当前课程知识点:网络安全概述 > 第四章 网络安全协议 > 第三节 网络层安全:IPSec > Video
好下面我们接着来讲
网络安全中的重要协议
这个时候的我们现在来到这个网络层啊
网络层是很重要的
大家都知道这个internet protocol
这个IP层
IP层 我们要做的这个安全协议的介绍呢
叫IPSec
OK 就是IP internet protocol security protocol
IPSec protocol
那这个网络层呢
也需要提供一定的机密性的
那网络层的机密性指的是什么呢
指的是基本上是对两个网络层的设备
比如说是两个路由器而言的
那这个两个路由器它们之间交换信息
这个路由列表
这个routine table
它本身其实呢 也是需要被保密的
这个是很重要的
那基本上呢就是说
对两个网络设备而言
发出方对网络层的数据报
这个网络层的datagram加密
这些被加密的内容
可能是TCP
或者是UDP的协议包
或者呢 是ICMP这个协议的信息
或者是OSPF这样协议的信息
OSPF是routine protocol
这个我们之前也小小的复习了一下
那所有从同一个网络设备
发到另外一个网络设备的数据呢
必须被保护起来
不让攻击者呢
有机可乘 这个随意获取
这个是网络层的机密性的一个大概的概念
那要做的方法实际上就是说
我会把网络层
这个数据包给它包起来
就像用一层毯子一样裹起来
然后用这个毯子裹起来的
新生成的这样一个数据包呢
再进行网络层协议的修改
这个是大概的一个概念
那我们之后呢
会这个有具体的解释
到底这个IPSec它是怎么样做的
在具体讲解这个IPSec是怎么回事之前
我们来先看一个这个application
一个应用啊
这个应用大家应该都还是比较熟悉的
就是这个VPN的应用
Virtual Private Network VPN
VPN 就算大家没有用过应该也听过
为什么我们需要VPN呢
因为现在的这个用户呢都是很分散的
分散在各个地方
比如说一个学校在北京的学生
他呢 有可能跑去了上海
对吧 去上海去玩也好
或者是去做学术交流
但是呢 他又希望
能够登陆回北京的这个校园网
这个过程那我们要怎么样
能够保证这个学生和这个校园网络之间的这个通信
实际上是被保护起来了
我们可以用VPN这样的方法
那学校的环境比较简单
这样子的应用呢 应该是说
对这个商务的行为啊
更加有用
比如说一个公司他派出的这个销售员
这销售员可能想要在外地出差的时候
连接公司的内网来获取一些信息
这个时候呢 他的这个连接
如果是直接通过这个大的
这个公共的因特网的话
有可能有各种各样的安全的顾虑和隐患
那如果我们要给他建立一个
VPN的这样一个特殊通道就会好很多
这个呢就是
主要的这个VPN它的这个基本的想法啦
那VPN的概念基本上就是说
一个单位 办公室之间的网络信息流通
是通过已有的因特网进行传输
但它实际上是连接的是
他自己的办公室之间的信息
所谓自己的呢是指
他比如说这个公司在北京的部门
和在天津的部门
但都是他们自己的这个公司之间的这个办公室
对吧 那这些散落在
各个地方的办公室之间的通讯
它实际上是通过这个大的公有的
这个因特网进行传输的
可是呢用这个因特网的
已用的框架的基础上
我们可以建立特殊的通讯渠道
这些特殊的通讯渠道的建立就是VPN
这个呢基本上就是说
实际上VPN它的概念是一个逻辑上的概念
是一个逻辑的这个连接
比如说我们可以看到这个蓝色的一个云
就相当于是public internet
就是这个因特网
在这个这个图的左下角呢
有这个公司总部办公室
然后中间偏右往下的部分呢是地方办公室
然后右上角呢是这个出差在外的销售员
那这个总部的办公室
地方办公室和销售员之间
这三方 他们呢希望能够互换
跟公司自己内部信息有关的一些消息
那这个时候呢
这样的信息最好
它能够像是在逻辑上
被处理成公司内网性质的这样一个概念
那我们怎么实现呢
我们用VPN就可以实现
这个VPN呢
基本上它这样一个操作过程啦
我们可以看得到
在这个公司总部办公室
这个左下角的这几台机器上啊
这个服务器还有几台电脑
他们跟公司的出来的
这个第一站的这个路由器
first top router之间
他们之间的通讯在网络层
Net client上面的
协议的数据包的格式
是IP packet
是说我有一个data payload
有一个数据段
