網(wǎng)絡(luò)安全基礎(chǔ)第四版期末總結(jié)

1、計(jì)算機(jī)網(wǎng)絡(luò)安全:對(duì)某個(gè)自動(dòng)化信息系統(tǒng)的保護(hù)措施,其目的在于實(shí)現(xiàn)信息系統(tǒng)資源的完整性,可用性,以及機(jī)密性.被動(dòng)攻擊企圖了解或利用系統(tǒng)信息但是不侵襲系統(tǒng)資源.本質(zhì)是竊聽或監(jiān)視數(shù)據(jù)傳輸.目標(biāo)是獲取傳輸?shù)臄?shù)據(jù).有消息內(nèi)容泄露和流量分析.主動(dòng)攻擊則試圖改變和=系統(tǒng)資源或侵襲系統(tǒng)操作.包含數(shù)據(jù)流的改寫和錯(cuò)誤數(shù)據(jù)流的添加,可以分為假冒,改寫消息,重放,拒絕服務(wù).五類安全服務(wù):1.認(rèn)證2.訪問控制3.數(shù)據(jù)機(jī)密性4.數(shù)據(jù)完整性5.不可抵賴性代替密碼:優(yōu)點(diǎn):明文字符的形態(tài)一般將面目全非.缺點(diǎn):明文位置不變.移位密碼:位置改變,形態(tài)不變對(duì)稱加密方案由明文,加密算法,秘密密鑰,密鑰,解密算法組成.攻擊類型從唯密文到已

2、知明文到選擇明文到選擇密文到選擇文本,對(duì)攻擊者來說逐漸變?nèi)菀?最常用的對(duì)稱加密算法是分組密碼.DES:明文長(zhǎng)度64比特,密鑰56比特,采用16輪迭代,每一輪產(chǎn)生一個(gè)子密鑰,為48比特.3DES使用3個(gè)密鑰并執(zhí)行3次des算法，奇組合過程按加密解密加密的順序。第二步使用的解密沒有密碼方面的意義。它唯一的好處是讓3DES的使用者能夠解密原來單重DES使用者加密的數(shù)據(jù)，有效密鑰長(zhǎng)度為168比特。AES使用的分組大小為128比特，密鑰長(zhǎng)度可以為128,192,256比特。128是最常用的長(zhǎng)度。密鑰被擴(kuò)展成為一個(gè)子密鑰的數(shù)組；每個(gè)字是4字節(jié)，而128比特的密鑰，子密鑰有44個(gè)字。AES不是FEISTEL

3、結(jié)構(gòu)，在每輪替換和移位時(shí)都并行處理整個(gè)數(shù)據(jù)分組。進(jìn)行了四個(gè)不同的步驟，一個(gè)移位，三個(gè)替換。字節(jié)替換：使用一個(gè)表來對(duì)分組進(jìn)行逐一的字節(jié)替換。除消息保密性外,消息認(rèn)證也是一個(gè)重要的安全網(wǎng)絡(luò)功能.消息認(rèn)證是指防止主動(dòng)攻擊和被動(dòng)攻擊的方法.消息認(rèn)證有兩個(gè)重要的方面:驗(yàn)證消息的內(nèi)容有沒有被篡改和驗(yàn)證信源是否可信.散列函數(shù)的目的是為文件，消息或其他數(shù)據(jù)塊產(chǎn)生指紋。有如下性質(zhì):1.H可適用于任意長(zhǎng)度的數(shù)據(jù)塊2.能生成固定長(zhǎng)度的輸出3. 對(duì)于任意給定的x，計(jì)算H(X)相對(duì)容易。4.對(duì)于任意給定的H，計(jì)算H(X)=H的X在計(jì)算上不可行。單向性或抗原攻擊性。5.找到滿足h(y)=h(x)是不可行的，抗第二原像攻擊

4、性和抗弱碰撞攻擊性5.找到滿足h(y)=h(x)的任意一對(duì)（x,y）再計(jì)算上是不可行的?？古鲎残?，抗強(qiáng)碰撞性。公鑰加密算法步驟：1.每個(gè)用戶都生成一對(duì)密鑰用來對(duì)消息進(jìn)行加密和解密2.每個(gè)用戶都把公鑰放在公共寄存器或其他可訪問的文件里，密鑰自己保存。3.用公鑰加密消息。4.用私鑰解密安全就是一個(gè)系統(tǒng)地保護(hù)信息和資源相應(yīng)的機(jī)密性和完整性的能力所謂信息，就是客觀世界中各種事物的變化和特征的最新反映，是客觀事物之間聯(lián)系的表征，也是客觀事物狀態(tài)經(jīng)過傳遞后的再現(xiàn)。實(shí)體安全：也稱物理安全，是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施、過程

