Video在线视频

好下面我们接着来讲

网络安全中的重要协议

这个时候的我们现在来到这个网络层啊

网络层是很重要的

大家都知道这个internet protocol

这个IP层

IP层 我们要做的这个安全协议的介绍呢

叫IPSec

OK 就是IP internet protocol security protocol

IPSec protocol

那这个网络层呢

也需要提供一定的机密性的

那网络层的机密性指的是什么呢

指的是基本上是对两个网络层的设备

比如说是两个路由器而言的

那这个两个路由器它们之间交换信息

这个路由列表

这个routine table

它本身其实呢 也是需要被保密的

这个是很重要的

那基本上呢就是说

对两个网络设备而言

发出方对网络层的数据报

这个网络层的datagram加密

这些被加密的内容

可能是TCP

或者是UDP的协议包

或者呢 是ICMP这个协议的信息

或者是OSPF这样协议的信息

OSPF是routine protocol

这个我们之前也小小的复习了一下

那所有从同一个网络设备

发到另外一个网络设备的数据呢

必须被保护起来

不让攻击者呢

有机可乘 这个随意获取

这个是网络层的机密性的一个大概的概念

那要做的方法实际上就是说

我会把网络层

这个数据包给它包起来

就像用一层毯子一样裹起来

然后用这个毯子裹起来的

新生成的这样一个数据包呢

再进行网络层协议的修改

这个是大概的一个概念

那我们之后呢

会这个有具体的解释

到底这个IPSec它是怎么样做的

在具体讲解这个IPSec是怎么回事之前

我们来先看一个这个application

一个应用啊

这个应用大家应该都还是比较熟悉的

就是这个VPN的应用

Virtual Private Network VPN

VPN 就算大家没有用过应该也听过

为什么我们需要VPN呢

因为现在的这个用户呢都是很分散的

分散在各个地方

比如说一个学校在北京的学生

他呢 有可能跑去了上海

对吧 去上海去玩也好

或者是去做学术交流

但是呢 他又希望

能够登陆回北京的这个校园网

这个过程那我们要怎么样

能够保证这个学生和这个校园网络之间的这个通信

实际上是被保护起来了

我们可以用VPN这样的方法

那学校的环境比较简单

这样子的应用呢 应该是说

对这个商务的行为啊

更加有用

比如说一个公司他派出的这个销售员

这销售员可能想要在外地出差的时候

连接公司的内网来获取一些信息

这个时候呢 他的这个连接

如果是直接通过这个大的

这个公共的因特网的话

有可能有各种各样的安全的顾虑和隐患

那如果我们要给他建立一个

VPN的这样一个特殊通道就会好很多

这个呢就是

主要的这个VPN它的这个基本的想法啦

那VPN的概念基本上就是说

一个单位 办公室之间的网络信息流通

是通过已有的因特网进行传输

但它实际上是连接的是

他自己的办公室之间的信息

所谓自己的呢是指

他比如说这个公司在北京的部门

和在天津的部门

但都是他们自己的这个公司之间的这个办公室

对吧 那这些散落在

各个地方的办公室之间的通讯

它实际上是通过这个大的公有的

这个因特网进行传输的

可是呢用这个因特网的

已用的框架的基础上

我们可以建立特殊的通讯渠道

这些特殊的通讯渠道的建立就是VPN

这个呢基本上就是说

实际上VPN它的概念是一个逻辑上的概念

是一个逻辑的这个连接

比如说我们可以看到这个蓝色的一个云

就相当于是public internet

就是这个因特网

在这个这个图的左下角呢

有这个公司总部办公室

然后中间偏右往下的部分呢是地方办公室

然后右上角呢是这个出差在外的销售员

那这个总部的办公室

地方办公室和销售员之间

这三方 他们呢希望能够互换

跟公司自己内部信息有关的一些消息

那这个时候呢

这样的信息最好

它能够像是在逻辑上

被处理成公司内网性质的这样一个概念

那我们怎么实现呢

我们用VPN就可以实现

这个VPN呢

基本上它这样一个操作过程啦

我们可以看得到

在这个公司总部办公室

这个左下角的这几台机器上啊

这个服务器还有几台电脑

他们跟公司的出来的

这个第一站的这个路由器

first top router之间

他们之间的通讯在网络层

Net client上面的

协议的数据包的格式

是IP packet

是说我有一个data payload

有一个数据段

再加一个IP header 就够了

这是普通的IP协议的这个数据包

这个formate这个格式

但是呢 从公司的第一步的

first top router

就是第一步的这个路由器

连接到外网的时候这个过程

它实际上有所改变

从表面上看 它还是一个IP包

还是个IP packet

因为它还是在最最前面

有一个IP header

这个时候你可以看得到

它的data payload已经有所变化了

