計(jì)算機(jī)通信與網(wǎng)絡(luò)第10章網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全技術(shù)

計(jì)算機(jī)通信與網(wǎng)絡(luò)

ComputerCommunications&Networks第八章網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全南京郵電大學(xué)計(jì)算機(jī)學(xué)院“計(jì)算機(jī)通信與網(wǎng)絡(luò)”國(guó)家精品課程組網(wǎng)絡(luò)管理8.1網(wǎng)絡(luò)管理的基本概念8.2網(wǎng)絡(luò)管理的主要功能8.3網(wǎng)絡(luò)管理協(xié)議內(nèi)容綱要

8.1網(wǎng)絡(luò)管理的基本概念8.2網(wǎng)絡(luò)管理的主要功能8.3網(wǎng)絡(luò)管理協(xié)議內(nèi)容綱要8.1網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理包括對(duì)硬件、軟件和人力的使用、綜合與協(xié)調(diào)，以便對(duì)網(wǎng)絡(luò)資源進(jìn)行監(jiān)視、測(cè)試、配置、分析、評(píng)價(jià)和控制，這樣就能以合理的價(jià)格滿足網(wǎng)絡(luò)的一些需求，如實(shí)時(shí)運(yùn)行性能，服務(wù)質(zhì)量等。網(wǎng)絡(luò)管理常簡(jiǎn)稱為網(wǎng)管。我們可以看到，網(wǎng)絡(luò)管理并不是指對(duì)網(wǎng)絡(luò)進(jìn)行行政上的管理。8.1網(wǎng)絡(luò)管理的基本概念一、網(wǎng)絡(luò)管理的發(fā)展及邏輯結(jié)構(gòu)1、網(wǎng)絡(luò)管理方法的演變?nèi)斯し稚⒐芾恚盒实?，易出差錯(cuò)。計(jì)算機(jī)化集中管理：引入計(jì)算機(jī)技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)信息的自動(dòng)采集、集中和管理，提高了管理效率和可靠性。8.1網(wǎng)絡(luò)管理的基本概念2、網(wǎng)絡(luò)管理系統(tǒng)的邏輯結(jié)構(gòu)被管對(duì)象：抽象的網(wǎng)絡(luò)資源管理進(jìn)程：主要由軟件模塊構(gòu)成，對(duì)網(wǎng)絡(luò)中的對(duì)象進(jìn)行全面的管理和控制管理協(xié)議：負(fù)責(zé)在管理系統(tǒng)與被管對(duì)象之間傳送操作命令和解釋操作命令8.1網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理功能按作用可分為三部分操作：包括運(yùn)行狀態(tài)顯示、操作控制、告警、統(tǒng)計(jì)、計(jì)費(fèi)數(shù)據(jù)的收集與存儲(chǔ)、安全控制等管理：包括網(wǎng)絡(luò)配置、軟件管理、計(jì)費(fèi)和賬單生成、服務(wù)分配、數(shù)據(jù)收集、網(wǎng)絡(luò)數(shù)據(jù)報(bào)告、性能分析、支持工具及人員、資產(chǎn)、規(guī)劃管理等維護(hù)：包括網(wǎng)絡(luò)測(cè)試、故障告警、統(tǒng)計(jì)報(bào)告、故障定位、服務(wù)恢復(fù)、網(wǎng)絡(luò)測(cè)試工具等因此，網(wǎng)管系統(tǒng)也可稱網(wǎng)絡(luò)的操作管理和維護(hù)系統(tǒng)8.1網(wǎng)絡(luò)管理的基本概念3、Internet網(wǎng)絡(luò)管理邏輯模型網(wǎng)絡(luò)元素：抽象的被管網(wǎng)絡(luò)資源管理代理：管理操作的執(zhí)行機(jī)構(gòu)外部代理：管理進(jìn)程和被管設(shè)備之間的協(xié)議翻譯代理8.1網(wǎng)絡(luò)管理的基本概念二、網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化基于ISO的OSI參考模型的標(biāo)準(zhǔn)：公共管理信息協(xié)議(CMIP，CommonManagementInformationProtocol)簡(jiǎn)化網(wǎng)絡(luò)管理協(xié)議(SNMP，SimpleNetworkManagementProtocol)基于TCP/IP的公共管理(CMOT)協(xié)議8.1網(wǎng)絡(luò)管理的基本概念基于ISO的OSI參考模型的標(biāo)準(zhǔn)：X.700系列建議M.3000電信管理網(wǎng)（TMN）系列建議

8.1網(wǎng)絡(luò)管理的基本概念

8.2網(wǎng)絡(luò)管理的主要功能8.3網(wǎng)絡(luò)管理協(xié)議內(nèi)容綱要8.2網(wǎng)絡(luò)管理的主要功能

1、配置管理

ConfigurationManagement初始化網(wǎng)絡(luò)，配置網(wǎng)絡(luò)，以提供網(wǎng)絡(luò)服務(wù)。目的是實(shí)現(xiàn)某個(gè)特定功能或使網(wǎng)絡(luò)性能達(dá)到最優(yōu)。設(shè)置系統(tǒng)中有關(guān)路由操作的參數(shù)對(duì)被管對(duì)象或被管對(duì)象組名字的管理初始化或關(guān)閉被管對(duì)象根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)有關(guān)信息獲取系統(tǒng)重要變化的信息更改系統(tǒng)的配置8.2網(wǎng)絡(luò)管理的主要功能2、性能管理PerformanceManagement對(duì)網(wǎng)絡(luò)性能、資源利用率及有關(guān)通信活動(dòng)進(jìn)行分析，以幫助網(wǎng)絡(luò)管理人員評(píng)價(jià)網(wǎng)絡(luò)資源及相關(guān)通信活動(dòng)的情況和效率。有效的性能管理能優(yōu)化網(wǎng)絡(luò)的性能，最大限度地滿足不同層次用戶對(duì)網(wǎng)絡(luò)的需求。8.2網(wǎng)絡(luò)管理的主要功能性能管理的典型功能收集統(tǒng)計(jì)信息維護(hù)并檢查系統(tǒng)狀態(tài)日志確定自然和人工狀態(tài)下系統(tǒng)的性能改變系統(tǒng)操作模式以進(jìn)行系統(tǒng)性能管理的操作8.2網(wǎng)絡(luò)管理的主要功能3、故障管理FaultManagement網(wǎng)絡(luò)管理最基本的功能，主要對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器故障進(jìn)行檢測(cè)、診斷，故障排除、維修及報(bào)告。硬件故障：故障診斷程序、故障診斷設(shè)備，或人工查錯(cuò)。軟件故障：人工分析，邏輯分析儀電纜故障：測(cè)試軟件、人工測(cè)試8.2網(wǎng)絡(luò)管理的主要功能4、計(jì)費(fèi)管理AccountManagement記錄網(wǎng)絡(luò)資源的使用，目的是控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)?？梢怨浪愠鲇脩羰褂镁W(wǎng)絡(luò)資源可能需要的費(fèi)用和代價(jià)，以及已使用的資源。計(jì)費(fèi)管理是對(duì)網(wǎng)絡(luò)資源和通信資源的使用進(jìn)行計(jì)費(fèi)，對(duì)用戶的訪問(wèn)活動(dòng)建立詳細(xì)記錄。計(jì)費(fèi)系統(tǒng)還具有安全管理功能。8.2網(wǎng)絡(luò)管理的主要功能5、安全管理SecurityManagement網(wǎng)絡(luò)中的主要安全問(wèn)題網(wǎng)絡(luò)數(shù)據(jù)的私有性網(wǎng)絡(luò)訪問(wèn)授權(quán)訪問(wèn)控制網(wǎng)絡(luò)安全管理的任務(wù)保護(hù)網(wǎng)絡(luò)上的信息不被泄露和修改限制沒(méi)有授權(quán)的用戶和具有破壞作用的用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)控制合法用戶只能訪問(wèn)自己訪問(wèn)權(quán)限內(nèi)資源8.2網(wǎng)絡(luò)管理的主要功能網(wǎng)絡(luò)管理五大功能的關(guān)系網(wǎng)絡(luò)管理業(yè)務(wù)功能上雖然分為五個(gè)方面，但這五個(gè)方面是互相影響的。性能管理與配置管理有關(guān)性能管理與故障管理有關(guān)故障管理與安全管理有關(guān)安全管理與計(jì)費(fèi)管理有關(guān)

8.1網(wǎng)絡(luò)管理的基本概念8.2網(wǎng)絡(luò)管理的主要功能

8.3網(wǎng)絡(luò)管理協(xié)議內(nèi)容綱要8.3網(wǎng)絡(luò)管理協(xié)議一、網(wǎng)絡(luò)管理協(xié)議的產(chǎn)生和發(fā)展在網(wǎng)絡(luò)管理中，一般采用管理者－代理模型。如果各個(gè)廠商提供的管理者和代理之間的通信方式各不相同，將會(huì)大大影響網(wǎng)絡(luò)管理系統(tǒng)的通用性，影響不同廠商的設(shè)備之間的互連。因此需要制定一個(gè)管理者和代理之間通信的標(biāo)準(zhǔn)，這就是網(wǎng)絡(luò)管理協(xié)議。8.3網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)管理協(xié)議是一個(gè)通信標(biāo)準(zhǔn)，簡(jiǎn)稱為網(wǎng)管協(xié)議。需要注意的是，不是網(wǎng)管協(xié)議本身來(lái)管理網(wǎng)絡(luò)。網(wǎng)管協(xié)議就是管理程序和代理程序之間進(jìn)行通信的規(guī)則。網(wǎng)絡(luò)管理員利用網(wǎng)管協(xié)議通過(guò)管理站對(duì)網(wǎng)絡(luò)中的被管設(shè)備進(jìn)行管理。

