网络操作系统PPT教学课件-第五章_Windows网络.ppt

ESP加密和鉴别的范围 * 协议驱动程序  －TCP/IP扩展 IPSec体系结构 * 协议驱动程序  －TCP/IP扩展 安全关联 安全关联是一种为其承载的通信量提供安全服务的单向的连接关系。 若需要建立双向连接，则需要两个安全关联（每个方向一个）。 SA通过使用AH或ESP协议（但不能同时使用）提供安全服务。 * 协议驱动程序  －TCP/IP扩展 安全关联可表示为一个三元组：SA = SPI，IPDA，SPR SPI：安全参数索引。 SPI是一个32比特的值，用于区别目的地址与安全协议相同的不同安全关联。 SPI出现在AH和ESP的首部，接收方根据首部中的SPI确定对应的SA。 IPDA：IP目的地址。 SPR：安全协议标识符，可以是AH或ESP。 SA具有两种使用模式：传输模式和隧道模式。 * 协议驱动程序  －TCP/IP扩展 与安全关联SA相关的名义上的数据库：安全策略数据库SPD（Security Policy Database）和安全关联数据库SAD（Security Association Database）。 安全策略数据库SPD SPD是SA处理的基本元素，它定义了对主机与安全网关进出的IP通信量的处理策略，规定了对IP数据报以何种方式提供何种服务。 安全关联数据库SAD SAD包含与SA相关的各种安全参数。 SAD的每一表项定义了与某个安全关联相关的参数。因此，每个SA在SAD中都有一个对应的表项。 * 协议驱动程序  －TCP/IP扩展 Internet密钥交换IKE IPSec的密钥管理涉及秘密密钥的确定和发布。 IPSec体系结构强制支持两种类型的密钥管理 手工管理 由系统管理员手工配置密钥，通常用于较小的、静态的环境。 自动管理 支持对SA所使用密钥的按需自动生成和分配，通常用于大型的分布式系统。 * 协议驱动程序  －TCP/IP扩展 IPSec缺省的自动密钥管理协议是ISAKMP/Oakley，包含以下部分： Oakley密钥确定协议（Oakley Key Determination Protocol） 基于Diffie-Hellman密钥交换算法，并提供了附加的安全性。 ISAKMP协议（Internet Security Association and Key Management Protocol） ISAKMP协议提供Internet密钥管理框架以及特定的协议支持以协商安全属性。 * 协议驱动程序  －TCP/IP扩展 Windows的IPSec实现 Windows的IPSec实现建立在IPSec RFC基础上。 Windows IPSec总体结构包括： IPSec策略引擎 IKE IPSec驱动程序 * 协议驱动程序  －TCP/IP扩展 IPSec策略引擎 IPSec策略引擎作为Windows服务运行，位于LSASS进程中。 IPSec策略引擎从活动目录域或本地注册表中获取IPSec策略，然后将IP地址过滤器传递给IPSec驱动程序，将鉴别与安全设置传递给IKE。 * 协议驱动程序  －TCP/IP扩展 IKE IKE等待从IPSec驱动程序发送来的协商SA的请求，然后协商SA，并将协商获得的SA设置传送给IPSec驱动程序。 当IKE收到IPSec驱动程序的协商SA请求时，协商： 主模式（或ISAKMP）SA保护IKE的协商过程。 快模式（或IPSec）SA保护应用程序的流量。 * 协议驱动程序  －TCP/IP扩展 IPSec驱动程序 IPSec驱动程序是设备驱动程序（\Windows\System32\Drivers\Ipsec.sys），被绑定到TCP/IP驱动程序上，并处理流经TCP/IP驱动程序的数据包。 IPSec驱动程序接收来自IPSec策略引擎的IP地址过滤器，然后根据需要，允许、阻止或保护数据包。 为了保护流量，IPSec驱动程序使用当前活动的SA设置，或者请求创建新的SA。 * 协议驱动程序  －TCP/IP扩展 * NDIS驱动程序 NDIS驱动程序 概述 外接NDIS（Remote NDIS） QoS * NDIS驱动程序  －概述 问题 期望协议驱动程序能够理解市场上的每一款网络适配器的细微差别是不现实的； 网络适配器厂商提供了通过该厂商的特定硬件来接收和传输网络消息的设备驱动程序。 解决方法 1989年，Microsoft和3Com联合开发了网络驱动程序接口规范（NDIS，Network Driver Interface Specification），从而驱动程序可以以一种与设备无关的方式来与网络适配器驱动程序进行通信。 遵从NDIS的网络适配器驱动