第二章-网络安全协议课件.ppt

1、第二章第二章 网络安全协议网络安全协议灾害信息工程系灾害信息工程系孙晓玲孙晓玲崇德博智崇德博智 扶危定倾扶危定倾2.1 TCT/IP协议簇协议簇2.2 网络安全协议网络安全协议2.3 SSL协议协议2.4 IPSec协议协议小结小结第二章第二章 网络安全协议网络安全协议崇德博智崇德博智 扶危定倾扶危定倾 TCP/IP协议簇是因特网的基础协议，不能简单协议簇是因特网的基础协议，不能简单说成是说成是TCP协议和协议和IP协议的和，它是一组协议的集协议的和，它是一组协议的集合，包括传输层的合，包括传输层的TCP协议和协议和UDP协议等，网络层协议等，网络层的的IP协议、协议、ICMP协议和协议和IG

2、MP协议等以及数据链路协议等以及数据链路层和应用层的若干协议。层和应用层的若干协议。2.1 TCP/IP协议簇协议簇 崇德博智崇德博智 扶危定倾扶危定倾2.1.1 TCP/IP协议簇的基本组成协议簇的基本组成 OSI参考模型是指用分层的思想把计算机之间参考模型是指用分层的思想把计算机之间的通信划分为具有层间关系的七个协议层，要完成的通信划分为具有层间关系的七个协议层，要完成一次通信，需要在七个相对独立的协议层上完成各一次通信，需要在七个相对独立的协议层上完成各自进程才能实现，但自进程才能实现，但TCP/IP参考模型却只用了四层，参考模型却只用了四层，如图如图2-1-1所示。所示。 TCP/IP

3、协议是协议是20世纪世纪70年代中期，美国国防部年代中期，美国国防部为其为其ARPANET开发的网络体系结构和协议标准。开发的网络体系结构和协议标准。以以TCP/IP为基础建立的因特网是目前国际上规模最为基础建立的因特网是目前国际上规模最大的计算机网络。大的计算机网络。 2.1 TCP/IP协议簇协议簇 崇德博智崇德博智 扶危定倾扶危定倾图 2-1-1 TCP/IP协议簇的体系结构2.1 TCP/IP协议簇协议簇 崇德博智崇德博智 扶危定倾扶危定倾2.1.2 TCP/IP协议的封装协议的封装在基于在基于TCP/IP协议的网络中，各种应用层的数协议的网络中，各种应用层的数据都被封装在据都被封装在

4、IP数据包中在网络上进行传输。其数数据包中在网络上进行传输。其数据封装过程如图据封装过程如图2-1-2所示。所示。基于基于TCP/IP协议的所有应用层的数据协议的所有应用层的数据(如如HTTP、FTP、EMAIL、DNS等等)在传输层都是通过在传输层都是通过TCP(或或UDP)数据包的格式进行封装的数据包的格式进行封装的(见图见图2-1-3)。 2.1 TCP/IP协议簇协议簇 崇德博智崇德博智 扶危定倾扶危定倾图 2-1-2 TCP/IP协议的封装过程结构2.1 TCP/IP协议簇协议簇 崇德博智崇德博智 扶危定倾扶危定倾图 2-1-3 TCP数据包的封装格式2.1 TCP/IP协议簇协议簇

5、 崇德博智崇德博智 扶危定倾扶危定倾图 2-1-4 IP数据包的封装格式崇德博智崇德博智 扶危定倾扶危定倾图 2-1-5 TCP的建立与关闭过程崇德博智崇德博智 扶危定倾扶危定倾2.1.3 TCP/IP协议簇的安全问题协议簇的安全问题随着随着Internet的发展，的发展，TCP/IP协议得到了广泛的应用，协议得到了广泛的应用，几乎所有的网络均采用了几乎所有的网络均采用了TCP/IP协议。由于协议。由于TCP/IP协议在协议在最初设计时是基于一种可信环境的，没有考虑安全性问题，最初设计时是基于一种可信环境的，没有考虑安全性问题，因此它自身存在许多固有的安全缺陷，例如因此它自身存在许多固有的安全

