密碼學(xué)及安全應(yīng)用7

第7章電子商務(wù)安全協(xié)議電子商務(wù)安全協(xié)議電子商務(wù)安全協(xié)議的作用保證電子商務(wù)網(wǎng)上交易的機(jī)密性、數(shù)據(jù)完整性、身份合法性和不可否認(rèn)性的基礎(chǔ)。實(shí)現(xiàn)電子商務(wù)交易安全的關(guān)鍵技術(shù)之一目前常見(jiàn)的電子商務(wù)安全協(xié)議：

安全套接層協(xié)議SSL(SecuritySocketLayer)安全電子交易協(xié)議SET

3-DSecure支付協(xié)議

以及一些電子支付安全協(xié)議等7.1安全套接層協(xié)議SSL7.2SSL協(xié)議的工作過(guò)程7.3安全電子交易協(xié)議SET7.4SET協(xié)議與SSL協(xié)議的比較7.5IPSec協(xié)議7.6虛擬專(zhuān)用網(wǎng)VPN目錄SSL協(xié)議概述安全套接層協(xié)議SSL是由網(wǎng)景（Netscape）公司于1994年推出的一套基于Web應(yīng)用的Internet安全協(xié)議，該協(xié)議基于TCP/IP協(xié)議，提供瀏覽器和服務(wù)器之間的鑒別和安全通信。SSL協(xié)議通過(guò)在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息，來(lái)實(shí)現(xiàn)有關(guān)安全特性的審查。在SSL握手協(xié)議中采用了DES、MD5等加密技術(shù)來(lái)實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性，并采用X.509的數(shù)字證書(shū)實(shí)現(xiàn)鑒別SSL協(xié)議分為兩層SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議SSL握手協(xié)議用于通信雙方的身份認(rèn)證和密鑰協(xié)商；SSL記錄協(xié)議用于加密傳輸數(shù)據(jù)和對(duì)數(shù)據(jù)完整性的保證HTTPS、FTPS、TELNETS、IMAPSSSL握手協(xié)議SSL記錄協(xié)議TCPIP提示SSL協(xié)議主要用于瀏覽器和服務(wù)器之間相互認(rèn)證和傳輸加密數(shù)據(jù)，此時(shí)瀏覽器和服務(wù)器在應(yīng)用層的通信將采用S-HTTP協(xié)議（安全超文本傳輸協(xié)議），S-HTTP連接的網(wǎng)址以“https://”開(kāi)頭，而不是“http://”。因此說(shuō)S-HTTP協(xié)議是一種基于SSL的應(yīng)用層協(xié)議，而并不等同于SSL。SSL協(xié)議提供的基本安全服務(wù)1）身份認(rèn)證：在瀏覽器和服務(wù)器進(jìn)行通信之前，必須先驗(yàn)證對(duì)方的身份。SSL利用數(shù)字證書(shū)和可信的第三方CA，讓客戶(hù)機(jī)和服務(wù)器相互識(shí)別對(duì)方的身份并進(jìn)行密鑰交換。（2）秘密性：SSL客戶(hù)機(jī)和服務(wù)器之間通過(guò)密碼算法和密鑰的協(xié)商，建立起一個(gè)安全通道，以后在安全通道中傳輸?shù)乃行畔⒍紝⒔?jīng)過(guò)加密處理。（3）完整性：SSL利用密碼算法和散列函數(shù)，通過(guò)對(duì)傳輸信息提取散列值的方法來(lái)保證傳輸信息的完整性SSL協(xié)議安全服務(wù)的實(shí)現(xiàn)1）身份認(rèn)證：通過(guò)驗(yàn)證對(duì)方的數(shù)字證書(shū)，并檢查對(duì)方是否擁有數(shù)字證書(shū)對(duì)應(yīng)的私鑰。（2）秘密性：使用公鑰來(lái)分配一個(gè)對(duì)稱(chēng)密鑰，用該對(duì)稱(chēng)密鑰加密信息。