8.3網(wǎng)絡(luò)管理協(xié)議管理程序和代理程序按客戶-服務(wù)器方式工作。管理程序運(yùn)行客戶程序，向某個(gè)代理程序發(fā)出請(qǐng)求（或命令），代理程序運(yùn)行服務(wù)器程序，返回響應(yīng)（或執(zhí)行某個(gè)動(dòng)作）。在網(wǎng)管系統(tǒng)中往往是一個(gè)（或少數(shù)幾個(gè)）客戶程序與很多的服務(wù)器程序進(jìn)行交互。8.3網(wǎng)絡(luò)管理協(xié)議主要的網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)管理協(xié)議主要有三種：基于OSI參考模型的公共管理信息服務(wù)和公共管理信息協(xié)議（CMIS/CMIP）。基于TCP/IP體系的簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP。基于TCP/IP體系的CMIP8.3網(wǎng)絡(luò)管理協(xié)議二、公共管理信息協(xié)議為了保證異構(gòu)型網(wǎng)絡(luò)設(shè)備之間可以互相交換管理信息，ISO制定了兩個(gè)管理信息通信的標(biāo)準(zhǔn)：ISO9595ITU-TX.710公共管理信息服務(wù)(CMIS)和ISO9596ITU-TX.711公共管理信息協(xié)議(CMIP)。8.3網(wǎng)絡(luò)管理協(xié)議1、管理信息的通信在ISO的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中，應(yīng)用層中與網(wǎng)絡(luò)管理應(yīng)用有關(guān)的實(shí)體稱為系統(tǒng)管理應(yīng)用實(shí)體(SAME)，它主要由以下三個(gè)關(guān)鍵元素組成:聯(lián)系控制服務(wù)元素(ACSE)：負(fù)責(zé)建立和拆除兩個(gè)系統(tǒng)之間應(yīng)用層的通信聯(lián)系。遠(yuǎn)程操作服務(wù)元素(ROSE)：負(fù)責(zé)建立和釋放應(yīng)用層的連接。公共管理信息服務(wù)元素(CMISE)：負(fù)責(zé)網(wǎng)絡(luò)管理信息在網(wǎng)絡(luò)管理實(shí)體之間的邏輯通信。基于CMISE的管理信息通信的層次結(jié)構(gòu)8.3網(wǎng)絡(luò)管理協(xié)議8.3網(wǎng)絡(luò)管理協(xié)議2、公共管理信息服務(wù)元素CMISE主要用于控制網(wǎng)絡(luò)管理系統(tǒng)中網(wǎng)絡(luò)管理實(shí)體間有關(guān)管理信息的交換。CMISE的定義分為接口和協(xié)議兩部分。接口用于指定提供的服務(wù)，協(xié)議用于指定協(xié)議數(shù)據(jù)單元(PDU)的格式和相關(guān)過(guò)程。CMISE提供七類服務(wù)：8.3網(wǎng)絡(luò)管理協(xié)議8.3網(wǎng)絡(luò)管理協(xié)議3、公共管理信息協(xié)議CMIP是ISO制定的網(wǎng)絡(luò)管理協(xié)議(即ISO9596/ITU-TX.711)。它所支持的服務(wù)正是CMISE的各種服務(wù)。協(xié)議數(shù)據(jù)單元(PDU)的語(yǔ)法和語(yǔ)義是按照ASN.1規(guī)則定義的。CMIP是一個(gè)相當(dāng)復(fù)雜和詳細(xì)的網(wǎng)絡(luò)管理協(xié)議，其功能結(jié)構(gòu)如下頁(yè)圖所示：8.3網(wǎng)絡(luò)管理協(xié)議8.3網(wǎng)絡(luò)管理協(xié)議三、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）1、SNMP協(xié)議SNMP是適用于互聯(lián)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)管理框架，首先考慮的是TCP/IP協(xié)議集?，F(xiàn)在也已經(jīng)在其他協(xié)議棧上運(yùn)行，但只是在沒(méi)有TCP/IP協(xié)議棧時(shí)才這樣。SNMP采用管理進(jìn)程－代理進(jìn)程模型，管理協(xié)議在應(yīng)用層上運(yùn)行。SNMPv1是非常成功的，它在簡(jiǎn)單化、靈活性和擴(kuò)展性等方面達(dá)到理想的平衡。8.3網(wǎng)絡(luò)管理協(xié)議SNMP的功能結(jié)構(gòu)：8.3網(wǎng)絡(luò)管理協(xié)議SNMP的指導(dǎo)思想SNMP最重要的指導(dǎo)思想就是盡可能簡(jiǎn)單。SNMP的基本功能包括監(jiān)視網(wǎng)絡(luò)性能、檢測(cè)分析網(wǎng)絡(luò)差錯(cuò)和配置網(wǎng)絡(luò)設(shè)備等。在網(wǎng)絡(luò)正常工作時(shí)，SNMP可實(shí)現(xiàn)統(tǒng)計(jì)、配置、和測(cè)試等功能。當(dāng)網(wǎng)絡(luò)出故障時(shí)，可實(shí)現(xiàn)各種差錯(cuò)檢測(cè)和恢復(fù)功能。SNMP是在TCP/IP基礎(chǔ)上的網(wǎng)絡(luò)管理協(xié)議，但也可擴(kuò)展到其他類型網(wǎng)絡(luò)設(shè)備上。SNMP的特點(diǎn)和組成SNMP是用標(biāo)準(zhǔn)化方法定義的，增加了框架的靈活性和可擴(kuò)展性。SNMPv1是基于Internet標(biāo)準(zhǔn)，其中定義了3個(gè)主要部件：管理信息結(jié)構(gòu)（SMI）：描述管理信息的標(biāo)準(zhǔn)符號(hào)。管理信息庫(kù)（MIB）：包含待管理的各種變量。MIB定義的通用化格式支持對(duì)每一個(gè)新的待管理服務(wù)定義其特定的MIB組，使廠家有標(biāo)準(zhǔn)方法以定義其專用的管理對(duì)象。管理協(xié)議，也稱SNMP。SNMP的典型配置SNMPUDPIP管理進(jìn)程網(wǎng)絡(luò)接口網(wǎng)絡(luò)管理員MIB管理站路由器SNMPUDPIP代理進(jìn)程網(wǎng)絡(luò)接口TCPFTP等用戶進(jìn)程主機(jī)因特網(wǎng)SNMPUDPIP代理進(jìn)程網(wǎng)絡(luò)接口TCPFTP等用戶進(jìn)程主機(jī)SNMPUDPIP代理進(jìn)程網(wǎng)絡(luò)接口8.3網(wǎng)絡(luò)管理協(xié)議SNMP的管理站和委托代理整個(gè)系統(tǒng)必須有一個(gè)管理站。管理進(jìn)程和代理進(jìn)程利用SNMP報(bào)文進(jìn)行通信，而SNMP報(bào)文又使用UDP來(lái)傳送。若網(wǎng)絡(luò)元素使用的不是SNMP而是另一種網(wǎng)絡(luò)管理協(xié)議，SNMP協(xié)議就無(wú)法控制該網(wǎng)絡(luò)元素。這時(shí)可使用委托代理(proxyagent)。委托代理能提供如協(xié)議轉(zhuǎn)換和過(guò)濾操作等功能對(duì)被管對(duì)象進(jìn)行管理。8.3網(wǎng)絡(luò)管理協(xié)議管理信息庫(kù)MIB管理信息庫(kù)MIB是一個(gè)網(wǎng)絡(luò)中所有可能的被管對(duì)象的集合的數(shù)據(jù)結(jié)構(gòu)。只有在MIB中的對(duì)象才是SNMP所能夠管理的。SNMP的管理信息庫(kù)采用和域名系統(tǒng)DNS相似的樹(shù)形結(jié)構(gòu)，它的根在最上面，根沒(méi)有名字。管理信息庫(kù)的對(duì)象命名樹(shù)舉例