6、缺陷，例如: (1) 对对IP协议，其协议，其IP地址可以通过软件进行设置，这样地址可以通过软件进行设置，这样会造成地址假冒和地址欺骗两类安全隐患。会造成地址假冒和地址欺骗两类安全隐患。(2) IP协议支持源路由方式，即源发方可以指定信息包协议支持源路由方式，即源发方可以指定信息包传送到目的节点的中间路由，为源路由攻击埋下了隐患。传送到目的节点的中间路由，为源路由攻击埋下了隐患。(3) 在在TCP/IP协议的实现中也存在着一些安全缺陷和漏协议的实现中也存在着一些安全缺陷和漏洞，如序列号产生容易被猜测、参数不检查而导致的缓冲区洞，如序列号产生容易被猜测、参数不检查而导致的缓冲区溢出等。溢出等。2

7、.1 TCP/IP协议簇协议簇 崇德博智崇德博智 扶危定倾扶危定倾 (4) 在在TCP/IP协议簇中的各种应用层协议协议簇中的各种应用层协议(如如Telnet、FTP、SMTP等等)缺乏认证和保密措施，这就为欺骗、否认、缺乏认证和保密措施，这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门，使得基于这些缺陷拒绝、篡改、窃取等行为开了方便之门，使得基于这些缺陷和漏洞的攻击形式多样。和漏洞的攻击形式多样。 2.1 TCP/IP协议簇协议簇 崇德博智崇德博智 扶危定倾扶危定倾为了解决为了解决TCP/IP协议簇的安全性问题，弥补协议簇的安全性问题，弥补TCP/IP协议簇在设计之初对安全功能的考虑不足

8、，协议簇在设计之初对安全功能的考虑不足，以以Internet工程任务组工程任务组(IETF)为代表的相关组织不断为代表的相关组织不断通过对现有协议的改进和设计新的安全通信协议，通过对现有协议的改进和设计新的安全通信协议，对现有的对现有的TCP/IP协议簇提供相关的安全保证，在协协议簇提供相关的安全保证，在协议的不同层次设计了相应的安全通信协议，从而形议的不同层次设计了相应的安全通信协议，从而形成了由各层安全通信协议构成的成了由各层安全通信协议构成的TCP/IP协议簇的安协议簇的安全架构，具体参看图全架构，具体参看图2-2-1。2.2 网络安全协议网络安全协议崇德博智崇德博智 扶危定倾扶危定倾图

9、 2-2-1 TCP/IP协议簇的安全架构崇德博智崇德博智 扶危定倾扶危定倾各个安全协议的具体含义描述如下。各个安全协议的具体含义描述如下。1. 应用层的安全协议应用层的安全协议 (1) S-HTTP(Secure HTTP): 为保证为保证Web的安的安全，由全，由IETF开发的协议，该协议利用开发的协议，该协议利用MIME，基于，基于文本进行加密、报文认证和密钥分发等。文本进行加密、报文认证和密钥分发等。(2) SSH(Secure Shell): 对对BSD系列的系列的UNIX的的r系列命令加密而采用的安全技术。系列命令加密而采用的安全技术。(3) SSL-Telnet、SSL-SMTP

10、、SSL-POP3: 以以SSL协议分别对协议分别对Telnet、SMTP、POP3等应用进行等应用进行的加密。的加密。崇德博智崇德博智 扶危定倾扶危定倾(4) PET(Privacy Enhanced Telnet): 使使Telnet具有加密功能，在远程登录时对连接本身进具有加密功能，在远程登录时对连接本身进行加密的方式行加密的方式(由富士通和由富士通和WIDE开发开发)。(5) PEM(Privacy Enhanced Mail): 由由IEEE标标准化的具有加密签名功能的邮件系统。准化的具有加密签名功能的邮件系统。 (6) S/MIME(Secure/Multipurpose Inte

