【正文】 , + )[0..47]* PRF(secret, label, seed)為偽隨機(jī)函數(shù)44會(huì)話恢復(fù)n 整個(gè)握手協(xié)議開銷巨大 ,如果集成會(huì)話恢復(fù)機(jī)制 ,則可以在客戶和服務(wù)器通信過一次的情況下 ,可以跳過握手階段而直接進(jìn)行數(shù)據(jù)傳輸 .n 通過使用上一次握手中確立的 pre_master_secret,則可以避免許多計(jì)算開銷。46再握手n 是在當(dāng)前受保護(hù)的連接上進(jìn)行的一次新的 SSL握手，因而傳輸過程中的握手消息是經(jīng)過加密的n 一旦新的握手完成，將使用新的會(huì)話狀態(tài)來保護(hù)數(shù)據(jù)n 客戶端可以簡(jiǎn)單的通過發(fā)送一條 ClientHello消息來初始化一次新的握手n 服務(wù)器端可以通過 HelloRequest消息來初始化一次新的握手47安全電子交易 (SET)n Security Electronic Transaction。 48SET的設(shè)計(jì)目標(biāo)n 為支付 /訂購(gòu)信息提供 機(jī)密性 。 n 協(xié)議應(yīng)該獨(dú)立于硬件平臺(tái)、操作系統(tǒng)和 WEB軟件。 4. 持卡用戶訂購(gòu)商品。 8. 商家確認(rèn)訂購(gòu)。n 但是實(shí)際上訂購(gòu)信息是發(fā)送給商家的，而支付信息是需要發(fā)送給銀行系統(tǒng)的。 n 雙向簽名可以連接兩個(gè)發(fā)送給不同接收者的消息報(bào)文 ，可以滿足這種需求52........SET的雙向簽名機(jī)制53購(gòu)買請(qǐng)求消息n 與支付相關(guān)的信息：與支付相關(guān)的信息將被商家轉(zhuǎn)發(fā)給支付網(wǎng)關(guān)。 n 持卡用戶的證書。n 處理訂購(gòu)信息，并將支付信息轉(zhuǎn)交給支付網(wǎng)關(guān)進(jìn)行支付認(rèn)可。 n 與支付相關(guān)的信息； n 與認(rèn)可有關(guān)的信息； n 證書。n 對(duì)認(rèn)支付數(shù)據(jù)塊的數(shù)字信封進(jìn)行解密，獲得一次性對(duì)稱密鑰，然后解密支付數(shù)據(jù)塊。從發(fā)卡機(jī)構(gòu)獲得了認(rèn)可之后，支付網(wǎng)關(guān)就可向商家返回 “認(rèn)可響應(yīng) ”報(bào)文。 n 支付網(wǎng)關(guān)通過專用支付網(wǎng)絡(luò)向發(fā)卡機(jī)構(gòu)發(fā)送清算請(qǐng)求，其執(zhí)行的結(jié)果是將貨款劃撥到商家的賬戶。為了保障信息的安全， VPN技術(shù)采用了鑒別、訪問控制、保密性、完整性等措施，以防止信息被泄露、篡改和復(fù)制。63P即 Private，表示 VPN是被特定企業(yè)或用戶私有的，并不是任何公共網(wǎng)絡(luò)上的用戶都能夠使用已經(jīng)建立的 VPN通道，而是只有經(jīng)過授權(quán)的用戶才可以使用。64VPN有 3種類型： Access VPN（遠(yuǎn)程訪問 VPN）、Intra VPN（企業(yè)內(nèi)部 VPN）和 Extra VPN（企業(yè)擴(kuò)展 VPN），這 3種類型的 VPN分別對(duì)應(yīng)于傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的 Intra以及企業(yè)和合作伙伴的網(wǎng)絡(luò)所構(gòu)成的 Extra。這種方式需要購(gòu)買專門的 RAS設(shè)備，價(jià)格昂貴，用戶只能進(jìn)行撥號(hào)，也不能保證通信安全，而且對(duì)于遠(yuǎn)程用戶可能要支付昂貴的長(zhǎng)途撥號(hào)費(fèi)用。68 VPN如果要進(jìn)行企業(yè)內(nèi)部異地分支機(jī)構(gòu)的互聯(lián)，可以使用 Intra VPN方式，這是所謂的網(wǎng)關(guān)對(duì)網(wǎng)關(guān) VPN，它對(duì)應(yīng)于傳統(tǒng)的 Intra解決方案，如圖所示。69Intra VPN70 VPN如果一個(gè)企業(yè)希望將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)，可以使用Extra VPN，它對(duì)應(yīng)于傳統(tǒng)的 Extra解決方案，如圖所示。如果是采用遠(yuǎn)程撥號(hào)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部資源，還需要支付長(zhǎng)途話費(fèi)；而采用 VPN技術(shù)，只需撥入當(dāng)?shù)氐?ISP就可以安全地接入內(nèi)部網(wǎng)絡(luò)，這樣也節(jié)省了線路話費(fèi)。