（3）完整性：使用公鑰來(lái)分配一個(gè)求MAC的密鑰，用該密鑰對(duì)消息求消息驗(yàn)證碼。SSL協(xié)議解決的問(wèn)題SSL協(xié)議的過(guò)程分為兩步，第一步是SSL握手協(xié)議，客戶(hù)端和服務(wù)器通過(guò)數(shù)字證書(shū)相互認(rèn)證對(duì)方的身份，并利用數(shù)字證書(shū)來(lái)進(jìn)行對(duì)稱(chēng)密鑰和求消息鑒別碼MAC的密鑰分配。第二步是SSL記錄協(xié)議，用第一步產(chǎn)生的對(duì)稱(chēng)密鑰加密通信雙方傳輸?shù)乃袛?shù)據(jù)，并用求MAC的密鑰對(duì)傳輸?shù)男畔⑶笙㈣b別碼。這樣就實(shí)現(xiàn)了身份認(rèn)證、機(jī)密性和完整性三項(xiàng)安全服務(wù)，但SSL不能實(shí)現(xiàn)不可否認(rèn)性7.1安全套接層協(xié)議SSL7.2SSL協(xié)議的工作過(guò)程7.3安全電子交易協(xié)議SET7.4SET協(xié)議與SSL協(xié)議的比較7.5IPSec協(xié)議7.6虛擬專(zhuān)用網(wǎng)VPN目錄SSL握手協(xié)議握手協(xié)議有兩方面的作用，其一是驗(yàn)證對(duì)方的身份，其二是協(xié)商在以后傳輸加密數(shù)據(jù)時(shí)要使用的會(huì)話密鑰，以及求MAC時(shí)所用的密鑰。SSL握手協(xié)議一般由五個(gè)階段組成：（1）接通階段（Hello階段）（2）密鑰交換階段（3）會(huì)話密鑰生成階段（4）認(rèn)證階段（5）結(jié)束階段SSL握手協(xié)議的全過(guò)程客戶(hù)機(jī)服務(wù)器Time②服務(wù)器鑒別和密鑰交換階段③客戶(hù)鑒別和密鑰交換階段④完成握手協(xié)議①建立安全能力SSL握手協(xié)議中各種密鑰的生成客戶(hù)機(jī)隨機(jī)數(shù)服務(wù)器隨機(jī)數(shù)預(yù)主密鑰主密鑰消息摘要算法客戶(hù)機(jī)隨機(jī)數(shù)服務(wù)器隨機(jī)數(shù)密鑰分組消息摘要算法客戶(hù)端寫(xiě)MAC密鑰服務(wù)器寫(xiě)MAC密鑰客戶(hù)端寫(xiě)密鑰服務(wù)器寫(xiě)密鑰SSL握手過(guò)程的一個(gè)例子客戶(hù)端瀏覽器連接到Web服務(wù)器，發(fā)出建立安全連接通道的請(qǐng)求。服務(wù)器接受客戶(hù)端請(qǐng)求，發(fā)送服務(wù)器證書(shū)做為響應(yīng)?？蛻?hù)端驗(yàn)證服務(wù)器證書(shū)的有效性，如果驗(yàn)證通過(guò)，則用服務(wù)器證書(shū)中包含的服務(wù)器公鑰加密一個(gè)會(huì)話密鑰，并將加密后的數(shù)據(jù)和客戶(hù)端用戶(hù)證書(shū)一起發(fā)送給服務(wù)器。服務(wù)器收到客戶(hù)端發(fā)來(lái)的加密數(shù)據(jù)后，先驗(yàn)證客戶(hù)端證書(shū)的有效性，如果驗(yàn)證通過(guò)，則用其的私鑰解開(kāi)加密數(shù)據(jù)，獲得會(huì)話密鑰。SSL握手過(guò)程的一個(gè)例子續(xù)然后服務(wù)器用客戶(hù)端證書(shū)中包含的公鑰加密該會(huì)話密鑰，并將加密后的數(shù)據(jù)發(fā)送給客戶(hù)端瀏覽器。客戶(hù)端在收到服務(wù)器發(fā)來(lái)的加密數(shù)據(jù)后，用其專(zhuān)用的私有密鑰解開(kāi)加密數(shù)據(jù)，把得到的會(huì)話密鑰與原來(lái)發(fā)出去的會(huì)話密鑰進(jìn)行對(duì)比，如果兩把密鑰一致，說(shuō)明服務(wù)器身份已經(jīng)通過(guò)認(rèn)證雙方將使用這把會(huì)話密鑰建立安全連接通道