再加一个IP header 就够了
这是普通的IP协议的这个数据包
这个formate这个格式
但是呢 从公司的第一步的
first top router
就是第一步的这个路由器
连接到外网的时候这个过程
它实际上有所改变
从表面上看 它还是一个IP包
还是个IP packet
因为它还是在最最前面
有一个IP header
这个时候你可以看得到
它的data payload已经有所变化了
因为它的这个IP包的这个data payload的
不再是原来的那个纯的那个数据的那一段
而是有一个这个IPSec的一段信息在里面
当这个数据包传到地方办公室的时候
地方办公室和地方办公室相连的那个
第一站的路由器之间的这个关系也是类似的
就是说地方办公室机器和第一站路由器之间
还是普通的这个IP的packet
IP vertion4的这样的packet
但是他们发出去了呢
表面上看好像还是IP的packet
但实际上它的data payload已经有所变化
其中已经包含了IPSec的信息在里面
有一个夹在中间的那一层是 IPSec header
这个IPSec header两边的这个左边和右边的
这个就是非常重要
我们根据这个IPSec的header
就可以建立一个逻辑上的这样一个隧道
把这个两个router
这两个路由器之间建一个逻辑上隧道
这个逻辑上隧道实际上它是一个安全隧道
就可以让两边的办公室
通过这个安全的逻辑隧道
来安全的去交换信息
这个是IPSec需要达到的目的
同样的一个概念
出差在外的销售员
也可以通过同样的这样一个途径
来用IPSec在他自己机器上用IPSec
要求呢是说你在你自己机器上
一定要装好这个VPN的这个client
就是这个用户端的应用程序
在你自己机器上你才能使用VPN
但是无论如何呢
这个在外出差的销售人员
他的机器上可以装上VPN的相关的应用程序
而VPN 它的操作实际上是基于
这个IPSec protocol来进行操作的
OK 这个是一个在我们讲IPSec之前
我们就基本上就要先看一下
它能够用到什么样的地方
那一个非常重要的一个
很普遍的应用就是VPN
VPN这个应用其实是
完全可以用IPSec来实现的
那我们再回来具体讲这个IPSec
是一个怎么样的一个协议啊
那IPSec这个协议呢
它提供的服务基本上我们都看到过了
就是类似这些服务的要求
我们在其他的Security Protocol里面
也都看到过很多次了
那我们希望IPSec能够提供
数据的完整性的这样一个服务
就是说data integrity
我们希望IPSec能够
对这个发出方进行认证
就是origin authentication
我们还希望IPSec可以防范这个录播攻击
就是prevent reply attack
同时呢我们还希望IPSec
能够保证信息的隐秘性
就是这个message confidentiality
这些东西我们都已经其实看到过很多遍
到这个时候其实同学们应该也有一个感觉
就是我们学到了这个计算机这个网络安全
各种各样的这个协议啊
还有包括网络安全它各种各样知识点
网络安全要的是什么
要的东西 要这些服务其实都在这里了
Integrity checking
Authentication
Confidentiality
然后呢 再加上比如说类似这种play back
这样子的服务啊
这些东西都是我们做Security
需要这个达到的一些目的
作为IPSec而言它其实
是有两种不同的协议可以来选择的
一种协议叫做AH
就是Authentication Header
另外一种协议叫ESP
是Encapsulation Security Protocol
这两种protocol呢
都可以被IPSec的这个终端啊
进行选择来用
两个都可以用
IPSec呢 还有它的这个两种传输模式
这两种传输模式呢
同学们也需要知道一下
一种传输模式呢叫做transfer mode
另外一种传输模式叫做tunneling mode
那这个transfer mode呢
就是叫做终端传输模式
这个是怎么回事呢
我们从这个图上就可以看得到
在这个终端传输模式里
IPSec是一个协议
这个协议如果你不把它
安装在特定的这个网络设备上
它是不可能被运行的
在这个终端传输模式
这样子的这个模式里面
IPSec被安装在哪里呢
我们可以从这个图上看
IPSec它是被装在终端系统上去运行的