因为它的这个IP包的这个data payload的

不再是原来的那个纯的那个数据的那一段

而是有一个这个IPSec的一段信息在里面

当这个数据包传到地方办公室的时候

地方办公室和地方办公室相连的那个

第一站的路由器之间的这个关系也是类似的

就是说地方办公室机器和第一站路由器之间

还是普通的这个IP的packet

IP vertion4的这样的packet

但是他们发出去了呢

表面上看好像还是IP的packet

但实际上它的data payload已经有所变化

其中已经包含了IPSec的信息在里面

有一个夹在中间的那一层是 IPSec header

这个IPSec header两边的这个左边和右边的

这个就是非常重要

我们根据这个IPSec的header

就可以建立一个逻辑上的这样一个隧道

把这个两个router

这两个路由器之间建一个逻辑上隧道

这个逻辑上隧道实际上它是一个安全隧道

就可以让两边的办公室

通过这个安全的逻辑隧道

来安全的去交换信息

这个是IPSec需要达到的目的

同样的一个概念

出差在外的销售员

也可以通过同样的这样一个途径

来用IPSec在他自己机器上用IPSec

要求呢是说你在你自己机器上

一定要装好这个VPN的这个client

就是这个用户端的应用程序

在你自己机器上你才能使用VPN

但是无论如何呢

这个在外出差的销售人员

他的机器上可以装上VPN的相关的应用程序

而VPN 它的操作实际上是基于

这个IPSec protocol来进行操作的

OK 这个是一个在我们讲IPSec之前

我们就基本上就要先看一下

它能够用到什么样的地方

那一个非常重要的一个

很普遍的应用就是VPN

VPN这个应用其实是

完全可以用IPSec来实现的

那我们再回来具体讲这个IPSec

是一个怎么样的一个协议啊

那IPSec这个协议呢

它提供的服务基本上我们都看到过了

就是类似这些服务的要求

我们在其他的Security Protocol里面

也都看到过很多次了

那我们希望IPSec能够提供

数据的完整性的这样一个服务

就是说data integrity

我们希望IPSec能够

对这个发出方进行认证

就是origin authentication

我们还希望IPSec可以防范这个录播攻击

就是prevent reply attack

同时呢我们还希望IPSec

能够保证信息的隐秘性

就是这个message confidentiality

这些东西我们都已经其实看到过很多遍

到这个时候其实同学们应该也有一个感觉

就是我们学到了这个计算机这个网络安全

各种各样的这个协议啊

还有包括网络安全它各种各样知识点

网络安全要的是什么

要的东西 要这些服务其实都在这里了

Integrity checking

Authentication

Confidentiality

然后呢 再加上比如说类似这种play back

这样子的服务啊

这些东西都是我们做Security

需要这个达到的一些目的

作为IPSec而言它其实

是有两种不同的协议可以来选择的

一种协议叫做AH

就是Authentication Header

另外一种协议叫ESP

是Encapsulation Security Protocol

这两种protocol呢

都可以被IPSec的这个终端啊

进行选择来用

两个都可以用

IPSec呢 还有它的这个两种传输模式

这两种传输模式呢

同学们也需要知道一下

一种传输模式呢叫做transfer mode

另外一种传输模式叫做tunneling mode

那这个transfer mode呢

就是叫做终端传输模式

这个是怎么回事呢

我们从这个图上就可以看得到

在这个终端传输模式里

IPSec是一个协议

这个协议如果你不把它

安装在特定的这个网络设备上

它是不可能被运行的

在这个终端传输模式

这样子的这个模式里面

IPSec被安装在哪里呢

我们可以从这个图上看

IPSec它是被装在终端系统上去运行的

OK 这个就叫transfer mode

如果我们看到这个IPSec

它实际上是在用户终端被运行的话

它就叫做transfer mode

另外一种隧道模式呢

就是我们可以把IPSec加到router上

加到路由器上

那这个路由器不是随便的一个路由器

而是这个edge路由器

就是说是第一步的路由器和这个用户的终端

或者说跟服务器的这个server的终端

最紧密相连的那个路由器上

我们可以安装IPSec这个协议

那在一个可以这个懂得IPSec协议的路由器

和另外一个懂得的IPSec协议的路由器之间

我们建立一个tunnel就是一个隧道

那这一种模式我们就叫它

tunneling mode

隧道模式

隧道模式还是讲是指的是在路由器上加IPSec

那我们现在呢基本上就是

有那个两种协议可以做选择

同时呢我们有两种模式可以做选择

这个是在IPSec里面

