【正文】 n 一個(gè) SSL會(huì)話是在客戶與服務(wù)器之間的一個(gè)關(guān)聯(lián)；n 會(huì)話由 Handshake Protocol創(chuàng)建。n 3 端對(duì)端連接，保證數(shù)據(jù)信息完整性 (防止數(shù)據(jù)的損壞 )。23SSL的服務(wù)n SSL用下面的三種服務(wù)來(lái)讓用戶和服務(wù)器對(duì)它們傳送的信息進(jìn)行保護(hù)：n 1．用數(shù)字證書實(shí)現(xiàn)的服務(wù)器認(rèn)證 (防止冒名頂替者 )。21Windows 2023 和 XP下的 IPSec管理工具n IPSec Security Policies snapin for the MMC()n 22........SSLn Secure Socket Layer,是 Netscape提出的。n IKE本身是一種常規(guī)用途的安全交換協(xié)議，可用于策略的協(xié)商及幫助驗(yàn)證加密資源的建立 n IKE描述了安全參數(shù)協(xié)商的兩個(gè)獨(dú)立階段。 n 其格式不依賴于特定的密鑰交換協(xié)議、加密算法和鑒別機(jī)制，而是提供了一個(gè)整體性的框架。n IKE以 Oakley密鑰交換協(xié)議為基礎(chǔ)。安全關(guān)聯(lián)的源地址；如果多種發(fā)送系統(tǒng)共享與目的點(diǎn)相同的安全關(guān)聯(lián)，可能是一個(gè)通配符地址（建議所有的實(shí)現(xiàn)）18密鑰管理協(xié)議 n 主要包括兩部分：n 因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議 ISAKMP（ Inter Security Association and Key Management Protocol）n ISAKMP提供了一個(gè)因特網(wǎng)密鑰管理框架，并為安全屬性的協(xié)商提供了特定的協(xié)議支持，包括 協(xié)議的格式 等n 相關(guān)的 RFC文檔是 RFC2408。密鑰的周期或者應(yīng)該進(jìn)行密鑰交換的時(shí)間（建議所有的實(shí)現(xiàn)）n 用于加密算法（要求 ESP實(shí)現(xiàn)）的密碼同步或初始化向量字段的存在 /丟失和大小n 加密算法、算法模式和與 IP ESP（要求 ESP實(shí)現(xiàn)）一道使用的轉(zhuǎn)換n 鑒別算法和算法模式，與 IP AH（要求 AH實(shí)現(xiàn)）一道使用n n 安全關(guān)聯(lián)數(shù)據(jù)庫(kù)用于定義與每個(gè) SA相關(guān)聯(lián)的參數(shù)值 ，如：序列號(hào)、抗重播窗口 、 AH/ESP信息 、 SA的有效期 、工作模式 。它同時(shí)決定了方向。 n SA決定兩個(gè)主機(jī)間通信的安全特征。 n 每個(gè) ESP SA都至少有一個(gè)加密器或一個(gè)鑒別器。13ESP的加密和鑒別 n 用來(lái)加密的算法叫作加密器（ cipher）。 n 可選：提供數(shù)據(jù)完整性和鑒別服務(wù)。n 一些有限的抗重播服務(wù) n 防止消息重放攻擊。 8 IPSec提供的安全服務(wù) 協(xié)議安 全服務(wù)9傳輸模式和隧道模式的比較 10......鑒別首部（ AH） n 為 IP提供數(shù)據(jù)完整性n 防止傳輸過(guò)程中對(duì)數(shù)據(jù)包內(nèi)容的修改。 n SA （安全關(guān)聯(lián)） 表示了策略實(shí)施的具體細(xì)節(jié)，包括源／目的地址、應(yīng)用協(xié)議、 Spi （安全策略索引）、所用算法／密鑰／長(zhǎng)度； n SAD 為進(jìn)入和外出包處理維持一個(gè)活動(dòng)的 SA 列表； n SPD 決定了整個(gè) VPN 的安全需求。n 密鑰管理： 密鑰管理的一組方案，其中 IKE （ Inter 密鑰交換協(xié)議）是默認(rèn)的密鑰自動(dòng)交換協(xié)議；n 解釋域： 彼此相關(guān)各部分的標(biāo)識(shí)符及運(yùn)作參數(shù)； n 策略： 決定兩個(gè)實(shí)體之間能否通信，以及如何進(jìn)行通信。n 加密算法： 何種加密算法用于 ESP中 算法、密鑰大小、程序 等。 