2011年軟件水平考試網(wǎng)絡(luò)工程師全面復(fù)習(xí)資料(29)

　　三.IPsec與VPN簡介

　　IPSec，因特網(wǎng)協(xié)議安全，是由IETF(Internet Engineering Task Force)定義的一套在網(wǎng)絡(luò)層提供IP安全性的協(xié)議。

　　1. 基于Ipsec的VPN，如阿姆瑞特VPN，由兩部分組成

　　1.Internet密鑰交換協(xié)議(IKE)

　　2.IPsec協(xié)議(AH/ESP/二者都有)

　　第一部分，IKE是初始協(xié)商階段，兩個VPN端點在這個階段協(xié)商使用哪種方法為下面的IP數(shù)據(jù)流提供安全。而且，通過定義一套安全聯(lián)盟(SA)，IKE用于管理連接;SA面向每個連接的。SA是單向的，因此每個Ipsec連接至少有2個SA。在IKE(因特網(wǎng)密鑰交換)部分對此有更詳細的描述。

　　另一部分是IKE協(xié)商后，用加密和認證方法實際傳輸?shù)腎P數(shù)據(jù)。有幾種方法，如IPsec協(xié)議ESP, AH或兩者結(jié)合在一起都可以做到這一點。IPsec協(xié)議(ESP/AH)部分對此進行了解釋。

　　2. 建立VPN事件的流程可做如下簡要描述

　　IKE協(xié)商如何保護IKE

　　IKE協(xié)商如何保護Ipsec

　　Ipsec在VPN中傳輸數(shù)據(jù)

　　Internet密鑰交換協(xié)議(IKE)

　　這部分描述IKE，因特網(wǎng)密鑰交換協(xié)議，及其使用的參數(shù)。

　　加密和認證數(shù)據(jù)比較直接，唯一需要的是加密和認證算法，及其使用的密鑰。因特網(wǎng)密鑰交換協(xié)議(IKE)，用作分配這些對話用密鑰的一種方法，而且在VPN端點間，規(guī)定了如何保護數(shù)據(jù)的方法。

　　3.IKE主要有三項任務(wù)

　　a.為端點間的認證提供方法

　　b.建立新的IPsec連接(創(chuàng)建一對SA)

　　c.管理現(xiàn)有連接

　　IKE跟蹤連接的方法是給每個連接分配一組安全聯(lián)盟(SA)。SA描述與特殊連接相關(guān)的所有參數(shù)，包括使用的Ipsec協(xié)議(ESP/AH/二者兼有)，加密/解密和認證/確認傳輸數(shù)據(jù)使用的對話密鑰。SA本身是單向的，每個連接需要一個以上的SA。大多數(shù)情況下，只使用ESP或AH，每個連接要創(chuàng)建2個SA，一個描述入站數(shù)據(jù)流，另一個描述出站數(shù)據(jù)流。同時使用ESP和AH的情況中就要創(chuàng)建4個SA。

　　4.IKE 協(xié)商

　　協(xié)商對話參數(shù)過程中包含許多階段和模式。下面對其進行具體描述。

　　事件流程如下描述：

　　IKE階段1 協(xié)商應(yīng)該如何保護IKE

　　IKE階段2 協(xié)商應(yīng)該如何保護Ipsec

　　源自階段1的密鑰交換生成一些新的加密信息，以提供VPN數(shù)據(jù)流加密和認證中使用的對話密鑰。

　　IKE和Ipsec連接都有使用期限的限制，使用時間(秒)和數(shù)據(jù)大小(KB)來描述。使用期限用于防止連接建立的時間過長，從密碼學(xué)的角度看，這是有必要的。

　　IPSec的使用期限一般要比IKE的使用期限短。這樣通過進行階段2協(xié)商時，對Ipsec連接再次加密。不必進行另外的階段1協(xié)商直至到IKE使用期限。

　　2010年下半年軟考試題及答案解析匯總

　　2010年下半年軟件水平考試答案

　　2011年軟考網(wǎng)絡(luò)工程師全面復(fù)習(xí)資料匯總