这两种协议我们再重新看一眼啊

就是Authentication Header

Authentication Header这个协议呢

基本上它的意思是说

可以对信息作出发出方的身份认证

Authentication

以及对数据完整性的检查

就是这个data integrity

但是呢 AH这个 protocol

它不对这个信息做保密性的服务

也就是说它不提供confidentiality

这个是AH

ESP这个Encapsulation Security Protocol

就做得更多一点

它不但提供authentication的service

而且还提供integrity checking

而且还提供这个data的confidentiality

这个是ESP

所以说基于这个两种protocol的选择

和两种transfer mode的选择

就这种模式的选择

IPSec模式的选择

我们就有四种组合

那这个表上

就是基本上列了这个四种组合都是什么

我们可以用transfer mode运行AH

我们也可以用transfer mode运行ESP

或者呢我们用tunnel mode运行AH

或者是用tunnel mode运行ESP

那最普遍的IPSec protocol

它用的呢就是最后一种

就是tunneling mode with ESP

Again tunneling mode意思是指

这个IPSec是装在router上的

那ESP呢是一个更全面一点的protocol

它可以提供Integrity checking

Authentication

和data confidentiality

这个可以说是整个IPSec各种各样的选择中的

最重要的一种也是最普遍的一种

那下面呢我们来看一下这个安全联盟啊

Security association

这个SA

SA基本上就是指在发送数据之前

从发出端到接收端建立一个安全联盟

一个Security association

一个SA

这是从发出端来发起的

这个安全联盟是单行的

它是simplex的这样一种mode不是duplex

duplex是双向的

那simplex是单向的 单行的

也就是说实际上是由一方向另一方提出的

而非双方共同的

那发出方和接收方分别保存和更新

对这个SA

这个security association连接状态的信息

当我们说这个连接状态

同学们应该反应到

就是state information

比如说我们之前学过的这个TCP

就是一个state

就是它记录state information

所以它叫connection oriented service

OK 就是说我们对这个整个这个connection

就是这个连接在这个过程中

发出方和接收方他们都有哪些状态的变化

比如说在TCP里面它有数据接收方

和发出方这个window

就是窗口大小呀

序列号都到哪儿了呀

这些都是它的状态信息

这些状态信息如果被记录的话

那么它就是叫做

这个state information被记录了

如果一个protocol 一个协议

它记录state information

那我们就说这样的protocol就叫作

Connection oriented protocol

反之如果什么状态信息都不记的话

那就是connectionless protocol

而从我们这个现在学到的这些信息而言呢

我们可以看得到

IPSec它实际上是一个connection oriented protocol

而IP本身

Internet protocol本身

它是一个connectionless的protocol

OK 这一点是很有意思

那我们这个IPSec

通过什么来记录状态信息呢

就是这个安全联盟

这个security association

由这个发出方向接收方申请并且建立的SA

由这些SA来对这个connection的状态信息进行记录

那我们现在就可以稍微想一下

在总部办公室和地方办公室

还有这个n个出差人员之间

如果都是需要建立VPN的话

那我们对每一个VPN

都要建立这个SA

我们需要多少个

大家可以去想一下

OK那下面这一页呢

我们看一下一个例子啊就是

路由器R1向R2建立一个SA

R1和R2这两个路由器

它们都是第一步路由器

它实际上是在网络的边缘的

如果要建立SA的话

R1这个router 这个路由器

它存储的SA的状态信息

包括下面几项

第一项

是一个32位的SA的identifier

就是说是它的一个id number

这个id number叫做security parameter index

SPI 它有32位长

第二个信息呢 是origin SA的interface

就是我一开始发出这个SA请求的

路由器上那个端口的地址

每个路由器都有很多端口