根iso(1)ccitt(0)joint-iso-ccitt(2)memberbody(2)dod(6)internet(1)mgmt(2)directory(1)experimental(3)private(4)enterprises(1).4.1mib-2(1).2.1system(1)interface(2)at(3)ip(4)icmp(5)tcp(6)udp(7)egp(8)………………………standard(0)registrationauthority(1)identifiedorganization(3)snmpv2(6)security(5)……8.3網(wǎng)絡(luò)管理協(xié)議管理信息庫(kù)包括三部分：管理信息庫(kù)的訪問(wèn)服務(wù)提供訪問(wèn)管理信息庫(kù)中受管對(duì)象信息的編程接口。管理信息庫(kù)的構(gòu)造服務(wù)提供將應(yīng)用中受管資源表示成受管對(duì)象的定義手段。（面向?qū)ο蟮姆椒ǎ┕芾硇畔?kù)的支持服務(wù)提供管理信息庫(kù)信息的永久存儲(chǔ)及存儲(chǔ)資源的管理。（采用基于結(jié)構(gòu)化查詢語(yǔ)言）8.3網(wǎng)絡(luò)管理協(xié)議SNMP的探詢操作探詢操作——SNMP管理進(jìn)程定時(shí)向被管理設(shè)備周期性地發(fā)送探詢信息。探詢的好處是：可使系統(tǒng)相對(duì)簡(jiǎn)單。能限制通過(guò)網(wǎng)絡(luò)所產(chǎn)生的管理信息通信量。探詢管理協(xié)議不夠靈活，所能管理的設(shè)備數(shù)目不能太多。探詢的開(kāi)銷也較大。如探詢頻繁而并未得到有用的報(bào)告，則通信線路和計(jì)算機(jī)資源就被浪費(fèi)了。8.3網(wǎng)絡(luò)管理協(xié)議陷阱(trap)SNMP不是完全的探詢協(xié)議，它允許不經(jīng)過(guò)詢問(wèn)就能發(fā)送某些信息。這種信息稱為陷阱，表示它能夠捕捉“事件”。當(dāng)被管對(duì)象的代理檢測(cè)到有事件發(fā)生時(shí)，就檢查其門限值。代理只向管理進(jìn)程報(bào)告達(dá)到某些門限值的事件（即過(guò)濾）。過(guò)濾的好處是：僅在嚴(yán)重事件發(fā)生時(shí)才發(fā)送陷阱；陷阱信息很簡(jiǎn)單且所需字節(jié)數(shù)很少。

8.3網(wǎng)絡(luò)管理協(xié)議SNMP是有效的網(wǎng)絡(luò)管理協(xié)議使用探詢（至少是周期性地）以維持對(duì)網(wǎng)絡(luò)資源的實(shí)時(shí)監(jiān)視，同時(shí)也采用陷阱機(jī)制報(bào)告特殊事件，使得SNMP成為一種有效的網(wǎng)絡(luò)管理協(xié)議。SNMP具有網(wǎng)絡(luò)管理所要求的主要管理功能。8.3網(wǎng)絡(luò)管理協(xié)議SNMP使用的端口SNMP使用無(wú)連接的UDP，因此在網(wǎng)絡(luò)上傳送SNMP報(bào)文的開(kāi)銷較小。但UDP不保證可靠交付。在運(yùn)行代理程序的服務(wù)器端用熟知端口161來(lái)接收get或set報(bào)文和發(fā)送響應(yīng)報(bào)文（與熟知端口通信的客戶端使用臨時(shí)端口）。運(yùn)行管理程序的客戶端則使用熟知端口162來(lái)接收來(lái)自各代理的trap報(bào)文。8.3網(wǎng)絡(luò)管理協(xié)議SNMPv1規(guī)定了五種協(xié)議數(shù)據(jù)單元PDU（即SNMP報(bào)文），用來(lái)在管理進(jìn)程和代理之間的交換。SNMP的操作只有兩種基本的管理功能，即：(1)“讀”操作，用get報(bào)文來(lái)檢測(cè)各被管對(duì)象的狀況；(2)“寫”操作，用set報(bào)文來(lái)改變各被管對(duì)象的狀況。SNMPv1的協(xié)議數(shù)據(jù)單元類型

PDUPDU名稱用途編號(hào)0get-request用來(lái)查詢一個(gè)或多個(gè)變量的值1get-next-request允許在MIB樹(shù)上檢索下一個(gè) 變量，此操作可反復(fù)進(jìn)行

get-reponse

對(duì)

get/set報(bào)文作出響應(yīng)，并 提供差錯(cuò)碼、差錯(cuò)狀態(tài)等信息3set-request對(duì)一個(gè)或多個(gè)變量值進(jìn)行設(shè)置4trap 向管理進(jìn)程報(bào)告代理中發(fā)生的 事件SNMPv1的報(bào)文格式

UDP數(shù)據(jù)報(bào)IP數(shù)據(jù)報(bào)SNMP報(bào)文get/set報(bào)文IP首部UDP首部SNMPPDU版本共同體PDU類型(0~3)差錯(cuò)索引差錯(cuò)狀態(tài)(0~5)請(qǐng)求標(biāo)識(shí)符名名值值…trap首部變量綁定20字節(jié)8字節(jié)PDU類型(4)名值…企業(yè)代理的IP地址trap類型(0~6)特定代碼時(shí)間戳值名get/set首部變量綁定trap報(bào)文8.3網(wǎng)絡(luò)管理協(xié)議SNMP報(bào)文的組成版本共同體(community)SNMPPDU——由三個(gè)部分組成PDU類型get/set首部或trap首部變量綁定(variable-bindings)（變量綁定指明一個(gè)或多個(gè)變量的名和對(duì)應(yīng)的值）。

8.3網(wǎng)絡(luò)管理協(xié)議get/set首部的字段請(qǐng)求標(biāo)識(shí)符(requestID)差錯(cuò)狀態(tài)(errorstatus)差錯(cuò)索引(errorindex)8.3網(wǎng)絡(luò)管理協(xié)議trap首部的字段企業(yè)(enterprise)陷阱類型特定代碼(specific-code)時(shí)間戳(timestamp)8.3網(wǎng)絡(luò)管理協(xié)議管理信息結(jié)構(gòu)SMI

(StructureofManagementInformation)

標(biāo)準(zhǔn)指明了所有的MIB變量必須使用抽象語(yǔ)法記法1（ASN.1）來(lái)定義。ASN.1有兩個(gè)主要特點(diǎn)：一個(gè)是人們閱讀的文檔中使用的記法，另一個(gè)是同一信息在通信協(xié)議中使用的緊湊編碼表示。這種記法使得數(shù)據(jù)的含義不存在任何可能的二義性。8.3網(wǎng)絡(luò)管理協(xié)議“語(yǔ)法”實(shí)際上就是“符號(hào)串解釋方法”。局部語(yǔ)法用于數(shù)據(jù)在端系統(tǒng)中的存儲(chǔ)。傳送語(yǔ)法用于數(shù)據(jù)在線路上的傳輸。抽象語(yǔ)法是協(xié)議設(shè)計(jì)者所使用的工具，用于將設(shè)計(jì)者的思想記錄下來(lái)，便于交流和討論。計(jì)算機(jī)通信的最終目的是傳遞數(shù)據(jù)的語(yǔ)義。因此一個(gè)數(shù)據(jù)無(wú)論采用何種表示方式，其語(yǔ)義不應(yīng)改變。8.3網(wǎng)絡(luò)管理協(xié)議OSI采用兩次轉(zhuǎn)換語(yǔ)法的方法，即由發(fā)送方和接收方共同協(xié)作完成語(yǔ)法轉(zhuǎn)換。為此，定義了“傳送語(yǔ)法”(transfersyntax)。發(fā)送方把符合自己局部語(yǔ)法的比特串轉(zhuǎn)換為符合傳送語(yǔ)法的比特串，接收方再把此比特串轉(zhuǎn)換為符合自己局部語(yǔ)法的比特串。在采用這種標(biāo)準(zhǔn)的傳送語(yǔ)法時(shí)，不僅要傳送數(shù)據(jù)對(duì)象的“值信息”，還需要傳送關(guān)于該對(duì)象的“類型信息”。ASN.1(AbstractSyntaxNotationOne)

ASN.1是一種數(shù)據(jù)類型描述語(yǔ)言，具有類似于面向?qū)ο蟪绦蛟O(shè)計(jì)語(yǔ)言中所提供的類型機(jī)制。ASN.1可定義任意復(fù)雜結(jié)構(gòu)的數(shù)據(jù)類型，而不同的數(shù)據(jù)類型之間還可以有繼承關(guān)系。實(shí)際上到目前為止并沒(méi)有第二個(gè)抽象語(yǔ)法記法出現(xiàn)。因此ASN.1似應(yīng)寫為ASN。抽象語(yǔ)法只描述數(shù)據(jù)的結(jié)構(gòu)形式且與具體的編碼格式無(wú)關(guān)，同時(shí)也不涉及這些數(shù)據(jù)結(jié)構(gòu)在計(jì)算機(jī)內(nèi)如何存放。8.3網(wǎng)絡(luò)管理協(xié)議基本編碼規(guī)則BER(BasicEncodingRule)ISO在制訂ASN.1語(yǔ)言的同時(shí)也為它定義了一種標(biāo)準(zhǔn)的編碼方案，即基本編碼規(guī)則BER。BER指明了每種數(shù)據(jù)類型中每個(gè)數(shù)據(jù)的值的表示。發(fā)送端用BER編碼，可將用ASN.1所表述的報(bào)文轉(zhuǎn)換成惟一的比特序列。接收端用BER進(jìn)行解碼，得到該比特序列所表示的ASN.1報(bào)文。ASN.1的兩個(gè)標(biāo)準(zhǔn)

