【正文】 ? Inter Security Association and Key Management Protocol， ISAKMP ? 為 Inter環(huán)境下安全協(xié)議使用的安全關(guān)聯(lián)和密鑰的創(chuàng)建定義了一個(gè)標(biāo)準(zhǔn)通用框架，定義了密鑰管理表述語(yǔ)言通用規(guī)則及要求。此報(bào)頭包含一個(gè)被加密的 hash值（可以將其當(dāng)作數(shù)字簽名，只是它不使用證書(shū)），此 hash值在整個(gè)數(shù)據(jù)包中計(jì)算，因此對(duì)數(shù)據(jù)的任何更改將導(dǎo)致 hash值無(wú)效，這樣就提供了完整性保護(hù)。 （ 6）認(rèn)證數(shù)據(jù)（ Authentication Data， AD）：長(zhǎng)度可變，但必須是 32位的整數(shù)倍，默認(rèn)長(zhǎng)度為 96位。它和 IP頭的目的地址、ESP協(xié)議一起用以唯一標(biāo)識(shí)對(duì)這個(gè)包進(jìn)行 ESP保護(hù)的 SA。 ? IKE允許四種認(rèn)證方法，分別是基于數(shù)字簽名的認(rèn)證、基于公鑰加密的認(rèn)證、基于修訂的公鑰加密的認(rèn)證和基于預(yù)共享密鑰的認(rèn)證。雖然 IPSec VPN簡(jiǎn)單高效，但在實(shí)現(xiàn)遠(yuǎn)程接入時(shí)存在以下一些弱點(diǎn)： ? 網(wǎng)絡(luò)的互聯(lián)性不好 ? 客戶(hù)端使用和維護(hù)困難 ? 訪問(wèn)權(quán)限管理粒度較粗 Inter NAT Firewall VPN網(wǎng)關(guān) 部門(mén) 1 部門(mén) 2 部門(mén) 3 Windows XP Windows Vista Linux Mac PDA iPhone SSL VPN產(chǎn)生的背景 對(duì)于 IPSec VPN在實(shí)現(xiàn)遠(yuǎn)程接入方面存在的問(wèn)題， SSL VPN可以很好地給予解決： ? 網(wǎng)絡(luò)互聯(lián)性： SSL工作在 TCP層，不會(huì)受 NAT和防火墻的影響。 ? 面向應(yīng)用程序的 API接口，便于 SSL協(xié)議在客戶(hù)端和服務(wù)器端部署。 ? 對(duì)傳輸數(shù)據(jù)的壓縮。 ? 驗(yàn)證對(duì)方身份 (可選 ) ? 建立并維護(hù) SSL會(huì)話 SSL協(xié)議簡(jiǎn)介 — 握手過(guò)程 SSL握手協(xié)議提供了三種握手過(guò)程： ? 無(wú)客戶(hù)端身份認(rèn)證的全握手過(guò)程 全握手過(guò)程是指一個(gè)完整的 SSL連接建立過(guò)程，在其中需要協(xié)商出新的會(huì)話參數(shù)。 應(yīng)用層協(xié)議（ HTTP、 Tel、 FTP、 SMTP等） SSL握手協(xié)議（ Handshake Protocol） SSL記錄協(xié)議（ Record Protocol） TCP協(xié)議 IP協(xié)議 SSL協(xié)議 會(huì)話與連接 ? Connection (連接 )： ? 一個(gè)在傳輸層協(xié)議上的傳輸媒介，它提供一個(gè)適當(dāng)?shù)姆?wù)。 ? 長(zhǎng)度 (Length)， 3個(gè)字節(jié)：消息的位組長(zhǎng)度。 支持的種類(lèi)多，與原有認(rèn)證系統(tǒng)易于集成。唯有必要的時(shí)候，才會(huì)在必要的場(chǎng)所提供給交易雙方所需的信息。消費(fèi)者需要將這兩個(gè)消息分隔開(kāi)，而受到額外的隱私保護(hù)。 購(gòu)買(mǎi)請(qǐng)求階段（ 2） ?購(gòu)買(mǎi)請(qǐng)求： 購(gòu)買(mǎi)請(qǐng)求信息包括：采購(gòu)相關(guān)的信息、訂單相關(guān)信息、持卡人證書(shū) 購(gòu)買(mǎi)請(qǐng)求階段（ 3） ?購(gòu)買(mǎi)回應(yīng)： 核對(duì)購(gòu)買(mǎi)請(qǐng)求信息并發(fā)回購(gòu)買(mǎi)響應(yīng)消息 支付授權(quán)階段 ? 特約商店會(huì)授權(quán)支付網(wǎng)關(guān)來(lái)處理此次交易。 :08:4823:08:48March 8, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 :08:4823:08Mar238Mar23 ? 1世間成事，不求其絕對(duì)圓滿(mǎn)，留一份不足，可得無(wú)限完美。 , March 8, 2023 ? 閱讀一切好書(shū)如同和過(guò)去最杰出的人談話。 2023年 3月 8日星期三 11時(shí) 8分 48秒 23:08:488 March 2023 ? 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。勝人者有力，自勝者強(qiáng)。 。 2023年 3月 8日星期三 11時(shí) 8分 48秒 23:08:488 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 , March 8, 2023 ? 雨中黃葉樹(shù)，燈下白頭人。 ? 初始請(qǐng)求 ? 消費(fèi)者在初始請(qǐng)求的消息中要求申請(qǐng)證書(shū)，然后這個(gè)消息會(huì)送到特約商店。 SET交易的參與者 ? SET規(guī)范的交易模式中，所參與的個(gè)體包括持卡人、特約商店、發(fā)卡行、收單行、支付網(wǎng)關(guān)、認(rèn)證中心等。 ? SET是應(yīng)用層的安全協(xié)議。 ? 消息完整性 (Message Integrity)： SSL記錄協(xié)議會(huì)協(xié)助雙方產(chǎn)生另一把共有的密鑰，利用這把密鑰來(lái)計(jì)算出消息認(rèn)證碼。這些會(huì)話定義一組以密碼為基礎(chǔ)的安全性參數(shù)，這些參數(shù)能夠由多個(gè)連接來(lái)共同使用。為提高建立 SSL連接的效率， SSL協(xié)議提供了會(huì)話恢復(fù)機(jī)制，使得后面建立的 SSL連接可以利用以前連接的會(huì)話參數(shù)，避免了重新協(xié)商的過(guò)程。 MAC：整個(gè)記錄報(bào)文的消息驗(yàn)證碼，包括從報(bào)文類(lèi)型開(kāi)始的所有字段。 TCP UDP IP SSL Client Application TCP UDP IP SSL Server Application SSL協(xié)議 TCP協(xié)議 應(yīng)用層協(xié)議 SSL協(xié)議簡(jiǎn)介 — 協(xié)議架構(gòu) SSL協(xié)議包含兩層： ? 握手層：負(fù)責(zé)建立 SSL連接 ? 記錄層：負(fù)責(zé)對(duì)報(bào)文進(jìn)行加解密 記錄層協(xié)議 握手 層 記錄 層 Application TCP SSL層 SSL API 密鑰改變協(xié)議 握手協(xié)議 告警協(xié)議 SSL協(xié)議簡(jiǎn)介 — 記錄層 SSL記錄層提供下列功能： ? 保證數(shù)據(jù)傳輸?shù)乃矫苄浴? ? SSL協(xié)議由 Netscape公司于 1994年 11月提出并率先實(shí)現(xiàn)，即SSL InterDraft版本 ? 1996年 3月推出了 SSL InterDraft版本 ,最終被IETF所采納，并制定為傳輸層安全標(biāo)準(zhǔn)。 ? AH隧道模式 ? ESP隧道模式 AH傳輸模式 除變長(zhǎng)字段外都要認(rèn)證 AH傳輸模式下 IPv4封包： 原 IPv4封包： IP頭 TCP/UDP頭 數(shù)據(jù) 原 IP頭 TCP/UDP頭 數(shù)據(jù) AH頭 ESP傳輸模式 加密 ESP傳輸模式下 IPv4封包： 原 IPv4封包： IP頭 TCP/UDP頭 數(shù)據(jù) 原 IP頭 TCP/UDP頭 數(shù)據(jù) ESP頭 ESP尾部 ESP認(rèn)證數(shù)據(jù) 認(rèn)證 AH隧道模式 除新 IP頭變長(zhǎng)字段外都要認(rèn)證 原 IPv4封包： IP頭 TCP/UDP頭 數(shù)據(jù) AH傳輸模式下 IPv4封包： 新 IP頭 AH頭 原 IP頭 TCP/UDP頭 數(shù)據(jù) ESP隧道模式 加密 ESP傳輸模式下 IPv4封包： 原 IPv4封包： IP頭 TCP/UDP頭 數(shù)據(jù) 新 IP頭 TCP/UDP頭 數(shù)據(jù) ESP頭 ESP尾部 ESP認(rèn)證數(shù)據(jù) 認(rèn)證 原 IP頭 IPsec的應(yīng)用 ?目前 IPsec最主要的應(yīng)用就是構(gòu)建安全的虛擬專(zhuān)用網(wǎng)。 （ 6）下一個(gè)頭（ Next Header）：識(shí)別下一個(gè)使用 IP協(xié)議號(hào)的報(bào)頭，如 TCP或 UDP。 ? ESP可以單獨(dú)使用，也可以和 AH結(jié)合使用。 （ 3）保留（ Reserved）： 16位，供將來(lái)使用。 IPsec組成 ? Authenticat