每一个端口都有它自己的IP地址

这一点一定要清楚

不是说一个路由器是一个IP地址

这是不对的

路由器上如果有十个端口它有十个IP地址

有一百个端口它就有一百个IP地址

是这样子的

在这个状态信息里面

其中有一项就是说

这个origin SA的interface

这个interface呢

指的是相应的那个端口的IP地址

下面一个状态信息呢

就是destination SA的interface

Destination SA呢就是我可以看得到

是在右边的这个R2上面的

SA它要连接那个端口

那个端口它的地址是什么

那在这个例子里面就是193.68.2.23

这个是接收方的这个ip地址

下面一个状态信息就是

Type of encryption used

就是说哪一种encryption的方法被用上了

在这个里面呢

它可能是比如说

3DES with CBC

我们这个 SA里面记录的

下面一个状态信息就是

这个加密的密钥

Encryption key是什么

再下面一项就是什么样的

数据完整性的鉴别方法

要被用在这里

我们可以选择这个MD5呀

或者是HMAC呀

这些都是可能的

然后最最最后一项那就是

Authentication key

这些信息都是每一个SA

它所需要储存并且不断更新的状态信息

那我们在这个一对儿这个设备之间

我们建立这个SA的connection

那SA有刚刚我们讲过的

SA它的这个状态信息都有哪些

在那个前一页里面我们大家都看到了

那这个connection每一个连接

都有这样一个SA的信息的储存

那也就是说

在这个网络终端有这么多个安全联盟

网络终端怎么样去保存

它们所有的安全联盟信息呢

那网络终端基本上就需要建立一个

安全联盟的这样一个数据库

就是叫做security association database

安全联盟数据库

对n个出差销售人员

这个R1它需要在这个SAD

Security association database里面建立

并且保存2+2n个SA才可以

当这个IPSec要传数据报的时候

R1呢就是这个router呢

它就需要查询SAD

就是这个database

从而决定

如何处理这个数据报

我到底用哪一个SA来这个回应

那当IPSec的数据报抵达被传送到R2

destination这边的时候呢

这个R2要对这个数据报中的SPI

就是它的这个index进行检查

从而呢将其在这个SAD中进行检索

并对相应的数据报进行处理

这个就是为什么这个SPI

它是一个很有用的这样一位

这个那基本上就是说

SAD它是怎么样被利用起来的

这个security association database

是一个什么样的概念

下面我们就来看一下

IPSec数据报的格式

那因为刚才我们之前讲了

在这个IPSec这个协议的这个空间里面

我们有两种这个具体的协议

两种具体的这个

Security的protocol可以选择

一种是AH一种是ESP

另外呢我们还有两种模式可以选择

一种是tunneling mode

另外一种是transfer mode

那我们说了我们最后集中在

用tunneling mode去来运行ESP

这个protocol

这样一个组合上

那我们以这个为例

Tunnel mode with ESP

以它为例

来看一下这个IPSec的数据报

它的格式是什么样的

那我们就是在这一页上可以看到

那基本最核心的东西当然是它的数据了

就是这个data

我们可以看到是中间那一段

Original IP datagram payload

这个是最最核心的最原始的

那个ip数据报的数据 数据内容

这个数据内容包括什么

包括它上一层的协议是什么

比如说是TCP啊还是UDP啊

然后这个TCP UDP里面

它还有再上一层的应用层的协议

它的一些信息都有什么

这个是它的最初的那个

IP的data payload

在这个最初的这个IP datagram的payload之后

我们会加一个ESP的trailer

这个ESP的trailer就是根据这个ESP protocol

应它所需要来生成的

这个ESP protocol的这个trailer呢

包括几个field就是几个部分啊

一个部分是它的padding

这个padding位呢

是用来做这个cipher block chaining

就是CBC

因为我们要分段嘛

那每一个数据段它有可能不整

我们需要运行一定的padding

这个padding field在这儿可以用到

然后padding它有多长

和就是下一位这个起始值是什么东西

这三样信息组合在一起

形成ESP的这个trailer information

这个trailer就这个尾巴

会被接到最原始的这个

IP data payload的后面

然后呢在这个原始的

IP data payload之前