SSL記錄協(xié)議SSL記錄協(xié)議將數(shù)據(jù)流分割成一系列的片段并對(duì)這些片段進(jìn)行加密來(lái)傳輸，接收方對(duì)每條記錄單獨(dú)進(jìn)行解密和驗(yàn)證。這種方案使得數(shù)據(jù)一經(jīng)準(zhǔn)備好就可以從連接的一端傳輸?shù)搅硪欢?，并在接收到時(shí)即刻加以處理SSL記錄的數(shù)據(jù)部分包括：MAC-data：認(rèn)證數(shù)據(jù)；Actual-data：未進(jìn)行封裝之前的實(shí)際數(shù)據(jù)；Padding-data：填充數(shù)據(jù)。SSL記錄協(xié)議的操作待傳輸?shù)脑紨?shù)據(jù)分段壓縮添加MAC加密附加SSL記錄報(bào)頭數(shù)據(jù)類(lèi)型主版本號(hào)次版本號(hào)壓縮長(zhǎng)度壓縮分段MACSSL記錄協(xié)議的操作步驟（1）數(shù)據(jù)分塊。每個(gè)上層報(bào)文被分片成214字節(jié)（16k字節(jié)）的數(shù)據(jù)塊或更小。（2）根據(jù)需要進(jìn)行數(shù)據(jù)壓縮。壓縮必須是無(wú)損（lossless）的，因此壓縮后的密文未必比輸入數(shù)據(jù)短，這時(shí)要求增加的內(nèi)容長(zhǎng)度不能超過(guò)1024字節(jié)。（3）對(duì)壓縮數(shù)據(jù)計(jì)算消息鑒別碼MAC，這需要使用雙方在握手階段共享的密鑰。（4）使用同步加密算法對(duì)加上MAC的壓縮報(bào)文進(jìn)行加密，加密對(duì)內(nèi)容長(zhǎng)度增長(zhǎng)不能超過(guò)1024字節(jié)，因此總長(zhǎng)度不可能超過(guò)214+2048字節(jié)。（5）在加密后的報(bào)文信息上添加一個(gè)SSL記錄協(xié)議的頭（首部），使報(bào)文信息形成一個(gè)完整的SSL記錄SSL協(xié)議的應(yīng)用為IIS中的網(wǎng)站啟用SSL協(xié)議（觀看視頻）如果要建立一個(gè)應(yīng)用了SSL協(xié)議的網(wǎng)站（訪問(wèn)該網(wǎng)站需要以https://開(kāi)頭的地址），為客戶(hù)端和服務(wù)器之間提供安全的SSL信息通道，就必須在客戶(hù)端安裝支持SSL的客戶(hù)端證書(shū)（可選）和在服務(wù)器端安裝支持SSL的服務(wù)器證書(shū)對(duì)于IIS來(lái)說(shuō)，在某個(gè)網(wǎng)站的“屬性→目錄安全性”中，點(diǎn)擊“服務(wù)器證書(shū)”就可以為該網(wǎng)站向CA（本機(jī)上的證書(shū)服務(wù)或公共CA）申請(qǐng)證書(shū)，然后將證書(shū)安裝好，并用該證書(shū)申請(qǐng)SSL安全通道IIS中的“服務(wù)器證書(shū)”設(shè)置選項(xiàng)向公共CA申請(qǐng)IIS服務(wù)器證書(shū)為網(wǎng)站啟用SSL服務(wù)完成至此，其他用戶(hù)就可以采用SSL安全方式訪問(wèn)配置好SSL服務(wù)器證書(shū)的Web站點(diǎn)了，即在瀏覽器地址欄中輸入https://開(kāi)頭的URL。這時(shí)如果用Sniffer等抓包軟件抓取客戶(hù)端和服務(wù)器之間傳送的數(shù)據(jù)，就會(huì)發(fā)現(xiàn)數(shù)據(jù)已經(jīng)被加密了7.1安全套接層協(xié)議SSL7.2SSL協(xié)議的工作過(guò)程7.3安全電子交易協(xié)議SET7.4SET協(xié)議與SSL協(xié)議的比較7.5IPSec協(xié)議7.6虛擬專(zhuān)用網(wǎng)VPN目錄SET協(xié)議概述SET協(xié)議是目前廣泛使用的一種網(wǎng)絡(luò)銀行卡付款機(jī)制，是進(jìn)行在線交易時(shí)保證銀行卡安全支付的一個(gè)開(kāi)放協(xié)議。它是保證在開(kāi)放網(wǎng)絡(luò)上進(jìn)行安全支付的技術(shù)標(biāo)準(zhǔn)，是專(zhuān)為保護(hù)持卡人、商家、發(fā)卡銀行和收單銀行之間，在Internet上進(jìn)行信用卡支付的安全交易協(xié)議。SET協(xié)議的目標(biāo)是將銀行卡的使用從商店的POS機(jī)上擴(kuò)展到消費(fèi)者的個(gè)人計(jì)算機(jī)中SET協(xié)議的主要目標(biāo)（1）保證信息在Internet上安全傳輸，SET能確保網(wǎng)絡(luò)上傳輸信息的機(jī)密性及完整性；（2）解決多方身份認(rèn)證的問(wèn)題，SET提供對(duì)交易各方（包括持卡人、商家、收單銀行）的身份認(rèn)證；（3）保證電子商務(wù)各方參與者信息的隔離，客戶(hù)的資料加密或打包后經(jīng)過(guò)商家到達(dá)銀行，但商家看不到客戶(hù)的帳號(hào)和口令信息，保證了客戶(hù)賬戶(hù)的安全和個(gè)人隱私。（4）保證網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過(guò)程都是在線的。（5）規(guī)范協(xié)議和消息格式，使不同廠家基于SET協(xié)議開(kāi)發(fā)的軟件具有兼容性和互操作性。允許在任何軟、硬件平臺(tái)上運(yùn)行，這些規(guī)范保證了SET協(xié)議能夠被廣泛應(yīng)用。（6）實(shí)現(xiàn)可推廣性。

