【正文】 1）預(yù)共享密鑰（ 2） DSS數(shù)字簽名、（ 3） RSA數(shù)字簽名（ 4）交換加密。 IKE的第二階段 ——快速模式交換 快速模式交換主要是為通信雙方協(xié)商 IPSec SA的具體參數(shù)，并生成相關(guān)密鑰。 IKE SA通過(guò)數(shù)據(jù)加密、消息驗(yàn)證來(lái)保護(hù)快速模式交換。 快速模式交換和第一階段交換相互關(guān)聯(lián)，來(lái)產(chǎn)生密鑰材料和協(xié)商 IPSec的共享策略。快速模式交換的信息由 IKE SA保護(hù)，即除了 ISA KMP報(bào)頭外，所有的載荷都需要加密，并且還要對(duì)消息進(jìn)行驗(yàn)證。 VPN技術(shù) 虛擬專(zhuān)用網(wǎng)（ Virtual Private Network，VPN）指通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。 VPN的功能 虛擬專(zhuān)用網(wǎng)絡(luò)可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接。虛擬專(zhuān)用網(wǎng)絡(luò)能夠利用 Inter或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專(zhuān)用網(wǎng)絡(luò)一樣的安全和功能保障。虛擬專(zhuān)用網(wǎng)至少應(yīng)能提供 3個(gè)方面功能： ? 加密數(shù)據(jù)，以保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。 ? 信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份。 ? 提供訪問(wèn)控制，不同的用戶有不同的訪問(wèn)權(quán)限。 VPN的解決方案 VPN作為一種組網(wǎng)技術(shù)的概念，有 3種應(yīng)用方式：遠(yuǎn)程訪問(wèn)虛擬專(zhuān)網(wǎng)（ Access VPN）、企業(yè)內(nèi)部虛擬專(zhuān)網(wǎng)（ Intra VPN）、擴(kuò)展的企業(yè)內(nèi)部虛擬專(zhuān)網(wǎng)（ Extra VPN）。 VPN可以在 TCP/IP協(xié)議簇的不同層次上進(jìn)行實(shí)現(xiàn)，在此基礎(chǔ)上提出了多種 VPN解決方案，每一種解決方案都有各自的優(yōu)缺點(diǎn)，用戶根據(jù)需求采用。 VPN技術(shù)通過(guò)架構(gòu)安全為專(zhuān)網(wǎng)通信提供具有隔離性和隱藏性的安全需求。目前， VPN主要采用 4種技術(shù)來(lái)保證安全，這 4種技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。其中隧道技術(shù)是 VPN的基本技術(shù)。 VPN的解決方案 隧道是由隧道協(xié)議形成的，分成第二、三層隧道協(xié)議，在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議， IPSec就屬于這種協(xié)議類(lèi)型；在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有 PPTP、 L2TP等。此外還有兩種 VPN的解決方案：在鏈路層上基于虛擬電路的 VPN技術(shù)和 SOCKS同 SSL（ Secure Socket Layer）協(xié)議配合使用在應(yīng)用層上構(gòu)造 VPN，其中 SOCKS有 SOCK v4和SOCK v5兩個(gè)版本。 基于虛擬電路的 VPN通過(guò)在公共的路由來(lái)傳送 IP服務(wù)。電信運(yùn)營(yíng)商或者電信部門(mén)就是采用這種方法，直接利用其現(xiàn)有的幀交換或信元交換（如 ATM網(wǎng)）基礎(chǔ)設(shè)施提供 IP VPN服務(wù)。