网络安全协议（一）

网络
是由两台以上计算机连在一起组成的“计算机群”，再加上相应“通信设备”组成的综合系统。网络带来的好处主要体现在资源共享、信息交换与及时传递两个方面。

网络的分类
A.一种分类法：
信息(message)：文字、数值、图形、声音、图像等
发送设备：又称“主机”(host)——各种信息处理设备(计算机等)
接收设备：同上
通信设备：负责主机间的通信控制和通信处理
传输媒介：各种电缆、光缆、无线电波等
通信协议：通信规则(无协议的两台设备可以连接但无法通信，如同讲不同语言的两人无法对讲)
B.另一种分类法：
资源子网
硬件资源(主机、终端、I/O设备等)、软件资源、数据资源等，负责全网数据处理业务，向网络用户提供各种网络资源和网络服务；
通信子网
传输介质(电缆、光纤、无线电波等)、通信设备(交换机等)，承担全网的数据传输、转接、加工和变换等通信处理工作。

按网络的规模和地理位置
网络可分为：
局域网(Local Area Network，LAN)
介于局域网和广域网之间的网络(又称“区域网”)
企业内部网(Intranet)
园区网/校园网(Campus networks)
城域网(Metropolitan Area Network，MAN)
广域网(Wide Area Network，WAN)

按照拓扑结构
网络可以分为：总线型、星型、环形

按传输介质
网络可以分为：
有线网
光纤网
无线网

网络协议
重要性
在网络中，除了网络操作系统外，最重要的就是各种各样的网络协议。
作用
通讯协议是网络社会中信息在网络的计算机之间、网络设备之间及其相互之间"通行"的交通规则。
基本功能
保证网络上信息能畅通无阻、准确无误地被传输到目的地。
协议组成
语义、语法和时序三部分；语义规定通信双方彼此“讲什么”(含义)，语法规定“如何讲”(格式)，时序关系则规定了信息交流的次序(顺序)。
各种各样的协议
理论上，只要有一套协议即可，但由于网络技术在不断发展，应用领域在不断拓宽，加上历史的原因，所以目前尚无一套统一可用的网络协议。

ISO七层参考模型
应用层 网络的用户接口(如上网软件等)
表示层 不同系统数据格式转换(如加解密)
会话层 进程(执行中的程序)间会话管理与会话同步(“会话”即用户间连接)
传输层 报文的正确传输(报文的生成、收发、组合与差错检查)
网络层 路由选择和流量控制(选择LAN间传输路径)
数据链路层 帧的正确传输(帧的生成、收发与差错检查)
物理层 数据比特流(0、1)的正确传输(比特流的生成、收发与差错检查)

TCP/IP协议与七层模型的对应关系

封装
封装是指信息通过各层向下传递时，每层的软件负责加上它的报头(header)或报尾(Trailer)信息(每层都要封装从高层来的信息)。

网络协议的基本构架
所有网络协议体系均包括下述基本组件：
协议堆栈——由相互间通信、高效率传输数据包的各层构成。
定址系统——提供独一无二标识一个目的地(目标主机)的能力。为了实现大范围内的通信，有必要将通信实体唯一地标识出来。
路由(选择)——决定一个特定数据包的传送路径，令其最终抵达目的地，这就是所谓的“路由选择(Routing)”：

协议堆栈
Internet的基石是TCP/IP协议，该协议在实现上力求简单高效。
TCP/IP协议堆栈由4个层构成。堆栈中的每个层都有明确定义的功能及用途。每一层都能导出经准确定义的接口，在它上面或下面的层可通过该接口与之通信。这种分层结构具有多方面的优点。除了能简化协议堆栈的设计之外，还能简化它的使用。

数据流分析

网络层和传输层
在传送层，TCP/IP协议套件实现了两种协议—传输控制协议(TCP)以及用户数据协议(UDP)。
TCP是一种“面向连接”的协议，可确保数据包的发送顺序，以及保证它们的正确投递。其内建的机制可向应用层提供这些服务。除此以外，TCP也实现了像“流控制”这样的机制，可确保目标主机不至于受到大量数据包的“狂轰滥炸”。
UDP则是一种“无连接”的协议，既不能担保数据包投递的顺序，也不支持流控制。至于到底选用TCP还是UDP，则完全由应用(程序)决定。