OK 这个就叫transfer mode
如果我们看到这个IPSec
它实际上是在用户终端被运行的话
它就叫做transfer mode
另外一种隧道模式呢
就是我们可以把IPSec加到router上
加到路由器上
那这个路由器不是随便的一个路由器
而是这个edge路由器
就是说是第一步的路由器和这个用户的终端
或者说跟服务器的这个server的终端
最紧密相连的那个路由器上
我们可以安装IPSec这个协议
那在一个可以这个懂得IPSec协议的路由器
和另外一个懂得的IPSec协议的路由器之间
我们建立一个tunnel就是一个隧道
那这一种模式我们就叫它
tunneling mode
隧道模式
隧道模式还是讲是指的是在路由器上加IPSec
那我们现在呢基本上就是
有那个两种协议可以做选择
同时呢我们有两种模式可以做选择
这个是在IPSec里面
这两种协议我们再重新看一眼啊
就是Authentication Header
Authentication Header这个协议呢
基本上它的意思是说
可以对信息作出发出方的身份认证
Authentication
以及对数据完整性的检查
就是这个data integrity
但是呢 AH这个 protocol
它不对这个信息做保密性的服务
也就是说它不提供confidentiality
这个是AH
ESP这个Encapsulation Security Protocol
就做得更多一点
它不但提供authentication的service
而且还提供integrity checking
而且还提供这个data的confidentiality
这个是ESP
所以说基于这个两种protocol的选择
和两种transfer mode的选择
就这种模式的选择
IPSec模式的选择
我们就有四种组合
那这个表上
就是基本上列了这个四种组合都是什么
我们可以用transfer mode运行AH
我们也可以用transfer mode运行ESP
或者呢我们用tunnel mode运行AH
或者是用tunnel mode运行ESP
那最普遍的IPSec protocol
它用的呢就是最后一种
就是tunneling mode with ESP
Again tunneling mode意思是指
这个IPSec是装在router上的
那ESP呢是一个更全面一点的protocol
它可以提供Integrity checking
Authentication
和data confidentiality
这个可以说是整个IPSec各种各样的选择中的
最重要的一种也是最普遍的一种
那下面呢我们来看一下这个安全联盟啊
Security association
这个SA
SA基本上就是指在发送数据之前
从发出端到接收端建立一个安全联盟
一个Security association
一个SA
这是从发出端来发起的
这个安全联盟是单行的
它是simplex的这样一种mode不是duplex
duplex是双向的
那simplex是单向的 单行的
也就是说实际上是由一方向另一方提出的
而非双方共同的
那发出方和接收方分别保存和更新
对这个SA
这个security association连接状态的信息
当我们说这个连接状态
同学们应该反应到
就是state information
比如说我们之前学过的这个TCP
就是一个state
就是它记录state information
所以它叫connection oriented service
OK 就是说我们对这个整个这个connection
就是这个连接在这个过程中
发出方和接收方他们都有哪些状态的变化
比如说在TCP里面它有数据接收方
和发出方这个window
就是窗口大小呀
序列号都到哪儿了呀
这些都是它的状态信息
这些状态信息如果被记录的话
那么它就是叫做
这个state information被记录了
如果一个protocol 一个协议
它记录state information
那我们就说这样的protocol就叫作
Connection oriented protocol
反之如果什么状态信息都不记的话
那就是connectionless protocol
而从我们这个现在学到的这些信息而言呢
我们可以看得到
IPSec它实际上是一个connection oriented protocol