(1)抽象語(yǔ)法記法1(ASN.1)ISO8824ITU-TX.208(2)ASN.1的基本編碼規(guī)則BERISO8825ITU-TX.209ASN.1和ASN.1基本編碼規(guī)則的區(qū)別就是：ASN.1是用來(lái)定義各種應(yīng)用協(xié)議數(shù)據(jù)單元的數(shù)據(jù)類型的工具，是描述抽象語(yǔ)法的一種語(yǔ)言。ASN.1基本編碼規(guī)則用于描述各應(yīng)用協(xié)議數(shù)據(jù)單元類型所代表的數(shù)據(jù)值。8.3網(wǎng)絡(luò)管理協(xié)議抽象語(yǔ)法記法ASN.1的要點(diǎn)(1)標(biāo)識(shí)符（即值的名或字段名）、數(shù)據(jù)類型名和模塊名由大寫或小寫字母、數(shù)字、以及連字符組成。(2)ASN.1固有的數(shù)據(jù)類型全部由大寫字母組成。(3)用戶自定義的數(shù)據(jù)類型名和模塊名的第一個(gè)字母用大寫，后面至少要有一個(gè)非大寫字母。8.3網(wǎng)絡(luò)管理協(xié)議抽象語(yǔ)法記法ASN.1的要點(diǎn)(4)標(biāo)識(shí)符(identifier)的第一個(gè)字母用小寫，后面可用數(shù)字、連字符以及一些大寫字母以增加可讀性。(5)多個(gè)空格或空行都被認(rèn)為是一個(gè)空格。(6)注釋由兩個(gè)連字符(--)表示開(kāi)始，由另外兩個(gè)連字符或行結(jié)束符表示結(jié)束。ASN.1把數(shù)據(jù)類型分為簡(jiǎn)單類型和構(gòu)造類型兩種。ASN.1的部分類型分類標(biāo)記類型名稱主要特點(diǎn)簡(jiǎn)UNIVERSAL2INTEGER取整數(shù)值單UNIVERSAL4OCTETSTRING取八位位組序列值類UNIVERSAL5NULL只取空值的型UNIVERSAL6OBJECTIDENTIFIER與信息對(duì)象相關(guān)聯(lián)的值的集合

構(gòu)UNIVERSAL16SEQUENCE取值為多個(gè)數(shù)據(jù)類型的按序組成的值造UNIVERSAL16SEQUENCE-OF取值為同一數(shù)據(jù)類型的按序組成的值類無(wú)標(biāo)記CHOICE可選擇多個(gè)數(shù)據(jù)類型中的某一個(gè)數(shù)據(jù)類型型無(wú)標(biāo)記ANY可描述事先還不知道的任何類型的任何值8.3網(wǎng)絡(luò)管理協(xié)議標(biāo)記(tab)ASN.1規(guī)定每一個(gè)數(shù)據(jù)類型應(yīng)當(dāng)有一個(gè)能夠惟一被識(shí)別的標(biāo)記，以便能無(wú)二義性地標(biāo)識(shí)各種數(shù)據(jù)類型。標(biāo)記有兩個(gè)分量，一個(gè)分量是標(biāo)記的類(class)，另一個(gè)分量是非負(fù)整數(shù)。標(biāo)記共劃分為以下的四類(class)

(1)通用類(Universal)——由ASN.1分配給所定義的最常用的一些數(shù)據(jù)類型，它與具體的應(yīng)用無(wú)關(guān)。(2)應(yīng)用類(Application-wide)——與某個(gè)特定應(yīng)用相關(guān)聯(lián)的類型（被其他標(biāo)準(zhǔn)所定義）。(3)上下文類(Context-specific)——上下文所定義的類型，它屬于一個(gè)應(yīng)用的子集。(4)專用類(Private)——保留為一些廠家所定義的類型，在ASN.1標(biāo)準(zhǔn)中未定義。ASN.1的基本編碼規(guī)則

TLV方法進(jìn)行編碼——把各種數(shù)據(jù)元素表示為以下三個(gè)字段組成的八位位組序列：(1)T字段，即標(biāo)識(shí)符八位位組(identifieroctet)，用于標(biāo)識(shí)標(biāo)記。(2)L字段，即長(zhǎng)度用八位位組(lengthoctet)，用于標(biāo)識(shí)后面V字段的長(zhǎng)度。(3)V字段，即內(nèi)容八位位組(contentoctet)，用于標(biāo)識(shí)數(shù)據(jù)元素的值。8.3網(wǎng)絡(luò)管理協(xié)議幾點(diǎn)說(shuō)明(1)編碼一律用十六進(jìn)制數(shù)來(lái)表示。(2)要特別注意在V字段中出現(xiàn)的嵌套。(3)頂級(jí)和二級(jí)結(jié)點(diǎn)合并成子標(biāo)識(shí)符。若頂級(jí)結(jié)點(diǎn)和二級(jí)結(jié)點(diǎn)的值分別為X和Y，子網(wǎng)得出的子標(biāo)識(shí)符的值為40XY。這樣就得出sysDescr在進(jìn)行編碼時(shí)的對(duì)象標(biāo)識(shí)符為.（即占兩個(gè)字符的1.3壓縮為占一個(gè)字符的43），節(jié)省了一個(gè)字符的空間。8.3網(wǎng)絡(luò)管理協(xié)議幾點(diǎn)說(shuō)明(4)最后得到的用十六進(jìn)制表示的編碼如下所示：302902010004067075626C6963A01C020405AE5602020100020100300E300C06082B060102010101000500這就是作為UDP用戶數(shù)據(jù)報(bào)的數(shù)據(jù)部分的一個(gè)完整的SNMP報(bào)文。8.3網(wǎng)絡(luò)管理協(xié)議SNMPv2和SNMPv3SNMP的主要缺點(diǎn)是：(1)不能有效地傳送大塊的數(shù)據(jù)(2)不能將網(wǎng)絡(luò)管理的功能分散化(3)安全性不夠好SNMPv21996年發(fā)布IETF發(fā)布了8個(gè)SNMPv2文檔[RFC1901~1908]。但SNMPv2在安全方面的設(shè)計(jì)過(guò)分復(fù)雜，使得有些人不愿意接受它。SNMPv2增加了get-bulk-request命令，可一次從路由器的路由表中讀取許多行的信息。SNMPv2的get命令允許返回部分的變量值，這就提高了效率，減少了網(wǎng)絡(luò)上的通信量。SNMPv2增加了一個(gè)inform命令和一個(gè)管理進(jìn)程到管理進(jìn)程的MIB(manager-to-managerMIB)。使用這種inform命令可以使管理進(jìn)程之間互相傳送有關(guān)的事件信息而不需要經(jīng)過(guò)請(qǐng)求。這樣的信息則定義在管理進(jìn)程到管理進(jìn)程的MIB中。SNMPv2采用了分散化的管理方法。在一個(gè)網(wǎng)絡(luò)中可以有多個(gè)頂級(jí)管理站，叫做管理服務(wù)器。SNMPv31998年1月IETF發(fā)表了SNMPv3的有關(guān)文檔[RFC2271-2275]。僅隔15個(gè)月后就更新為[RFC2571-2575]。SNMPv3最大的改進(jìn)就是安全特性。也就是說(shuō)，只有被授權(quán)的人員才有資格執(zhí)行網(wǎng)絡(luò)管理的功能（如關(guān)閉某一條鏈路）和讀取有關(guān)網(wǎng)絡(luò)管理的信息（如讀取一個(gè)配置文件的內(nèi)容）。網(wǎng)絡(luò)安全內(nèi)容綱要

網(wǎng)絡(luò)安全概述數(shù)據(jù)加密技術(shù)用戶身份認(rèn)證訪問(wèn)控制虛擬專用網(wǎng)高層安全1、計(jì)算機(jī)網(wǎng)絡(luò)安全性的威脅因素2、計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)3、安全服務(wù)與安全機(jī)制網(wǎng)絡(luò)安全概述計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨以下四種威脅：(1)截獲——從網(wǎng)絡(luò)上竊聽(tīng)他人的通信內(nèi)容。(2)中斷——有意中斷他人在網(wǎng)絡(luò)上的通信。(3)篡改——故意篡改網(wǎng)絡(luò)上傳送的報(bào)文。(4)偽造——偽造信息在網(wǎng)絡(luò)上傳送。截獲信息的攻擊稱為被動(dòng)攻擊，更改信息和拒絕用戶使用資源攻擊稱為主動(dòng)攻擊。網(wǎng)絡(luò)安全概述1、計(jì)算機(jī)網(wǎng)絡(luò)安全性的威脅因素網(wǎng)絡(luò)安全概述1、計(jì)算機(jī)網(wǎng)絡(luò)安全性的威脅因素對(duì)網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊截獲篡改偽造中斷被動(dòng)攻擊主動(dòng)攻擊目的站源站源站源站源站目的站目的站目的站在被動(dòng)攻擊中，攻擊者只是觀察和分析某一個(gè)協(xié)議數(shù)據(jù)單元PDU而不干擾信息流。主動(dòng)攻擊是指攻擊者對(duì)某個(gè)連接中通過(guò)的PDU進(jìn)行各種處理。更改報(bào)文流拒絕報(bào)文服務(wù)偽造連接初始化

