第六章网络安全协议6.1概述网络安全协议按照其完成的功能可以分为:（1）密钥建立协议:一般情况下是在参与协议的两个或者多个实体之间建立共享的秘密通常用于建立在一次通信中所使用的会话密钥。已有密钥建立协议如Diffie-Hellman协议Blom协议MQV协议端—端协议、MTI协议等。（2）认证协议:认证协议中包括实体认证（身份认证）协议、消息认证协议、数据源认证和数据目的认证协议等用来防止假冒、篡改、否认等攻击。最具代表性的身份认证协议有两类：一类是1984年Shamir提出的基于身份的身份认证协议；另一类是1986年Fiat等人提出的零知识身份认证协议。随后人们在这两类协议的基础上又提出了新的使用的身份认证协议：Schnorr协议、Okamoto协议、Guillou-Quisquater协议和Feige-Fiat-Shamir协议等。数字签名协议主要有两类：一类是普通数字签名协议通常称为数字签名算法如RSA数字签名算法、DSA等；另一类是特殊数字签名协议如不可否认的数字签名协议、Fail-Stop数字签名协议、群数字签名协议等。（3）认证和密钥交换协议：将认证和密钥交换协议结合在一起是网络通信中最普遍应用的安全协议。该类协议首先对通信实体的身份进行认证如果认证成功进一步进行密钥交换以建立通信中的工作密钥也叫密钥确认协议。常见的认证密钥交换协议有：互联网密钥交换（IKE）协议、分布式认证安全服务（DASS）协议、Kerberos协议、X.509协议。(4)电子商务协议这类协议用于电子商务系统中以确保电子支付和电子交易的安全性、可靠性、公平性。常见的协议有：SET协议、iKP协议和电子现金等。(5)安全通信协议这类协议用于计算机通信网络中保证信息的安全交换。常见的协议有：PPTP/L2PP协议、IPSEC协议、SSL/TLS协议、PGP协议、SIME协议、S-HTTP协议等。6.2网络安全协议的类型-IPSecIPSec协议不是一个单独的协议它给出了应用于IP层上网络数据安全的一整套体系结构包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议。EncapsulatingSecurityPayload(ESP)、密钥管理协议InternetKeyExchange(IKE)和用于网络认证及加密的一些算法等。这些协议用于提供数据认证、数据完整性和加密性三种保护形式。AH和ESP都可以提供认证服务但AH提供的认证服务要强于ESP。而IKE主要是对密钥进行交换管理对算法、协议和密钥3个方面进行协商。6.2网络安全协议的类型-SSL2014年10月15日Google发布了一份关于SSLv3（SSL3.0）漏洞的简要分析报告。该报告认为SSLv3漏洞贯穿于所有的SSLv3版本中利用该漏洞黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0)便可以成功获取到传输数据(例如cookies)。BEAST既是此种攻击攻击者可获取SSL通信中的部分信息的明文对明文内容的完全控制。而另一种POODLE攻击是针对SSLv3中CBC模式加密算法和BEAST不同的是它不需要对明文内容的完全控制。问题的原因出在SSL设计上:：SSL先进行认证之后再加密SSL的加密和认证过程搞反了。在SSLv3之后TLS1.0开始出现TLS(TransportLayerSecurity)安全传输层协议是SSLv3发展的新阶段TLS1.0就等于SSLv3.1。6.2网络安全协议的类型-SET网上银行使用已经存在的程序和设备通过确认信用卡、清算客户银行户头完成交易SET协议则通过隐藏信用卡号来保证整个支付过程的安全。因此上SET必须保证信用卡持有者与银行在现存系统和网络上能够保持持续的联系。SET是由ElectronicWallet（电子钱包）、MerchantServer（商店端服务机）、PaymentGateway（付款转接站）和CertificationAuthority（认证中心）组成的它们构成了Internet上符合SET标准的信用卡授权交易。6.2网络安全协议的类型-S-HTTP6.2网络安全协议的类型-S-HTTP6.2网络安全协议的类型-PEMPEM安全功能使用了多种密码工具包括非对称加密算法RS