5、。運(yùn)行安全：指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施（如風(fēng)險(xiǎn)分析，審計(jì)跟蹤，備份與恢復(fù)，應(yīng)急等）來保護(hù)信息處理過程的安全。信息安全是對(duì)信息和信息系統(tǒng)進(jìn)行保護(hù)，防止未授權(quán)的訪問、使用、泄露、中斷、修改、破壞并以此提供保密性、完整性和可用性。信息安全問題出現(xiàn)的原因：系統(tǒng)本身缺陷+系統(tǒng)的開放性+安全威脅和攻 à信息安全問題網(wǎng)絡(luò)安全體系密碼和安全協(xié)議是網(wǎng)絡(luò)安全的核心密鑰( key ) ：控制或參與密碼變換的可變參數(shù)稱為密鑰。 分組密碼-將明文分成固定長(zhǎng)度的組，用同一密鑰和算法對(duì)每一塊加密，輸出也是固定長(zhǎng)度的密文。流密碼（stream cipher)又稱序列密碼。序列密碼每次加密一位或一字

6、節(jié)的明文DES分組密碼算法分組加密算法：明文和密文為64位分組長(zhǎng)度對(duì)稱算法：加密和解密除密鑰編排不同外，使用同一算法密鑰長(zhǎng)度：有效密鑰56位，但每個(gè)第8位為奇偶校驗(yàn)位，可忽略密鑰可為任意的56位數(shù)，但存在弱密鑰，容易避開采用混亂和擴(kuò)散的組合，每個(gè)組合先替代后置換，共16輪只使用了標(biāo)準(zhǔn)的算術(shù)和邏輯運(yùn)算，易于實(shí)現(xiàn)DES加密過程-輸入64比特明文數(shù)據(jù)-初始置換IP-在密鑰控制下16輪迭代-初始逆置IP-1-輸出64比特密文數(shù)據(jù)公開密鑰算法是非對(duì)稱算法，即密鑰分為公鑰和私鑰，因此稱雙密鑰體制RSA算法的實(shí)現(xiàn) 實(shí)現(xiàn)的步驟如下：Bob為實(shí)現(xiàn)者 (1) Bob尋找出兩個(gè)大素?cái)?shù)p和q (2) Bob計(jì)算出n=

7、pq 和(n)=(p-1)(q-1) (3) Bob選擇一個(gè)隨機(jī)數(shù)e (0<e< (n)，滿足(e,(n)=1 (4) Bob使用輾轉(zhuǎn)相除法計(jì)算d=e-1(mod(n) (5) Bob在目錄中公開n和e作為公鑰密碼分析者攻擊RSA體制的關(guān)鍵點(diǎn)在于如何分解n。若分解成功使n=pq，則可以算出(n)（p-1)(q-1)，然后由公開的e，解出秘密的d計(jì)算機(jī)系統(tǒng)、因特網(wǎng)的脆弱性是產(chǎn)生計(jì)算機(jī)病毒的技術(shù)原因。計(jì)算機(jī)病毒進(jìn)駐內(nèi)存后，既干擾系統(tǒng)的運(yùn)行，又影響計(jì)算機(jī)系統(tǒng)引導(dǎo)過程速度的減慢的原因？（1） 病毒為了判斷傳染激活條件，必先要對(duì)計(jì)算機(jī)的工作狀態(tài)進(jìn)行監(jiān)視。（2） 某些病毒為了保護(hù)自己，不但對(duì)硬

8、盤上的靜態(tài)病毒加密，而且進(jìn)駐內(nèi)存后的動(dòng)態(tài)病毒也處于加密狀態(tài)，CPU每次尋址到病毒處時(shí)要運(yùn)行一段解密程序，把加密的病毒解密成合法的CPU指令后再執(zhí)行。而病毒運(yùn)行結(jié)束時(shí)再用一段程序?qū)Σ《局匦录用?，這樣CPU額外執(zhí)行了成千上萬條指令。（3） 病毒在進(jìn)行感染的同時(shí)，要插入一些有害的額外操作，特別是傳染軟盤時(shí)，不但計(jì)算機(jī)速度明顯變慢，而且軟盤正常的讀寫順序被打亂，發(fā)出噪聲。計(jì)算機(jī)病毒基本概念概念：編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼特征：復(fù)制、感染、隱蔽、破壞傳染是病毒最本質(zhì)的特征之一，是病毒的再生機(jī)制。在單機(jī)環(huán)境下，計(jì)算機(jī)病毒