網(wǎng)絡(luò)安全概述1、計(jì)算機(jī)網(wǎng)絡(luò)安全性的威脅因素對(duì)網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊可靠性——可靠性主要表現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性等方面，是網(wǎng)絡(luò)系統(tǒng)安全的最基本要求之一?？捎眯浴捎眯灾饕脕?lái)衡量網(wǎng)絡(luò)系統(tǒng)面向用戶的安全性能?？捎眯赃€要求網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問(wèn)并按需求使用，并且當(dāng)網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)仍能為授權(quán)用戶提供有效服務(wù)。網(wǎng)絡(luò)安全概述2、計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)可用性還應(yīng)包括一下功能：身份識(shí)別、確認(rèn)以及訪問(wèn)控制功能業(yè)務(wù)流控制功能。路由選擇控制功能審計(jì)跟蹤功能網(wǎng)絡(luò)安全概述2、計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)保密性保密性要求網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過(guò)程，或供其利用。常用的保密手段主要有兩種：物理保密信息加密網(wǎng)絡(luò)安全概述2、計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)完整性 完整性要求網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變。網(wǎng)絡(luò)信息在存儲(chǔ)及傳輸過(guò)程中要保持不變，不能被偶然或蓄意地進(jìn)行刪除、修改、偽造、亂序、重放、插入等操作，防止網(wǎng)絡(luò)信息被破壞或丟失。網(wǎng)絡(luò)安全概述2、計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)保障網(wǎng)絡(luò)信息完整性的主要方法有：協(xié)議檢錯(cuò)及糾錯(cuò)編碼數(shù)字簽名公證網(wǎng)絡(luò)安全概述2、計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)不可抵賴性 不可抵賴性即不可否認(rèn)性。在網(wǎng)絡(luò)系統(tǒng)的信息交互過(guò)程中，所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。不可抵賴性通過(guò)相關(guān)的算法實(shí)現(xiàn)，利用信息源證據(jù)可以防止發(fā)信方否認(rèn)已發(fā)送信息的行為；利用遞交接收證據(jù)可以防止收信方事后否認(rèn)已經(jīng)接收的信息。網(wǎng)絡(luò)安全概述2、計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)安全服務(wù)ISO7498-2描述了五種可選的安全服務(wù)：身份鑒別服務(wù)訪問(wèn)控制服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)不可否認(rèn)性服務(wù)網(wǎng)絡(luò)安全概述3、安全服務(wù)與安全機(jī)制安全機(jī)制與上述安全服務(wù)相關(guān)的安全機(jī)制有八種：加密機(jī)制訪問(wèn)控制機(jī)制數(shù)字簽名機(jī)制數(shù)據(jù)完整性機(jī)制網(wǎng)絡(luò)安全概述3、安全服務(wù)與安全機(jī)制身份鑒別機(jī)制數(shù)據(jù)流填充機(jī)制路由控制機(jī)制公證機(jī)制內(nèi)容綱要

網(wǎng)絡(luò)安全概述

數(shù)據(jù)加密技術(shù)用戶身份認(rèn)證訪問(wèn)控制虛擬專用網(wǎng)高層安全網(wǎng)絡(luò)安全概述一般的數(shù)據(jù)加密模型1、對(duì)稱密鑰密碼系統(tǒng)2、非對(duì)稱密鑰密碼系統(tǒng)數(shù)據(jù)加密技術(shù)所謂對(duì)稱密鑰密碼系統(tǒng)，即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統(tǒng)又稱為對(duì)稱密鑰系統(tǒng)。1、對(duì)稱密鑰密碼系統(tǒng)對(duì)稱密鑰密碼系統(tǒng)概念數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)序列碼體制是將明文X看成是連續(xù)的比特流(或字符流)x1x2…，并且用密鑰序列Kk1k2…中的第i個(gè)元素ki對(duì)明文中的xi進(jìn)行加密，即1、對(duì)稱密鑰密碼系統(tǒng)

序列密碼體制EK(X)=Ek1(x1)Ek2(x2)…它將明文劃分成固定的n比特的數(shù)據(jù)組，然后以組為單位，在密鑰的控制下進(jìn)行一系列的線性或非線性的變化而得到密文——分組密碼。分組密碼算法的一個(gè)重要特點(diǎn)就是：當(dāng)給定一個(gè)密鑰后，若明文分組相同，那么所變換出密文分組也相同。分組密碼的一個(gè)重要優(yōu)點(diǎn)是不需要同步

1、對(duì)稱密鑰密碼系統(tǒng)分組密碼數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密標(biāo)準(zhǔn)DES屬于常規(guī)密鑰密碼體制，是一種分組密碼。在加密前，先對(duì)整個(gè)明文進(jìn)行分組。每一個(gè)組長(zhǎng)為64bit。然后對(duì)每一個(gè)64bit二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組64bit密文數(shù)據(jù)。最后將各組密文串接起來(lái)，即得出整個(gè)的密文。使用的密鑰為64bit（實(shí)際密鑰長(zhǎng)度為56bit，有8bit用于奇偶校驗(yàn))。1、對(duì)稱密鑰密碼系統(tǒng)數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密標(biāo)準(zhǔn)DES1、對(duì)稱密鑰密碼系統(tǒng)

DES加密算法的實(shí)現(xiàn)過(guò)程數(shù)據(jù)加密技術(shù)DES

的保密性僅取決于對(duì)密鑰的保密，而算法是公開(kāi)的。至今仍未能找到比窮舉搜索密鑰更有效的方法。DES是世界第一個(gè)公認(rèn)的實(shí)用密碼算法標(biāo)準(zhǔn)。目前較為嚴(yán)重的問(wèn)題是DES的密鑰的長(zhǎng)度。已經(jīng)設(shè)計(jì)出來(lái)搜索DES密鑰的專用芯片。

1、對(duì)稱密鑰密碼系統(tǒng)

DES的保密性數(shù)據(jù)加密技術(shù)公開(kāi)密鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制。公開(kāi)密鑰密碼體制的產(chǎn)生主要是因?yàn)閮蓚€(gè)方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問(wèn)題，另一是由于對(duì)數(shù)字簽名的需求?，F(xiàn)有三種公開(kāi)密鑰密碼體制，其中最著名的是RSA體制，它基于數(shù)論中大數(shù)分解問(wèn)題的體制2、非對(duì)稱密鑰密碼系統(tǒng)公開(kāi)密鑰密碼體制的特點(diǎn)數(shù)據(jù)加密技術(shù)在公開(kāi)密鑰密碼體制中，加密密鑰(即公開(kāi)密鑰)PK是公開(kāi)信息，而解密密鑰(即秘密密鑰)SK是需要保密的。加密算法

E和解密算法

D也是公開(kāi)的。雖然秘密密鑰SK是由公開(kāi)密鑰PK決定的，但卻不能根據(jù)PK計(jì)算出SK。2、非對(duì)稱密鑰密碼系統(tǒng)加密密鑰與解密密鑰數(shù)據(jù)加密技術(shù)任何加密方法的安全性取決于密鑰的長(zhǎng)度，以及攻破密文所需的計(jì)算量。公開(kāi)密鑰密碼體制并不具有比傳統(tǒng)加密體制更加優(yōu)越之處。由于目前公開(kāi)密鑰加密算法的開(kāi)銷較大，在可見(jiàn)的將來(lái)還看不出來(lái)要放棄傳統(tǒng)的加密方法。公開(kāi)密鑰還需要密鑰分配協(xié)議，具體的分配過(guò)程并不比采用傳統(tǒng)加密方法時(shí)更為簡(jiǎn)單。2、非對(duì)稱密鑰密碼系統(tǒng)公開(kāi)密鑰密碼體制與傳統(tǒng)加密體制數(shù)據(jù)加密技術(shù)(1)發(fā)送者用加密密鑰PK對(duì)明文X加密后，在接收者用解密密鑰SK解密，即可恢復(fù)出明文，或?qū)憺椋篋SK(EPK(X))X解密密鑰是接收者專用的秘密密鑰，對(duì)其他人都保密。此外，加密和解密的運(yùn)算可以對(duì)調(diào)，即EPK(DSK(X))X2、非對(duì)稱密鑰密碼系統(tǒng)公開(kāi)密鑰算法的特點(diǎn)數(shù)據(jù)加密技術(shù)(2)加密密鑰是公開(kāi)的，但不能用它來(lái)解密，即DPK(EPK(X))X(3)在計(jì)算機(jī)上可容易地產(chǎn)生成對(duì)的PK和SK。(4)從已知的PK實(shí)際上不可能推導(dǎo)出SK，即從PK到SK是“計(jì)算上不可能的”。(5)加密和解密算法都是公開(kāi)的。2、非對(duì)稱密鑰密碼系統(tǒng)公開(kāi)密鑰算法的特點(diǎn)數(shù)據(jù)加密技術(shù)RSA公開(kāi)密鑰密碼體制所根據(jù)的原理是：根據(jù)數(shù)論，尋求兩個(gè)大素?cái)?shù)比較簡(jiǎn)單，而將它們的乘積分解開(kāi)則極其困難。每個(gè)用戶有兩個(gè)密鑰：加密密鑰PK

{e,n}和解密密鑰SK

{d,n}。2、非對(duì)稱密鑰密碼系統(tǒng)