SET系統(tǒng)的參與者

持卡人

網(wǎng)上商店支付網(wǎng)關(guān)認(rèn)證中心CA發(fā)卡銀行

ISO8583銀行網(wǎng)絡(luò)收單銀行

Internet

SET協(xié)議的工作流程1.初始請(qǐng)求

2.初始應(yīng)答3.購(gòu)物請(qǐng)求4.商家發(fā)出支付授權(quán)請(qǐng)求5.支付網(wǎng)關(guān)發(fā)出支付授權(quán)請(qǐng)求6.發(fā)卡銀行對(duì)支付授權(quán)請(qǐng)求應(yīng)答7.支付網(wǎng)關(guān)向商家發(fā)送支付授權(quán)應(yīng)答8.商家向持卡人發(fā)送購(gòu)物應(yīng)答9持卡人接收并處理商家訂單確認(rèn)信息10商家發(fā)貨并結(jié)算雙重簽名的過(guò)程訂單信息OI支付指示PIH(OI)H(PI)HashHash||HashH(OP)RSASign[H(OP)]KRc用戶(hù)的私鑰C顧客M（商家）B（銀行）{OI,H(PI),sign[H(OP)]}的密文{PI,H(OI),sign[H(OP)]}的密文顧客提交的購(gòu)物請(qǐng)求及商家核對(duì)購(gòu)物請(qǐng)求的過(guò)程

