计算机系统安全第11章IP安全与TLS(SSL)协议§11.1IP安全概述§11.2IP安全协议（IPSec）11.2.1IPSec概述11.2.2结构11.2.3封装安全净荷11.2.4认证头张载龙主讲11.2.5密钥管理协议的应用南京邮电大学信息网络技术研究所11.2.6IPSec§11.3TLS(SSL)协议江苏省通信与网络技术工程研究中心11.3.1SSL协议的概述：Emailzlzhang@njupt.edu.cn11.3.2目标11.3.3SSL协议支持的密码Total105ComputerSystemSecurity1Total105ComputerSystemSecurity211.3.4SSL协议原理及工作流程§安全概述§11.1IP安全概述IP安全面临的问题背景IP安全是整个TCP/IP安全的基础与核心。它可对zEverythingoverIP(TCP/IP,VoIP…)。上层的各种应用服务提供透明的安全保护。IPv4没有–但是IP不能提供安全性。考虑安全性，缺乏对通信双方身份的认证，缺乏对传z前身：IPSP（IPSecurityProtocol）。输数据的保护，且容易受窃听、IP地址欺骗等攻击。z伪造IP包的地址；zIETF中的IPSecurityProtocolWorkingGroup工作组负责标准化，目标：z修改其内容；–该体制不仅适用于IP目前的版本（IPv4），也能在IP的新z重播以前的包；版本（IPng或IPv6）下工作；z拦截并查看包的内容。–可为运行于IP顶部的任何一种协议提供保护；如何确保收到的IP数据报：与加密算法无关，即使加密算法改变了或增加新的算法，–1)来自原先要求的发送方(IP头内的源地址)；也不对其他部分的实现产生影响；2)包含的是发送方当初放在其中的原始数据；–必须能实现多种安全策略，但要避免给不使用该体制的人Total造成不利影响。105ComputerSystemSecurity3Total3)原始数据在传输中途未被其它人看过。105ComputerSystemSecurity4第章安全与协议zIETF的各个工作小组从不同角度解决互连网安全第11章IP安全与TLS(SSL)协议问题，已形成一些RFC和草案：§11.1IP安全概述–DNSSEC(DomainNameSystemSecurity)工作组：研§11.2IP安全协议（IPSec）究DNS安全及DNS动态更新，RFC2137、2535、11.2.1IPSec概述2541；(现在：DNSExtensions(dnsext))Forashort11.2.2结构overviewofthehistoryofDNSSEC,check11.2.3封装安全净荷MiekGieben'sniceDNSSECTimeline.11.2.4认证头–WTS(WebTransactionSecurity)工作组(Concludedon11.2.5密钥管理协议20thJun.01)：建立SHTTP认证、完整性保护；11.2.6IPSec的应用RFC2084§11.3TLS(SSL)协议–SECSH(SecureShell)工作组：安全Shell11.3.1SSL协议的概述–IPSec(IPSecurity)工作组：11.3.2目标–TLS(TransportLayerSecurity)工作组：SSL(Secure11.3.3SSL协议支持的密码Total105ComputerSystemSecurity5Total105ComputerSystemSecurity6SocketLayer)协议；3749，4346，436611.3.4SSL协议原理及工作流程1§11.2IP安全协议（IPSec）11.2.1IPSec概述IPSec初始文档集IPSec可保障主机之间、网络安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。RFCRFC名称现状受IPSec保护的数据报本身只是另一种形式的IP包，编号完全可嵌套提供安全服务，同时在主机之间提供像端到端1825SecurityArchitecturefortheInternetProtocol被2401取代这样的认证，并通过一个隧道，将那些受IPSec保护的数据传送出去(隧道本身也通过IPSec受到安全网关的保护)。1826IPAuthenticationHeader（AH）被2402取代IPSec工作组于94年成立，95年8月公布了的建议标准：：安全结构1827IPEncapsulatingSecurityPayload(ESP)被2406取代z