【正文】 的，所以結(jié)點本身必須是安全的。 ? 所有的中間結(jié)點 (包括可能經(jīng)過的路由器 )未必都是安全的。因此必須采取有效措施。 ? 鏈路加密的最大缺點是在中間結(jié)點暴露了信息的內(nèi)容。 ? 在網(wǎng)絡(luò)互連的情況下，僅采用鏈路加密是不能實現(xiàn)通信安全的。 端到端加密 ? 端到端加密是在源結(jié)點和目的結(jié)點中對傳送的 PDU 進行加密和解密，報文的安全性不會因中間結(jié)點的不可靠而受到影響。 結(jié)點 1 結(jié)點 2 DK 明文 X 結(jié)點 n EK 明文 X 結(jié)點 0 EK(X) 鏈路 1 EK(X) 鏈路 2 EK(X) 鏈路 n 端到端鏈路傳送的都是密文 在端到端加密的情況下 ， PDU 的控制信息部分 (如源結(jié)點地址 、 目的結(jié)點地址 、 路由信息等 )不能被加密 ，否則中間結(jié)點就不能正確選擇路由 。 因特網(wǎng)商務(wù)中的加密 安全插口層 SSL ? SSL 又稱為 安全套接層 (Secure Socket Layer)，可對萬維網(wǎng)客戶與服務(wù)器之間傳送的數(shù)據(jù)進行加密和鑒別。 ? SSL 在雙方的聯(lián)絡(luò)階段協(xié)商將使用的加密算法和密鑰，以及客戶與服務(wù)器之間的鑒別。 ? 在聯(lián)絡(luò)階段完成之后，所有傳送的數(shù)據(jù)都使用在聯(lián)絡(luò)階段商定的會話密鑰。 ? SSL 不僅被所有常用的瀏覽器和萬維網(wǎng)服務(wù)器所支持，而且也是運輸層安全協(xié)議 TLS (Transport Layer Security)的基礎(chǔ)。 安全插口層 SSL 的位置 TCP 應(yīng)用層 安全插口層 運輸層 HTTP IMAP SSL 功能 標(biāo)準(zhǔn)插口 在發(fā)送方 ， SSL 接收應(yīng)用層的數(shù)據(jù) （ 如 HTTP 或 IMAP 報文 ） ， 對數(shù)據(jù)進行加密 ， 然后將加了密的數(shù)據(jù)送往 TCP 插口 。 在接收方 ， SSL 從 TCP 插口讀取數(shù)據(jù) ， 解密后將數(shù)據(jù)交給應(yīng)用層 。 SSL 提供以下三個功能 (1) SSL 服務(wù)器鑒別 允許用戶證實服務(wù)器的身份。具有 SS L功能的瀏覽器維持一個表，上面有一些可信賴的 認(rèn)證中心 CA (Certificate Authority)和它們的公開密鑰。 (2) 加密的 SSL 會話 客戶和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密，在接收方解密。 (3) SSL 客戶鑒別 允許服務(wù)器證實客戶的身份。 安全電子交易 SET (Secure Electronic Transaction) ? 安全電子交易 SET 是專為在因特網(wǎng)上進行安全支付卡交易的協(xié)議。 ? SET 的主要特點是： (1) SET 是專為與支付有關(guān)的報文進行加密的。 (2) SET 協(xié)議涉及到三方，即顧客、商家和商業(yè)銀行。所有在這三方之間交互的敏感信息都被加密。 (3) SET 要求這三方都有證書。在 SET 交易中，商家看不見顧客傳送給商業(yè)銀行的信用卡號碼。 因特網(wǎng)的網(wǎng)絡(luò)層安全協(xié)議族 IPsec 1. IPsec 與安全關(guān)聯(lián) SA ? IPsec 就是“ IP安全 (Security)協(xié)議”的縮寫。 ? 網(wǎng)絡(luò)層保密是指所有在 IP 數(shù)據(jù)報中的數(shù)據(jù)都是加密的。此外，網(wǎng)絡(luò)層還應(yīng)提供源站鑒別 ，即當(dāng)目的站收到 IP 數(shù)據(jù)報時，能確信這是從該數(shù)據(jù)報的源 IP地址的主機發(fā)來的。 IPsec 中最主要的兩個部分 ? 鑒別首部 AH (Authentication Header)： AH提供源站鑒別和數(shù)據(jù)完整性，但不能保密。 ? 封裝安全有效載荷 ESP (Encapsulation Security Payload)： ESP 比 AH 復(fù)雜得多，它提供源站鑒別、數(shù)據(jù)完整性和保密。 安全關(guān)聯(lián) SA (Security Association) ? 在使用 AH 或 ESP 之前，先要從源主機到目的主機建立一條網(wǎng)絡(luò)層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián) SA。 ? IPsec 就將傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。 2. 安全關(guān)聯(lián) ? 安全關(guān)聯(lián)是一個單向連接。