C顧客C的數(shù)字證書(shū)EKRb付款指示PI訂單摘要H(OI)雙重簽名sign[H(OP)]由商家轉(zhuǎn)發(fā)給支付網(wǎng)關(guān)訂單信息OI付款摘要H(PI)雙重簽名sign[H(OP)]EKRmH(OI)連接OP’H(OP’)解密C的公鑰H(OP)比較SET協(xié)議的購(gòu)物流程持卡人網(wǎng)絡(luò)商家支付網(wǎng)關(guān)收單銀行認(rèn)證中心CA發(fā)卡銀行審核批準(zhǔn)①初始請(qǐng)求②初始應(yīng)答③購(gòu)物請(qǐng)求⑧購(gòu)物應(yīng)答④支付授權(quán)請(qǐng)求⑤支付請(qǐng)求⑤支付應(yīng)答⑦支付授權(quán)應(yīng)答認(rèn)證認(rèn)證認(rèn)證SET協(xié)議的一些特點(diǎn)（1）交易參與者的身份認(rèn)證采用數(shù)字證書(shū)的方式來(lái)完成，同時(shí)交易參與者用其私鑰對(duì)有關(guān)信息進(jìn)行簽名也驗(yàn)證了他是該證書(shū)的擁有者。（2）交易的不可否認(rèn)性采用數(shù)字簽名的方法實(shí)現(xiàn)，由于數(shù)字簽名是由發(fā)送方的私鑰產(chǎn)生，而發(fā)送方私鑰只有他本人知道，因此發(fā)送方不能對(duì)其發(fā)送過(guò)的交易信息進(jìn)行抵賴(lài)。（3）用報(bào)文摘要算法（散列函數(shù)）來(lái)保證數(shù)據(jù)的完整性，從而確保交易數(shù)據(jù)沒(méi)有遭到過(guò)篡改。（4）由于公鑰加密算法的運(yùn)算速度慢，SET協(xié)議中普遍使用數(shù)字信封技術(shù)，用對(duì)稱(chēng)加密算法來(lái)加密交易數(shù)據(jù)，然后用接收方的公鑰加密對(duì)稱(chēng)密鑰，形成數(shù)字信封完成一個(gè)SET協(xié)議交易過(guò)程需傳遞數(shù)字證書(shū)7次，驗(yàn)證數(shù)字證書(shū)9次，進(jìn)行5次數(shù)字簽名，驗(yàn)證數(shù)字簽名6次，4次對(duì)稱(chēng)加密和4次非對(duì)稱(chēng)加密，4次對(duì)稱(chēng)解密和4次非對(duì)稱(chēng)解密參與方傳遞數(shù)字證書(shū)驗(yàn)證數(shù)字證書(shū)簽名驗(yàn)證簽名對(duì)稱(chēng)加密非對(duì)稱(chēng)加密對(duì)稱(chēng)解密非對(duì)稱(chēng)解密持卡人1次3次1次2次1次1次商家5次3次3次2次1次1次2次2次支付網(wǎng)關(guān)1次3次1次2次2次2次2次2次合計(jì)7次9次5次6次4次4次4次4次7.1安全套接層協(xié)議SSL7.2SSL協(xié)議的工作過(guò)程7.3安全電子交易協(xié)議SET7.4SET協(xié)議與SSL協(xié)議的比較7.5IPSec協(xié)議7.6虛擬專(zhuān)用網(wǎng)VPN目錄SET協(xié)議與SSL協(xié)議的比較SET是應(yīng)用于Internet上的以信用卡為基礎(chǔ)的安全電子交易協(xié)議，是針對(duì)信用卡在Internet上如何安全付款而制訂的交易應(yīng)用協(xié)議，而SSL僅僅是一個(gè)數(shù)據(jù)傳輸?shù)陌踩珔f(xié)議，它只是為了確保通信雙方信息安全傳輸而制訂的協(xié)議也就是說(shuō)，SET是電子商務(wù)交易的專(zhuān)用協(xié)議，而SSL只是保證Web安全的一個(gè)通用協(xié)議。比較1.用戶(hù)接口SSL協(xié)議已經(jīng)被瀏覽器和Web服務(wù)器內(nèi)置，因此無(wú)需安裝專(zhuān)門(mén)的SSL軟件；而SET協(xié)議中客戶(hù)端需要安裝專(zhuān)門(mén)的電子錢(qián)包軟件2.處理速度3.認(rèn)證要求4.安全性5.