前面幾節(jié)所討論的網(wǎng)絡(luò)安全原理都可用在因特網(wǎng)中,目前在網(wǎng)絡(luò)層、運輸層和應(yīng)用層都有相應(yīng)的網(wǎng)絡(luò)安全協(xié)議。A1101R04C-EZ4A下面分別介紹這些協(xié)議的要點。

   網(wǎng)絡(luò)層安全協(xié)議

   現(xiàn)在因特網(wǎng)的網(wǎng)絡(luò)層安全協(xié)議IPscc已在很多的RFC文檔中給出了詳細的描述。IPscc就是“IP安全6ccur燈)協(xié)議”的縮寫。在這些文檔中,最重要的就是描述IP安全體系結(jié)構(gòu)的m℃43o1和提供IPsec協(xié)議族概述的RFC2411。在IPsec協(xié)議族中有兩個最主要的協(xié)

議:鑒別首部AH lAuthClltic肫ion Hcadcr)協(xié)議和封裝安全有效載荷EsP lFncapsulationsecLlrity Pγload)協(xié)議。AH協(xié)議提供源點鑒別和數(shù)據(jù)完整性,但不能保密。而ESP協(xié)議比AH協(xié)議復(fù)雜得多,它提供源點鑒別、數(shù)據(jù)完整性和保密。IPscc支持IPv4和IPv6。在IPⅤ6中,AH和ESP都是擴展首部的一部分。

AH協(xié)議的功能都已包含在EsP協(xié)議中,因此使用EsP協(xié)議就可以不使用AH協(xié)議。

   但AH協(xié)議早已使用在一些商品中,因此現(xiàn)在AH協(xié)議還沒有被廢棄。下面我們不再討論AH協(xié)議,而只介紹EsP協(xié)議的要點。

使用IP∞c協(xié)議的IP數(shù)據(jù)報稱為IPscc數(shù)據(jù)報,它可以在兩個主機之間、兩個路由器之間或在一個主機和一個路由器之間發(fā)送。在發(fā)送IPscc數(shù)據(jù)報之前,在源實體和目的實體之間必須創(chuàng)建一條網(wǎng)絡(luò)層的邏輯連接,即安全關(guān)聯(lián)sA(SecLlrity Association)。這樣,IPsec就

把傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡(luò)層變?yōu)榫哂羞壿嬤B接的一個層。安全關(guān)聯(lián)是從源點到終點的單向連接,它能夠提供安全服務(wù)。如要進行雙向的安全通信,則需要建立兩個方向的安全關(guān)聯(lián)。假定某公司有一個公司總部和在外地的一個分公司。總部需要和這個分公司以及分公司中的刀個員工進行安全的雙向通信。那么,在這種情況下,一共需要創(chuàng)建⑿+2⑷條安全關(guān)聯(lián)sA。在這些安全關(guān)聯(lián)sA上傳送的就是安全的IPsec數(shù)據(jù)報。圖⒎12是一條從路由器R1到△的安全關(guān)聯(lián)sA的示意圖。IPscc數(shù)據(jù)報就是在安全關(guān)聯(lián)sA連接上傳送的。