网络安全原理与技术(第二版) 作者 冯登国 徐静 chapter4b.pptVIP

ESP(Encapsulating SecurityPayload) 提供必威体育官网网址功能，包括报文内容的机密性和 有限的通信量的机密性，也可以提供鉴别 服务（可选） 将需要必威体育官网网址的用户数据进行加密后再封装 到一个新的IP包中，ESP只鉴别IP头之后 的信息 加密算法和鉴别算法由SA指定 也有两种模式：传输模式和隧道模式 合并安全关联 单独的SA可以实现AH或ESP协议，但不能同时实现两者。 有时候，特定的通信量要同时调用AH和ESP的服务 特定的通信量可能需要主机之间的Ipsec服务，并且对同样的通信量，还需要网关（例如防火墙）之间的服务 为同样的通信量配备多个SA来获得想要的服务 鉴别与机密性的组合 鉴别与机密性的组合 传输邻接与简单使用带鉴别的ESP相比 优势在于鉴别覆盖了更多的字段，包括了源和目的IP地址 缺点在于使用了两个SA的开支 Diffie-Hellman算法有两个有吸引力的特征 （1）只是在需要的时候才创建密钥，不需将密钥存储很长时间，因而不易受到攻击。 （2）除了全局参数的约定外，密钥交换不需事先存在的基础。 Cookie Exchange 当在浏览器地址栏中键入了一个Web站点的URL，浏览器会向该Web站点发送一个读取网页的请求，并将结果在显示器上显示。这时该网页在你的电脑上寻找网站设置的Cookie文件，如果找到，浏览器会把Cookie文件中的数据连同前面输入的URL一同发送到服务器。服务器收到Cookie数据，就会在他的数据库中检索你的ID，你的购物记录、个人喜好等信息，并记录下新的内容，增加到数据库和Cookie文件中去。如果没有检测到Cookie或者你的Cookie信息与数据库中的信息不符合，则说明你是第一次浏览该网站，服务器的CGI程序将为你创建新的ID信息，并保存到数据库中。 Cookie Exchange OAKLEY uses the cookies for anti-clogging. 组成根据应用而定，一般是下列信息的hash值：秘密值(周期性变化)、本地和对方IP地址、UDP端口。 anti-clogging：利用Cookies中的信息维持一种无状态的连接，减少用户登录所交换的一些信息，减轻服务器负担，防止拒绝服务攻击。 优点在于它的速度 并不对通信实体提供身份保护。 实体要在建立一个用于加密身份信息的安全SA之前交换身份信息。因此，监视一个交换的人可以识别出刚刚产生了一个新SA的实体。 IPSec和IKE小结 · IPSec在网络层上提供安全服务 – 定义了两个协议AH和ESP · IKE提供了密钥交换功能 – 利用ISAKMP提供的框架、以及Oakley和 SKEME的密钥交换协议的优点 · 通过SA把两部分连接起来 IPSec和IKE小结 · 已经发展成为Internet标准 · 一些困难 – IPSec太复杂 ·协议复杂性，导致很难达到真正的安全性 ·管理和配置复杂，使得性能下降 * 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 鉴别与机密性的组合 * * * *