協(xié)議層次和功能SSL協(xié)議和SET協(xié)議的比較比較內(nèi)容SSLSET應(yīng)用方面因?yàn)榉菓?yīng)用層協(xié)議，所以無(wú)應(yīng)用上的限制，目前多應(yīng)用在以Web網(wǎng)站為基礎(chǔ)的網(wǎng)絡(luò)銀行、網(wǎng)上證券、網(wǎng)絡(luò)購(gòu)物上目前只能應(yīng)用于銀行的信用卡上客戶(hù)端證書(shū)需求可有可無(wú)，因?yàn)閷?duì)客戶(hù)端的認(rèn)證是可選的可選擇有或沒(méi)有（決定于商家所連接的支付網(wǎng)關(guān)），但目前若通過(guò)SET通常都要求客戶(hù)端有數(shù)字證書(shū)PKI規(guī)范無(wú)特別的PKI規(guī)范，只要客戶(hù)端可以確認(rèn)服務(wù)器使用的證書(shū)真實(shí)有效，即可建立雙方的安全通信有明確的PKI規(guī)范，必須是專(zhuān)為某個(gè)SET應(yīng)用建立的PKI身份認(rèn)證只能單向或雙向認(rèn)證可多方認(rèn)證加密的信息有，建立點(diǎn)對(duì)點(diǎn)的秘密信道，且對(duì)所有的消息加密有，且可以針對(duì)某一特定交易信息進(jìn)行加密，如只加密表單中信息完整性消息均有MAC保護(hù)利用SHA-1配合數(shù)字簽名，以確保資料的完整性交易信息來(lái)源識(shí)別無(wú)，雖可通過(guò)數(shù)字簽名做身份識(shí)別，但非應(yīng)用層協(xié)議，無(wú)法針對(duì)某個(gè)應(yīng)用層的交易信息進(jìn)行數(shù)字簽名有，通過(guò)交易信息發(fā)送方的數(shù)字簽名來(lái)驗(yàn)證抗抵賴(lài)性無(wú)，因?yàn)樗幸獋鬏數(shù)男畔⒕詫?duì)稱(chēng)密鑰進(jìn)行加密，無(wú)法實(shí)現(xiàn)不可否認(rèn)性有，通過(guò)數(shù)字簽名來(lái)驗(yàn)證風(fēng)險(xiǎn)性責(zé)任歸屬商家及消費(fèi)者SET相關(guān)銀行組織總結(jié)SET從技術(shù)和流程上都優(yōu)于SSL，在電子交易環(huán)節(jié)上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性，但是SET的實(shí)現(xiàn)成本也高，互操作性差，且實(shí)現(xiàn)過(guò)程復(fù)雜，所以還有待完善。SSL和SET的選擇依據(jù)分析SSL主要是和Web應(yīng)用一起工作，對(duì)于一些簡(jiǎn)單的電子商務(wù)應(yīng)用，SSL也能實(shí)現(xiàn)，因此如果電子商務(wù)應(yīng)用只是通過(guò)Web或是電子郵件，則可以不要SET但如果存在如下兩種情況，最好選擇SET協(xié)議①消費(fèi)者要將信用卡賬號(hào)信息傳遞給商家；②交易涉及多方參與，而不是消費(fèi)者和商家雙方SSL的選用案例以招商銀行的網(wǎng)上銀行“一網(wǎng)通”為例，招商銀行CA系統(tǒng)用于Web服務(wù)器的SSL公開(kāi)密鑰證書(shū)，也可以為客戶(hù)的瀏覽器頒發(fā)證書(shū)，在SSL協(xié)議的對(duì)稱(chēng)密鑰交換過(guò)程中加密密鑰參數(shù)。CA系統(tǒng)處于非聯(lián)機(jī)狀態(tài)，運(yùn)行CA的服務(wù)器在私有網(wǎng)上，用戶(hù)不能通過(guò)Internet訪問(wèn)。CA會(huì)在Web服務(wù)器上提供查詢(xún)和客戶(hù)證書(shū)申請(qǐng)接口RA，用戶(hù)可以查詢(xún)證書(shū)狀態(tài)，提交證書(shū)請(qǐng)求。Web服務(wù)器運(yùn)行CA數(shù)據(jù)庫(kù)的一個(gè)獨(dú)立副本，與CA并沒(méi)有網(wǎng)絡(luò)連接。這樣充分保證了CA的安全7.1安全套接層協(xié)議SSL7.2SSL協(xié)議的工作過(guò)程7.3安全電子交易協(xié)議SET7.4SET協(xié)議與SSL協(xié)議的比較7.5IPSec協(xié)議7.6虛擬專(zhuān)用網(wǎng)VPN