它由一個三元組惟一地確定，包括： (1) 安全協(xié)議（使用 AH 或 ESP）的標(biāo)識符 (2) 此單向連接的源 IP 地址 (3) 一個 32 bit 的連接標(biāo)識符，稱為 安全參數(shù)索引 SPI (Security Parameter Index) ? 對于一個給定的安全關(guān)聯(lián) SA，每一個 Ipsec 數(shù)據(jù)報都有一個存放 SPI 的字段。通過此 SA 的所有數(shù)據(jù)報都使用同樣的 SPI 值。 2. 鑒別首部 AH ? 在使用鑒別首部 AH 時，將 AH 首部插在原數(shù)據(jù)報數(shù)據(jù)部分的前面，同時將 IP 首部中的協(xié)議字段置為 51。 ? 在傳輸過程中，中間的路由器都不查看 AH 首部。當(dāng)數(shù)據(jù)報到達目的站時，目的站主機才處理 AH 字段，以鑒別源主機和檢查數(shù)據(jù)報的完整性。 IP 首部 AH 首部 TCP/UDP 報文段 協(xié)議 = 51 可鑒別的 IP 數(shù)據(jù)報 原 數(shù)據(jù)報的數(shù)據(jù)部分 AH 首部 (1) 下一個首部 (8 bit)。標(biāo)志緊接著本首部的下一個首部的類型（如 TCP 或 UDP）。 (2) 有效載荷長度 (8 bit)，即鑒別數(shù)據(jù)字段的長度，以 32 bit 字為單位。 (3) 安全參數(shù)索引 SPI (32 bit)。標(biāo)志安全關(guān)聯(lián)。 (4) 序號 (32 bit)。鑒別數(shù)據(jù)字段的長度，以 32 bit字為單位。 (5) 保留 (16 bit)。為今后用。 (6) 鑒別數(shù)據(jù) (可變 )。為 32 bit 字的整數(shù)倍，它包含了經(jīng)數(shù)字簽名的報文摘要。因此可用來鑒別源主機和檢查 IP 數(shù)據(jù)報的完整性。 3. 封裝安全有效載荷 ESP ? 在 ESP 首部中有標(biāo)識一個安全關(guān)聯(lián)的安全參數(shù)索引 SPI (32 bit)，和序號 (32 bit)。 ? 在 ESP 尾部中有下一個首部（ 8 bit，作用和 AH 首部的一樣）。 ESP 尾部和原來數(shù)據(jù)報的數(shù)據(jù)部分一起進行加密，因此攻擊者無法得知所使用的運輸層協(xié)議。 ? ESP 的鑒別數(shù)據(jù)和 AH 中的鑒別數(shù)據(jù)是一樣的。因此，用 ESP 封裝的數(shù)據(jù)報既有鑒別源站和檢查數(shù)據(jù)報完整性的功能，又能提供保密。 在 IP 數(shù)據(jù)報中的 ESP 的各字段 IP 首部 ESP 首部 TCP/UDP 報文段 協(xié)議 = 50 可鑒別的 保密 的 IP 數(shù)據(jù)報 原 數(shù)據(jù)報的數(shù)據(jù)部分 ESP 尾部 ESP 鑒別數(shù)據(jù) 加密 的部分 鑒別 的部分 防火墻 (firewall) ? 防火墻 是由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個網(wǎng)絡(luò)之間實施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。 ? 防火墻內(nèi)的網(wǎng)絡(luò)稱為“ 可信賴的網(wǎng)絡(luò) ” (trusted work)，而將外部的因特網(wǎng)稱為“ 不可信賴的網(wǎng)絡(luò) ” (untrusted work)。 ? 防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。 防火墻在互連網(wǎng)絡(luò)中的位置 G 內(nèi)聯(lián)網(wǎng) 可信賴的網(wǎng)絡(luò) 不可信賴的網(wǎng)絡(luò) 分組過濾 路由器 R 分組過濾 路由器 R 應(yīng)用網(wǎng)關(guān) 外局域網(wǎng) 內(nèi)局域網(wǎng) 防火墻 因特網(wǎng) 防火墻的功能 ? 防火墻的功能有兩個： 阻止 和 允許 。 ? “阻止”就是阻止某種類型的通信量通過防火墻（從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來）。 ? “允許”的功能與“阻止”恰好相反。 ? 防火墻必須能夠識別通信量的各種類型。不過在大多數(shù)情況下防火墻的主要功能是“阻止”。 防火墻技術(shù)一般分為兩類 (1) 網(wǎng)絡(luò)級防火墻 —— 用來防止整個網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。屬于這類的有分組過濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。 (2) 應(yīng)用級防火墻 —— 從應(yīng)用程序來進行接入控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分各種應(yīng)用。例如，可以只允許通過訪問萬維網(wǎng)的應(yīng)用，而阻止 FTP 應(yīng)用的通過。