是原始的IP header

就是说原始的IP data payload之前

是最原始那个IP包的那个IP header

OK 那我们在这整个原始IP包的后面

加一个这个ESP trailer

整个这个东西就是

这个棕色的这一个区域啊

这三个大的部分

我们把它做encryption

从这个图上我们可以看得到

我们把它做encryption

这个部分是encrypted

然后呢在这个encrypted这一部分之后

我们再加一位ESP的

authentication field

这个其实就相当于是前面这个大的

这个信息的这个message authentication field

在这个encrypt data之前

我们加一个ESP的header

粉色这个ESP header

和original的IP address

Original的data payload

和这个ESP的这个trailer

粉色的加这个棕色这四个部分放在一起

我们管它叫一个enchilada

这个是一个墨西哥人的一道菜

Enchilada

它就相当于就是说

把很多东西胡乱的放在一块

卷到一起吃

其实是很形象的一个比喻在这里

那我们将要对这个整个的这个enchilada

去求这个authentication field

所以我们得到这个enchilada以后

我们对它求message digest

就是说这后面这个ESP的

这个authentication code

就这个黄色部分加到最最后

把这个所有东西都生成完了

在最前面这个白色部分我们可以看得到

写的是新的IP header

把这个整个的这个新的数据生成之后

我们在最最前面

我们再重新加一个IP header

这是为什么

我们为什么这个时候

还需要一个IP header

原来的IP header哪里去了

是的原来IP header已经被加密过了

已经被放到这个enchilada里面了

放在这个毯子里已经被圈起来了

你看不到了

因为我们看不到了

所以router也看不到

这个路由器它看不到了

那路由器看不到这个IP header的话

它就没有办法对这个相应的数据报

进行存储转发

这就是为什么我们需要

加一个新的IP header在这儿

而这个新的IP header呢

它可以不需要被保证它的这个安全性

我这个新的IP header放在这里

我不怕被别人看到

不好的这些用户或者是说这个haker

把它给截持下来

因为就算haker把它劫持下来了

它真正的那个数据段

真正的那个IP的那些地址

这些信息已经被隐藏起来了

隐藏到了这个enchilada里面

这就是我们怎么样去完成

IP layer的security

我们要对IP layer

就是这个Internet protocol

这个network layer的这些信息进行保护

我们下面一页slide呢

就来看一眼

这个IPSec的数据报的生成过程是什么样的

基本上呢就是这个过程

我其实已经差不多讲解过了啊

我们基本上就是说由这个R1

这个initiation的entity

就是谁来生成这个IPSec

这个连接的请求呢

是由这个用户端

用户端的这个router 这个路由器

那R1来起始这件事情

那what will happen

就是说后面将要会发生什么呢

R1这个router会将原来的普通的网络数据报

转变成IPSec的数据报

这个过程什么样呢

第一步就是说把一个ESP的trailer

这个数据域接到原来的普通的数据报的尾端

这个原来的普通的数据报

包括原来数据报的报头

就是原来那个IP header

第二步呢是用SA中设置好的

编码算法和密钥

将这个第一步中的新的数据报进行加密

第三步是把这个ESP的header

加到刚刚第二步中

加密好的这个数据段之前

形成一个稍微大一点的这个enchilada

那第四步呢就是用SA中

设置好的算法和密钥

对这个第三步中生成的这个enchilada做计算

算什么呢

算一个信息认证码

一个MAC

那第五步

就是把这个第四步中生成的这个MAC

这一位加到这个enchilada的后面

形成新的数据报的上层数据段

第六步呢我们创建一个全新的IP header

那这个全新的IP header

它实际上遵循的这个格式

就是我们普通的这个IPv4的格式

那IPv4就是这个header里面规定这些数据的

这个每一个field都是什么

它这新的数据报这个报头也都是一样

我们会将这个新生成的这个header

加到第五步中生成的新的payload之前

这个就是基本上怎么样生成一个

新的IPSec的这样一个数据报

再看一眼这个enchilada的内容是什么

这enchilada呢

我们讲过啊

里面有这个ESP的这个trailer 这个padding

Padding这个field呢

是为了这个区块加密了而设置的