9、的傳染途徑有：（1） 通過磁盤引導(dǎo)扇區(qū)進(jìn)行傳染。（2） 通過操作系統(tǒng)文件進(jìn)行傳染。（3） 通過應(yīng)用文件進(jìn)行傳染。危害：病毒運(yùn)行后能夠損壞文件、使系統(tǒng)癱瘓，從而造成各種難以預(yù)料的后果。網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒種類越來越多、傳染速度也越來越快、危害更是越來越大防治：以防為主，病原體(病毒庫)是病毒防治技術(shù)的關(guān)鍵四個(gè)階段：睡眠，傳播，觸發(fā)，執(zhí)行蠕蟲（Worm）通過網(wǎng)絡(luò)連接，將自身復(fù)制到其它計(jì)算機(jī)中，但不感染其它文件。特洛伊木馬（Trojan horse）表面上看起來是無害的程序或數(shù)據(jù)，實(shí)際上內(nèi)含惡意或有害的代碼。竊取用戶數(shù)據(jù)和系統(tǒng)控制權(quán)木馬可能造成的危害：通過遠(yuǎn)程控制對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行危險(xiǎn)的文件管理，包

10、括可以從受害者的計(jì)算機(jī)查看、刪除、移動(dòng)、上傳、下載、執(zhí)行任何文件；進(jìn)行警告信息發(fā)送、鍵盤記錄、記錄機(jī)內(nèi)保密信息、關(guān)閉窗口、鼠標(biāo)控制、計(jì)算機(jī)基本設(shè)置等非法操作。如果上傳的是病毒程序或木馬程序，或在受害者的計(jì)算機(jī)上打開一個(gè)FTP服務(wù)并設(shè)置一個(gè)指定端口進(jìn)行這類文件管理或非法操作，其后果是不堪設(shè)想的?，F(xiàn)代病毒特點(diǎn)宏病毒泛濫占現(xiàn)有病毒的80%自動(dòng)傳播和主動(dòng)攻擊-蠕蟲特洛伊木馬 后門多種傳播方式：郵件、網(wǎng)絡(luò)共享、利用IIS、IE、SQL的漏洞危害很大的病毒以郵件為載體,爆發(fā)速度快、面廣有毒的移動(dòng)編碼-來自Internet網(wǎng)頁的威脅木馬不同于病毒，但經(jīng)常被視作病毒處理，隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某一端口進(jìn)行偵聽；

11、木馬的實(shí)質(zhì)只是一個(gè)通過端口進(jìn)行通信的網(wǎng)絡(luò)客戶/服務(wù)程序特洛伊木馬的種類-遠(yuǎn)程控制型/輸出shell型/信息竊取型/其它類型防火墻是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一道防御系統(tǒng)，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。防火墻在企業(yè)內(nèi)網(wǎng)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，從而實(shí)現(xiàn)內(nèi)網(wǎng)保護(hù)。防火墻：是加載于可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的安全設(shè)備，是網(wǎng)絡(luò)安全政策的有機(jī)組成部分，它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。防火墻可以是軟件、硬件和軟硬件結(jié)合的.發(fā)展歷經(jīng)三代：簡(jiǎn)單包過濾、應(yīng)用代理、狀態(tài)檢測(cè)（狀態(tài)包過濾）防火墻典型的防火墻具有三個(gè)基本特性：

12、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻；只有符合安全策略的數(shù)據(jù)流才能通過防火墻；防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。防火墻的功能1）限定內(nèi)部用戶訪問特殊站點(diǎn)。2）防止未授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò) 3）允許內(nèi)部網(wǎng)絡(luò)中的用戶訪問外部網(wǎng)絡(luò)的服務(wù)和資源而不泄漏內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和資源。 4）記錄通過防火墻的信息內(nèi)容和活動(dòng)。 5）對(duì)網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測(cè)和報(bào)警。防火墻的體系結(jié)構(gòu)一般有以下幾種: 1）雙重宿主主機(jī)體系結(jié)構(gòu)。2）屏蔽主機(jī)體系結(jié)構(gòu)。3）屏蔽子網(wǎng)體系結(jié)構(gòu)。

