Cisco 加密技术与IPSec.pdfVIP

下载 第9章 Cisco加密技术与IPSec 本章继续讨论与访问表紧密相关的技术，它们可以提供一些附加的安全特性。我们要着 重介绍在C i s c o 网络中加密信息的两种技术： C i s c o加密技术（ Cisco encryption technology ， C E T ）和I P S e c 。C E T是一种C i s c o专用的路由器加密机制，它允许加密两个或多个 C i s c o路由 器之间的I P流量。C E T 的实现是专用的，只能工作在 C i s c o路由器之间；但同时 C E T机制又是 由各种标准的协议组成的。I P S e c是一系列标准和规则综合而成的机制，它允许任意的 I P S e c - c o m p l i a n t设备与I P S e c - c o m p l i a n t设备安全地通信。 I P S e c - c o m p l i a n t设备包括有C i s c o路由器、 防火墙、Wi n d o w s平台，以及各种流行的U N I X平台，比如L i n u x 、F r e e B S D和O p e n B S D 。 I P S e c是一种支持交叉供应商加密的标准，它允许在差别很大的设备之间进行安全通信。 在理论上，任何带有I P协议栈和标准compliant IPSec软件的设备都可以安全地和任何其他运行 标准compliant IPSec 软件的设备通信。 I n t e r n e t组织制定了I P S e c标准，并将它写入了 R F C 中， 一些R F C用来定义I P S e c 的各个部分。许多R F C 都与I P S e c相关，它们各自覆盖了 I P S e c某个特 定的领域。如果要研究I P S e c 的R F C ，最好从RFC 2411开始，它是I P S e c文档的导读图。 C E T和I P S e c技术都能便利地在非安全网络，例如 I n t e r n e t上提供安全的通信。显而易见， I P S e c是交叉供应商安全通信的未来，而 C E T仍然是采用C i s c o解决方案的网络的可行选择，而 且它在配置上要比I P S e c要稍微简单一些。在本章的稍后，我们会给出同时使用 C E T和I P S e c 的 示例。 9.1 概述 本章首先简要地讨论密码技术以及它在安全数据通信中的作用。同时为了便于理解本章 的范例，我们还会介绍一些在加密中常用的术语。本章的内容包括：对 C E T和I P S e c 的简要介 绍，描述每一种技术的组成以及它们如何在提供安全通信的网络中实现。这种介绍仅仅是一 个概述和为将来讨论 C E T和I P S e c 的范例做一个铺垫。加密是一个吸引人的、复杂的领域，它 包含了许多规则、算法以及数学方面的知识。本章将着重讨论加密技术的实际实现，对于它 内在的理论只作一个简要的概述。对于有志于对加密学进行深入研究的读者，我们强力推荐 《应用密码学》一书 。很多与I P S e c相关的细节都可以在介绍 I P S e c 技术的 R F C文档中找到。 建议有兴趣的读者从RFC 2411开始学习，它是一个很有用的 I P S e c文档。 9.2 基本的密码学 首先我们讨论通用加密学以及它的重要性。密码学被定义为一种读、写编码信息的科学。 在下一节，我们会展开该定义并讨论加密理论。 9.2.1 理论上的加密 加密消息，就是通过通常被称为算法的一系列操作，打乱消息中字母、单词、数字的顺 该书第二版已由机械工业出版社出版。 112 C i s c o访问表配置指南 下载 序，使它们不再是最初的消息。算法定义那些用来打乱消息中的字母使消息变得不可读的操 作。一个简单的算法可以将消息中所有的字母右移三个字母。更复杂的算法可以为每一个字 母从 1 ~ 2 6赋值。将每一个奇数数字左移 2或4位置，将每一个偶数数字右移 1 ~ 3个位置，改变每 个字母的偏移量（注意这些算法都非常简单，很容易就会被破解）。每一种加密算法的目标都 是利用被称为明文的原始消息，产生一个称为密文的加密的消息。例如，一条明文消息是： 相对应的密文可以是： 密文应当尽可能地与原始的明文不相关。如果不这么做，那些研究密码学的密码员或研 究破解密码的解密员通过仔细