这个是为了找齐它的这个区块

这个长度

这个ESP的header里面有SPI的那一位

这个实际上是相当于

给这个数据报做一个ID

根据这个SPI呢

这一位的这个ID呢

这个接收方才可以进行相应的

security association的这个管理

接收方才能够从它相应的

那个database里面找到这相关的这个SA

而同时呢做这个状态信息的管理

并且呢这个ESP的header里面

还包括一个sequence number

这个sequence number放在这里

是为防止录播攻击的

那这个我们也已经考虑进去了

后面的这个MAC

MAC位就这个ESP的这个authentication

最最后的那个黄的那一个部分

它实际上是由一个共享密信啊

Secret message

或者叫shared secret来生成的

这一点我们应该知道一下

好下面我们再稍微说一下

这个IPSec的这个序列号啊

对于一个新的SA

Security association

发出方呢会初始设置一个序列号为零

每次有数据报通过SA传输的时候

发出方都会都会将这个相应的这个序列号加1

并且呢把新的序列号

放到header中的这个序列号的

这一个field里面这一位上

为什么这么做

这个目的呢就是防止攻击者

通过监听进行录播攻击

当重复接收到相同序列号的时候呢

基本上我们可以判断

录播攻击有可能发生了

所以我们就可以把这个

相应的这个信息删掉就好了

方法呢就说

做检测方法就是

我们可以做这个重复序列号的检查

如果看到有重复序列号的话

就把它扔掉就是了

同时呢 需要提一下的是说

并不是我们不需要记录

所有收到的数据报的序列号

而是对一个窗口中的数据报进行检查就好了

这样做法是为了提高这个算法的效率

ok那下面呢

我们再来看看安全规则的数据库啊

这个security policy database

SPD

规则 一般它是规定呢

对于一个网络层的这个数据报

发出方是否需要用这个IPSec

并且同时呢

需要知道用哪个SA

他有可能用比如说这个source

或者destination的这个IP address

来做这个决定

用哪个SA

或者用protocol number啊

类似这样的

那SPD里

就是security policy database里面的信息呢

规定当收到一个网络层数据报的时候

它都做些什么以及怎么做

这个是SPD它的一个大概的概念

那我们讲了这么半天

我们想就是回头来看一下啊

这个IPSec它安全不安全

有没有做到我们想要它

完成的一些安全服务

我们可以设想一下

如果Trudy是站在R1和R2这两个router之间

这两个router他们各自在运行这个IPSec

如果Trudy站在这两个这个router之间

并且不知道任何关于这个连接的密钥

Trudy他是不是可以看得到

原来数据报的内容

答案是否定的

不可以

为什么

因为原来的数据报已经被卷起来了

并且被加密了

他能够看得到的只是一个新的IP header

和一个新的这个data payload

但是这个data payload里面是什么

他完全无从而知

比如说这个像收发方的这个地址啊

传输层的协议是什么

这些东西都已经被保护起来了

这个就是IPSec 它的confidentiality已经达到目的了

这个是很好的

第二个问题

这个Trudy有没有可能

把这个比特位的二维码黑白颠倒

他有没有可能变这个数据报的这个内容

答案也是否定的

为什么

因为如果他一旦动了数据报的内容

接收方有一项检查就通不过了

是什么呢

那个message integrity checking

对不对

因为这个hash value就会变化

所以Trudy在这一点上也会失败

那Trudy是不是可以用R1的IP地址伪装成R1

这个也是不可能的

那Trudy是不是能够对一个数据报进行录播

也是不可能的

为什么

因为我们就是在这个过程中

我们引用了这个序列号啊

类似这样子的方法来进行保护

回过头来说一下

这个Trudy为什么不能够

对R1的这个IP地址做这个伪装

因为我们有这个authentication的checking

在这个IPSec的这个设计里面

所以Trudy没有办法去这个伪装成R1

这个过程是不可以的

那基本上讲

IPSec如果这样说呢还是比较安全

这是个很好的事情

所以说呢到目前为止

我们已经看到

这个IPSec实际上

它在基本层面上还是比较安全的

就是我们希望它能够达到的

关于这个网络安全的一些服务

它都可以提供给我们

那么之前的例子呢

我们看到啊

人工的 我们在这个IPSec的终端服务器上

可以创建IPSec这个SA

这个security association

这个每一个security association

它都包括如下的一些信息

给出了一个例子啊