13、防火墻的類型有多種分類方法：技術(shù)上分“包過濾型”和“應(yīng)用代理型”；結(jié)構(gòu)上分單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種；應(yīng)用部署位置分為邊界防火墻、個(gè)人防火墻和混合式防火墻；性能上分為百兆級(jí)防火墻和千兆級(jí)防火墻。防火墻的發(fā)展趨勢(shì)：功能性能不斷突破；下一代網(wǎng)絡(luò)的新需求；高速、安全、可用。 防火墻的工作模式有路由模式、透明橋模式和混合模式三大類。 端口掃描:目的:確定目標(biāo)主機(jī)開啟了哪些端口及相應(yīng)的服務(wù).常規(guī)掃描技術(shù):1.調(diào)用connect函數(shù)直接連接別掃描端口2.無需任何特殊權(quán)限3.速度較慢，已被記錄。高級(jí)掃描技術(shù)：1.利用探測(cè)數(shù)據(jù)包的返回信息來進(jìn)行間接掃描2.較為隱蔽，不易被日志記錄，不

14、易被日志記錄或防火墻發(fā)現(xiàn)。TCP SYN掃描-也叫半開式掃描，利用TCP連接三次握手的第一次進(jìn)行掃描端口掃描工具Nmap簡(jiǎn)介被稱為“掃描器之王”有for Unix和for Win的兩種版本需要Libpcap庫和Winpcap庫的支持能夠進(jìn)行普通掃描、各種高級(jí)掃描和操作系統(tǒng)類型鑒別等使用-sS：半開式掃描 -sT:普通connect()掃描 -sU：udp端口掃描-O：操作系統(tǒng)鑒別-P0：強(qiáng)行掃描（無論是否能夠ping通目標(biāo)）-p：指定端口范圍-v：詳細(xì)模式漏洞掃描根據(jù)目標(biāo)主機(jī)開放的不同應(yīng)用和服務(wù)來掃描和判斷是否存在或可能存在某些漏洞積極意義進(jìn)行網(wǎng)絡(luò)安全評(píng)估為網(wǎng)絡(luò)系統(tǒng)的加固提供先期準(zhǔn)備消極意義被

15、網(wǎng)絡(luò)攻擊者加以利用來攻陷目標(biāo)系統(tǒng)或獲取重要的數(shù)據(jù)信息端口掃描最大的作用是提供目標(biāo)主機(jī)網(wǎng)絡(luò)服務(wù)的清單。端口掃描是一種非常重要的預(yù)攻擊探測(cè)手段，幾乎是黑客攻擊的通用手段。端口掃描技術(shù)是一項(xiàng)自動(dòng)探測(cè)本地和遠(yuǎn)程系統(tǒng)端口開放情況的策略及方法，它使系統(tǒng)用戶了解系統(tǒng)目前向外界提供了哪些服務(wù)，從而為系統(tǒng)用戶管理網(wǎng)絡(luò)提供了一種手段。常見的端口掃描技術(shù)包括有TCP connect掃描、TCP SYN掃描以及秘密掃描。TCP connect端口掃描服務(wù)端與客戶端建立連接成功（目標(biāo)端口開放）的過程： Client端發(fā)送SYN； Server端返回SYN/ACK，表明端口開放； Client端返回ACK，表明連接已建立

16、； Client端主動(dòng)斷開連接。TCP connect端口掃描服務(wù)端與客戶端未建立連接成功（目標(biāo)端口關(guān)閉）過程： Client端發(fā)送SYN； Server端返回RST/ACK，表明端口未開放。優(yōu)點(diǎn)是實(shí)現(xiàn)簡(jiǎn)單，對(duì)操作者的權(quán)限沒有嚴(yán)格要求（有些類型的端口掃描需要操作者具有root權(quán)限），系統(tǒng)中的任何用戶都有權(quán)力使用這個(gè)調(diào)用，而且如果想要得到從目標(biāo)端口返回banners信息，也只能采用這一方法。另一優(yōu)點(diǎn)是掃描速度快。如果對(duì)每個(gè)目標(biāo)端口以線性的方式，使用單獨(dú)的connect()調(diào)用，可以通過同時(shí)打開多個(gè)套接字，從而加速掃描。這種掃描方法的缺點(diǎn)是會(huì)在目標(biāo)主機(jī)的日志記錄中留下痕跡，易被發(fā)現(xiàn)，并且數(shù)據(jù)包會(huì)被

