【正文】 – 自動(dòng)的： Inter 密鑰交換 IKE（非IPSec專用） 作用：在 IPSec通信雙方之間，建立起共享安全參數(shù)及驗(yàn)證過的密鑰（建立 “ 安全關(guān)聯(lián) ” ） ,IKE代表 IPSec對(duì) SA進(jìn)行協(xié)商，并對(duì) SADB數(shù)據(jù)庫(kù)進(jìn)行填充 Inter 密鑰交換協(xié)議（ IKE） IKE協(xié)議 – RFC2409，是 Oakley和 SKEME協(xié)議的一種混合 – 基于 ISAKMP框架 – 沿用了 Oakley和 SKEME的共享和密鑰更新技術(shù) ISAKMP: Inter Security Association and Key Management Protocol – RFC 2408 – 定義如何建立安全聯(lián)盟并初始化密鑰 兩階段交換 The first phase, 建立起 ISAKMP SA – 雙方 (例如 ISAKMP Servers)商定如何保護(hù)以后的通訊，通信雙方建立一個(gè)已通過身份鑒別和安全保護(hù)的通道； – 此 SA將用于保護(hù)后面的 protocol SA的協(xié)商過程。 IPSec的內(nèi)容 協(xié)議部分，分為 – AH: Authentication Header – ESP: Encapsulating Security Payload 密鑰管理（ Key Management） – SA（ Security Association） – ISAKMP定義了密鑰管理框架 IKE是目前正式確定用于 IPSec的密鑰交換協(xié)議 IPSec安全體系結(jié)構(gòu)圖 IPSec的實(shí)施 – 與 IP協(xié)議棧緊密集成，直接修改協(xié)議棧 既適用于主機(jī)模式，也適用于安全網(wǎng)關(guān) – 不修改協(xié)議棧 （ 1） BITS （ Bumpinthestack） 位于 IP協(xié)議棧和網(wǎng)絡(luò)驅(qū)動(dòng)程序之間 （ 2） BITW （ Bumpinthewire） 外置加密設(shè)備，通常是可 IP尋址的 IPSec的模式 隧道模式 傳輸模式 安全聯(lián)盟 SA SA是單向的； SA是 “ 協(xié)議相關(guān) ” 的； 每個(gè) SA通過三個(gè)參數(shù)來標(biāo)志 spi,dst(src),protocol －安全參數(shù)索引 SPI(Security Parameters Index) －對(duì)方 IP地址 － 安全協(xié)議標(biāo)識(shí) :AH or ESP SA與 IPSec系統(tǒng)中實(shí)現(xiàn)的兩個(gè)數(shù)據(jù)庫(kù)有關(guān) － 安全策略數(shù)據(jù)庫(kù) (SPD) － 安全關(guān)聯(lián)數(shù)據(jù)庫(kù) (SAD) 封裝安全載荷（ ESP） 提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)； 加密算法和身份驗(yàn)證方法均由 SA指定； 用于兩種模式：傳輸模式和隧道模式。介紹了密鑰交換協(xié)議 IKE，需要了解 IKE協(xié)議的組成 重點(diǎn)理解 VPN的解決方案以及 SSL/TLS技術(shù)的體系結(jié)構(gòu)。 本章小結(jié) 本章主要介紹了 IP安全性和 Web安全性的機(jī)制以及實(shí)現(xiàn)方法。 1996年 2月，美國(guó) Visa和 MasterCard兩大信用卡組織聯(lián)合國(guó)際上多家科技機(jī)構(gòu)，共同制定了應(yīng)用于 Inter上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn)，這就是 安全電子交易 （ Secure Electronic Transaction， SET）。 安全電子交易 SET簡(jiǎn)介 電子商務(wù)在提供機(jī)遇和便利的同時(shí)，也面臨著一個(gè)最大的挑戰(zhàn)，即交易的安全問題。 1995年， Eric A. Young和 Tim J. Hudson開始開發(fā)OpenSSL，后來不斷發(fā)展更新，直到現(xiàn)在， SSL還在不斷的修改和完善，新版本也不斷的推出。當(dāng)一方發(fā)送或接收一個(gè)改變的 cipher spec message時(shí)，序號(hào)置為0, 最大 2641 OpenSSL概述 目前實(shí)現(xiàn) SSL/TLS的軟件雖然不多，但都很優(yōu)秀。該字段首先由 SSL Handshake Protocol，以后保留每次最后的密文數(shù)據(jù)塊作為 IV。 （ 4）服務(wù)器寫密鑰（ Server Write Key）：用于 Server 進(jìn)行數(shù)據(jù)加密， Client進(jìn)行數(shù)據(jù)解密的對(duì)稱保密密鑰。 （ 2）服務(wù)器寫 MAC秘密（ Server Write MAC Secret）：一個(gè)密鑰，用來對(duì) Server 送出的數(shù)據(jù)進(jìn)行 MAC操作。 SSL連接成功后，可以進(jìn)行安全保密通信。 SSL會(huì)話狀態(tài)參數(shù)包括：（ 1）會(huì)話標(biāo)志符（ Session Identifier）用來確定活動(dòng)或可恢復(fù)的會(huì)話狀態(tài)；（ 2）對(duì)等實(shí)體證書（ Peer Certificate），是對(duì)等實(shí)體 v3證書；（ 3）壓縮方法（ Compression Method）；（ 4）加密規(guī)范（ Cipher Spec）包括加密算法 DES， 3DES和 IDEA等、消息摘要算法 MD5和 SHA1等，以及相關(guān)參數(shù)；（ 5）主密碼（ Master Secret），由客戶機(jī)和服務(wù)器共享的密碼；（ 6）是否可恢復(fù)（ is Resumable）會(huì)話是否可用于初始化新連接的標(biāo)志。 