11、rnet Mail Extensions): 安全的多用途安全的多用途Internet邮件扩充邮件扩充协议。协议。 (7) PGP(Pretty Good Privacy): 具有加密及具有加密及签名功能的电子邮件协议签名功能的电子邮件协议(RFC1991)。 崇德博智崇德博智 扶危定倾扶危定倾2. 传输层的安全协议传输层的安全协议(1) SSL(Secure Socket Layer): 基于基于WWW服务器和浏览器之间的具有加密、报文认证、签名服务器和浏览器之间的具有加密、报文认证、签名验证和密钥分配的加密协议。验证和密钥分配的加密协议。(2) TLS(Transport Layer Se

12、curity，IEEE标标准准): 将将SSL通用化的协议通用化的协议(RFC2246)。(3) SOCKS v5: 此协议是防火墙和此协议是防火墙和VPN用的数用的数据加密和认证协议，见据加密和认证协议，见IEEE RFC1928(以以NEC开发开发为主为主)。崇德博智崇德博智 扶危定倾扶危定倾3. 网络层的安全协议网络层的安全协议IPSec(Internet Protocol Security，IEEE标标准准): 为通信双方提供机密性和完整性服务。为通信双方提供机密性和完整性服务。 4. 网络接口层的安全协议网络接口层的安全协议(1) PPTP(Point to Point Tunnel

13、ing Protocol)： 点点到点隧道协议。到点隧道协议。(2) L2F(Layer 2 Forwarding): 第二层转发协议。第二层转发协议。(3) L2TP(Layer 2 Tunneling Protocol): 综合了综合了PPTP和和L2F的协议，称为第二层隧道协议。的协议，称为第二层隧道协议。崇德博智崇德博智 扶危定倾扶危定倾9.2.1 应用层的安全协议应用层的安全协议应用层的安全协议针对不同的应用安全需求，应用层的安全协议针对不同的应用安全需求，设计不同的安全机制。常见的协议主要有设计不同的安全机制。常见的协议主要有S-HTTP和和PGP。 1. S-HTTPS-HTTP

14、 (Secure Hyper Text Transfer Protocol)是是安全超文本转换协议安全超文本转换协议的简称，它是一种的简称，它是一种结合结合 HTTP 而设计的面向消息的安全通信协议。而设计的面向消息的安全通信协议。S-HTTP为为 HTTP 客户端和服务器提供了多种安全机客户端和服务器提供了多种安全机制，为制，为WWW中广泛存在的潜在的终端用户提供适中广泛存在的潜在的终端用户提供适当的安全服务选项。当的安全服务选项。崇德博智崇德博智 扶危定倾扶危定倾2. PGPPGP(Pretty Good Privacy)加密技术的创始人加密技术的创始人是美国的是美国的Philip Zim

15、mermann，他的创造性工作是，他的创造性工作是把把RSA公钥体系和传统加密公钥体系和传统加密(IDEA)体系结合起来，体系结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设并且在数字签名和密钥认证管理机制上有巧妙的设计。计。PGP提供了一种安全的通信方式，它可以提供了一种安全的通信方式，它可以对邮对邮件进行保密件进行保密以防止非授权者阅读，它还能以防止非授权者阅读，它还能对邮件加对邮件加上数字签名上数字签名从而使收信人可以确认邮件的发送者，从而使收信人可以确认邮件的发送者，并能确信邮件有没有被篡改。并能确信邮件有没有被篡改。PGP采用了一种杂合采用了一种杂合算法，把算法，把RSA和和I

