第六章网络安全协议6.1概述网络安全协议按照其完成的功能可以分为: （1）密钥建立协议:一般情况下是在参与协议的两个或者多个实体之间建立共享的秘密，通常用于建立在一次通信中所使用的会话密钥。已有密钥建立协议，如Diffie-Hellman协议，Blom协议，MQV协议，端—端协议、MTI协议等。 （2）认证协议:认证协议中包括实体认证（身份认证）协议、消息认证协议、数据源认证和数据目的认证协议等，用来防止假冒、篡改、否认等攻击。 最具代表性的身份认证协议有两类：一类是1984年Shamir提出的基于身份的身份认证协议；另一类是1986年Fiat等人提出的零知识身份认证协议。随后，人们在这两类协议的基础上又提出了新的使用的身份认证协议：Schnorr协议、Okamoto协议、Guillou-Quisquater协议和Feige-Fiat-Shamir协议等。 数字签名协议主要有两类：一类是普通数字签名协议，通常称为数字签名算法，如RSA数字签名算法、DSA等；另一类是特殊数字签名协议，如不可否认的数字签名协议、Fail-Stop数字签名协议、群数字签名协议等。 （3）认证和密钥交换协议：将认证和密钥交换协议结合在一起，是网络通信中最普遍应用的安全协议。该类协议首先对通信实体的身份进行认证，如果认证成功，进一步进行密钥交换，以建立通信中的工作密钥，也叫密钥确认协议。 常见的认证密钥交换协议有：互联网密钥交换（IKE）协议、分布式认证安全服务（DASS）协议、Kerberos协议、X.509协议。 (4)电子商务协议这类协议用于电子商务系统中以确保电子支付和电子交易的安全性、可靠性、公平性。常见的协议有：SET协议、iKP协议和电子现金等。 (5)安全通信协议这类协议用于计算机通信网络中保证信息的安全交换。常见的协议有：PPTP/L2PP协议、IPSEC协议、SSL/TLS协议、PGP协议、SIME协议、S-HTTP协议等。6.2网络安全协议的类型-IPSecIPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议。 EncapsulatingSecurityPayload(ESP)、密钥管理协议InternetKeyExchange(IKE)和用于网络认证及加密的一些算法等。这些协议用于提供数据认证、数据完整性和加密性三种保护形式。AH和ESP都可以提供认证服务，但AH提供的认证服务要强于ESP。而IKE主要是对密钥进行交换管理，对算法、协议和密钥3个方面进行协商。 6.2网络安全协议的类型-SSL2014年10月15日，Google发布了一份关于SSLv3（SSL3.0）漏洞的简要分析报告。该报告认为SSLv3漏洞贯穿于所有的SSLv3版本中，利用该漏洞，黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0)，便可以成功获取到传输数据(例如cookies)。 BEAST既是此种攻击，攻击者可获取SSL通信中的部分信息的明文，对明文内容的完全控制。而另一种POODLE攻击是针对SSLv3中CBC模式加密算法，和BEAST不同的是，它不需要对明文内容的完全控制。问题的原因出在SSL设计上:：SSL先进行认证之后再加密，SSL的加密和认证过程搞反了。 在SSLv3之后，TLS1.0开始出现，TLS(TransportLayerSecurity)安全传输层协议是SSLv3发展的新阶段，TLS1.0就等于SSLv3.1。 6.2网络安全协议的类型-SET网上银行使用已经存在的程序和设备通过确认信用卡、清算客户银行户头完成交易，SET协议则通过隐藏信用卡号来保证整个支付过程的安全。因此上，SET必须保证信用卡持有者与银行在现存系统和网络上能够保持持续的联系。 SET是由ElectronicWallet（电子钱包）、MerchantServer（商店端服务机）、PaymentGateway（付款转接站）和CertificationAuthority（认证中心）组成的，它们构成了Internet上符合SET标准的信用卡授权交易。 6.2网络安全协议的类型-S-HTTP6.2网络安全协议的类型-S-HTTP6.2网络安全协议的类型-PEMPEM安全功能使用了多种密码工具,包括非对称加密算法RSA,,对称加密算法DES以及报文完整性.对RSA来说，通信双方均需2个密钥，DES要求通信双方共享一个密钥。DES的优点是软件实现比较快（比RSA快100倍），缺点是不能用作鉴别。然而RSA有数字签名，管理相对简单，但缺点是实现需要占用较多的CPU时间。PEM的加密过程通常包括四个步骤：报文生成:一般使用用户所常用的格式