而IP本身
Internet protocol本身
它是一个connectionless的protocol
OK 这一点是很有意思
那我们这个IPSec
通过什么来记录状态信息呢
就是这个安全联盟
这个security association
由这个发出方向接收方申请并且建立的SA
由这些SA来对这个connection的状态信息进行记录
那我们现在就可以稍微想一下
在总部办公室和地方办公室
还有这个n个出差人员之间
如果都是需要建立VPN的话
那我们对每一个VPN
都要建立这个SA
我们需要多少个
大家可以去想一下
OK那下面这一页呢
我们看一下一个例子啊就是
路由器R1向R2建立一个SA
R1和R2这两个路由器
它们都是第一步路由器
它实际上是在网络的边缘的
如果要建立SA的话
R1这个router 这个路由器
它存储的SA的状态信息
包括下面几项
第一项
是一个32位的SA的identifier
就是说是它的一个id number
这个id number叫做security parameter index
SPI 它有32位长
第二个信息呢 是origin SA的interface
就是我一开始发出这个SA请求的
路由器上那个端口的地址
每个路由器都有很多端口
每一个端口都有它自己的IP地址
这一点一定要清楚
不是说一个路由器是一个IP地址
这是不对的
路由器上如果有十个端口它有十个IP地址
有一百个端口它就有一百个IP地址
是这样子的
在这个状态信息里面
其中有一项就是说
这个origin SA的interface
这个interface呢
指的是相应的那个端口的IP地址
下面一个状态信息呢
就是destination SA的interface
Destination SA呢就是我可以看得到
是在右边的这个R2上面的
SA它要连接那个端口
那个端口它的地址是什么
那在这个例子里面就是193.68.2.23
这个是接收方的这个ip地址
下面一个状态信息就是
Type of encryption used
就是说哪一种encryption的方法被用上了
在这个里面呢
它可能是比如说
3DES with CBC
我们这个 SA里面记录的
下面一个状态信息就是
这个加密的密钥
Encryption key是什么
再下面一项就是什么样的
数据完整性的鉴别方法
要被用在这里
我们可以选择这个MD5呀
或者是HMAC呀
这些都是可能的
然后最最最后一项那就是
Authentication key
这些信息都是每一个SA
它所需要储存并且不断更新的状态信息
那我们在这个一对儿这个设备之间
我们建立这个SA的connection
那SA有刚刚我们讲过的
SA它的这个状态信息都有哪些
在那个前一页里面我们大家都看到了
那这个connection每一个连接
都有这样一个SA的信息的储存
那也就是说
在这个网络终端有这么多个安全联盟
网络终端怎么样去保存
它们所有的安全联盟信息呢
那网络终端基本上就需要建立一个
安全联盟的这样一个数据库
就是叫做security association database
安全联盟数据库
对n个出差销售人员
这个R1它需要在这个SAD
Security association database里面建立
并且保存2+2n个SA才可以
当这个IPSec要传数据报的时候
R1呢就是这个router呢
它就需要查询SAD
就是这个database
从而决定
如何处理这个数据报
我到底用哪一个SA来这个回应
那当IPSec的数据报抵达被传送到R2
destination这边的时候呢
这个R2要对这个数据报中的SPI
就是它的这个index进行检查
从而呢将其在这个SAD中进行检索
并对相应的数据报进行处理
这个就是为什么这个SPI
它是一个很有用的这样一位
这个那基本上就是说
SAD它是怎么样被利用起来的
这个security association database
是一个什么样的概念
下面我们就来看一下
IPSec数据报的格式
那因为刚才我们之前讲了
在这个IPSec这个协议的这个空间里面
我们有两种这个具体的协议
两种具体的这个
Security的protocol可以选择
一种是AH一种是ESP
另外呢我们还有两种模式可以选择
一种是tunneling mode
另外一种是transfer mode
