大多數ipsp及其相應的金鑰管理協議的實現均基於unix系統。任何ipsp的實現都必
須跟對應協議棧的原始碼糾纏在一起 而這原始碼又能在unix系統上使用 其原因大概
就在於此。但是 如果要想在internet上更廣泛地使用和採納安全協議 就必須有
相應的ms-dos或windows版本。而在這些系統上實現internet層安全協議所直接面
臨的乙個問題就是 pc上相應的實現tcp/ip的公共原始碼資源什麼也沒有。為克服這
一困難 wagner和bellovin實現了乙個ipsec模組 它象乙個裝置驅動程式一樣工
作 完全處於ip層以下。
internet層安全性的主要優點是它的透明性 就是說 安全服務的提供不需要應用
程式、其他通訊層次和網路部件做任何改動。它的最主要的缺點是: internet層一
般對屬於不同程序和相應條例的包不作區別。對所有去往同一位址的包 它將按照
同樣的加密金鑰和訪問控制策略來處理。這可能導致提供不了所需的功能 也會導
致效能下降。針對面向主機的金鑰分配的這些問題 rfc 1825允許(甚至可以說是
推薦) 使用面向使用者的金鑰分配 其中 不同的連線會得到不同的加密金鑰。但是
面向使用者的金鑰分配需要對相應的作業系統核心作比較大的改動。
雖然ipsp的規範已經基本制訂完畢 但金鑰管理的情況千變萬化 要做的工作還很
多。尚未引起足夠重視的乙個重要的問題是在多播 (multicast)環境下的金鑰分配
問題 例如 在internet多播骨幹網(mbone)或ipv6網中的金鑰分配問題。
簡言之 internet層是非常適合提供基於主機對主機的安全服務的。相應的安全協
議可以用來在internet上建立安全的ip通道和虛擬私有網。例如 利用它對ip包的
加密和解密功能 可以簡捷地強化防火牆系統的防衛能力。事實上 許多廠商已經
這樣做了。rsa資料安全公司已經發起了乙個倡議 來推進多家防火牆和tcp/ip軟
件廠商聯合開發虛擬私有網。該倡議被稱為s-wan(安全廣域網)倡議。其目標是制
訂和推薦internet層的安全協議標準。
防火牆及其他 7
傳輸層的安全性 在internet應用程式設計序中 通常使用廣義的程序間通訊 ipc 機制來同不同層次的 安全協議打交道。比較流行的兩個ipc程式設計介面是bsd sockets和傳輸層介面 tli 在unix系統v裡可以找到。在internet中提供安全服務的首先乙個想法便是強化它的ipc介面 如...
防火牆及其他 2
防火牆技術 古時候 人們常在寓所之間砌起一道磚牆 一旦火災發生 它能夠防止火勢蔓 延到別的寓所。自然 這種牆因此而得名 防火牆 現在 如果乙個網路接到了internet上面 它的使用者就可以訪問外部世界並與 之通訊。但同時 外部世界也同樣可以訪問該網路並與之互動。為安全起見 可以在該網路和inter...
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...