人民邮电出版社：高等学校计算机专业《计算机网络安全》课程教材教学资源（PPT课件）第8章 网络协议的安全

第8章辂协议的安全 人民邮电出版社

第8章 网络协议的安全

8.11P的安全 8.2传输协议的安全 8.3应用协议的安全 人民邮电出版社

8.1 IP 的 安 全 8.2 传输协议的安全 8.3 应用协议的安全

81IP的安全 IP级安全问题涉及3个功能领域:身份验证、机密 性和密钥管理。 IP层的安全性应达到以下几个目标: (1)期望安全的用户能够使用基于密码学的安全机 制 (2)应能同时适用于IPv4和IPv6; (3)算法独立; (4)有利于实现不同的安全策略; (5)对没有采用该机制的用户不会有负面的影响 人民邮电出版社

8.1 IP 的 安 全 IP级安全问题涉及3个功能领域：身份验证、机密 性和密钥管理。 IP层的安全性应达到以下几个目标： （1）期望安全的用户能够使用基于密码学的安全机 制； （2）应能同时适用于IPv4和IPv6； （3）算法独立； （4）有利于实现不同的安全策略； （5）对没有采用该机制的用户不会有负面的影响

8.1.1 IPSec协议簇 1. IPSec基本原理 (1) IPSec工作原理 IPSec( IP Security)首先协商建立安全关联( Security Association,SA), IPSec通过查询安 全策略数据库决定对接收到的IP数据包的处理方式 人民邮电出版社

8.1.1 IPSec协议簇 1．IPSec基本原理 （1）IPSec工作原理 IPSec（IP Security）首先协商建立安全关联（ Security Association，SA），IPSec通过查询安 全策略数据库决定对接收到的IP数据包的处理方式

①封装安全载荷( Encapsulating Security pay load, ESP) ESP协议主要用来处理对IP数据包的加密,此外对认 证也提供某种程度的支持。 ②认证头( Authentication header,AH) A协议只涉及到认证,不涉及到加密。AH协议虽然 在功能上和ESP有些重复,但AH协议除了可以对IP的 有效负载进行认证外,还可以对IP头部实施认证。 3 IKE (Internet Key Exchange) IKE协议主要是对密钥交换进行管理 人民邮电出版社

① 封装安全载荷（Encapsulating Security payload，ESP） ESP协议主要用来处理对IP数据包的加密，此外对认 证也提供某种程度的支持。 ② 认证头（Authentication Header，AH） AH协议只涉及到认证，不涉及到加密。AH协议虽然 在功能上和ESP有些重复，但AH协议除了可以对IP的 有效负载进行认证外，还可以对IP头部实施认证。 ③ IKE（Internet Key Exchange） IKE协议主要是对密钥交换进行管理

2. IPSec提供的功能 (1) IPSec的功能 IPSec的基本功能包括在IP层提供安全服务,选择 需要的安全协议,决定服务使用的算法和保存加密使 用的密钥等。 (2) IPSec提供的服务和应用 ①保护 Internet上的区域连通性 ②可以保护 Internet上的远程访问 ③可以与合作伙伴之间建立外部网和内部网的连接 ④可以增强电子商务的安全性 人民邮电出版

2．IPSec提供的功能 （1）IPSec的功能 IPSec的基本功能包括在IP层提供安全服务，选择 需要的安全协议，决定服务使用的算法和保存加密使 用的密钥等。 （2）IPSec提供的服务和应用 ① 保护Internet上的区域连通性 ② 可以保护Internet上的远程访问 ③ 可以与合作伙伴之间建立外部网和内部网的连接 ④ 可以增强电子商务的安全性

具有PSec IP|PSec保密IP 的用户系统 报头报头有效载荷 公共 (Internet 或专用网络 IP|Psec保密IP 报头报头有效载荷 IP|PScc保密I 报头报头有效载荷 具有PSec 具有 IPSec 的用户系统 的用户系统 IP P有效 PIP有效 报头 载荷 报头载荷 图81|PSec的应用 人民邮电出版补

图8.1 IPSec的应用

(3) IPSec的体系结构 体系结构 封装安全有效负载 (ESP) 验证头(AH) 加密算法 验证算法 解释域(DOI) 密钥管理 策略 图82 IPSec的体系结构 人民邮电出版

（3）IPSec的体系结构 图8.2 IPSec的体系结构

①体系结构( Architecture): ②ESP封装安全有效负载( Encapsulating Security Payload) ③AH验证头( Authentication Header): ④加密算法( Encapsulation Algorithm): ⑤验证算法( Authentication Algorithm): ⑥密钥管理( Key Management): ⑦解释域( Domain of Interpretation,Do 人民邮电出版社

① 体系结构（Architecture）： ② ESP封装安全有效负载（Encapsulating Security Payload）： ③ AH验证头（Authentication Header）： ④ 加密算法（Encapsulation Algorithm）： ⑤ 验证算法（Authentication Algorithm）： ⑥ 密钥管理（Key Management）： ⑦ 解释域（Domain of Interpretation，DOI）：

3.安全关联( Security Association,SA) SA是IP认证和保密机制中最关键的概念。一个 关联就是发送和接收者之间的一个单向关系。如果 需要一个对等关系,即双向安全交换,SA是由惟 个参数确定的。 ①SPI ②IP目的地址 ③安全协议标识符 人民邮电出版社

3．安全关联（Security Association，SA） SA是IP认证和保密机制中最关键的概念。一个 关联就是发送和接收者之间的一个单向关系。如果 需要一个对等关系，即双向安全交换，SA是由惟一 三个参数确定的。 ① SPI ② IP目的地址 ③ 安全协议标识符