n 如果需要的話， IPSec可以為個(gè)體用戶提供安全保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。n IPSec在傳輸層之下，對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的。因此可以增強(qiáng)所有分布式應(yīng)用的安全性。n 與合作伙伴建立 extra與 intra的互連。4IPSec的應(yīng)用n IPSec為在 LAN、 WAN 和 Inter上的通訊提供安全性n 分支辦公機(jī)構(gòu)通過(guò) Inter互連。 ISAKMP/IKE/Oakley支持自動(dòng)建立加密、鑒別信道，以及密鑰的自動(dòng)安全分發(fā)和更新。華南理工大學(xué)電子商務(wù)學(xué)院本科課程－－ 電子商務(wù)安全與保密大綱第 10章 安全通信協(xié)議與交易協(xié)議1本章要點(diǎn)：→ IPSec的體系結(jié)構(gòu)→ IPSec的傳輸模式→ SSL協(xié)議的體系結(jié)構(gòu)→ SSL握手協(xié)議→ SET協(xié)議的基本內(nèi)容→ 雙簽名協(xié)議→ VPN2IPv4的缺陷n 缺乏對(duì)通信雙方身份真實(shí)性的鑒別能力n 缺乏對(duì)傳輸數(shù)據(jù)的完整性和機(jī)密性保護(hù)的機(jī)制n 由于 IP地址可軟件配置以及基于源 IP地址的鑒別機(jī)制， IP層存在：n 業(yè)務(wù)流被監(jiān)聽(tīng)和捕獲、 IP地址欺騙、信息泄露和數(shù)據(jù)項(xiàng)篡改等攻擊n 網(wǎng)絡(luò)層安全性n 需求：身份鑒別、數(shù)據(jù)完整性和保密性n 好處：對(duì)于應(yīng)用層透明n 彌補(bǔ) IPv4在協(xié)議設(shè)計(jì)時(shí)缺乏安全性考慮的不足3IPSec的歷史n 1994年 IETF專門成立 IP安全協(xié)議工作組，來(lái)制定和推動(dòng)一套稱為 IPsec的 IP安全協(xié)議標(biāo)準(zhǔn)。n 1995年 8月公布了一系列關(guān)于 IPSec的建議標(biāo)準(zhǔn)n 1996年， IETF公布下一代 IP的標(biāo)準(zhǔn) IPv6 ，把鑒別和加密作為必要的特征， IPSec成為其必要的組成部分n 1999年底， IETF安全工作組完成了 IPSec的擴(kuò)展，在IPSec協(xié)議中加上 ISAKMP(Inter Security Association and Key Management Protocol)協(xié)議，密鑰分配協(xié)議 IKE、 Oakley。n 幸運(yùn)的是， IPv4也可以實(shí)現(xiàn)這些安全特性。 (Secure VPN)n 通過(guò) Inter的遠(yuǎn)程訪問(wèn)。n 增強(qiáng)電子商務(wù)安全性n IPSec的主要特征是可以支持 IP層所有流量的加密和 /或鑒別。5.................................IPSec的優(yōu)點(diǎn) n 如果在路由器或防火墻上執(zhí)行了 IPSec，它就會(huì)為周邊的通信提供強(qiáng)有力的安全保障。n IPSec對(duì)終端用戶來(lái)說(shuō)是透明的。 6........................IPSec體系結(jié)構(gòu) 7...IPSec要素 n IPSec結(jié)構(gòu)： 包含了一般概念、安全需求、定義和定義 IPSec 的技術(shù)機(jī)制； n ESP： 覆蓋了為了包加密（可選身份驗(yàn)證）與 ESP 的使用相關(guān)的包格式n 和常規(guī)問(wèn)題； n AH： 定義了如何使用 AH進(jìn)行 數(shù)據(jù)包鑒別 的處理規(guī)則， AH首部的格式n 以及他們提供的服務(wù)。n 鑒別算法： 何種 身份鑒別算法 用于 AH和 ESP的鑒別選項(xiàng)中。策略的核心由三部分組成： SA 、 SAD 、 SPD 。策略部分是唯一尚未成為標(biāo)準(zhǔn)的組件。 n 數(shù)據(jù)源身份驗(yàn)證（鑒別）n 防止地址欺騙攻擊。 n 不保證任何的機(jī)密性 11傳輸模式和隧道模式的 AH數(shù)據(jù)包格式 12......封裝安全載荷（ ESP） n 提供保密性和抗重播服務(wù) n 包括數(shù)據(jù)包內(nèi)容的保密性和有限的流量保密性。 n 是一個(gè)