那我们说了我们最后集中在
用tunneling mode去来运行ESP
这个protocol
这样一个组合上
那我们以这个为例
Tunnel mode with ESP
以它为例
来看一下这个IPSec的数据报
它的格式是什么样的
那我们就是在这一页上可以看到
那基本最核心的东西当然是它的数据了
就是这个data
我们可以看到是中间那一段
Original IP datagram payload
这个是最最核心的最原始的
那个ip数据报的数据 数据内容
这个数据内容包括什么
包括它上一层的协议是什么
比如说是TCP啊还是UDP啊
然后这个TCP UDP里面
它还有再上一层的应用层的协议
它的一些信息都有什么
这个是它的最初的那个
IP的data payload
在这个最初的这个IP datagram的payload之后
我们会加一个ESP的trailer
这个ESP的trailer就是根据这个ESP protocol
应它所需要来生成的
这个ESP protocol的这个trailer呢
包括几个field就是几个部分啊
一个部分是它的padding
这个padding位呢
是用来做这个cipher block chaining
就是CBC
因为我们要分段嘛
那每一个数据段它有可能不整
我们需要运行一定的padding
这个padding field在这儿可以用到
然后padding它有多长
和就是下一位这个起始值是什么东西
这三样信息组合在一起
形成ESP的这个trailer information
这个trailer就这个尾巴
会被接到最原始的这个
IP data payload的后面
然后呢在这个原始的
IP data payload之前
是原始的IP header
就是说原始的IP data payload之前
是最原始那个IP包的那个IP header
OK 那我们在这整个原始IP包的后面
加一个这个ESP trailer
整个这个东西就是
这个棕色的这一个区域啊
这三个大的部分
我们把它做encryption
从这个图上我们可以看得到
我们把它做encryption
这个部分是encrypted
然后呢在这个encrypted这一部分之后
我们再加一位ESP的
authentication field
这个其实就相当于是前面这个大的
这个信息的这个message authentication field
在这个encrypt data之前
我们加一个ESP的header
粉色这个ESP header
和original的IP address
Original的data payload
和这个ESP的这个trailer
粉色的加这个棕色这四个部分放在一起
我们管它叫一个enchilada
这个是一个墨西哥人的一道菜
Enchilada
它就相当于就是说
把很多东西胡乱的放在一块
卷到一起吃
其实是很形象的一个比喻在这里
那我们将要对这个整个的这个enchilada
去求这个authentication field
所以我们得到这个enchilada以后
我们对它求message digest
就是说这后面这个ESP的
这个authentication code
就这个黄色部分加到最最后
把这个所有东西都生成完了
在最前面这个白色部分我们可以看得到
写的是新的IP header
把这个整个的这个新的数据生成之后
我们在最最前面
我们再重新加一个IP header
这是为什么
我们为什么这个时候
还需要一个IP header
原来的IP header哪里去了
是的原来IP header已经被加密过了
已经被放到这个enchilada里面了
放在这个毯子里已经被圈起来了
你看不到了
因为我们看不到了
所以router也看不到
这个路由器它看不到了
那路由器看不到这个IP header的话
它就没有办法对这个相应的数据报
进行存储转发
这就是为什么我们需要
加一个新的IP header在这儿
而这个新的IP header呢
它可以不需要被保证它的这个安全性
我这个新的IP header放在这里
我不怕被别人看到
不好的这些用户或者是说这个haker
把它给截持下来
因为就算haker把它劫持下来了
它真正的那个数据段
真正的那个IP的那些地址
这些信息已经被隐藏起来了
隐藏到了这个enchilada里面
这就是我们怎么样去完成
