协议议、Crack协议、、Hybrid鉴别别协议；PIC协协议；6、远程程拨号接接入IPSec协议文件件虽然指指出协议支持持使用组组播（Multicast）地地址，但但实质上上协议缺缺乏对组组播的完整整支持。。将IPSec协议议应用到到组播环环境中，，迫切需需要解决的的问题包包括：SA的唯一性性问题；组机密性性问题；单个源鉴鉴别问题题；防重传攻攻击服务务失效；7、支持持组播（（1）组播源鉴鉴别：G_R方方案基于于数字签签名技术术和摘要要技术，，将对多多个消息息单个源源鉴别分分解为对对第一个个消息的签名名和其他他消息摘摘要的链链式组合合。C.K.Wong等人人提出多多个包的的一次签签名可等等价转化化为对每每个包的的摘要的的集中签签名；为为减少每每个包的的尺寸，，可采用用树形链链或星形形链技术术，安排排每个包包中携带带的摘要要。C.Canetti等提出利利用MAC技术实现现组播源鉴别：：发送方方拥有K个密钥，，每个接接收方只只与其共享享L个密钥（（L<K），发送送方发送送每个包时同时时附带K个MAC值。7、支持持组播（（2）组播密钥钥管理方方案C.K.Wong等提出分分级树组组密钥方方案，利利用密钥钥服务务器（（KS）负责责产生生所有有密钥钥，并并按照虚虚拟的的分级级树组组织每每个成成员存存储的的密钥钥。A.Ballardie、H.Harney等等人分分别提提出可可扩展的组组播密密钥分分发协协议（（SMKD）和和组密密钥管理协协议（（GKMP），，这两两种协协议的的共同同缺点是缺缺乏针针对组组成员员关系系变化化的密密钥更更新机机制，SMKD依依赖特特殊的的组播播体系系（CBT）。。在Iolus方案中中，S.Mitra采用用分级级架构构将组播组细细分为为若干干个独独立的的子组组；组组安全全接口口（GSI）负责责跨组组通信信的转转换。。7、支支持组组播（（3））8、对对先加加密后后认证证顺序序的评评价IPSec中的的加密密和认认证顺顺序；；Horton定定理：：认证证协议议应当当基于于消息息本身身的含含义进进行认认证；；如果出出于效效率考考虑，，应当当认证证解密密密钥钥9、对对IPSec的的总体体评价价优点安全性性明显显优于于其它它隧道道协议议缺点过于复复杂存在安安全漏漏洞安全性性分析析困难难根本的的解决决方案案：对对IPSec进进行修修补不不能解解决根根本问问题，，必须须彻底底改变变制定定IPSec的的委员员会模模式(committeeprocess)六、移移动VPN1、无无线局局域网网2、移移动IP3、SKIP协协议1、无无线局局域网网无线局局域网网（WirelessLAN－WLAN）、无无线固固定宽宽带接接入（（FixedWirelessBroadBandAccessSystem）、蓝蓝牙（（Bluetooth）等新新的无无线接接入技技术不不断涌涌现，，对网网络安安全提提出了了更高高的挑挑战。。典型的的无线线网络络标准准－IEEE802.11b、、IEEE802.16、、Bluetooth都都采用用了基基于链链路加加密的的安全全技术术。与与网络络层安安全技技术相相比，，链路路级安安全机机制作作用范范围受受限，，严重重依赖赖于链链路接接入机机制。。2、移移动IP（（1））根据OSI参参考模模型，，IEEE802.11b、蓝蓝牙等等无线线接入入技术术工作作在网网络层层之下下的数数据链链路层层和物物理层层，虽虽然使使用户户获得得近距距离内内的移移动性性（Mobility）），但但不适适用于于广域域网接接入环环境中中的移移动性性问题题。目前IP协协议中中IP地址址与物物理位位置捆捆绑在在一起起，IP地地址既既用来来标识识网络络中特特定的的主机机，也也用于于报文文选路路，如如果移移动用用户接接入位位置改改变，，IP地址址也随随之变变化，，原有有的上上层连连接因因此中中断，，可以以说移移动性性是牺牺牲通通信为为代价价的。。2、移移动IP（（2））针对主主机移移动性性问题题，IETF于1996年推出出了移移动IP(MobileIP)技术规规范。。MobileIP基本思思