第13章安全协议主要内容13.1安全协议基本概念安全协议基本概念TCP/IP安全分析TCP/IP安全分析TCP/IP安全分析TCP/IP的安全体系结构13.2IPsec协议基本概念和术语基本概念和术语基本概念和术语IPsec组成AH协议AH报头结构（1）下一个头（NextHeader）：8位，标识下一个使用IP协议号的报头类型，其取值在RFC1700中定义。（2）载荷长度（PayloadLength）：8位，表示以32位为单位的AH头的长度减2。（3）保留（Reserved）：16位，供将来使用。值为0。（4）安全参数索引（SecurityParametersIndex，SPI）：这是一个为数据报识别安全关联SA的32位伪随机值。（5）序列号（SequenceNumber）：从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。（6）认证数据（AuthenticationData，AD）：长度可变，但必须是32位的整数倍，默认长度为96位。包含了数据包的完整性校验值ICV。ESP协议ESP数据包格式（1）安全参数索引（SPI）：32位整数。它和IP头的目的地址、ESP协议一起用以唯一标识对这个包进行ESP保护的SA。（2）序列号（SequenceNumber）：从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包（3）载荷数据：长度不固定，所包含的是由下一个头字段所指示的数据（如整个IP数据包、上层协议TCP或UDP报文等）（4）填充项（Padding）：如果加密算法要求明文是某个数字的整数倍，则通过填充可将明文扩充到所需要的长度。另外，通过填充可以隐藏载荷数据的实际长度，从而对流量提供部分的保密性。（5）填充项长度（PaddingLength）：8位，表明填充项字段中填充以字节为单位的长度。（6）下一个头（NextHeader）：识别下一个使用IP协议号的报头，如TCP或UDP。（7）认证数据（AuthenticationData）：长度不固定，存放的是完整性校验值ICV。IKE协议IPsec的工作模式AH传输模式ESP传输模式AH隧道模式ESP隧道模式IPsec的应用基于IPsec的VPNIPSecVPN的不足SSLVPN产生的背景13.3SSL协议SSL协议简介SSL协议简介—工作模型SSL协议简介—协议架构SSL协议简介—记录层SSL协议简介—握手层SSL协议简介—握手过程SSL协议简介—无客户端认证的全握手过程SSL协议简介—有客户端认证的全握手过程SSL协议简介—会话恢复过程SSL安全协议主要提供三方面的服务SSL安全通信过程SSL协议的分层结构会话与连接SSL握手协议SSLHandshake协议消息类型客户端与服务器产生一条新连接所要进行的初始交换过程包括四个阶段，即建立安全能力、服务器认证与密钥交换、客户端认证与密钥交换、完成。SSL记录协议SSL记录协议运作模式SSL协议安全性分析SSL协议安全性分析SSLVPN与IPSecVPN的比较13.4安全电子交易协议SETSET提供的服务SET交易分为三个阶段SET交易的参与者进行一个SET交易所经历的事件双重签名双重签名的生成过程购买请求阶段（1）购买请求阶段（2）购买请求阶段（3）支付授权阶段取得支付阶段SET协议的安全性分析