它的 QoS能力由 CIR（ Committed Information Rate）和 ATM的 QoS來(lái)確保，另外它具有虛擬電路拓?fù)涞膹椥浴５撬穆酚晒δ懿粔蜢`活，構(gòu)建的相對(duì)費(fèi)用比 IP隧道技術(shù)高，而且還缺少 IP的多業(yè)務(wù)能力，比如： VOIP（ Voice Over IP）。 Web安全概述 Web是一個(gè)運(yùn)行于 Inter和 TCP/IP Intra之上的基本的 Client/Server應(yīng)用。 Web安全性涉及前面討論的所有計(jì)算機(jī)與網(wǎng)絡(luò)的安全性?xún)?nèi)容。同時(shí)還具有新的挑戰(zhàn)。Web具有雙向性， Web Server易于遭受來(lái)自 Inter的攻擊，而且實(shí)現(xiàn) Web瀏覽、配置管理、內(nèi)容發(fā)布等功能的軟件異常復(fù)雜，其中隱藏許多潛在的安全隱患。 實(shí)現(xiàn) Web安全的方法很多，從 TCP/IP協(xié)議的角度可以分成 3種：網(wǎng)絡(luò)層安全性、傳輸成安全性和應(yīng)用層安全性。 網(wǎng)絡(luò)層安全性 傳統(tǒng)的安全體系一般都建立在應(yīng)用層上。這些安全體系雖然具有一定的可行性，但也存在著巨大的安全隱患，因?yàn)?IP包本身不具備任何安全特性，很容易被修改、偽造、查看和重播。 IPSec可提供端到端的安全性機(jī)制，可在網(wǎng)絡(luò)層上對(duì)數(shù)據(jù)包進(jìn)行安全處理。IPSec可以在路由器、防火墻、主機(jī)和通信鏈路上配置，實(shí)現(xiàn)端到端的安全、虛擬專(zhuān)用網(wǎng)絡(luò)和安全隧道技術(shù)等?；诰W(wǎng)絡(luò)層使用IPSec來(lái)實(shí)現(xiàn) Web安全的模型如圖 H T T P F T P S M T PT C PI P / I P S e c傳輸層安全性 在 TCP傳輸層之上實(shí)現(xiàn)數(shù)據(jù)的安全傳輸是另一種安全解決方案，安全套接層 SSL和 TLS（ Transport Layer Security）通常工作在 TCP層之上，可以為更高層協(xié)議提供安全服務(wù)。結(jié)構(gòu)如圖 H T T P F T P S M T PT C PS S L 或 者 T L SI P應(yīng)用層安全性 將安全服務(wù)直接嵌入在應(yīng)用程序中，從而在應(yīng)用層實(shí)現(xiàn)通信安全，如圖所示。 SET（ Secure Electronic Transaction，安全電子交易）是一種安全交易協(xié)議， S/MIME、 PGP是用于安全電子郵件的一種標(biāo)準(zhǔn)。它們都可以在相應(yīng)的應(yīng)用中提供機(jī)密性、完整性和不可抵賴(lài)性等安全服務(wù) S / M I M E P G P S E TT C PS M T P , H T T PI PK e r b e r o sU D PSSL/TLS技術(shù) SSL是 Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于 RSA和保密密鑰的安全連接技術(shù)。 SSL在兩個(gè)結(jié)點(diǎn)間建立安全的 TCP連接，基于進(jìn)程對(duì)進(jìn)程的安全服務(wù)和加密傳輸信道，通過(guò)數(shù)字簽名和數(shù)字證書(shū)可實(shí)現(xiàn)客戶端和服務(wù)器雙方的身份驗(yàn)證，安全強(qiáng)度高。 SSL/TLS的發(fā)展過(guò)程 1994年 Netscape開(kāi)發(fā)了安全套接層協(xié)議Secure Socket Layer，專(zhuān)門(mén)用于保護(hù)Web通訊。最初發(fā)布的 熟，到了 ，基本上可以解決Web通訊的安全問(wèn)題， 1996年發(fā)布了，增加了一些算法，修改了一些缺陷。 1997年 IETF發(fā)布了傳輸層安全協(xié)議 TLS , 也稱(chēng)為 SSL ，同時(shí)，Microsoft宣布與 Netscape一起支持 TLS 。 1999年，正式發(fā)布了 RFC 2246，也就是 The TLS Protocol 本。