IP layer的security
我们要对IP layer
就是这个Internet protocol
这个network layer的这些信息进行保护
我们下面一页slide呢
就来看一眼
这个IPSec的数据报的生成过程是什么样的
基本上呢就是这个过程
我其实已经差不多讲解过了啊
我们基本上就是说由这个R1
这个initiation的entity
就是谁来生成这个IPSec
这个连接的请求呢
是由这个用户端
用户端的这个router 这个路由器
那R1来起始这件事情
那what will happen
就是说后面将要会发生什么呢
R1这个router会将原来的普通的网络数据报
转变成IPSec的数据报
这个过程什么样呢
第一步就是说把一个ESP的trailer
这个数据域接到原来的普通的数据报的尾端
这个原来的普通的数据报
包括原来数据报的报头
就是原来那个IP header
第二步呢是用SA中设置好的
编码算法和密钥
将这个第一步中的新的数据报进行加密
第三步是把这个ESP的header
加到刚刚第二步中
加密好的这个数据段之前
形成一个稍微大一点的这个enchilada
那第四步呢就是用SA中
设置好的算法和密钥
对这个第三步中生成的这个enchilada做计算
算什么呢
算一个信息认证码
一个MAC
那第五步
就是把这个第四步中生成的这个MAC
这一位加到这个enchilada的后面
形成新的数据报的上层数据段
第六步呢我们创建一个全新的IP header
那这个全新的IP header
它实际上遵循的这个格式
就是我们普通的这个IPv4的格式
那IPv4就是这个header里面规定这些数据的
这个每一个field都是什么
它这新的数据报这个报头也都是一样
我们会将这个新生成的这个header
加到第五步中生成的新的payload之前
这个就是基本上怎么样生成一个
新的IPSec的这样一个数据报
再看一眼这个enchilada的内容是什么
这enchilada呢
我们讲过啊
里面有这个ESP的这个trailer 这个padding
Padding这个field呢
是为了这个区块加密了而设置的
这个是为了找齐它的这个区块
这个长度
这个ESP的header里面有SPI的那一位
这个实际上是相当于
给这个数据报做一个ID
根据这个SPI呢
这一位的这个ID呢
这个接收方才可以进行相应的
security association的这个管理
接收方才能够从它相应的
那个database里面找到这相关的这个SA
而同时呢做这个状态信息的管理
并且呢这个ESP的header里面
还包括一个sequence number
这个sequence number放在这里
是为防止录播攻击的
那这个我们也已经考虑进去了
后面的这个MAC
MAC位就这个ESP的这个authentication
最最后的那个黄的那一个部分
它实际上是由一个共享密信啊
Secret message
或者叫shared secret来生成的
这一点我们应该知道一下
好下面我们再稍微说一下
这个IPSec的这个序列号啊
对于一个新的SA
Security association
发出方呢会初始设置一个序列号为零
每次有数据报通过SA传输的时候
发出方都会都会将这个相应的这个序列号加1
并且呢把新的序列号
放到header中的这个序列号的
这一个field里面这一位上
为什么这么做
这个目的呢就是防止攻击者
通过监听进行录播攻击
当重复接收到相同序列号的时候呢
基本上我们可以判断
录播攻击有可能发生了
所以我们就可以把这个
相应的这个信息删掉就好了
方法呢就说
做检测方法就是
我们可以做这个重复序列号的检查
如果看到有重复序列号的话
就把它扔掉就是了
同时呢 需要提一下的是说
并不是我们不需要记录
所有收到的数据报的序列号
而是对一个窗口中的数据报进行检查就好了
这样做法是为了提高这个算法的效率
ok那下面呢
我们再来看看安全规则的数据库啊
这个security policy database
SPD
规则 一般它是规定呢
对于一个网络层的这个数据报
发出方是否需要用这个IPSec
并且同时呢
需要知道用哪个SA
他有可能用比如说这个source
或者destination的这个IP address
来做这个决定
用哪个SA
或者用protocol number啊
类似这样的