定址–IPv4
IPv4(互联网协议第4版)是当今最流行的一种网络层协议。它采用一种简单的定址方案，并提供了“无连接”服务。IPv4是一种颇为成熟的路由框架。
IP地址由两部分构成—一个网络ID以及一个主机ID。其中，网络ID从逻辑意义上将一系列IP地址组合到一起。之所以要进行这样的分组，是为了便于提供有效的路由选择以及其他服务，比如IP广播等等。

定址–IPv6
IPv4将地址空间限制在了32位以内。为避免地址资源全面用完的尴尬局面，IETF早就开始了下一版IP协议的研究，名为IPv6。IPv6的一个主要优点是将地址空间从32位提升到了128位(16个字节)。
不再为通过路由器的数据包提供分段支持。现在要由端主机自己来执行PMTU(path MTU)。（Maximum Transmission Unit，MTU）
支持更丰富的选项。各选项现在以独立的头的形式存在，而不是成为IP头的一部分，显得更加灵活。我们称之为“头链接”。在这种情况下，IP扩展头(选项)要插入IP头与传送层头之间。

域名系统
域名系统(Domin Name System, DNS)是Internet中一种简单和易于扩展的目录系统。
它最重要的功用是将采用www.xyz.com这种形式的一个机器名称翻译成数字形式的IP地址。
对普通人来说，显然不可能记住大量地址，特别是当地址没有语义上的关联时。此外，IP地址大多是动态分配的，IP地址的记忆通常是件没有意义的事情。但在另一方面，网络层能够识别和处理的只能是这种形式的地址。因此，有必要设置一个易于伸缩的系统，将一个名字动态地翻译成IP地址。

路由
分段：
所谓“分段(Fragmentation)”，是指在源主机或者路由器处，将一个IP包分割为多个IP包的一种过程。经过分段后，每个包都单独传送，并在目的地(目标主机)处重新装配。
网络层数据包亦有可能在路由器处进行分段处理，因为两个物理层之间可能出现数据包允许的最大长度不相符的情况。

导致网络不安全的原因
Internet的基石是TCP/IP协议，该协议在实现上力求简单高效，没有考虑安全因素。所以TCP/IP本身在设计上就是不安全的。
容易被窃听和欺骗
脆弱的TCP/IP服务
缺乏安全策略
配置的复杂性

网络中与安全相关的饿协议
实施安全保护的层次
决定到底在堆栈的什么地方应用安全措施时，要依赖于应用(程序)对安全保密的要求，以及用户自己的一些需要。但无论在堆栈的什么地方采取安全措施，下面这些基本服务都是必须要提供的：
密钥管理
机密性
不可抵赖
完整性／身份验证
授权

应用层
在应用层提供安全保障有下述几方面的优点：
由于是以用户为背景执行，所以更容易访问用户凭据，比如私人密钥等。
对用户想保护的数据具有完整的访问权。这便简化了提供一些特殊的服务的任务，比如不可抵赖。
一个应用可自由扩展，不必依赖操作系统来提供这些服务。通常，应用程序对于操作系统上实施的东西没什么控制权。
应用程序对数据有着充分的理解，可据此采取相应的安全措施。
几种运行于应用层上的安全协议：
SSH（Secure Shell），是一种远程登录的安全协议。
SET（Secure Electronic Transaction），是一个基于可信的第三方认证中心并以此实现网上交易的模型和规范。
S-HTTP（Secure Hypertext Transfer Protocol），是一个Web安全协议。
PEM（Privacy Enhanced Mail），是Internet上最初的加密邮件协议。
S/MIME（Secure/Multipurpose Internet Mail Extension）,是一个电子邮件安全协议。

传输层
与应用层安全相比，在传送层提供安全服务具有一些明显的好处，因为它不会强制要求每个应用都在安全方面作出相应的改进。即使现有的应用本身没有提供安全服务，也能自然、“无缝”地获得安全服务。
具体的传送层安全措施要取决于具体的协议。
几种运行于传送层上的安全协议：
SSL（Secure Sockets Layer Protocol），是一个用于在Internet上进行保密通信的安全协议。
TLS（Transport Layer Security）,其实质是将SSL通用化了的安全协议。
SOCKSv5，是防火墙及VPN用的数据加密及认证的安全协议。