RSA公開(kāi)密鑰密碼體制數(shù)據(jù)加密技術(shù)用戶把加密密鑰公開(kāi)，使得系統(tǒng)中任何其他用戶都可使用，而對(duì)解密密鑰中的d則保密。N為兩個(gè)大素?cái)?shù)p和q之積（素?cái)?shù)p和q一般為100位以上的十進(jìn)數(shù)），e和d滿足一定的關(guān)系。當(dāng)敵手已知e和n時(shí)并不能求出d。數(shù)據(jù)加密技術(shù)

RSA公開(kāi)密鑰密碼體制2、非對(duì)稱密鑰密碼系統(tǒng)若用整數(shù)X表示明文，用整數(shù)Y表示密文（X和Y均小于n），則加密和解密運(yùn)算為：加密：YXemodn

解密：XYdmodn

數(shù)據(jù)加密技術(shù)

RSA——（1）加密算法2、非對(duì)稱密鑰密碼系統(tǒng)①計(jì)算n。用戶秘密地選擇兩個(gè)大素?cái)?shù)p和q，計(jì)算出n

pq。n稱為RSA算法的模數(shù)。明文必須能夠用小于n的數(shù)來(lái)表示。實(shí)際上n是幾百比特長(zhǎng)的數(shù)。②計(jì)算(n)。用戶再計(jì)算出n的歐拉函數(shù)(n)(p

1)(q

1)

(n)定義為不超過(guò)n并與n互素的數(shù)的個(gè)數(shù)。③選擇e。用戶從[0,(n)1]中選擇一個(gè)與(n)互素的數(shù)e作為公開(kāi)的加密指數(shù)。數(shù)據(jù)加密技術(shù)

RSA——（2）密鑰的產(chǎn)生2、非對(duì)稱密鑰密碼系統(tǒng)④計(jì)算d。用戶計(jì)算出滿足下式的ded

1mod(n)

作為解密指數(shù)。⑤得出所需要的公開(kāi)密鑰和秘密密鑰：公開(kāi)密鑰（即加密密鑰）PK

{e,n}秘密密鑰（即解密密鑰）SK

{d,n}數(shù)據(jù)加密技術(shù)

RSA——（2）密鑰的產(chǎn)生2、非對(duì)稱密鑰密碼系統(tǒng)設(shè)選擇了兩個(gè)素?cái)?shù)，p

7,q

11。計(jì)算出n

pq

71177。計(jì)算出(n)(p

1)(q

1)60。從[0,59]中選擇一個(gè)與60互素的數(shù)e。選e

53。然后根據(jù):53d

1mod60解出d。不難得出，d

17,因?yàn)閑d

5317901156011mod60。于是，公開(kāi)密鑰PK(e,n){53,77},秘密密鑰SK{17,77}。數(shù)據(jù)加密技術(shù)

RSA——正確性的例子說(shuō)明

2、非對(duì)稱密鑰密碼系統(tǒng)對(duì)明文進(jìn)行加密。先把明文劃分為分組，使每個(gè)明文分組的二進(jìn)制值不超過(guò)n,即不超過(guò)77。設(shè)明文X8。用公開(kāi)密鑰加密時(shí)，先計(jì)算Xe(mod77)853(mod77)50。這就是對(duì)應(yīng)于明文8的密文Y的值。在用秘密密鑰SK{17,77}進(jìn)行解密時(shí)，先計(jì)算Yd(mod77)5017(mod77)8。此余數(shù)即解密后應(yīng)得出的明文X。數(shù)據(jù)加密技術(shù)

RSA——正確性的例子說(shuō)明

2、非對(duì)稱密鑰密碼系統(tǒng)內(nèi)容綱要

網(wǎng)絡(luò)安全概述數(shù)據(jù)加密技術(shù)

用戶身份認(rèn)證訪問(wèn)控制虛擬專用網(wǎng)高層安全用戶身份認(rèn)證身份認(rèn)證(Authentication)是建立安全通信的前提條件。用戶身份認(rèn)證是通信參與方在進(jìn)行數(shù)據(jù)交換前的身份鑒定過(guò)程，以確定通信的參與方有無(wú)合法的身份。身份認(rèn)證協(xié)議是一種特殊的通信協(xié)議，它定義了參與認(rèn)證服務(wù)的通信方在身份認(rèn)證的過(guò)程中需要交換的所有消息的格式、語(yǔ)義和產(chǎn)生的次序，常采用加密機(jī)制來(lái)保證消息的完整性、保密性。用戶身份認(rèn)證假設(shè)在A和B之間有一個(gè)共享的秘密密鑰KAB，當(dāng)A要求與B進(jìn)行通信時(shí)，可采用如下方法：1、基于共享秘密密鑰的用戶認(rèn)證協(xié)議用戶身份認(rèn)證(1)A向B發(fā)送自己的身份標(biāo)識(shí)。(2)B收到A的身份標(biāo)識(shí)后，為了證實(shí)確實(shí)是A發(fā)出的，于是選擇一個(gè)隨機(jī)的大數(shù)RB用明文發(fā)給A。(3)A收到RB后用共享的秘密密鑰KAB對(duì)RB進(jìn)行加密，然后將密文發(fā)回給B；B收到密文后就能確信對(duì)方是A，因?yàn)槌艘酝鉄o(wú)人知道密鑰KAB。(4)此時(shí)A尚無(wú)法確定對(duì)方是否為B，所以A也選擇一個(gè)隨機(jī)大數(shù)RA，用明文發(fā)給B。(5)B收到后用KAB對(duì)RA進(jìn)行加密，然后將密文發(fā)回給A，A收到密文后也確信對(duì)方就是B；至此用戶認(rèn)證完畢。1、基于共享秘密密鑰的用戶認(rèn)證協(xié)議用戶身份認(rèn)證上述認(rèn)證過(guò)程如圖所示：1、基于共享秘密密鑰的用戶認(rèn)證協(xié)議用戶身份認(rèn)證基于公開(kāi)密鑰算法的用戶認(rèn)證的典型過(guò)程如下圖所示：2、基于公開(kāi)密鑰算法的用戶認(rèn)證協(xié)議用戶身份認(rèn)證A選擇一個(gè)隨機(jī)數(shù)RA，用B的公開(kāi)密鑰EB對(duì)A的標(biāo)識(shí)符和RA進(jìn)行加密，將密文發(fā)給B。為了確定密文確實(shí)來(lái)自A，B解開(kāi)密文后選擇一個(gè)隨機(jī)數(shù)RB和一個(gè)會(huì)話密鑰KS，用A的公開(kāi)密鑰EA對(duì)RA、RB和KS進(jìn)行加密，將密文發(fā)回給A。A解開(kāi)密文，只要其中的RA是本方剛才發(fā)給B的，則該密文一定發(fā)自B，且這是一個(gè)最新的報(bào)文而不是一個(gè)復(fù)制品。此后A再用KS對(duì)RB進(jìn)行加密表示確認(rèn)；B解開(kāi)密文即可確定這一定是A發(fā)來(lái)的（因?yàn)槠渌藷o(wú)法知道KS和RB）。2、基于公開(kāi)密鑰算法的用戶認(rèn)證協(xié)議用戶身份認(rèn)證基于密鑰分發(fā)中心(KDC，KeyDistributionCenter)用戶認(rèn)證的必要條件是KDC的權(quán)威性和安全性要有保障，并為網(wǎng)絡(luò)用戶所信任。每個(gè)用戶和KDC之間都有一個(gè)共享的秘密密鑰，系統(tǒng)中所有的用戶認(rèn)證工作、針對(duì)各用戶的秘密密鑰和會(huì)話密鑰的管理都必須通過(guò)KDC來(lái)進(jìn)行。3、基于密鑰分發(fā)中心的用戶認(rèn)證協(xié)議用戶身份認(rèn)證基于密鑰分發(fā)中心的用戶認(rèn)證過(guò)程如下圖所示：3、基于密鑰分發(fā)中心的用戶認(rèn)證協(xié)議用戶身份認(rèn)證A用戶要求與B用戶進(jìn)行通信，A可選擇一個(gè)會(huì)話密鑰KS，然后用與KDC共享的密鑰KA對(duì)B的標(biāo)識(shí)和KS進(jìn)行加密，并將密文和A的標(biāo)識(shí)一起發(fā)給KDC；KDC收到后，用與A共享的密鑰KA將密文解開(kāi)，此時(shí)KDC可以確信數(shù)據(jù)是A發(fā)來(lái)的。KDC重新構(gòu)造一個(gè)報(bào)文，放入A的標(biāo)識(shí)和會(huì)話密鑰KS，并用與B共享的密鑰KB加密報(bào)文，將密文發(fā)給B；B用密鑰KB將密文解開(kāi)，此時(shí)B可以確信這是KDC發(fā)來(lái)的，并且獲知了A希望用KS與它進(jìn)行會(huì)話。3、基于密鑰分發(fā)中心的用戶認(rèn)證協(xié)議用戶身份認(rèn)證數(shù)字簽名是通信雙方在網(wǎng)上交換信息時(shí)采用公開(kāi)密鑰法對(duì)所收發(fā)的信息進(jìn)行確認(rèn)，以此來(lái)防止偽造和欺騙的一種身份認(rèn)證方法。數(shù)字簽名系統(tǒng)的基本功能有：接收方通過(guò)文件中附加的發(fā)送方的簽名信息能認(rèn)證發(fā)送方的身份；發(fā)送方無(wú)法否認(rèn)曾經(jīng)發(fā)送過(guò)的簽名文件：接收方不可能偽造接收到的文件的內(nèi)容。4、數(shù)字簽名用戶身份認(rèn)證使用公開(kāi)密鑰算法的數(shù)字簽名，其加密算法和解密算法除了要滿足D[E(P)]=P外，還必須滿足E[D(P)]=P，即加密過(guò)程和解密過(guò)程是可逆的。RSA算法就具有這樣的特性。使用公開(kāi)密鑰算法的數(shù)字簽名的過(guò)程如下頁(yè)圖所示：4、數(shù)字簽名用戶身份認(rèn)證基于公開(kāi)密鑰算法的數(shù)字簽名過(guò)程4、數(shù)字簽名用戶身份認(rèn)證當(dāng)A要向B發(fā)送簽名的報(bào)文P時(shí)，由于A知道自己的私鑰DA和B的公鑰EB，它先用私鑰DA對(duì)明文P進(jìn)行簽字，即DSKA(P)，然后用B的公鑰EB對(duì)DSKA(P)加密，向B發(fā)送EPKB[DSKA(P)]。B收到A發(fā)送的密文后，先用私鑰DSKB解開(kāi)密文，將DSKA(P)復(fù)制一份放在安全的場(chǎng)所，然后用A的公鑰EPKA將DSKA(P)解開(kāi)，取出明文P。4、數(shù)字簽名用戶身份認(rèn)證上述算法符合數(shù)字簽名系統(tǒng)的基本功能要求：A不可否認(rèn)當(dāng)A發(fā)送過(guò)簽名的報(bào)文后試圖否認(rèn)給B發(fā)過(guò)P時(shí)，B可以出示DSKA(P)作為證據(jù)。因?yàn)锽沒(méi)有A的私鑰DSKA，除非A確實(shí)發(fā)過(guò)DSKA(P)，否則B是不會(huì)有這樣一份密文的。通過(guò)第三方(公證機(jī)構(gòu))，只要用A的公鑰：EPKA解開(kāi)DSKA(P)，就可以判斷A是否發(fā)送過(guò)簽名文件，證實(shí)B說(shuō)的是否是真話。4、數(shù)字簽名用戶身份認(rèn)證上述算法符合數(shù)字簽名系統(tǒng)的基本功能要求：B不可偽造如B將P偽造為P’，則B不可能在第三方的面前出示DSKA(P’)，這證明了B偽造了P。4、數(shù)字簽名用戶身份認(rèn)證5、報(bào)文摘要使用一個(gè)單向的哈希(Hash)函數(shù)，對(duì)任意長(zhǎng)度的明文進(jìn)行計(jì)算，生成一個(gè)固定長(zhǎng)度的比特串，然后僅對(duì)該比特串進(jìn)行加密。這樣的處理方法通常稱為報(bào)文摘要(MD，MessageDigests)，常用的算法有MD5和SHA(SourceHashAlgorithm)。用戶身份認(rèn)證5、報(bào)文摘要報(bào)文摘要必須滿足以下三個(gè)條件：給定明文P，很容易計(jì)算出MD(P)。給出MD(P)，很難反推出明文P。任何人不可能產(chǎn)生出具有相同報(bào)文摘要的兩個(gè)不同的報(bào)文。用戶身份認(rèn)證5、報(bào)文摘要在公開(kāi)密鑰密碼系統(tǒng)中，使用報(bào)文摘要進(jìn)行數(shù)字簽名的過(guò)程是：A首先對(duì)明文P計(jì)算出MD(P)，再用私鑰SKA對(duì)MD(P)進(jìn)行數(shù)字簽名，連同P一起發(fā)送給B。B先備份密文DSKA[MD(P)]，然后用A的公鑰PKA解開(kāi)密文，取出MD(P)。B對(duì)收到的報(bào)文P進(jìn)行摘要計(jì)算，若結(jié)果和A送來(lái)的MD(P)相同，則P可信，否則說(shuō)明P在傳輸過(guò)程中被篡改過(guò)。當(dāng)A試圖否認(rèn)發(fā)送過(guò)P時(shí)，B可向仲裁方出示P和DA[MD(P)]來(lái)證明自己確實(shí)收到過(guò)P。內(nèi)容綱要