16、DEA算法都应用其中，用于电子邮算法都应用其中，用于电子邮件的压缩和计算明文的摘要值等。件的压缩和计算明文的摘要值等。 崇德博智崇德博智 扶危定倾扶危定倾2.2.2 传输层的安全协议传输层的安全协议传输层的安全协议有传输层的安全协议有SSL、TLS、SOCKS v5等。等。 Netscape公司开发的公司开发的SSL(Secure Socket Layer)协议是安全套接层协议，是一种安全通信协议。协议是安全套接层协议，是一种安全通信协议。 SSL是为客户端是为客户端/服务器之间的服务器之间的HTTP协议提供加密协议提供加密的安全协议的安全协议，作为标准被集成在浏览器上。，作为标准被集成在浏览

17、器上。SSL位于传位于传输层与应用层之间，并非是输层与应用层之间，并非是Web专用的安全协议，也能专用的安全协议，也能为为Telnet、SMTP、 FTP等其他协议所应用，但等其他协议所应用，但SSL只只能用于能用于TCP，不能用于，不能用于UDP。TLS是是SSL通用化的加密协议，由通用化的加密协议，由IETF标准化。标准化。 崇德博智崇德博智 扶危定倾扶危定倾SOCKS v4是为是为TELNET、FTP、HTTP、WAIS和和GOPHER等基于等基于TCP协议的客户端协议的客户端/服务器服务器应用提供的协议。应用提供的协议。SOCKS v5扩展了扩展了SOCKS v4以以使其支持使其支持U

18、DP，扩展了框架以包含一般的强安全认，扩展了框架以包含一般的强安全认证方案，扩展了寻址方案以包括域名和证方案，扩展了寻址方案以包括域名和IPv6地址，地址，此协议在传输层及应用层之间进行操作。此协议在传输层及应用层之间进行操作。 崇德博智崇德博智 扶危定倾扶危定倾2.2.3 网络层的安全协议网络层的安全协议IPSec协议协议是在网络层上实现的具有加密、认是在网络层上实现的具有加密、认证功能的安全协议，由证功能的安全协议，由IETF标准化，它既适合于标准化，它既适合于IP v4，也适合于，也适合于IPv6。IPSec协议能够为所有基于协议能够为所有基于TCP/IP协议的应用提供安全服务。协议的应

19、用提供安全服务。 崇德博智崇德博智 扶危定倾扶危定倾2.2.4 网络接口层的安全协议网络接口层的安全协议网络接口层的安全协议主要有网络接口层的安全协议主要有PPTP、L2F、L2TP等。等。1. PPTPPPTP(点到点隧道协议点到点隧道协议)是由微软、朗讯和是由微软、朗讯和3COM等等公司推出的协议标准，是集成在公司推出的协议标准，是集成在Windows NT 4.0、Windows 98等系统上的点对点的安全协议，它使用扩等系统上的点对点的安全协议，它使用扩展的展的GRE(Generic Routing Encapsulation，通用，通用路由封装路由封装)协议封装协议封装PPP分组，通

20、过在分组，通过在IP网上建立的隧网上建立的隧道来透明传送道来透明传送PPP帧。帧。PPTP在逻辑上延伸了在逻辑上延伸了PPP会话，会话，从而形成了虚拟的远程拨号。从而形成了虚拟的远程拨号。 崇德博智崇德博智 扶危定倾扶危定倾2. L2F L2F是第二层转发协议，是由是第二层转发协议，是由Cisco Systems 建议的标建议的标准。它在准。它在RFC 2341中定义，是基于中定义，是基于ISP的、为远程接入服务的、为远程接入服务器器RAS提供提供VPN功能的协议。它是功能的协议。它是1998年标准化的远程访年标准化的远程访问问VPN的协议。的协议。3. L2TP1996年年6月，月，Micr