目錄IPSec協(xié)議的起源IPSec是伴隨著IPv6方案逐漸開(kāi)發(fā)和實(shí)施的Internet本體安全性解決方案，力圖在網(wǎng)絡(luò)層對(duì)Internet的安全問(wèn)題做出圓滿(mǎn)的解決，是IPv6安全性方案的重要協(xié)議體系，對(duì)Internet未來(lái)的安全性起著至關(guān)重要的作用。所以，對(duì)于以Internet為物理基礎(chǔ)的電子商務(wù)應(yīng)用來(lái)說(shuō)，在IPSec出現(xiàn)后，電子商務(wù)的安全子系統(tǒng)可以直接構(gòu)建在IPSec體系結(jié)構(gòu)之上IPSec對(duì)IP協(xié)議的安全性作的改進(jìn)①數(shù)據(jù)來(lái)源地址驗(yàn)證；②無(wú)連接數(shù)據(jù)的完整性驗(yàn)證；③保證數(shù)據(jù)內(nèi)容的機(jī)密性；④抗重放保護(hù)；⑤數(shù)據(jù)流機(jī)密性保證。IPSec可在以下三個(gè)不同的安全領(lǐng)域使用：虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）、應(yīng)用級(jí)安全以及路由安全I(xiàn)PSec協(xié)議的功能1、認(rèn)證IP報(bào)文的來(lái)源2、保證IP數(shù)據(jù)包的完整性3、確保IP報(bào)文的內(nèi)容在傳輸過(guò)程中未被讀取4、確保認(rèn)證報(bào)文沒(méi)有重復(fù)5.實(shí)現(xiàn)不可否認(rèn)性發(fā)送方用私鑰產(chǎn)生一個(gè)數(shù)字簽名隨消息一起發(fā)送，接收方使用發(fā)送方的公鑰來(lái)驗(yàn)證簽名。通過(guò)數(shù)字簽名的方式來(lái)實(shí)現(xiàn)不可否認(rèn)性。

IPSec的體系結(jié)構(gòu)IPSec由一系列協(xié)議組成，IPSec組件包括認(rèn)證頭協(xié)議（AH）和封裝安全負(fù)載協(xié)議（ESP）、安全關(guān)聯(lián)（SA）、密鑰交換（IKE）及加密和認(rèn)證算法等IPSec體系結(jié)構(gòu)AHESP認(rèn)證算法加密算法解釋域（DOI）密鑰管理IPSec的兩個(gè)子協(xié)議（1）AH（AuthenticationHeader）認(rèn)證頭協(xié)議：提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性和重放保護(hù)。數(shù)據(jù)完整性由消息認(rèn)證碼MAC生成校驗(yàn)碼實(shí)現(xiàn)，數(shù)據(jù)源認(rèn)證由被認(rèn)證的數(shù)據(jù)中共享的密鑰實(shí)現(xiàn)，重放保護(hù)由AH中的序列號(hào)實(shí)現(xiàn)。（2）ESP（EncapsulationSecurityPayload）封裝安全負(fù)載協(xié)議：除了數(shù)據(jù)源認(rèn)證驗(yàn)證、數(shù)據(jù)完整性和重放保護(hù)外，還提供機(jī)密性。除非使用隧道，否則ESP通常只保護(hù)數(shù)據(jù)，而不保護(hù)IP報(bào)頭。當(dāng)ESP用于認(rèn)證時(shí)，將使用AH算法?？梢?jiàn)ESP和AH能夠組合或嵌套（3）DOI（DomainofInterpretation）解釋域：將所有的IPSec協(xié)議捆綁在一起，是IPSec安全參數(shù)的主要數(shù)據(jù)庫(kù)。（4）密鑰管理：由網(wǎng)際密鑰交換協(xié)議（IKE，InternetKeyExchange）和安全關(guān)聯(lián)（SA，SecurityAssociation）實(shí)現(xiàn)。IP報(bào)頭ESP報(bào)頭應(yīng)用程序數(shù)據(jù)ESP認(rèn)證簽名加密ESP報(bào)尾IPSec的工作模式IPSec的工作模式有傳輸模式和隧道模式兩種IP頭TCP頭數(shù)據(jù)IP頭IPSec頭TCP頭數(shù)據(jù)新IP頭IPSec頭原IP頭TCP頭數(shù)據(jù)原始IP包隧道模式受保護(hù)的包傳輸模式受保護(hù)的包傳輸模式和隧道模式傳輸模式為上層協(xié)議（如TCP協(xié)議）提供保護(hù)，傳輸模式使用原始明文IP頭，并且只加密數(shù)據(jù)隧道模式為整個(gè)IP包提供安全保護(hù)，隧道模式通常使用在至少有一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有IPSec的路由器或防火墻。IPSec的工作過(guò)程兩臺(tái)主機(jī)首先從IKE處獲得SA和會(huì)話密鑰，在IPSec驅(qū)動(dòng)程序數(shù)據(jù)庫(kù)中查找相匹配的出站SA，在該SA的安全策略中查找對(duì)待發(fā)送的IP數(shù)據(jù)包如何進(jìn)行處理，并將SA中的SPI插入IPSec報(bào)頭，對(duì)數(shù)據(jù)包進(jìn)行簽名和完整性檢查；如果要求機(jī)密保護(hù)，則另外加密數(shù)據(jù)包，將數(shù)據(jù)包隨同SPI發(fā)送至IP層，然后再轉(zhuǎn)發(fā)至目的主機(jī)IKEIKETCP傳輸層IPSec驅(qū)動(dòng)程序受保護(hù)的IP數(shù)據(jù)包TCP傳輸層IPSec驅(qū)動(dòng)程序SA協(xié)商主機(jī)A主機(jī)BSA對(duì)SA對(duì)網(wǎng)絡(luò)層7.1安全套接層協(xié)議SSL7.2SSL協(xié)議的工作過(guò)程7.3安全電子交易協(xié)議SET7.4SET協(xié)議與SSL協(xié)議的比較7.5IPSec協(xié)議7.6虛擬專(zhuān)用網(wǎng)VPN