这个例子包括比如说这个SPI是什么

SPI可以是12345

然后这个source IP address

这个2006.168.1.100 对吧

这个destination IP address

是193.68.2.23

然后protocol呢是ESP

这个encryption algorithm是3DES-cbc

然后HMAC这个algorithm是MD5

还有这个encryption key是这个东西

然后HMAC的key呢又是另外一个值

那上述这些信息都是对每一个

Security association

我们都需要维护这些状态的信息

保存这些状态信息

并且不断更新这些状态信息

那这样的信息对每一个SA都要做这样一个人工设置的话

那如果是这样呢

我们对于一个拥有一百个

甚至几百个以上的中间节点的VPN

实际上是很难适用的

因为要这个存的东西太多了

那为了解决这样一个局面呢

我们由此呢就是相应地就采用这个IPSec

IKE 这个internet key exchange protocol

来解决这个问题

把每一个这个也需要人工设置的这些状态信息

我们用其他的方法进行解决

那关于IKE这部分呢

同学们有兴趣的话

可以自己去接触一下 去看一下

那在这个具体的这种协议课程里面

应该也会提到

到此为止呢

我们对这个IPSec做一个总结啊

那IPSec主要是几个部分了

第一个部分呢就是说关于用这个IKE呢

IKE呢它可以对这个加密算法呀

还有这个密钥呀

包括SPI值的设置啊

进行这个信息的交换和协调

IKE的这个具体内容

同学们可以这个在课后

自己去找一些文献来看一下

我到后面也会给出一些

文献的这个reference link

给大家一些帮助

另外一部分呢

IPSec它有两种可以选择的通讯协议

这两种协议呢一个是AH

另外一个是ESP

这两种协议

那AH提供这个信息的完整性

和发出方的身份认证这样的服务

而esp呢 它不光这个提供了integrity

就是信息完整性

和发出方认证的服务

还提供了信息的这个隐秘性的服务

就是confidentiality的服务

那ESP呢 是更多地被选择

应用在这个IPSec里面的一个协议

最后一大点呢就是说

IPSec呢 它对通讯双方的要求也有两种模式

一种是终端模式

就是end system的模式

另外一种呢

是这个路由器到路由器之间的这种模式

叫tunnelling mode

这个IPSec的这个通讯双方

可以是两个网络的终端

也可以是一对路由器

实际上这两个路由器之间

自己建立了一个隧道

这个也是可能的

还有一种可能就是说

它可以是在一个路由器

和一个终端之间进行通讯

到此为止我们基本上

就是讲完了这个IPSec

到这里呢

我们基本上呢也可以说

对这个网络安全协议这一个部分呢

可以说是告一段落了

那网络安全协议这一个章节里面

我们基本上提到了

三大最重要的这个网络安全协议啊

就是网络安全协议的代表

其中包括这个E-mail我们怎么样去保证

E-mail的安全

然后在这个Transport layer传输层

我们怎么保证这个TCP传输的安全

就是SSL

那在网络层我们提到了IPSec这个协议

但是关于网络安全的协议

实际上是有非常非常多的设计的

有各种各样的协议

包括BGP

这个border gateway protocol

它怎么样对BGP做这个安全上的这种补充

我们有专门的协议来去做它

那还是讲我我在这个课程开始的时候就提到过

计算机网络实际上它是

It’s all about protocols

就是说计算机网络

它实际上是由各种各样五花八门

各个层面的通讯协议而组成的

这些协议就像

运行在这个网络中的血液一样

没有这些协议

那这个计算机网络是无法成型的

是不可能被大家用上的

在这个计算机网络最初设计的时候

网络的这个缔造者们

他们没有想过这个安全问题

当时大家的这个初衷

都是非常简单 非常单纯的

而且愿望是非常好的

就是说我们一帮很信得过的朋友之间

我们想要远程的互换一些信息

这个是计算机网络产生的时候

大家所设想的情景

可是之后因为有这么多人在用他

所以网络安全的问题越来越多

而如何去解决这些问题

只能是对这些现有的网络协议

一个一个的来做安全上面的补充

或者说重新设计

所以同学们呢

我之所以在这里多提一下这段话呢

就是说希望同学们能够get这个feeling

就是get a feel about这个

怎么样去来做这个安全的网络协议的设计

因为我们以前发生的已经无法改变

那网络的本身的设置它就是不安全的

但是如果我们向将来去看的话

那以后同学们在设计

这个网络新的协议的过程中

一定要考虑到这个安全的这些特性

安全的需求

从而呢 我们设计出来新的网络协议呢

能够是安全的

这个是一个非常非常重要的

就希望同学们能够记住了