网络层的认证与加密
安全问题始终是与Internet相关的一个重要话题 。由于在 IP协议设计之初没有考虑安全性,因而在早期的Internet上时常发生诸如企业或机构网络遭到攻击、机密数据被窃取等不幸的事情 。为了加强Internet的安全性,从1995年开始,IETF着手研究制定了一套用于保护IP通信的IP安全(IPSec)协议 。IPSec是IPv4的一个可选扩展协议,是IPv6的一个必须组成部分 。
IPSec的主要功能是在网络层对数据分组提供加密和鉴别等安全服务,它提供了两种安全机制:认证和加密 。认证机制使 IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动 。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被他人截获而失密 。IPSec的认证报头(Authentication Header,AH)协议定义了认证的应用方法,安全负载封装(Encapsulating Security Payload,ESP)协议定义了加密和可选认证的应用方法 。在实际进行IP通信时,可以根据安全需求同时使用这两种协议或选择使用其中的一种 。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP 。
IPSec定义了两种类型的SA:传输模式SA和隧道模式SA 。传输模式SA是在IP报头(以及任何可选的扩展报头)之后和任何高层协议(如TCP或UDP)报头之前插入AH或ESP报头;隧道模式SA是将整个原始的IP数据包放入一个新的IP数据包中 。在采用隧道模式SA时,每一个IP数据包都有两个IP报头:外部IP报头和内部IP报头 。外部IP报头指定将对IP数据包进行IPSec处理的目的地址,内部IP报头指定原始IP数据包最终的目的地址 。传输模式SA只能用于两个主机之间的IP通信,而隧道模式SA既可以用于两个主机之间的IP通信,还可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信 。安全网关可以是路由器、防火墙或VPN设备 。
做为IPv6的一个组成部分,IPSec是一个网络层协议 。它只负责其下层的网络安全,并不负责其上层应用的安全,如Web、电子邮件和文件传输等 。也就是说,验证一个Web会话,依然需要使用SSL协议 。不过,TCP/IPv6协议簇中的协议可以从IPSec中受益,例如,用于IPv6的OSPFv6路由协议就去掉了用于IPv4的OSPF中的认证机制 。
作为IPSec的一项重要应用,IPv6集成了虚拟专用网(VPN)的功能,使用IPv6可以更轻易地、实现更为安全可靠的虚拟专用网 。
服务质量的满足
基于IPv4的Internet在设计之初,只有一种简单的服务质量,即采用“尽最大努力”(Best effort)传输,从原理上讲服务质量QoS是无保证的 。文本传输,静态图像等传输对QoS并无要求 。随着IP网上多媒体业务增加,如IP电话、VoD、电视会议等实时应用,对传输延时和延时抖动均有严格的要求 。
IPv6数据包的格式包含一个8位的业务流类别(Class)和一个新的20位的流标签(Flow Label) 。最早在RFC1883中定义了4位的优先级字段,可以区分16个不同的优先级 。后来在RFC2460里改为8位的类别字段 。其数值及如何使用还没有定义,其目的是答应发送业务流的源节点和转发业务流的路由器在数据包上加上标记,并进行除默认处理之外的不同处理 。一般来说,在所选择的链路上,可以根据开销、带宽、延时或其他特性对数据包进行非凡的处理 。
一个流是以某种方式相关的一系列信息包,IP层必须以相关的方式对待它们 。决定信息包属于同一流的参数包括:源地址,目的地址,QoS,身份认证及安全性 。IPv6中流的概念的引入仍然是在无连接协议的基础上的,一个流可以包含几个TCP连接,一个流的目的地址可以是单个节点也可以是一组节点 。IPv6的中间节点接收到一个信息包时,通过验证他的流标签,就可以判定它属于哪个流,然后就可以知道信息包的QoS需求,进行快速的转发 。
推荐阅读
- 夏天养鸭子降温怎么做?鸭子夏天吃什么防暑降温
- 华为jkmaloob型号是啥
- 我不是购物狂什么时候更新
- 陈情令为什么叫陈情令
- 绿米和小米什么关系
- 什么是WAP协议
- 日本投降是哪一年哪一天 日本投降是什么时候
- 科三考什么多少分合格
- 苹果6的电池容量是多少
- 为什么乌贼会喷墨汁 乌贼为什么会喷墨汁