這些協(xié)議在瀏覽器中得到了廣泛的支持， IE瀏覽器的 SSL和 TLS的設(shè)置如圖 SSL體系結(jié)構(gòu) SSL協(xié)議的目標(biāo)就是在通信雙方利用加密的 SSL信道建立安全的連接。它不是一個(gè)單獨(dú)的協(xié)議，而是兩層協(xié)議，結(jié)構(gòu)如圖 S S L 握 手 協(xié) 議S S L 記 錄 協(xié) 議S S L 更 改 密 碼 規(guī) 則 協(xié) 議 S S L 警 報(bào) 協(xié) 議H T T PT C PI PSSL的會(huì)話與連接 SSL會(huì)話由握手協(xié)議創(chuàng)建，定義了一系列相應(yīng)的安全參數(shù)，最終建立客戶機(jī)和服務(wù)器之間的一個(gè)關(guān)聯(lián)。對(duì)于每個(gè) SSL連接，可利用 SSL會(huì)話避免對(duì)新的安全參數(shù)進(jìn)行代碼繁多協(xié)商。 每個(gè) SSL會(huì)話都有許多與之相關(guān)的狀態(tài)。一旦建立了會(huì)話，就有一個(gè)當(dāng)前操作狀態(tài)。 SSL會(huì)話狀態(tài)參數(shù)包括：（ 1）會(huì)話標(biāo)志符（ Session Identifier）用來(lái)確定活動(dòng)或可恢復(fù)的會(huì)話狀態(tài)；（ 2）對(duì)等實(shí)體證書(shū)（ Peer Certificate），是對(duì)等實(shí)體 v3證書(shū)；（ 3）壓縮方法（ Compression Method）；（ 4）加密規(guī)范（ Cipher Spec）包括加密算法 DES， 3DES和 IDEA等、消息摘要算法 MD5和 SHA1等，以及相關(guān)參數(shù)；（ 5）主密碼（ Master Secret），由客戶機(jī)和服務(wù)器共享的密碼；（ 6）是否可恢復(fù)（ is Resumable）會(huì)話是否可用于初始化新連接的標(biāo)志。 SSL的會(huì)話與連接 SSL連接是一個(gè)雙向連接，每個(gè)連接都和一個(gè) SSL會(huì)話相關(guān)。 SSL連接成功后，可以進(jìn)行安全保密通信。 SSL連接狀態(tài)的參數(shù)包括 7個(gè)： （ 1）服務(wù)器和客戶機(jī)隨機(jī)數(shù)（ Server and Client Random）： Server 和 Client 為每一個(gè)連接所選擇的字節(jié)序列。 （ 2）服務(wù)器寫(xiě) MAC秘密（ Server Write MAC Secret）：一個(gè)密鑰，用來(lái)對(duì) Server 送出的數(shù)據(jù)進(jìn)行 MAC操作。 （ 3）客戶機(jī)寫(xiě) MAC秘密（ Client Write MAC Secret）：一個(gè)密鑰，用來(lái)對(duì) Client送出的數(shù)據(jù)進(jìn)行 MAC操作。 （ 4）服務(wù)器寫(xiě)密鑰（ Server Write Key）：用于 Server 進(jìn)行數(shù)據(jù)加密， Client進(jìn)行數(shù)據(jù)解密的對(duì)稱(chēng)保密密鑰。 （ 5）客戶機(jī)寫(xiě)密鑰（ Client Write Key）：用于 Client 進(jìn)行數(shù)據(jù)加密， Server進(jìn)行數(shù)據(jù)解密的對(duì)稱(chēng)保密密鑰； （ 6）初始化向量（ Initialization Vectors）：當(dāng)數(shù)據(jù)加密采用 CBC方式時(shí)，每一個(gè)密鑰保持一個(gè) IV。該字段首先由 SSL Handshake Protocol，以后保留每次最后的密文數(shù)據(jù)塊作為 IV。 （ 7）序列號(hào)（ Sequence Number）：每一方為每一個(gè)連接的數(shù)據(jù)發(fā)送與接收維護(hù)單獨(dú)的順序號(hào)。當(dāng)一方發(fā)送或接收一個(gè)改變的 cipher spec message時(shí)，序號(hào)置為0, 最大 2641 OpenSSL概述 目前實(shí)現(xiàn) SSL/TLS的軟件雖然不多，但都很優(yōu)秀。