17、過濾掉。目標(biāo)主機(jī)的logs文件會(huì)顯示一連串的連接和連接出錯(cuò)的服務(wù)信息，并且能很快地使它關(guān)閉。TCP SYN掃描的優(yōu)點(diǎn)是比TCP connect掃描更隱蔽，Server端可能不會(huì)留下日志記錄。其缺點(diǎn)是在大部分操作系統(tǒng)下，掃描主機(jī)需要構(gòu)造適用于這種掃描的IP包，而通常情況下，構(gòu)造自己的SYN數(shù)據(jù)包必須要有root權(quán)限。秘密掃描是一種不被審計(jì)工具所檢測(cè)的掃描技術(shù)。它通常用于在通過普通的防火墻或路由器的篩選（filtering）時(shí)隱藏自己。秘密掃描能躲避IDS、防火墻、包過濾器和日志審計(jì)，從而獲取目標(biāo)端口的開放或關(guān)閉的信息。由于沒有包含TCP 3次握手協(xié)議的任何部分，所以無法被記錄下來，比半連接掃描更

18、為隱蔽。但是這種掃描的缺點(diǎn)是掃描結(jié)果的不可靠性會(huì)增加，而且掃描主機(jī)也需要自己構(gòu)造IP包?，F(xiàn)有的秘密掃描有TCP FIN掃描、TCP ACK掃描、NULL掃描和XMAS掃描（開放不返回，返回rst端口關(guān)閉），SYN/ACK掃描等。TCP FIN掃描的原理是掃描主機(jī)向目標(biāo)主機(jī)發(fā)送FIN數(shù)據(jù)包來探聽端口，若FIN數(shù)據(jù)包到達(dá)的是一個(gè)打開的端口，數(shù)據(jù)包則被簡(jiǎn)單地丟掉，并不返回任何信息，當(dāng)FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，TCP會(huì)把它判斷成是錯(cuò)誤，數(shù)據(jù)包會(huì)被丟掉，并且返回一個(gè)RST數(shù)據(jù)包。TCP ACK掃描-掃描主機(jī)向目標(biāo)主機(jī)發(fā)送ACK數(shù)據(jù)包。根據(jù)返回的RST數(shù)據(jù)包有兩種方法可以得到端口的信息。方法一是：

19、若返回的RST數(shù)據(jù)包的TTL值小于或等于64，則端口開放，反之端口關(guān)閉。方法二是： 若返回的RST數(shù)據(jù)包的WINDOW值非零，則端口開放，反之端口關(guān)閉ping命令經(jīng)常用來對(duì)TCP/IP網(wǎng)絡(luò)進(jìn)行診斷。tracert命令的作用是跟蹤一個(gè)消息從一臺(tái)計(jì)算機(jī)到另一臺(tái)計(jì)算機(jī)所走的路徑，它可以用來確定某個(gè)主機(jī)的位置。net start server命令，可以用來啟動(dòng)服務(wù)器。net use命令，可以通過使用這個(gè)命令將計(jì)算機(jī)與共享資源連接或斷開，或者顯示關(guān)于計(jì)算機(jī)連接的信息。net user命令，是用來添加或修改賬戶或者顯示用戶賬戶信息。密碼技術(shù)：在網(wǎng)絡(luò)安全服務(wù)中，直接、或間接幾乎都要用到密碼技術(shù)。安全協(xié)議：所

20、謂安全協(xié)議就是具有安全性功能的通信協(xié)議 ，所以又稱為安全通信協(xié)議。換句話來說，安全協(xié)議是完成信息的安全交換的共同約定的邏輯操作規(guī)則。安全協(xié)議的目的是通過正確地使用密碼技術(shù)和訪問控制技術(shù)來解決網(wǎng)絡(luò)通信的安全問題。由于安全協(xié)議通常要運(yùn)用到密碼技術(shù)，所以又稱為密碼協(xié)議。安全協(xié)議中有關(guān)身份認(rèn)證的部分，也被稱為認(rèn)證協(xié)議。 安全協(xié)議應(yīng)包含以下基本要素：保證信息交換的安全，目的是完成某種安全任務(wù)。使用密碼技術(shù)。信息交換的機(jī)密性、完整性、不可否認(rèn)性等均要依賴密碼技術(shù)。具有嚴(yán)密的共同約定的邏輯交換規(guī)則。保證信息安全交換除了密碼技術(shù)以外，邏輯交換規(guī)則是否嚴(yán)密，即協(xié)議的安全交換過程是否嚴(yán)密十分重要，安全協(xié)議的分析往