每個(gè) SSL會(huì)話都有許多與之相關(guān)的狀態(tài)。它不是一個(gè)單獨(dú)的協(xié)議，而是兩層協(xié)議，結(jié)構(gòu)如圖 S S L 握 手 協(xié) 議S S L 記 錄 協(xié) 議S S L 更 改 密 碼 規(guī) 則 協(xié) 議 S S L 警 報(bào) 協(xié) 議H T T PT C PI PSSL的會(huì)話與連接 SSL會(huì)話由握手協(xié)議創(chuàng)建，定義了一系列相應(yīng)的安全參數(shù)，最終建立客戶機(jī)和服務(wù)器之間的一個(gè)關(guān)聯(lián)。 1999年，正式發(fā)布了 RFC 2246，也就是 The TLS Protocol 本。最初發(fā)布的 熟，到了 ，基本上可以解決Web通訊的安全問題， 1996年發(fā)布了，增加了一些算法，修改了一些缺陷。 SSL在兩個(gè)結(jié)點(diǎn)間建立安全的 TCP連接，基于進(jìn)程對(duì)進(jìn)程的安全服務(wù)和加密傳輸信道，通過數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)客戶端和服務(wù)器雙方的身份驗(yàn)證，安全強(qiáng)度高。 SET（ Secure Electronic Transaction，安全電子交易）是一種安全交易協(xié)議， S/MIME、 PGP是用于安全電子郵件的一種標(biāo)準(zhǔn)?；诰W(wǎng)絡(luò)層使用IPSec來實(shí)現(xiàn) Web安全的模型如圖 H T T P F T P S M T PT C PI P / I P S e c傳輸層安全性 在 TCP傳輸層之上實(shí)現(xiàn)數(shù)據(jù)的安全傳輸是另一種安全解決方案，安全套接層 SSL和 TLS（ Transport Layer Security）通常工作在 TCP層之上，可以為更高層協(xié)議提供安全服務(wù)。 IPSec可提供端到端的安全性機(jī)制，可在網(wǎng)絡(luò)層上對(duì)數(shù)據(jù)包進(jìn)行安全處理。 網(wǎng)絡(luò)層安全性 傳統(tǒng)的安全體系一般都建立在應(yīng)用層上。Web具有雙向性， Web Server易于遭受來自 Inter的攻擊，而且實(shí)現(xiàn) Web瀏覽、配置管理、內(nèi)容發(fā)布等功能的軟件異常復(fù)雜，其中隱藏許多潛在的安全隱患。 Web安全性涉及前面討論的所有計(jì)算機(jī)與網(wǎng)絡(luò)的安全性內(nèi)容。但是它的路由功能不夠靈活，構(gòu)建的相對(duì)費(fèi)用比 IP隧道技術(shù)高，而且還缺少 IP的多業(yè)務(wù)能力，比如： VOIP（ Voice Over IP）。電信運(yùn)營(yíng)商或者電信部門就是采用這種方法，直接利用其現(xiàn)有的幀交換或信元交換（如 ATM網(wǎng)）基礎(chǔ)設(shè)施提供 IP VPN服務(wù)。此外還有兩種 VPN的解決方案：在鏈路層上基于虛擬電路的 VPN技術(shù)和 SOCKS同 SSL（ Secure Socket Layer）協(xié)議配合使用在應(yīng)用層上構(gòu)造 VPN，其中 SOCKS有 SOCK v4和SOCK v5兩個(gè)版本。其中隧道技術(shù)是 VPN的基本技術(shù)。 VPN技術(shù)通過架構(gòu)安全為專網(wǎng)通信提供具有隔離性和隱藏性的安全需求。 VPN的解決方案 VPN作為一種組網(wǎng)技術(shù)的概念，有 3種應(yīng)用方式：遠(yuǎn)程訪問虛擬專網(wǎng)（ Access VPN）、企業(yè)內(nèi)部虛擬專網(wǎng)（ Intra VPN）、擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)（ Extra VPN）。 ? 信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份。虛擬專用網(wǎng)絡(luò)能夠利用 Inter或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。 VPN技術(shù) 虛擬專用網(wǎng)（ Virtual Private Network，VPN）指通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。 快速模式交換和第一階段交換相互關(guān)聯(lián)，來產(chǎn)生密鑰材料和協(xié)商 IPSec的共享策略。 IKE的第二階段 ——快速模式交換 快速模式交換主要是為通信雙方協(xié)商 IPSec SA的具體參數(shù)，并生成相關(guān)密鑰。另外如果發(fā)起者已經(jīng)知道響應(yīng)者的策略，利用野蠻模式可以快速的建立 IKE SA。這兩種模式都可以建立 SA，兩者的區(qū)別在于野蠻模式只用到主模式一半的消息，因此野蠻模式的協(xié)商能力受到限制的，而且它不提供身份保護(hù)。 IKE的第一階段 ——主模式交換和野蠻模式交換 第一階段的主要任務(wù)是建立 IKE SA，為后面的交換提供一個(gè)安全通信信道。 主模式是一種身份保護(hù)交換，野蠻模式基于ISAKMP