21、osoft和和CISCO 向向IETF PPP扩展工作扩展工作组组(PPPEXT)提交了一个提交了一个MS-PPTP和和Cisco L2F协议的联合协议的联合版本，该提议被命名为第二层隧道协议版本，该提议被命名为第二层隧道协议(L2TP)。L2TP是是综合了综合了PPTP和和L2F等协议的另一个基于数据链路层的隧道等协议的另一个基于数据链路层的隧道协议，它继承了协议，它继承了L2F的格式和的格式和PPTP中的最出色的部分。中的最出色的部分。崇德博智崇德博智 扶危定倾扶危定倾为传输层提供安全保护的协议主要有为传输层提供安全保护的协议主要有SSL和和TLS。 TLS用于在两个通信应用程序之间提供保

22、密用于在两个通信应用程序之间提供保密性和数据完整性服务。性和数据完整性服务。 2.3 SSL协议协议 崇德博智崇德博智 扶危定倾扶危定倾2.3.1 SSL安全服务安全服务SSL协议可提供以下协议可提供以下3种基本的安全功能服务。种基本的安全功能服务。(1) 信息加密信息加密。SSL 所采用的加密技术既有对称加密所采用的加密技术既有对称加密技术技术(如如DES、 IDEA)，也有非对称加密技术，也有非对称加密技术(如如RSA)，从而，从而确保了信息传递过程中的机密性。确保了信息传递过程中的机密性。(2) 身份认证身份认证。通信双方的身份可通过通信双方的身份可通过RSA(数字签数字签名技术名技术)

23、、DSA(数字签名算法数字签名算法)和和ECDSA(椭圆曲线数字签名椭圆曲线数字签名算法算法)来验证，来验证，SSL协议要求在握手交换数据前进行身份认证，协议要求在握手交换数据前进行身份认证，以此来确保用户的合法性。以此来确保用户的合法性。崇德博智崇德博智 扶危定倾扶危定倾 (3) 信息完整性校验信息完整性校验。通信的发送方通过散列函数通信的发送方通过散列函数产生消息验证码产生消息验证码(MAC)，接收方通过验证，接收方通过验证MAC来保证信息的来保证信息的完整性。完整性。SSL 提供完整性校验服务，使所有经过提供完整性校验服务，使所有经过SSL协议处协议处理的业务都能全部准确、无误地到达目的

24、地。理的业务都能全部准确、无误地到达目的地。SSL不是一个单独的协议，而是两层协议，如不是一个单独的协议，而是两层协议，如图图2-3-1所示。其中，最主要的两个所示。其中，最主要的两个SSL子协议是握子协议是握手协议和记录协议。手协议和记录协议。 崇德博智崇德博智 扶危定倾扶危定倾图图2-3-1 SSL的分层结构的分层结构崇德博智崇德博智 扶危定倾扶危定倾2.3.2 SSL记录协议记录协议SSL记录协议记录协议从它的高层从它的高层SSL子协议收到数据子协议收到数据后，后，进行数据分段、压缩、认证和加密进行数据分段、压缩、认证和加密， 即它把输即它把输入的任意长度的数据输出为一系列的入的任意长度

25、的数据输出为一系列的SSL数据段数据段(或或者叫者叫“SSL记录记录”)，每个这样的数据段最大为，每个这样的数据段最大为16 383(214-1)个字节。个字节。每个每个SSL记录包括内容类型、协议版本号、长记录包括内容类型、协议版本号、长度、度、 数据有效载荷和数据有效载荷和MAC等信息。等信息。 崇德博智崇德博智 扶危定倾扶危定倾SSLSSL记录层记录层崇德博智崇德博智 扶危定倾扶危定倾2.3.3 SSL握手协议握手协议SSL 握手协议是位于握手协议是位于SSL记录协议之上的主要子协议，记录协议之上的主要子协议，SSL握手消息被提供给握手消息被提供给SSL记录层，在那里它们被封装进一记录层

