网络安全原理与技术(第二版) 教学课件 作者 冯登国 徐静chapter4b.ppt

《网络安全原理与技术(第二版) 教学课件 作者 冯登国 徐静chapter4b.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、ESP(EncapsulatingSecurityPayload)提供保密功能，包括报文内容的机密性和有限的通信量的机密性，也可以提供鉴别服务（可选）将需要保密的用户数据进行加密后再封装到一个新的IP包中，ESP只鉴别IP头之后的信息加密算法和鉴别算法由SA指定也有两种模式：传输模式和隧道模式合并安全关联单独的SA可以实现AH或ESP协议，但不能同时实现两者。有时候，特定的通信量要同时调用AH和ESP的服务特定的通信量可能需要主机之间的Ipsec服务，并且对同样的通信量，还需要网关（例如防火墙）之间的服务为同样的通

2、信量配备多个SA来获得想要的服务鉴别与机密性的组合鉴别与机密性的组合传输邻接与简单使用带鉴别的ESP相比优势在于鉴别覆盖了更多的字段，包括了源和目的IP地址缺点在于使用了两个SA的开支鉴别与机密性的组合Diffie-Hellman算法有两个有吸引力的特征（1）只是在需要的时候才创建密钥，不需将密钥存储很长时间，因而不易受到攻击。（2）除了全局参数的约定外，密钥交换不需事先存在的基础。CookieExchange当在浏览器地址栏中键入了一个Web站点的URL，浏览器会向该Web站点发送一个读取网页的请求，并将结果在显示

3、器上显示。这时该网页在你的电脑上寻找网站设置的Cookie文件，如果找到，浏览器会把Cookie文件中的数据连同前面输入的URL一同发送到服务器。服务器收到Cookie数据，就会在他的数据库中检索你的ID，你的购物记录、个人喜好等信息，并记录下新的内容，增加到数据库和Cookie文件中去。如果没有检测到Cookie或者你的Cookie信息与数据库中的信息不符合，则说明你是第一次浏览该网站，服务器的CGI程序将为你创建新的ID信息，并保存到数据库中。CookieExchangeOAKLEYusesthecookiesf

4、oranti-clogging.组成根据应用而定，一般是下列信息的hash值：秘密值(周期性变化)、本地和对方IP地址、UDP端口。anti-clogging：利用Cookies中的信息维持一种无状态的连接，减少用户登录所交换的一些信息，减轻服务器负担，防止拒绝服务攻击。优点在于它的速度并不对通信实体提供身份保护。实体要在建立一个用于加密身份信息的安全SA之前交换身份信息。因此，监视一个交换的人可以识别出刚刚产生了一个新SA的实体。IPSec和IKE小结·IPSec在网络层上提供安全服务–定义了两个协议AH和ESP·

5、IKE提供了密钥交换功能–利用ISAKMP提供的框架、以及Oakley和SKEME的密钥交换协议的优点·通过SA把两部分连接起来IPSec和IKE小结·已经发展成为Internet标准·一些困难–IPSec太复杂·协议复杂性，导致很难达到真正的安全性·管理和配置复杂，使得性能下降