计网学习笔记（19）- IPsec

网络层安全协议

IP几乎不具备任何安全性，不能保证：

• 数据机密性
• 数据完整性
• 数据来源认证

IPsec 协议

IPsec 就是“IP安全(security)”的缩写。IPsec 并不是一个单个的协议，而是能够在 IP 层提供互联网通信安全的协议族。IPsec 是个框架，它允许通信双方选择合适的算法和参数（例如，密钥长度）。为保证互操作性，IPsec 还包含了所有 IPsec 的实现都必须有的一套加密算法。

IPsec 由三部分组成

• IP 安全数据报格式的两个协议
  • 鉴别首部 AH (Authentication Header)协议
    • 提供源点鉴别和数据完整性，但不能保密。
  • 封装安全有效载荷 ESP (Encapsulation Security Payload)协议
    • 提供源点鉴别、数据完整性和保密。
• 有关加密算法的三个协议。
• 互联网密钥交换 IKE (Internet Key Exchange)协议。

IP 安全数据报有两种工作方式

• 运输方式 (transport mode)：
  在整个运输层报文段的前后分别添加若干控制信息，再加上 IP 首部，构成 IP 安全数据报。把整个运输层报文段都保护起来，适合于主机到主机之间的安全传送。 需要使用 IPsec 的主机都运行 IPsec协议。
• 隧道方式 (tunnel mode)：
  在原始的 IP 数据报的前后分别添加若干控制信息，再加上新的 IP 首部，构成一个 IP 安全数据报。这需要在 IPsec 数据报所经过的所有路由器上都运行 IPsec 协议。隧道方式常用来实现虚拟专用网 VPN。

无论使用哪种方式，最后得出的 IP 安全数据报的 IP 首部都是不加密的。
安全数据报是指数据报的数据部分是经过加密的，并能够被鉴别的。数据报的数据部分称为数据报的有效载荷(payload)。

运输层安全协议

• 安全套接字层 SSL (Secure Socket Layer)

• 运输层安全 TLS (Transport Layer Security) 。

  
  

应用层使用 SSL 最多的就是 HTTP，但 SSL 并非仅用于 HTTP，而是可用于任何应用层的协议。在 http 后面加上的s代表 security，表明现在使用的是提供安全服务的 HTTP 协议（TCP 的 HTTPS 端口号是 443，而不是平时使用的端口号 80）。

PGP

PGP (Pretty Good Privacy) 是一个完整的电子邮件安全软件包，包括加密、鉴别、电子签名和压缩等技术。PGP 并没有使用什么新的概念，它只是将现有的一些算法如 MD5，RSA，以及 IDEA 等综合在一起而已。虽然 PGP 已被广泛使用，但 PGP 并不是互联网的正式标准。

防火墙

防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施访问控制策略。防火墙内的网络称为“可信的网络”(trusted network)，而将外部的因特网称为“不可信的网络”(untrusted network)。防火墙可用来解决内联网和外联网的安全问题。防火墙能有效地控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。

入侵检测系统 IDS

防火墙试图在入侵行为发生之前阻止所有可疑的通信。入侵检测系统 IDS (Intrusion Detection System)能够在入侵已经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小。它的目的在于监测可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为。基于特征的 IDS 维护一个所有已知攻击标志性特征的数据库。

未来网络安全发展方向

• 椭圆曲线密码 (Elliptic Curve Cryptography，简写为 ECC) 与 AES —— 这一系统现在已广泛用于电子护照、金融系统使用的加密系统中。
• 移动安全 (Mobile Security)
• 量子密码 (Quantum Cryptography)