網(wǎng)絡(luò)安全概述數(shù)據(jù)加密技術(shù)用戶身份認(rèn)證

訪問(wèn)控制虛擬專用網(wǎng)高層安全訪問(wèn)控制1、訪問(wèn)控制基本原理在計(jì)算機(jī)系統(tǒng)中設(shè)立安全機(jī)制的最初目的就是為了控制用戶對(duì)系統(tǒng)資源的訪問(wèn)，稱為授權(quán)(Authorization)。訪問(wèn)控制有兩種不同類型：自主訪問(wèn)控制(DAC，DiscretionaryAccessControl)強(qiáng)制訪問(wèn)控制(MAC，MandatoryAccessControl)。訪問(wèn)控制1、訪問(wèn)控制基本原理訪問(wèn)控制的具體實(shí)現(xiàn)方法訪問(wèn)控制表訪問(wèn)控制表(ACL，AccessControlList)是一種傳統(tǒng)的授權(quán)控制機(jī)制，用稀疏矩陣表示，以客體為索引。每個(gè)客體對(duì)應(yīng)有個(gè)ACL，指出每個(gè)主體可對(duì)其實(shí)施的操作。這種方法便于客體的訪問(wèn)控制，但不利于主體訪問(wèn)權(quán)限的維護(hù)，因?yàn)槿粢{(diào)整一個(gè)主體的訪問(wèn)權(quán)限，必須要各個(gè)ACL中去搜索。訪問(wèn)控制1、訪問(wèn)控制基本原理訪問(wèn)控制的具體實(shí)現(xiàn)方法權(quán)力表權(quán)力表也是一種稀疏矩陣表示法，但是以主體為索引，包含了每個(gè)主體可訪問(wèn)的對(duì)象和操作權(quán)限，按列來(lái)處理矩陣，由引用監(jiān)控器驗(yàn)證訪問(wèn)表提供的權(quán)力表和訪問(wèn)者的身份來(lái)確定是否授予訪問(wèn)者相應(yīng)的操作權(quán)限。這種方法的優(yōu)缺點(diǎn)正好和ACL相反，在分布式系統(tǒng)中，可允許主體只進(jìn)行一次授權(quán)就可獲得它的權(quán)力表，而不必在會(huì)話期間不斷地對(duì)各個(gè)分布的系統(tǒng)進(jìn)行授權(quán)申請(qǐng)和處理。防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，用來(lái)在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。1、防火墻(firewall)防火墻防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”(trustednetwork)，而將外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡(luò)”(untrustednetwork)。防火墻可用來(lái)解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問(wèn)題。1、防火墻(firewall)防火墻1、防火墻(firewall)防火墻防火墻在互連網(wǎng)絡(luò)中的位置G內(nèi)聯(lián)網(wǎng)可信賴的網(wǎng)絡(luò)不可信賴的網(wǎng)絡(luò)分組過(guò)濾路由器

R分組過(guò)濾路由器

R應(yīng)用網(wǎng)關(guān)外局域網(wǎng)內(nèi)局域網(wǎng)防火墻因特網(wǎng)內(nèi)部網(wǎng)防火墻的功能有兩個(gè)：阻止和允許?！白柚埂本褪亲柚鼓撤N類型的通信量通過(guò)防火墻(從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過(guò)來(lái))“允許”的功能與“阻止”恰好相反。防火墻必須能夠識(shí)別通信量的各種類型。不過(guò)在大多數(shù)情況下防火墻的主要功能是“阻止”。1、防火墻(firewall)防火墻防火墻的功能IP級(jí)防火墻——多基于報(bào)文過(guò)濾(PacketFilter)技術(shù)實(shí)現(xiàn)。屬于這類的有分組過(guò)濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。1、防火墻(firewall)防火墻防火墻技術(shù)一般分為三類

應(yīng)用級(jí)防火墻——從應(yīng)用程序來(lái)進(jìn)行接入控制。通常又稱為代理(Proxy)防火墻，是通過(guò)分別連接內(nèi)外部網(wǎng)絡(luò)的代理主機(jī)實(shí)現(xiàn)防火墻的功能1、防火墻(firewall)防火墻防火墻技術(shù)一般分為三類

鏈路級(jí)防火墻——工作原理和組成結(jié)構(gòu)和應(yīng)用級(jí)防火墻類似，但它并不針對(duì)專門的應(yīng)用協(xié)議，而是一種通用的TCP(或UDP)的連接中繼服務(wù)，并在此基礎(chǔ)上實(shí)現(xiàn)防火墻的功能。1、防火墻(firewall)防火墻防火墻技術(shù)一般分為三類