在現(xiàn)在的網(wǎng)絡(luò)應(yīng)用中，除了讓外部合法用戶通過 VPN訪問內(nèi)部資源外，還需要內(nèi)部用戶方便地訪問 Inter，這樣可將 VPN設(shè)備和防火墻配合，在保證網(wǎng)絡(luò)暢通的情況下，盡可能的保證訪問安全。密鑰交換協(xié)議采用軟件方式動(dòng)態(tài)生成密鑰，保證密鑰在公共網(wǎng)絡(luò)上安全地傳輸而不被竊取，適合于復(fù)雜網(wǎng)絡(luò)的情況，而且密鑰可快速更新，可以顯著提高VPN應(yīng)用的安全性。77什么是 MPLS？n MPLS（ Multi Protocol Label Switching）：多協(xié)議標(biāo)記（標(biāo)簽）交換n 起源于 Cisco的 Tag Switching（ 1996），后由IETF標(biāo)準(zhǔn)化，并改為多協(xié)議標(biāo)記交換。n MPLS VPN不涉及認(rèn)證、加密功能。n MPLS吸收了 ATM網(wǎng)絡(luò)的 VPI/VCI交換思想，集成了 IP路由技術(shù)的靈活性和 2層交換的簡(jiǎn)捷性，為 IP網(wǎng)絡(luò)提供了面向連接的交換。SKIP是由 SUN所發(fā)展的技術(shù)，主要利用Diffie? Hellman算法在網(wǎng)絡(luò)上傳輸密鑰。密鑰的分發(fā)有兩種方法：一種是通過手工配置的方式，另一種是采用密鑰交換協(xié)議動(dòng)態(tài)分發(fā)。如果采用 VPN，只是在結(jié)點(diǎn)處架設(shè) VPN設(shè)備，就可以利用Inter建立安全連接，如果有新的內(nèi)部網(wǎng)絡(luò)想加入安全連接，只需添加一臺(tái) VPN設(shè)備，改變相關(guān)配置即可。71Extra VPN72VPN具有以下優(yōu)點(diǎn)。Intra VPN利用公共網(wǎng)絡(luò)（如 Inter）的基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。Access VPN的撥入方式包括撥號(hào)、 ISDN、數(shù)字用戶線路 (xDSL)等，惟一的要求就是能夠使用合法 IP地址訪問 Inter，具體何種方式?jīng)]有關(guān)系。VPN的類型65Access VPN66Access VPN對(duì)應(yīng)于傳統(tǒng)的遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)。因此，只有特定的企業(yè)和用戶群體才能夠利用該通道進(jìn)行安全的通信。傳統(tǒng)的專用網(wǎng)絡(luò)往往需要建立自己的物理專用線路，使用昂貴的長(zhǎng)途撥號(hào)以及長(zhǎng)途專線服務(wù)；而 VPN則是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個(gè)邏輯上的專用通道，盡管沒有自己的專用線路，但是這個(gè)邏輯上的專用通道卻可以提供和專用網(wǎng)絡(luò)同樣的功能。 59SET的雙向簽名傳送消息流程60SET隱私保護(hù)的不足n SET協(xié)議至少應(yīng)該增加三方面的考慮：n ① 信用卡信息應(yīng)該僅由持卡人和發(fā)卡行知道；n ② 訂單消息應(yīng)該僅由持卡人和商家知道；n ③ 商家的真實(shí)身份不應(yīng)該被發(fā)卡行知道。n 商家發(fā)送收款請(qǐng)求消息。n 驗(yàn)證從商家提交的交易 ID是否與用戶 PI中的交易 ID匹配。n 對(duì)認(rèn)可數(shù)據(jù)塊的數(shù)字信封進(jìn)行解密，獲得一次性對(duì)稱密鑰，然后解密認(rèn)可數(shù)據(jù)塊。 57支付認(rèn)可n 商家在處理來自持卡用戶的購(gòu)買請(qǐng)求期間，需要請(qǐng)求支付網(wǎng)關(guān)來認(rèn)可和確認(rèn)該項(xiàng)交易。 54持卡用戶生成 “購(gòu)買請(qǐng)求 ”的過程55商家對(duì)用戶 “購(gòu)買請(qǐng)求 ”的驗(yàn)證56商家對(duì)用戶 “購(gòu)買請(qǐng)求 ”的驗(yàn)證過程n 通過持卡用戶的 CA簽名來驗(yàn)證持卡用戶的證書。 n 與訂購(gòu)有關(guān)的信息 ：是商家處理交易所必需的信息。 n 簡(jiǎn)單地將 OI和 PI分離是不行的。 10. 商家請(qǐng)求支付。 6. 用戶發(fā)送訂購(gòu)和支付信息。 2. 持卡用戶獲得證書。 n 鑒別 持卡者是否是信用卡賬戶的合法用戶。 n SET中的核心技術(shù)包括公開密鑰加密、數(shù)字簽名、電子信封、電子證書（ PKI） 等。n 通過客戶使用