2011年软件水平考试网络工程师全面复习资料(29)

　　三.IPsec与VPN简介

　　IPSec，因特网协议安全，是由IETF(Internet Engineering Task Force)定义的一套在网络层提供IP安全性的协议。

　　1. 基于Ipsec的VPN，如阿姆瑞特VPN，由两部分组成

　　1.Internet密钥交换协议(IKE)

　　2.IPsec协议(AH/ESP/二者都有)

　　第一部分，IKE是初始协商阶段，两个VPN端点在这个阶段协商使用哪种方法为下面的IP数据流提供安全。而且，通过定义一套安全联盟(SA)，IKE用于管理连接;SA面向每个连接的。SA是单向的，因此每个Ipsec连接至少有2个SA。在IKE(因特网密钥交换)部分对此有更详细的描述。

　　另一部分是IKE协商后，用加密和认证方法实际传输的IP数据。有几种方法，如IPsec协议ESP, AH或两者结合在一起都可以做到这一点。IPsec协议(ESP/AH)部分对此进行了解释。

　　2. 建立VPN事件的流程可做如下简要描述

　　IKE协商如何保护IKE

　　IKE协商如何保护Ipsec

　　Ipsec在VPN中传输数据

　　Internet密钥交换协议(IKE)

　　这部分描述IKE，因特网密钥交换协议，及其使用的参数。

　　加密和认证数据比较直接，唯一需要的是加密和认证算法，及其使用的密钥。因特网密钥交换协议(IKE)，用作分配这些对话用密钥的一种方法，而且在VPN端点间，规定了如何保护数据的方法。

　　3.IKE主要有三项任务

　　a.为端点间的认证提供方法

　　b.建立新的IPsec连接(创建一对SA)

　　c.管理现有连接

　　IKE跟踪连接的方法是给每个连接分配一组安全联盟(SA)。SA描述与特殊连接相关的所有参数，包括使用的Ipsec协议(ESP/AH/二者兼有)，加密/解密和认证/确认传输数据使用的对话密钥。SA本身是单向的，每个连接需要一个以上的SA。大多数情况下，只使用ESP或AH，每个连接要创建2个SA，一个描述入站数据流，另一个描述出站数据流。同时使用ESP和AH的情况中就要创建4个SA。

　　4.IKE 协商

　　协商对话参数过程中包含许多阶段和模式。下面对其进行具体描述。

　　事件流程如下描述：

　　IKE阶段1 协商应该如何保护IKE

　　IKE阶段2 协商应该如何保护Ipsec

　　源自阶段1的密钥交换生成一些新的加密信息，以提供VPN数据流加密和认证中使用的对话密钥。

　　IKE和Ipsec连接都有使用期限的限制，使用时间(秒)和数据大小(KB)来描述。使用期限用于防止连接建立的时间过长，从密码学的角度看，这是有必要的。

　　IPSec的使用期限一般要比IKE的使用期限短。这样通过进行阶段2协商时，对Ipsec连接再次加密。不必进行另外的阶段1协商直至到IKE使用期限。

　　2010年下半年软考试题及答案解析汇总

　　2010年下半年软件水平考试答案

　　2011年软考网络工程师全面复习资料汇总