那SPD里
就是security policy database里面的信息呢
规定当收到一个网络层数据报的时候
它都做些什么以及怎么做
这个是SPD它的一个大概的概念
那我们讲了这么半天
我们想就是回头来看一下啊
这个IPSec它安全不安全
有没有做到我们想要它
完成的一些安全服务
我们可以设想一下
如果Trudy是站在R1和R2这两个router之间
这两个router他们各自在运行这个IPSec
如果Trudy站在这两个这个router之间
并且不知道任何关于这个连接的密钥
Trudy他是不是可以看得到
原来数据报的内容
答案是否定的
不可以
为什么
因为原来的数据报已经被卷起来了
并且被加密了
他能够看得到的只是一个新的IP header
和一个新的这个data payload
但是这个data payload里面是什么
他完全无从而知
比如说这个像收发方的这个地址啊
传输层的协议是什么
这些东西都已经被保护起来了
这个就是IPSec 它的confidentiality已经达到目的了
这个是很好的
第二个问题
这个Trudy有没有可能
把这个比特位的二维码黑白颠倒
他有没有可能变这个数据报的这个内容
答案也是否定的
为什么
因为如果他一旦动了数据报的内容
接收方有一项检查就通不过了
是什么呢
那个message integrity checking
对不对
因为这个hash value就会变化
所以Trudy在这一点上也会失败
那Trudy是不是可以用R1的IP地址伪装成R1
这个也是不可能的
那Trudy是不是能够对一个数据报进行录播
也是不可能的
为什么
因为我们就是在这个过程中
我们引用了这个序列号啊
类似这样子的方法来进行保护
回过头来说一下
这个Trudy为什么不能够
对R1的这个IP地址做这个伪装
因为我们有这个authentication的checking
在这个IPSec的这个设计里面
所以Trudy没有办法去这个伪装成R1
这个过程是不可以的
那基本上讲
IPSec如果这样说呢还是比较安全
这是个很好的事情
所以说呢到目前为止
我们已经看到
这个IPSec实际上
它在基本层面上还是比较安全的
就是我们希望它能够达到的
关于这个网络安全的一些服务
它都可以提供给我们
那么之前的例子呢
我们看到啊
人工的 我们在这个IPSec的终端服务器上
可以创建IPSec这个SA
这个security association
这个每一个security association
它都包括如下的一些信息
给出了一个例子啊
这个例子包括比如说这个SPI是什么
SPI可以是12345
然后这个source IP address
这个2006.168.1.100 对吧
这个destination IP address
是193.68.2.23
然后protocol呢是ESP
这个encryption algorithm是3DES-cbc
然后HMAC这个algorithm是MD5
还有这个encryption key是这个东西
然后HMAC的key呢又是另外一个值
那上述这些信息都是对每一个
Security association
我们都需要维护这些状态的信息
保存这些状态信息
并且不断更新这些状态信息
那这样的信息对每一个SA都要做这样一个人工设置的话
那如果是这样呢
我们对于一个拥有一百个
甚至几百个以上的中间节点的VPN
实际上是很难适用的
因为要这个存的东西太多了
那为了解决这样一个局面呢
我们由此呢就是相应地就采用这个IPSec
IKE 这个internet key exchange protocol
来解决这个问题
把每一个这个也需要人工设置的这些状态信息
我们用其他的方法进行解决
那关于IKE这部分呢
同学们有兴趣的话
可以自己去接触一下 去看一下
那在这个具体的这种协议课程里面
应该也会提到
到此为止呢
我们对这个IPSec做一个总结啊
那IPSec主要是几个部分了
第一个部分呢就是说关于用这个IKE呢
IKE呢它可以对这个加密算法呀
还有这个密钥呀
包括SPI值的设置啊
进行这个信息的交换和协调
IKE的这个具体内容
同学们可以这个在课后
自己去找一些文献来看一下
我到后面也会给出一些
文献的这个reference link
给大家一些帮助
另外一部分呢
IPSec它有两种可以选择的通讯协议
这两种协议呢一个是AH