网络层
在这一层实现安全服务具有多方面的优点：
首先，密钥协商的开销被大大地削减了。
其次，假如安全服务在较低层实现，那么需要改动的应用程序便要少得多。通过它，我们不必集中在较高的层实现大量安全协议。
网络层安全最有用的一项特性是能够构建VPN和内联网(Intranet)。
在网络层提供安全服务的缺点是很难解决像数据的“不可抵赖”之类的问题。

数据链路层
假定两个主机或路由器之间存在一条专用通信链路，而且为避免有人“窥视”，所有通信都需加密，便可用硬件设备来进行数据加密。
这样做最大的好处在于速度。
该方案的缺点是不易扩展，而且仅在专用链路上才能很好地工作。另外，进行通信的两个实体必须在物理上连接到一起。
几种运行于数据链路层上的安全协议：
PPTP（Point to Point Tunneling Protocol），是以IP协议封装PPP帧，通过在IP网上建立隧道来透明传送PPP帧的隧道化协议。
L2F（Layer2 Forwarding），是一种允许高层协议的链路层隧道技术，用于建立跨越公共网络（如因特网）的安全隧道来将 ISP POP 连接到企业内部网关。
L2TP（Layer2 Tunneling Protocol），是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议，它结合了PPTP和L2F的优点，可以使用户从客户端或访问服务器端发起VPN连接。

网络层的安全协议IPSec
IPSec是IETFIPSec工作组以RFC形式公布的一组安全IP协议集，是在IP包级为IP业务提供保护的安全协议标准。
IPSec在IPv6中是必须支持的，而在IPv4中可选。
IPSec是一个工业标准网络安全协议，它主要由三个基本部分组成：认证头部（Authentication Header，AH），封装安全净荷（Encapsulating Security Payload，ESP），以及密钥交换（Internet Key Exchange， IKE）。

安全关联（SA）
SA通过一个三元组唯一的标识。该三元组包括：
安全参数索引(Security Parameters Index，SPI)，SPI是安全关联SA与IPSec安全协议的惟一接口。安全协议通过SPI查找对应的SA，并使用SA中的对应安全参数对通信进行保护。
源或目的IP地址：表示对方IP地址。对于外出数据包，指目的IP地址；对于进入数据包，指源IP地址。
一个特定的IPSec协议：采用AH协议或者ESP协议。

安全关联数据库(SAD)
SAD(Security Association Database，安全关联数据库)并不是通常意义上的“数据库”，而是将所有的SA以某种数据结构集中存储的一个列表。
SAD条目包含下面的域：序列号计数器、序列号溢出标志、抗重放窗口、AH认证密码算法和所需要的密钥、ESP认证密码算法和所需要的密钥、ESP加密算法、密钥、初始化向量(IV)和IV模式、IPSec协议操作模式、路径最大传输单元(PMTU)和SA生存期。

安全策略（SP）
安全策略(Security Policy，简称SP)是IPSec结构中非常重要的组件，它定义了两个实体之间的安全通信。指示是否对IP数据包进行安全保护，以及使用什么样的安全保护。SP主要根据源IP地址、目的IP地址、进入数据还是外出数据等来标识。
IPSec还定义了用户能以何种粒度来设定自己的安全策略，由“选择符”来控制粒度的大小，不仅可以控制到IP地址，还可以控制到传输层或者TCP/UDP端口等。

安全策略数据库
SPD(Security Policy Database，安全策略数据库)也不是通常意义上的“数据库”，而是将所有的SP以某种数据结构集中存储的一个列表。
通常IPSec协议要求在所有数据包(通信流)进行处理的过程中都必须查询SPD，不管是进入的还是外出的。SPD中包含一个策略条目的有序列表。通过使用一个或者多个选择子来确定每一个条目。IPSec当前允许的选择子有：目的IP地址、源IP地址、传输层协议、系统名和用户ID。

IPSec协议的运行模式
IPSec隧道模式
IPSec传输模式

AH协议
认证头格式
AH由5个固定长度域和1个变长的认证数据域组成。

AH的操作模式
AH传输模式：

AH隧道模式：

ESP协议
ESP数据包由4个固定长度的域和3个变长域组成。

ESP的操作模式
传输模式：

隧道模式：