網路安全協議

網路層的安全運輸協議

IPsec(IP Security)概述

在第四章談論到虛擬專用網VPN時，提到在VPN中傳送的資訊都是經過加密的，現在我們介紹這種加密方式IPsec。
IPsec並不是一個單一協議，能夠在IP層提供網際網路通訊安全的協議族，IPsec是一個框架，它允許通訊雙方選擇合適的引數和演算法。為了保證互操作性，IPsec還包含了一套加密演算法，所有IPsec的實現都必須使用。

IPsec協議族中的協議可以分為以下三個部分:

1. IP安全資料報格式的兩個協議:鑑別首部AH(authentication)協議和封裝安全有效載荷ESP(Encapsulation Security Payload)協議
2. 有關加密演算法的三個協議(在此不討論)
3. 網際網路祕鑰交換IKE（Internet Key Exchange）協議

使用ESP或AH協議的資料報稱之為IP安全資料報(或者IPsec資料報)，它可以在兩臺主機之間、兩個路由器之間、一臺主機和一臺路由器之間傳送。

IP安全資料報有以下兩種工作方式：

1. 運輸方式（transport mode）:運輸方式是在整個運輸層報文段的前後分別新增若干控制資訊，再加上IP首部，構成IP安全資料報。
2. 隧道方式（tunnel mode）:隧道方式是在原始的IP資料報的前後分別新增若干控制資訊，再加上新的IP地址首部，構成一個IP安全資料報。

無論使用哪種控制方式，最後得到的IP安全資料報的IP首部都是不加密的。只有使用不加密的IP首部，網際網路中的各個路由器才能識別IP首部的有關資訊。所謂的安全資料報指的是資料報的資料部分是經過加密的，並且能夠被鑑別。通常把資料報的資料部分稱之為資料報的有效載荷。

安全關聯

在傳送IP安全資料報之前，在源實體和目的實體之間必須建立一條網路層的邏輯連線，即安全關聯SA(Security Associtaion)。這樣，傳統的網際網路中無連線狀態的網路層就成為了具有邏輯連線的一個層。安全關聯是從源點到終點的單向連線，它能夠提供安全服務，如果要進行雙向通訊，則兩個方向都要進行安全連線。在這些安全關聯上傳送的IP資料報就是IP安全資料報。

運輸層安全協議

現在使用比較廣泛的兩個協議

1. 安全套接字SSL(Secure Socket Layer)
2. 運輸層安全TLS（Transport Layer Security）

SSL作用在端系統應用層的HTTP和運輸層至之間，在TCP之上建立一條安全通道，為通過TCP連線的應用資料提供安全保證。
在SSL 3.0的基礎上設計了TLS，為所有基於TCP的網路應用提供安全資料傳輸服務。

SSL提供的安全服務可以歸納為以下三種:

1. SSL伺服器鑑別，允許使用者證實伺服器的身份。支援SSL的客戶端通過驗證來自伺服器的證書，來鑑別伺服器的正式身份並獲取伺服器的公鑰。
2. SSL客戶鑑別，SSL的可選安全服務，允許伺服器證實客戶的身份，
3. 加密的SSL會話：對客戶和伺服器之間傳送的所有報文進行加密，並檢測報文是否被篡改。