安全协议

网络安全协议和标准

• SSL和TLS
• IPV4和IPV6 Security
• S／MIME（Secure／Multipurpose Internet Mail Extension）

安全关联（SA／Security Associations）

发送者和接收者之间的单向关系为交通流提供安全保障
主要由一下三个参数定义：
安全参数索引（SPI）
IP目标地址
安全协议标识符

安全关联数据库（SAD／Security Association Database）

SAD中的元组用于定义与每个SA相关联的参数值，如：
序列号，序列号溢出标记、抗重播窗口、AH信息、ESP信息、SA的有效期、IPSec协议工作模式、路径最大传输单元MTU

SA管理

• 创建

  1.先协商SA参数，再更新SDAB
  2.可通过人工创建，也可采用动态创建方式

• 删除

  1.有效期过期：超出时间或使用SA的字节数已超过策略设定的值
  2.密钥已遭破坏
  3.另一端要求删除这个SA

抗重播服务（Antireply）

• 序列号字段

  创建一个新的SA时，发送者会将序列号计数器初始化为0
  每当在这一SA上发送数据包，序列号计数器会增加1，同时将当前序列设置为计数器数值
  当达到最大的计数器数值即2^32-1，再重新创建一个新的SA

• 一种“滑动窗口”机制

IP是无连接不可靠的，需设立窗口
窗口的最左端对应于窗口起始位置的数据包序列号N
则最右端对应于可以接受的合法分组的最高序列号N+W-1

窗口的移动

• 接收到的数据包必须全部满足如下条件，才不会被丢弃并将相应窗口位置做上标记

  1.接收到的数据包的序列号必须是新的，即在窗口中未出现过
  2.接收到的数据包的序列号必须落在窗口内部或者窗口的右侧
  3.接收到的数据包能通过鉴别检查

• 接收到的数据包落在窗口右侧且能通过鉴别检查，窗口就会向前走，使得该序号成为窗口的右边界

封装安全载荷（ESP）

• 提供保密性和抗重播服务：包括数据内容的保密性和有限的流量保密性
• 可选：提供数据完整性和鉴别服务
• 是一个通用的、易于扩展的安全机制：协议同具体的算法是分开的

SSL（Secure Sockets Layer）安全传输层协议

1. 允许服务器和客户端：
   • 协商加密和MAC算法
   • 协商要使用的加密密钥
   • 包含一系列的分段消息
2. 建立安全能力
   • 服务器认证和密钥交换
   • 客户认证和密钥交换

SSL连接

• 一个链接是一个提供一种合适类型服务的传输
• SSL连接是点对点的关系
• 连接是暂时的，每一个连接和一个会话关联

SSL会话

• 一个SSL会话是在客户与服务器之间的一个关联
• 会话由HandShake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数
• 会话用以避免为每个连接提供新的安全参数所需昂贵的谈判代价