计算机网络-7-6-互联网使用的安全协议

网络安全协议

网络层的安全运输协议

IPsec(IP Security)概述

在第四章谈论到虚拟专用网VPN时，提到在VPN中传送的信息都是经过加密的，现在我们介绍这种加密方式IPsec。
IPsec并不是一个单一协议，能够在IP层提供互联网通信安全的协议族，IPsec是一个框架，它允许通信双方选择合适的参数和算法。为了保证互操作性，IPsec还包含了一套加密算法，所有IPsec的实现都必须使用。

IPsec协议族中的协议可以分为以下三个部分:

1. IP安全数据报格式的两个协议:鉴别首部AH(authentication)协议和封装安全有效载荷ESP(Encapsulation Security Payload)协议
2. 有关加密算法的三个协议(在此不讨论)
3. 互联网秘钥交换IKE（Internet Key Exchange）协议

使用ESP或AH协议的数据报称之为IP安全数据报(或者IPsec数据报)，它可以在两台主机之间、两个路由器之间、一台主机和一台路由器之间发送。

IP安全数据报有以下两种工作方式：

1. 运输方式（transport mode）:运输方式是在整个运输层报文段的前后分别添加若干控制信息，再加上IP首部，构成IP安全数据报。
2. 隧道方式（tunnel mode）:隧道方式是在原始的IP数据报的前后分别添加若干控制信息，再加上新的IP地址首部，构成一个IP安全数据报。

无论使用哪种控制方式，最后得到的IP安全数据报的IP首部都是不加密的。只有使用不加密的IP首部，互联网中的各个路由器才能识别IP首部的有关信息。所谓的安全数据报指的是数据报的数据部分是经过加密的，并且能够被鉴别。通常把数据报的数据部分称之为数据报的有效载荷。 目前使用最多的是隧道方式。

安全关联

在发送IP安全数据报之前，在源实体和目的实体之间必须建立一条网络层的逻辑连接，即安全关联SA(Security Associtaion)。这样，传统的互联网中无连接状态的网络层就成为了具有逻辑连接的一个层。安全关联是从源点到终点的单向连接，它能够提供安全服务，如果要进行双向通信，则两个方向都要进行安全连接。在这些安全关联上传送的IP数据报就是IP安全数据报。

运输层安全协议

现在使用比较广泛的两个协议

1. 安全套接字SSL(Secure Socket Layer)
2. 运输层安全TLS（Transport Layer Security）

SSL作用在端系统应用层的HTTP和运输层至之间，在TCP之上建立一条安全通道，为通过TCP连接的应用数据提供安全保证。
在SSL 3.0的基础上设计了TLS，为所有基于TCP的网络应用提供安全数据传输服务。

SSL提供的安全服务可以归纳为以下三种:

1. SSL服务器鉴别，允许用户证实服务器的身份。支持SSL的客户端通过验证来自服务器的证书，来鉴别服务器的正式身份并获取服务器的公钥。
2. SSL客户鉴别，SSL的可选安全服务，允许服务器证实客户的身份，
3. 加密的SSL会话：对客户和服务器之间发送的所有报文进行加密，并检测报文是否被篡改。