26、，在那里它们被封装进一个或多个个或多个SSL记录里。记录里。 这些记录根据当前这些记录根据当前SSL会话指定的压会话指定的压缩方法、加密说明和当前缩方法、加密说明和当前SSL连接对应的密钥来进行处理和连接对应的密钥来进行处理和传输。传输。SSL握手协议使客户端和服务器建立并保持用于安全握手协议使客户端和服务器建立并保持用于安全通信的状态信息，通信的状态信息， 此协议使得客户端和服务器获得共同的此协议使得客户端和服务器获得共同的SSL 协议版本号、选择压缩方法和密码说明、可选的相互认协议版本号、选择压缩方法和密码说明、可选的相互认证、产生一个主要秘密并由此得到消息认证和加密的各种会证、产生一个主

27、要秘密并由此得到消息认证和加密的各种会话密钥。话密钥。 崇德博智崇德博智 扶危定倾扶危定倾崇德博智崇德博智 扶危定倾扶危定倾2.3.4 SSL协议性能分析协议性能分析SSL协议性能可从访问速度和安全性进行分析。协议性能可从访问速度和安全性进行分析。1. 访问速度访问速度SSL的应用降低了的应用降低了HTTP服务器和浏览器之间相互作用服务器和浏览器之间相互作用的速度，原因在于在浏览器和服务器之间用来初始化的速度，原因在于在浏览器和服务器之间用来初始化SSL会会话和连接的状态信息时需要用到公钥加密和解密方案。实际话和连接的状态信息时需要用到公钥加密和解密方案。实际上，在开始连接到上，在开始连接到H

28、TTP服务器和收到第一个服务器和收到第一个HTML页面时，页面时，用户经历了一个额外的几秒钟的停顿用户经历了一个额外的几秒钟的停顿(SSL协议对接下来的会协议对接下来的会话中的主密钥进行缓存处理话中的主密钥进行缓存处理)。崇德博智崇德博智 扶危定倾扶危定倾这个耽搁只影响浏览器和服务器之间的第一次这个耽搁只影响浏览器和服务器之间的第一次SSL连接。连接。与创建会话相比，采用与创建会话相比，采用DES、RC2、RC4算法来进行加密和算法来进行加密和解密数据的额外负担很少解密数据的额外负担很少(没必要让用户感觉到没必要让用户感觉到)，所以，对，所以，对于拥有高速计算机，而联网速度相对很慢的用户来说，

29、在于拥有高速计算机，而联网速度相对很慢的用户来说，在SSL会话或多个利用共享的主秘密的会话建立后，传送大量会话或多个利用共享的主秘密的会话建立后，传送大量数据时，数据时，SSL的开销就显得微不足道。另一方面，繁忙的的开销就显得微不足道。另一方面，繁忙的SSL服务器管理者会考虑为了配合公钥操作而去寻找速度很服务器管理者会考虑为了配合公钥操作而去寻找速度很快的计算机或者硬件配置。快的计算机或者硬件配置。崇德博智崇德博智 扶危定倾扶危定倾2. 安全性安全性SSL并不能抵抗通信流量分析。例如，通过检并不能抵抗通信流量分析。例如，通过检查没有被加密的查没有被加密的IP源和目的地址以及源和目的地址以及TC

30、P端口号或端口号或者检查通信数据量，一个通信分析者可以揭示哪一者检查通信数据量，一个通信分析者可以揭示哪一方在使用什么服务，有时甚至揭露商业或私人关系方在使用什么服务，有时甚至揭露商业或私人关系的秘密。为了利用的秘密。为了利用SSL的安全保护，客户和服务器的安全保护，客户和服务器必须知道另一方也在用必须知道另一方也在用SSL。崇德博智崇德博智 扶危定倾扶危定倾IPSec通过认证包头通过认证包头AH(Authentication Header) 和封装安全负载和封装安全负载ESP( Encapsulated Security Payload)两个协议确保基于无连接的数据两个协议确保基于无连接的数

