第5章网络安全协议5.1网络安全协议的概念及作用电子商务交易协议：来支持常用的信用卡支付、数字现金支付和电子支票支付Digicash：是一个匿名的数字现金协议，客户在消费中不会暴露其身份SSL：是一个使用加密的办法建立安全的通信通道的协议,可以支持简单加密的信用卡支付方式，通过采用SSL，可以将客户的信用卡号加密安全地传送给商家SET：是基于安全的信用卡协议，实现了信息的集成、全部金融数据的证实、敏感数据的加密等工作Netbill:是支持电子支票支付的协议电子商务中常见的电子交易有以下五种类型：支付系统无安全措施的模式通过第三方代理人支付的模式数字现金支付模式简单加密支付系统模式安全电子交易SET支付模式安全协议具有以下三种特点5.2网络安全协议的类型SSL是SecureSocketLayer的缩写。它工作在网络传输层之上，最早应用于电子商务的网络安全协议。SSL使客户服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，并选择性的对客户进行认证。目前，SSL协议已被广泛用于Web浏览器与服务器之间的身份认证和加密数据传输，成为Internet上保密通讯的工业标准。现行的web浏览器将HTTP和SSL相结合，从而实现安全通信。SET是SecureElectronicTransaction的缩写，即安全电子交易。电子商务迅速发展的今天，遇到了一个瓶颈，即保证用户在网上安全的使用银行卡进行交易。为此，VISA和MasterCard两大信用卡公司于1997年5月联合推出此规范，它可以保证消费者信用卡数据不会被泄露或窃取。因此，SET协议已经成为公认的信用卡网上交易的国际安全标准。IPSec是IPSecurity的缩写。由于Internet是全球最大的、开放的计算机网络，TCP/IP协议族是实现网络连接和互操作性的关键，但在最初设计IP协议时并没有充分考虑其安全性。为了加强Internet的安全性，Internet安全协议工程任务组研究制定了一套用于保护IP层通信的安全协议。5.3SSL协议5.3安全套接层协议SSLSSL协议的特性SSL/TLS协议栈SSL体系结构5.3.1握手协议完整SSL会话握手协议SSL的工作原理加密的记录5.3.2记录协议记录格式如图5．2所示。P70(1)信息类型：该字段为8位。指示封装在数据段中的信息类型。(2)主要版本：该字段为8位。表明所使用SSL协议的主要版本号。(3)次要版本：该字段为8位。表明所使用SSL协议的次要版本号。(4)压缩长度：该字段为16位。以字节为单位表示数据段的长度。(5)数据段：上层协议处理的数据。发送方记录层工作过程如下(接收方过程反之)：SSL的安全性SSL的应用SSL的缺陷5.4IPSec协议IPSec协议是在IP(IPv4和IPv6)基础上提供的一种可互操作的、基于高质量密码的安全服务。包括接纳控制、无连接完整性、数据原始认证、抗重播保护和数据机密性等，用于保证IP及上层协议安全地交换数据。由于这些安全服务是在IP层提供的，所以可为任何高层协议，如TCP、UDP、ICMP等使用。IPSec安全体系结构如图5.3所示。它由3个主要部分组成：安全协议、安全联盟SA和密钥管理IKE。SA安全关联5.4.1安全协议(1)传输模式：为上层协议数据和选择的IP头字段提供认证保护，且仅适用于主机实现。在这种模式中，AH和ESP会拦截从传输层到网络层的数据包，并根据具体的配置提供安全保护。(2)隧道模式：对整个IP数据项提供认证保护，除了用于主体还可用于安全网关。如果安全性是由一个设备来提供的，而该设备并非数据包的始发点，或者数据包需要保密传输到与实际目的地不同的另一个目的地，则需要采用隧道模式。1ESP协议(1).ESP的格式序列号(SN)：它是一个单向递增的32位无符号整数。使用序列号可以使ESP具有抗重播攻击的能力，因为通过它，可以区分使用同一组加密策略处理不同数据包。加密数据部分包含原IP数据包的有效负载和填充域。有效负载数据：被ESP保护的数据报包含在载荷数据字段中，因此是可变长的数据。可通过下一负载头来指明其数据类型。填充：0～255个字节，填充内容可以由密码算法来指定。填充长度：该字段为8位，指出添加多少填充字段的长度，接收端利用它恢复载荷数据的实际长度。该字段是必须存在，因此，即使没有填充项时，其值也必须表示出来（为0）。下一负载头：该字段为8位，用来指出有效负载所使用的类型。在隧道模式下使用ESP，则该值为4。如果在传输模式下使用，这个值表示它上一级协议的类型，如TCP对应的值为6。认证数据：ESP数据的完整性校验值，