另外一个是ESP
这两种协议
那AH提供这个信息的完整性
和发出方的身份认证这样的服务
而esp呢 它不光这个提供了integrity
就是信息完整性
和发出方认证的服务
还提供了信息的这个隐秘性的服务
就是confidentiality的服务
那ESP呢 是更多地被选择
应用在这个IPSec里面的一个协议
最后一大点呢就是说
IPSec呢 它对通讯双方的要求也有两种模式
一种是终端模式
就是end system的模式
另外一种呢
是这个路由器到路由器之间的这种模式
叫tunnelling mode
这个IPSec的这个通讯双方
可以是两个网络的终端
也可以是一对路由器
实际上这两个路由器之间
自己建立了一个隧道
这个也是可能的
还有一种可能就是说
它可以是在一个路由器
和一个终端之间进行通讯
到此为止我们基本上
就是讲完了这个IPSec
到这里呢
我们基本上呢也可以说
对这个网络安全协议这一个部分呢
可以说是告一段落了
那网络安全协议这一个章节里面
我们基本上提到了
三大最重要的这个网络安全协议啊
就是网络安全协议的代表
其中包括这个E-mail我们怎么样去保证
E-mail的安全
然后在这个Transport layer传输层
我们怎么保证这个TCP传输的安全
就是SSL
那在网络层我们提到了IPSec这个协议
但是关于网络安全的协议
实际上是有非常非常多的设计的
有各种各样的协议
包括BGP
这个border gateway protocol
它怎么样对BGP做这个安全上的这种补充
我们有专门的协议来去做它
那还是讲我我在这个课程开始的时候就提到过
计算机网络实际上它是
It’s all about protocols
就是说计算机网络
它实际上是由各种各样五花八门
各个层面的通讯协议而组成的
这些协议就像
运行在这个网络中的血液一样
没有这些协议
那这个计算机网络是无法成型的
是不可能被大家用上的
在这个计算机网络最初设计的时候
网络的这个缔造者们
他们没有想过这个安全问题
当时大家的这个初衷
都是非常简单 非常单纯的
而且愿望是非常好的
就是说我们一帮很信得过的朋友之间
我们想要远程的互换一些信息
这个是计算机网络产生的时候
大家所设想的情景
可是之后因为有这么多人在用他
所以网络安全的问题越来越多
而如何去解决这些问题
只能是对这些现有的网络协议
一个一个的来做安全上面的补充
或者说重新设计
所以同学们呢
我之所以在这里多提一下这段话呢
就是说希望同学们能够get这个feeling
就是get a feel about这个
怎么样去来做这个安全的网络协议的设计
因为我们以前发生的已经无法改变
那网络的本身的设置它就是不安全的
但是如果我们向将来去看的话
那以后同学们在设计
这个网络新的协议的过程中
一定要考虑到这个安全的这些特性
安全的需求
从而呢 我们设计出来新的网络协议呢
能够是安全的
这个是一个非常非常重要的
就希望同学们能够记住了
-第一节 电子邮件e-mail的安全
--Video
-第二节 计算机网络的服务
--Video
-第三节 网络协议的分层结构
--Video
-第四节 网络数据包的传输过程
--Video
-第五节 实例演绎计算机网络通讯工程
--Video
-第一节 计算机网络为什么不安全
--Video
-第二节 网络安全技术需要提供的服务
--Video
-第三节 网络安全讨论的情景设置
--Video
-第四节 黑客有可能有哪些攻击网络安全的手段
--Video
-第五节 网络中的恶意软件
--Video
-第一节 编码解码学的基本概念
--Video
-第二节 攻击编码解码技术的方法
--Video
-第三节 共享密钥加密法
--Video
-第四节 公共密钥加密法
--Video
-第五节 鉴别认证
--Video
-第六节 信息完整性
--Video
-第一节 电子邮件E-mail的安全
--Video
-第二节 传输协议(TCP)的安全:隐秘套接字协议(SSL)
--Video
-第三节 网络层安全:IPSec
--Video
-第一节 WEP的设计和问题
--Video
-第二节 802.11i改进机制
--Video
-第一节 防火墙概念及目的
--Video
-第二节 三种防火墙
--Video
-第三节 IDS(Intrusion Detection Systems)介绍
--Video