21、往是針對(duì)這一部分而進(jìn)行的。使用訪問控制等安全機(jī)制。性質(zhì)-認(rèn)證性、機(jī)密性、完整性、不可否認(rèn)性 IPsec設(shè)計(jì)目標(biāo)為IPv4和IPv6提供可互操作的、高質(zhì)量的、基于密碼學(xué)的安全性。應(yīng)用 通過互聯(lián)網(wǎng)安全分支機(jī)構(gòu)接入；通過互聯(lián)網(wǎng)進(jìn)行安全遠(yuǎn)程訪問；與合作者建立企業(yè)間聯(lián)網(wǎng)和企業(yè)內(nèi)網(wǎng)接入；加強(qiáng)電子商務(wù)安全功能路由器和防火墻中使用時(shí)，對(duì)通過其邊界的所有通信流提供安全；防火墻內(nèi)能在所有外部流量必須使用IP時(shí)阻止旁路；位于傳輸層之下，對(duì)所有應(yīng)用都是透明的；可以對(duì)終端用戶透明；必要時(shí)，能給個(gè)人用戶提供安全性。 安全關(guān)聯(lián)SA SA：指通信對(duì)等方之間為了給需要受保護(hù)的數(shù)據(jù)流提供安全服務(wù)時(shí)而對(duì)某些要素的一種協(xié)定，如IPs

22、ec協(xié)議(AH或ESP)、協(xié)議的操作模式(傳輸模式或隧道模式)、密碼算法、密鑰、用于保護(hù)它們之間數(shù)據(jù)流的密鑰的生存期。SA用一個(gè)<安全參數(shù)索引SPI、目的IP地址、 安全協(xié)議(AH 或ESP)>的三元組唯一標(biāo)識(shí)傳輸模式：兩個(gè)主機(jī)之間的安全關(guān)聯(lián)；隧道模式：主機(jī)與安全網(wǎng)關(guān)，安全網(wǎng)關(guān)與安全網(wǎng)關(guān)之間的安全關(guān)聯(lián)安全關(guān)聯(lián)數(shù)據(jù)庫SAD（Security Association Database):包含現(xiàn)有的SA條目，每一個(gè)條目由<SPI、目的IP地址、IPsec協(xié)議類型>三元組索引。安全策略數(shù)據(jù)庫SPD（Security Policy Database): 負(fù)責(zé)維護(hù)IPsec策略，通

23、過使用源IP地址、目的IP地址、傳輸層協(xié)議、源和目的端口等組成的選擇符確定每一個(gè)條目 。設(shè)計(jì)AH協(xié)議的主要目的是用來增加IP數(shù)據(jù)報(bào)完整性的認(rèn)證機(jī)制。AH用于傳輸模式保護(hù)的是端到端的通信，通信終點(diǎn)必須是IPsec終點(diǎn)。AH頭插在原始IP頭之后，但在IP數(shù)據(jù)報(bào)封裝的上層協(xié)議或其它IPsec協(xié)議頭之前。 隧道模式中，AH插在原始IP頭之前，并重新生成一個(gè)新的IP頭放在AH之前。 無論是傳輸模式還是隧道模式，AH協(xié)議所認(rèn)證的是除了可變域的整個(gè)新的IP報(bào)文。設(shè)計(jì)ESP協(xié)議的主要目的是提高IP數(shù)據(jù)報(bào)的安全性。ESP不對(duì)整個(gè)IP數(shù)據(jù)報(bào)進(jìn)行認(rèn)證，這一點(diǎn)與AH不同 。IKE就是IPsec規(guī)定的一種用于動(dòng)態(tài)管理和維護(hù)SA的協(xié)議與IPsec SA不同的是，IKE SA是一種雙向的關(guān)聯(lián) 。SSL協(xié)議提供的安全服務(wù)用戶和服務(wù)器的合法性認(rèn)證、加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)、