目錄虛擬專(zhuān)用網(wǎng)VPN企業(yè)總部和分支機(jī)構(gòu)常處在相隔很遠(yuǎn)的地理位置，而日常業(yè)務(wù)又需要將兩個(gè)或多個(gè)的局域網(wǎng)連接起來(lái)，以簡(jiǎn)化企業(yè)內(nèi)部網(wǎng)的建設(shè)，另外很多出差辦公的員工也希望在外就能訪問(wèn)企業(yè)內(nèi)部網(wǎng)。VPN技術(shù)的出現(xiàn)為企業(yè)這些需求提供了一個(gè)解決方案VPN需要利用安全協(xié)議來(lái)實(shí)現(xiàn)，因此可看成是安全協(xié)議的一個(gè)應(yīng)用。VPN的概念虛擬專(zhuān)用網(wǎng)絡(luò)VPN（VirtualPrivateNetwork）是利用Internet將物理上分布在不同地點(diǎn)的內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)絡(luò)）安全地連接起來(lái)，或?qū)⒁粋€(gè)或多個(gè)遠(yuǎn)程用戶(hù)與內(nèi)部網(wǎng)絡(luò)安全地連接在一起。從而可將遠(yuǎn)程用戶(hù)、企業(yè)分支機(jī)構(gòu)、公司業(yè)務(wù)合作伙伴的內(nèi)部網(wǎng)絡(luò)聯(lián)接起來(lái)，構(gòu)成一個(gè)擴(kuò)展了的企業(yè)內(nèi)部網(wǎng)IntranetIntranetInternetAccessVPNIntranetVPNVPN的主要優(yōu)點(diǎn)（1）方便使用。（2）通信安全。（3）降低成本。（4）簡(jiǎn)化網(wǎng)絡(luò)管理。（5）可擴(kuò)展性好。VPN的類(lèi)型VPN分為三種類(lèi)型，即：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN）。IntranetVPN的應(yīng)用例如，某公司總部有企業(yè)內(nèi)部數(shù)據(jù)庫(kù)服務(wù)器，供全國(guó)各分支機(jī)構(gòu)查詢(xún)使用?？紤]到經(jīng)營(yíng)的產(chǎn)品品牌和型號(hào)較多的特點(diǎn)，如果采用各分支機(jī)構(gòu)獨(dú)立核算的方式，將會(huì)給公司的統(tǒng)一經(jīng)營(yíng)管理帶來(lái)很大的不便。為此，公司要求各分支機(jī)構(gòu)的業(yè)務(wù)和總部同步，這就必須采用IntranetVPN實(shí)現(xiàn)各分支機(jī)構(gòu)與總部網(wǎng)絡(luò)的連接，通過(guò)VPN通道傳輸核算數(shù)據(jù)，常用方案是：在公司總部使用一臺(tái)相對(duì)高端的IPSecVPN設(shè)備作為公司內(nèi)部網(wǎng)的防火墻，利用自帶的VPN網(wǎng)關(guān)功能為各分支機(jī)構(gòu)提供VPN接入服務(wù)實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)采用技術(shù)作用數(shù)據(jù)加密技術(shù)保證數(shù)據(jù)的機(jī)密性隧道技術(shù)創(chuàng)建隧道、封裝數(shù)據(jù)：保證數(shù)據(jù)的完整性身份認(rèn)證技術(shù)鑒別主機(jī)、端點(diǎn)的身份訪問(wèn)控制技術(shù)授權(quán)并監(jiān)督用戶(hù)訪問(wèn)數(shù)據(jù)的權(quán)限隧道技術(shù)隧道是只在兩端有出入口、其他地方全封閉的路，如穿山隧道、海底隧道。VPN中的隧道就是借用了日常生活中隧道的概念，來(lái)表明虛擬專(zhuān)用的含義在VPN中，隧道（Tunneling）是在Internet中建立一條端到端的、專(zhuān)用的、獨(dú)占的數(shù)據(jù)傳輸通道，一條隧道可能穿越多個(gè)公共網(wǎng)絡(luò)。本質(zhì)上說(shuō)，隧道是一個(gè)邏輯概念，是在邏輯鏈路層上建立的全程封閉，只在兩端有出入口的安全的鏈路連接。隧道的組成隧道由3部分組成：隧道協(xié)議、隧道開(kāi)通器和隧道終端器隧道開(kāi)通器是隧道的起點(diǎn)，其功能是在Internet中開(kāi)出一條隧道。隧道終端器是隧道的終止點(diǎn)，指示隧道到此結(jié)束。可以作為隧道終端器的軟件或設(shè)備有：專(zhuān)用隧道終端器，企業(yè)網(wǎng)絡(luò)中的防火墻，網(wǎng)絡(luò)服務(wù)商路由器上的VPN網(wǎng)關(guān)。隧道協(xié)議隧道技術(shù)定義了3種協(xié)議，即：隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議（又稱(chēng)乘客協(xié)議）。例如，表中是一個(gè)隧道協(xié)議中的封裝關(guān)系。承載協(xié)議隧道協(xié)議乘客協(xié)議(IP/ATM)(IPSec)(TCP,UDP)常用的隧道協(xié)議所在網(wǎng)絡(luò)層隧道協(xié)議名應(yīng)用層SET、S-MIME、IKE傳輸層SSL、SOCKS網(wǎng)絡(luò)層IPSec、GRE網(wǎng)絡(luò)接口層PPTP、L2F、L2TP隧道實(shí)現(xiàn)的功能①將數(shù)據(jù)流量強(qiáng)制到特定的目的地；②隱藏私有的網(wǎng)絡(luò)地址；③在IP網(wǎng)上傳輸非IP協(xié)議數(shù)據(jù)包；④提供數(shù)據(jù)安全支持；⑤協(xié)助完成用戶(hù)基于AAA（Authentication、Authorization、Accounting，認(rèn)證、授權(quán)記賬）的認(rèn)證管理。⑥在安全方面可提供數(shù)據(jù)包認(rèn)證、數(shù)據(jù)加密以及密鑰管理等手段兩種常用的VPN隧道協(xié)議目前VPN的兩大主流技術(shù)是IPSecVPN和SSLVPNIPSecVPN一般用于局域網(wǎng)與局域網(wǎng)之間的連接,SSLVPN一般用于移動(dòng)用戶(hù)與局域網(wǎng)之間的連接由于SSL技術(shù)已經(jīng)內(nèi)嵌到瀏覽器中，用戶(hù)使用時(shí)不需要安裝客戶(hù)端VPN軟件由于SSL協(xié)議是建立在TCP協(xié)議之上的，因此SSLVPN只能用于保護(hù)TCP通道的安全，而無(wú)法保護(hù)UDP通道IPSecVPN和SSLVPN的選擇，對(duì)于企業(yè)高級(jí)用戶(hù)或站點(diǎn)對(duì)站點(diǎn)連接所需要的直接訪問(wèn)企業(yè)網(wǎng)絡(luò)功能來(lái)說(shuō)，IPSecVPN最合適。通過(guò)IPSecVPN，各地的員工能夠享受不間斷的安全連接，借此存取所需的企業(yè)數(shù)據(jù)資源，以提升工作效率SSLVPN則最適合下述情況：企業(yè)用戶(hù)需要通過(guò)互聯(lián)網(wǎng)達(dá)到廣泛而全面的信息存?。皇褂谜叩脑O(shè)備與目標(biāo)服務(wù)器之間有防火墻，該防火墻設(shè)定允許HTTP聯(lián)機(jī)，但不允許UDP500端口或IPSec運(yùn)行；企業(yè)無(wú)法控制遠(yuǎn)程訪問(wèn)者的電腦配置，不可能在使用者的電腦上安裝軟件以提供遠(yuǎn)程訪問(wèn)習(xí)題1．SSL中的

是可選的。 （ ）A.服務(wù)器鑒別 B.數(shù)據(jù)庫(kù)鑒別 C.應(yīng)用程序鑒別 D.客戶(hù)機(jī)鑒別2．SSL層位于

與