前面几节所讨论的网络安全原理都可用在因特网中,目前在网络层、运输层和应用层都有相应的网络安全协议。A1101R04C-EZ4A下面分别介绍这些协议的要点。

   网络层安全协议

   现在因特网的网络层安全协议IPscc已在很多的RFC文档中给出了详细的描述。IPscc就是“IP安全6ccur灯)协议”的缩写。在这些文档中,最重要的就是描述IP安全体系结构的m℃43o1和提供IPsec协议族概述的RFC2411。在IPsec协议族中有两个最主要的协

议:鉴别首部AH lAuthClltic肫ion Hcadcr)协议和封装安全有效载荷EsP lFncapsulationsecLlrity Pγload)协议。AH协议提供源点鉴别和数据完整性,但不能保密。而ESP协议比AH协议复杂得多,它提供源点鉴别、数据完整性和保密。IPscc支持IPv4和IPv6。在IPⅤ6中,AH和ESP都是扩展首部的一部分。

AH协议的功能都已包含在EsP协议中,因此使用EsP协议就可以不使用AH协议。

   但AH协议早已使用在一些商品中,因此现在AH协议还没有被废弃。下面我们不再讨论AH协议,而只介绍EsP协议的要点。

使用IP∞c协议的IP数据报称为IPscc数据报,它可以在两个主机之间、两个路由器之间或在一个主机和一个路由器之间发送。在发送IPscc数据报之前,在源实体和目的实体之间必须创建一条网络层的逻辑连接,即安全关联sA(SecLlrity Association)。这样,IPsec就

把传统的因特网无连接的网络层变为具有逻辑连接的一个层。安全关联是从源点到终点的单向连接,它能够提供安全服务。如要进行双向的安全通信,则需要建立两个方向的安全关联。假定某公司有一个公司总部和在外地的一个分公司。总部需要和这个分公司以及分公司中的刀个员工进行安全的双向通信。那么,在这种情况下,一共需要创建⑿+2⑷条安全关联sA。在这些安全关联sA上传送的就是安全的IPsec数据报。图⒎12是一条从路由器R1到△的安全关联sA的示意图。IPscc数据报就是在安全关联sA连接上传送的。