內(nèi)容綱要

網(wǎng)絡(luò)安全概述數(shù)據(jù)加密技術(shù)用戶身份認(rèn)證

訪問(wèn)控制

虛擬專用網(wǎng)高層安全虛擬專用網(wǎng)什么是虛擬專用網(wǎng)虛擬專用網(wǎng)(VPN，VirtualPrivacyNetwork)是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(尤其是Internet)連接而成的邏輯上的虛擬子網(wǎng)。簡(jiǎn)言之，它是一種建立在開(kāi)放性網(wǎng)絡(luò)平臺(tái)上的專有網(wǎng)絡(luò)。VPN的定義允許一個(gè)給定的站點(diǎn)是一個(gè)或者多個(gè)VPN的一部分，即VPN可以是交疊的。為了保障信息的安全，VPN技術(shù)采用了鑒別、訪問(wèn)控制、保密性和完整性等措施，以防信息被泄露、篡改和復(fù)制。虛擬專用網(wǎng)什么是虛擬專用網(wǎng)VPN分為直接模式和隧道模式。直接模式VPN使用IP和編址來(lái)建立對(duì)VPN上傳輸?shù)臄?shù)據(jù)的直接控制，對(duì)數(shù)據(jù)加密；采用基于用戶身份的鑒別，而不是基于IP地址的。隧道模式使用IP幀作為隧道發(fā)送分組。大多數(shù)VPN都運(yùn)行在IP骨干網(wǎng)上，數(shù)據(jù)加密通常有三種方法：使用具有加密功能的防火墻、使用帶有加密功能的路由器和使用單獨(dú)的加密設(shè)備。虛擬專用網(wǎng)什么是虛擬專用網(wǎng)目前，在七層OSI參考模型層次結(jié)構(gòu)的基礎(chǔ)上，主要有下列幾種隧道協(xié)議用于構(gòu)建VPN：點(diǎn)到點(diǎn)隧道協(xié)議(PPTP，Point-to-PointTunnelingProtocol)；第二層隧道協(xié)議(L2TP，Layer2TunnelProtocol)；IP安全協(xié)議(IPSec，IPSecurityProtocol)。虛擬專用網(wǎng)1、點(diǎn)到點(diǎn)隧道協(xié)議點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)在第二層上可以支持封裝IP協(xié)議及非IP協(xié)議(如IPX、AppleTalk等)。PPTP的工作原理是：網(wǎng)絡(luò)協(xié)議將待發(fā)送的數(shù)據(jù)加上協(xié)議特定的控制信息組成數(shù)據(jù)報(bào)(DataPacket)進(jìn)行交換。PPTP的工作對(duì)于用戶來(lái)說(shuō)是透明的，用戶關(guān)心的只是需要傳送的數(shù)據(jù)。虛擬專用網(wǎng)1、點(diǎn)到點(diǎn)隧道協(xié)議PPTP的工作方式是在TCP/IP數(shù)據(jù)報(bào)中封裝原始分組，例如包括控制信息在內(nèi)的整個(gè)IPX分組都將成為TCP/IP數(shù)據(jù)報(bào)中的“數(shù)據(jù)”區(qū)，然后通過(guò)因特網(wǎng)進(jìn)行傳輸；另一端的軟件分析收到的數(shù)據(jù)報(bào)，去除增加的PPTP控制信息，將其還原成IPX分組并發(fā)送給IPX協(xié)議進(jìn)行常規(guī)處理。這一處理過(guò)程稱為隧道(Tunneling)。虛擬專用網(wǎng)1、點(diǎn)到點(diǎn)隧道協(xié)議使用PPTP對(duì)于原有的網(wǎng)絡(luò)安全性并沒(méi)有大的影響，因?yàn)樵蠰AN的廣泛的例行安全檢查可以照樣進(jìn)行?？蛻舳讼到y(tǒng)除了最底層通信接口模塊外，通常不需要其他特殊軟、硬件，可以提供平臺(tái)獨(dú)立性。另外，PPTP還可以通過(guò)對(duì)原始分組的壓縮、數(shù)據(jù)加密等手段來(lái)保證網(wǎng)絡(luò)通信的安全性。虛擬專用網(wǎng)2、第二層隧道協(xié)議第二層隧道協(xié)議(L2TP)工作原理虛擬專用網(wǎng)2、第二層隧道協(xié)議第二層隧道協(xié)議(L2TP)工作過(guò)程客戶端(SOHO或移動(dòng)用戶)撥號(hào)到本地因特網(wǎng)服務(wù)運(yùn)行商(ISP)的L2TP接入集中器的局端(POP，PointofPresence)，通過(guò)IP網(wǎng)的L2TP隧道連到L2TP網(wǎng)絡(luò)服務(wù)器、遠(yuǎn)程鑒別用戶撥入服務(wù)(RADIUS，RemoteAuthenticationDialInUserService)服務(wù)器上。RADIUS是一個(gè)維護(hù)用戶配置文件的數(shù)據(jù)庫(kù)，用來(lái)鑒定用戶，包括口令和訪問(wèn)優(yōu)先權(quán)。代理RADIUS功能允許在Internet服務(wù)提供者(ISP)的接入點(diǎn)(POP)設(shè)備上接入客戶的RADIUS服務(wù)器，獲得必要的用戶配置文件信息。虛擬專用網(wǎng)3、IP安全協(xié)議什么是IP安全協(xié)議(IPSec)Internet工程任務(wù)組標(biāo)準(zhǔn)化的IP安全協(xié)議(IPSec，IPsecurityProtocol)是簡(jiǎn)化的端到端安全協(xié)議所具有的特定的安全機(jī)制。它在第三層執(zhí)行對(duì)稱或非對(duì)稱加密，Layer3VPN在IP中封裝了IP(IPoverIP)，并提供鑒別和檢錯(cuò)?？稍贗PSec網(wǎng)絡(luò)服務(wù)器上建立IPSec隧道，其工作原理如圖所示：虛擬專用網(wǎng)3、IP安全協(xié)議IP安全協(xié)議的工作原理虛擬專用網(wǎng)3、IP安全協(xié)議IP安全協(xié)議(IPSec)使用兩種機(jī)制保證通信安全頭部鑒別(AH，AuthenticationHeader)：提供認(rèn)證和數(shù)據(jù)完整性；封裝安全凈負(fù)荷(ESP，EncapsulationSecurityPayload)：實(shí)現(xiàn)保密通信。虛擬專用網(wǎng)3、IP安全協(xié)議IPSec是一種對(duì)IP數(shù)據(jù)包進(jìn)行加密和鑒別的技術(shù)，因此必須有密鑰的管理和交換功能。在用IPSec建立安全傳輸通路前，通信雙方需要事先協(xié)商所要采用的安全策略，包括加密算法、密鑰、密鑰生存期等。協(xié)商完畢才表示雙方已建立了一個(gè)安全關(guān)聯(lián)(SA，SecurityAssociation)，已確定了IPSec要執(zhí)行的處理。虛擬專用網(wǎng)3、IP安全協(xié)議IPSec協(xié)議分三個(gè)部分：封裝安全凈負(fù)荷(ESP，EncapstllationSecurityPayload)鑒別報(bào)頭(AH，AuthenticationHeader)Internet密鑰交換(IKE，InternetKeyExchange)虛擬專用網(wǎng)3、IP安全協(xié)議ESP協(xié)議主要用來(lái)處理對(duì)IP數(shù)據(jù)包的加密，并對(duì)鑒別提供某種程度的支持。AH只涉及鑒別，不涉及加密，它除了對(duì)IP的有效負(fù)載進(jìn)行鑒別外，還可對(duì)IP報(bào)頭實(shí)施鑒別。IKE協(xié)議主要是對(duì)密鑰交換進(jìn)行管理。IPSec的封裝安全凈載荷(ESP)允許選擇數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)或三重DES(3DES)作為密鑰交換時(shí)的加密方法，這兩種標(biāo)準(zhǔn)都提供了嚴(yán)格的保密性及強(qiáng)大的驗(yàn)證功能。虛擬專用網(wǎng)3、IP安全協(xié)議IP安全性的優(yōu)點(diǎn)是它的透明性，即安全服務(wù)不需要對(duì)應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)。標(biāo)準(zhǔn)的IPSECVPN的智能包認(rèn)證技術(shù)能保護(hù)隧道免受許多電子欺騙的攻擊，還具備各廠商產(chǎn)品互操作的能力。IPSec的主要缺點(diǎn)是僅支持IP，IP層對(duì)屬于不同進(jìn)程的包不作區(qū)別。IP層非常適合提供基于主機(jī)的安全服務(wù)，相應(yīng)的安全協(xié)議可用來(lái)建立安全的IP通道和虛擬專用網(wǎng)。高層安全由于IP網(wǎng)的“盡力而為”理念，TCP/IP協(xié)議非常簡(jiǎn)潔，沒(méi)有加密、身份認(rèn)證等安全特性，因此需要在TCP之上建立一個(gè)安全通信層次以便向上層應(yīng)用提供安全通信的機(jī)制。高層安全1、傳輸層安全傳輸層網(wǎng)關(guān)在兩個(gè)通信節(jié)點(diǎn)之間代為傳遞TCP連接并進(jìn)行控制，這個(gè)層次一般稱作傳輸層安全。常見(jiàn)的傳輸層安全技術(shù)有：安全套接層(SSL)協(xié)議SOCKS安全RPC等。高層安全1、傳輸層安全SSL結(jié)構(gòu)分為兩個(gè)層次：SSL協(xié)商子層(上層)和SSL記錄子層(下層)，如圖所示：高層安全1