31、据的真实性、机密性和完整性的要求，加强了的真实性、机密性和完整性的要求，加强了IP协议协议的安全性，克服了原有的安全性，克服了原有IPv4协议在安全性方面存在协议在安全性方面存在的不足。的不足。 2.4 IPSec协议协议 崇德博智崇德博智 扶危定倾扶危定倾2.4.1 IPSec的安全体系结构的安全体系结构IPSec协议由两部分组成，即安全协议部分和密钥协商协议由两部分组成，即安全协议部分和密钥协商部分。部分。安全协议部分定义了对通信的各种保护方式安全协议部分定义了对通信的各种保护方式; 密钥协密钥协商部分定义了如何为安全协议协商保护参数，以及如何对通商部分定义了如何为安全协议协商保护参数，以

32、及如何对通信实体的身份进行鉴别。信实体的身份进行鉴别。 具体来讲，具体来讲，IPSec协议主要由因特网密钥交换协议主要由因特网密钥交换(IKE)协议、协议、认证头认证头(AH)以及安全封装载荷以及安全封装载荷(ESP)三个子协议组成三个子协议组成，同时，同时还涉及认证、加密算法以及安全关联还涉及认证、加密算法以及安全关联(SA)等内容。等内容。 崇德博智崇德博智 扶危定倾扶危定倾IPSec的安全体系结构如图的安全体系结构如图2-4-1所示，其中各所示，其中各个模块的功能如下个模块的功能如下: (1) 因特网密钥交换因特网密钥交换(IKE)协议协议: 用于动态建立安用于动态建立安全关联全关联(S

33、A)，管理用于，管理用于IPSec连接的连接的SA协议过程。协议过程。(2) 认证头认证头(AH)：是：是IPSec协议的一个协议，协议的一个协议，用来保护一个上层协议用来保护一个上层协议(传输模式传输模式)或者一个完或者一个完整的整的IP数据包数据包(隧道模式隧道模式)。崇德博智崇德博智 扶危定倾扶危定倾(3) 安全封装载荷（安全封装载荷（ESP）：是：是IPSec协议的另协议的另一个协议，可以在传输模式以及隧道模式下使用，一个协议，可以在传输模式以及隧道模式下使用，ESP头可以位于头可以位于IP头与上层协议之间，或者用它封头与上层协议之间，或者用它封装整个装整个IP数据报。数据报。ESP为

34、为IP报文提供数据完整性校验、数据加密报文提供数据完整性校验、数据加密以及重放攻击保护等可选的身份认证服务。以及重放攻击保护等可选的身份认证服务。崇德博智崇德博智 扶危定倾扶危定倾图 2-4-1 IPSec的安全体系结构崇德博智崇德博智 扶危定倾扶危定倾(4) 安全关联安全关联(SA): 是发送者和接收者是发送者和接收者(指指IPSec实体，比如主机或路由器实体，比如主机或路由器)之间的一个简单的单向逻之间的一个简单的单向逻辑连接，它规定了用来保护数据包安全的辑连接，它规定了用来保护数据包安全的IPSec协协议、转换方式、密钥以及密钥的有效存在时间等，议、转换方式、密钥以及密钥的有效存在时间等

35、，是安全协议是安全协议(AH和和ESP)的基础。的基础。(5) 认证、加密算法认证、加密算法: 是是IPSec实现安全数据传实现安全数据传输的核心。输的核心。崇德博智崇德博智 扶危定倾扶危定倾总结：总结： 网络协议的安全是保证在网络上传输的数据安全的基本网络协议的安全是保证在网络上传输的数据安全的基本手段，本章首先介绍了保证手段，本章首先介绍了保证IP协议安全地协议安全地IPSec策略；其次策略；其次介绍了介绍了TCP协议的工作原理、安全漏洞，并提出了应对策略；协议的工作原理、安全漏洞，并提出了应对策略；接着介绍了接着介绍了SMTP协议、协议、FTP协议、协议、SSL协议基本理论，分协议基本理论，分别进行了安全性分析，并提出了应对策略。别进行了安全性分析，并提出了应对策略。