信息安全技术及应用 互联网安全协议

一、互联网安全协议概述

1.1 互联网协议体系

TCP/IP协议的体系结构

IP数据报格式及TCP/UDP报文段格式

Web技术构成：HTTP协议、HTML标记语言。

TCP/IP协议栈中安全机制的相对位置：网络层、运输层和应用层。

1.2 互联网安全协议

1、将安全机制放置在网络层：如IPSec协议，好处是对最终用户和应用程序透明。

2、将安全机制放置在运输层：如SSL协议，好处是对最终用户和应用程序透明。

3、将安全机制放置在应用层：好处是与应用有关的安全服务被嵌入到特定的应用程序中，可根据需要制定安全服务。

4、网络安全协议是各种安全服务的集成，通过安全协议的设计和编程实现，形成更高的安全服务，在提供安全服务的同时方便用户使用。

5、各种网络安全协议在实际使用时，需要安装相关程序进行设置。

二、IP安全协议与VPN

2.1 VPN概念与构成

VPN：以公共开放网络作为通信平台，通过在相关网络层次中附加多种安全技术（加密、鉴别和访问控制），向用户提供类似于专用网络性能的一种网络安全技术。

2.1.1 VPN常见的应用模式

1、内部网VPN：适用于同一企业或组织内部的远程分支机构局域网的连接。
特点：数据通信量较大，连接时间较长。

2、外部网VPN：适用于不同企业或组织之间的内部网的连接。
特点：安全策略存在较大差异，对访问控制要求较高。

3、远程访问VPN：远程移动用户、单机接入等。

2.1.2 VPN功能

1、数据封装：通过构造虚拟专用网隧道，使远程用户能够用内部网的地址和协议传递信息。

2、数据加密：通过对传输数据的加密，隐藏内部网的协议、地址和数据。

3、报文鉴别和身份鉴别：提供报文鉴别和身份鉴别。

2.1.3 隧道协议

1、隧道技术：其基本方法是在内网与公网接口处，将要传输的数据作为载荷封装在一种可在公用网上传输的数据格式中，在目的内网与公网接口处，将数据封装除去取出载荷。

2、隧道技术的主体是隧道协议。

3、隧道，实质上是一种封装，是将一种协议封装在另一种协议中传输，从而实现内部网络协议对公用网络的透明性。

4、安全隧道：在隧道中引入密码技术和鉴别技术，使公用网具有和内部网类似的安全性。

5、VPN使用的隧道技术涉及三种数据格式
（1）用户数据包格式
（2）封装格式
（3）公用网传输格式

6、三个数据格式对应得数据格式

（1）乘客协议：内部网使用的协议在VPN中称为乘客协议。

（2）隧道协议：用于封装乘客协议的封装协议被称为隧道协议。

（3）传输协议：在VPN中，内部网数据以公用网作为传输载体，因此，用户数据包经隧道协议封装后还必须以公用网的传输格式进行封装。公用网使用的协议为传输协议。

IP协议是目前最常见的传输协议。IP协议具有路由器功能强大，可运行于不同的传输介意，应用面广等特点。

2.2 IPSec概述

1、用因特网进行互连，IP层适合设置安全机制。在IP层实现的安全机制也称为IPSec。

2、IP层的安全包含了三个功能域：鉴别、机密性和密钥管理。
（1）鉴别：提供报文信源鉴别和完整性鉴别。
（2）机密性：通过报文加密可防止第三方窃听报文。
（3）密钥管理：处理密钥的安全交换。

3、IPSec协议运行在内网与外网相连的网络设备上，如路由器或防火墙。

4、IPSec网络设备一般将对进入广域网的所有通信量进行加密和压缩，对所有来自广域网的通信量进行解密和解压。这些操作对于局域网上的工作站和服务器是透明的。

5、IPSec优点：
（1）当在防火墙或路由器中实现IPSec时，IPSec能够对所有穿越边界的数据通信量提供安全防护。同时又不会在内部引起与安全有关的处理负荷。
（2）防火墙内部的IPSec可以抵制旁路，如果从外界进来的所有通信量必须使用IP，并且防火墙是从Internet进入内部的唯一入口。
（3）IPSec在运输层（TCP，UDP）以下，因此对于应用程序时透明的。
（4）IPSec对终端用户是透明的，没有必要对用户进行安全培训，给每个用户下发密钥，或在用户离开组织是取消其密钥。

6、IPSec提供的安全服务
（1）无连接完整性和访问控制。
（2）数据源的鉴别。
（3）拒绝重放的分组。
（4）机密性（加密）。
（5）有限的通信量机密性。

7、IPSec使用两个协议来提供上述的安全服务：首部鉴别协议（AH）和封装安全载荷协议（ESP）。
首部鉴别协议（AH）：对IP数据报提供鉴别服务。
封装安全载荷协议（ESP）：对IP数据报提供鉴别和机密性服务。该协议是加密/鉴别混合协议。
AH和ESP可单独使用，也可结合使用。

2.3 IPSec协议

2.3.1 安全关联SA

1、安全关联是发送方与接送方间的一种单向关系。通常与一个或者一组给定的网络连接相关，为所承载的网络流量提供安全服务。

2、如果需要一个对等的关系用于双向的安全交换，就要有两个安全关联。一个SA可用于AH或ESP，但不能同时用于两者。

3、每个安全关联可表示为一个三元组：
（1）安全参数索引（SPI）：SPI是一个32比特的值，用于区别相同目的地和协议的不同安全关联。SPI出现在AH和ESP的首部中，接收方根据首部中的SPI确定对于的SA。
（2）IP目的地址（IPDA）：目前只允许单播地