文章正文

SSH 为 Secure Shell 的缩写，由 IETF 的网络工作小组（Network Working Group）所制定；SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题
................ SSH

ipsec ipsec：ip层协议安全结构 （ipsec：security architecture for ip network） ipsec 在 ip 层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。 ipsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。 ipsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包（部分序列完整性形式）、保密性和有限传输流保密性。因为这些服务均在 ip 层提供，所以任何高层协议均能使用它们，例如 tcp 、 udp 、icmp 、 bgp 等等。 这些目标是通过使用两大传输安全协议，头部认证（ah） 和封装安全负载 （esp），以及密钥管理程序和协议的使用来完成的。所需的 ipsec 协议集内容及其使用的方式是由用户、应用程序、和/或站点、组织对安全和系统的需求来决定。 当正确的实现、使用这些机制时，它们不应该对不使用这些安全机制保护传输的用户、主机和其他英特网部分产生负面的影响。这些机制也被设计成算法独立的。这种模块性允许选择不同的算法集而不影响其他部分的实现。例如：如果需要，不同的用户通讯可以采用不同的算法集。 定义一个标准的默认算法集可以使得全球因英特网更容易协同工作。这些算法辅以 ipsec 传输保护和密钥管理协议的使用为系统和应用开发者部署高质量的因特网层的加密的安全技术提供了途径。 ipsec 不是特殊的加密算法或认证算法,也没有在它的数据结构中指定一种特殊的加密算法或认证算法,它只是一个开放的结构,定义在ip数据包格式中,为各种的数据加密或认证的实现提供了数据结构,为这些算法的实现提供了统一的体系结构,因此,不同的加密算法都可以利用ipsec定义的体系结构在网络数据传输过程中实施 vista系统常用英文专业词语 互联网协议安全(internet protocol security),一个标准机制，用于在网络层面上为穿越ip网络的数据包提供认证，完整性，以及机密性。
封装安全载荷（ESP）、验证头（AH）、internet密钥交换协议

Internet上使用的一个关键的底层协议是网际协议，通常称IP协议。我们利用一个共同遵守的通信协议，从而使Internet成为一个允许连接不同类型的计算机和不同操作系统的网络。要使两台计算机彼此之间进行通信，必须使两台计算机使用同一种"语言"。通信协议正像两台计算机交换信息所使用的共同语言，它规定了通信双方在通信中所应共同遵守的约定。计算机的通信协议精确地定义了计算机在彼此通信过程的所有细节。例如，每台计算机发送的信息格式和含义，在什么情况下应发送规定的特殊信息，以及接收方的计算机应做出哪些应答等等。 网际协议IP协议提供了能适应各种各样网络硬件的灵活性，对底层网络硬件几乎没有任何要求，任何一个网络只要可以从一个地点向另一个地点传送二进制数据，就可以使用IP协议加入Internet了。如果希望能在Internet上进行交流和通信，则每台连上Internet的计算机都必须遵守IP协议。为此使用Internet的每台计算机都必须运行IP软件，以便时刻准备发送或接收信息。 IP协议对于网络通信有着重要的意义：网络中的计算机通过安装IP软件，使许许多多的局域网络构成了一个庞大而又严密的通信系统。从而使Internet看起来好像是真实存在的，但实际上它是一种并不存在的虚拟网络，只不过是利用IP协议把全世界上所有愿意接入Internet的计算机局域网络连接起来，使得它们彼此之间都能够通信。
IP协议位于网络层。 该层主要包含以下主要协议：IP，ICMP，OSPF，BGP，IGMP，ARP，RARP 这些协议没有一个和安全有关的
AAA 中的 RADIUS和TACACS+协议是安全相关的
不知道
aaa

SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也被称为SSL服务器证书。简单来说，安装SSL证书后，将http协议访问网站改为使用http加密协议访问网站，在数据发送者与接收者之间建立安全、可靠的加密通道。数据传输过程中，网站会向浏览器发送SSL证书，证书包含网站域名，证书有效期，证书的颁发机构以及用于加密传输密码的公钥等信息，由于公钥加密的密码只能被在申请证书时生成的私钥解密，因此浏览器在生成密码之前，需要先核对当前访问域名与证书上绑定的域名是否一致，同时还要对证书的颁发机构进行验证，如果验证失败，浏览器会给出证书错误的提示正常配置好SSL证书会显示一个绿色锁子的样子，如下图所示：
SSl是一种安全协议。SSL（Secure Sockets Layer）及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 SSL为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。 安装了SSL证书之后，网站在浏览器中将由http协议改为https加密协议。
SSL 的英文全称是 “Secure Sockets Layer” ，中文名为 “ 安全套接层协议层 ” ，它是网景（ Netscape ）公司提出的基于 WEB 应用的安全协议。 SSL 协议指定了一种在应用程序协议（如 HTTP 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
SSL证书，也称之为服务器SSL证书，是遵守SSL协议的一种数字证书，由全球信任的证书颁发机构(CA)验证服务器身份后颁发。将SSL证书安装在网站服务器上，可实现网站身份验证和数据加密传输双重功能。 如何使用SSL： SSL证书需要到CA机构申请，然后部署到网站的服务器端，网站就可以实现ssl加密访问了。申请SSL可以淘宝Gworg获取。
SSL证书是数字证书(数字证书包括：SSL证书、客户端证书、代码签名证书等)的一种，因为配置在服务器上也称为服务器SSL证书。SSL证书就是遵守SSL协议，由受信任的数字证书颁发机构CA(如：沃通CA)在验证服务器身份后颁发的一种数字证书。

1.IPSec IPSec 是Internet Protocol Security的缩写,它是设计为IPv4和IPv6协议提供基于加密安全的协议，它使用AH和ESP协议来实现其安全，使用 ISAKMP/Oakley及SKIP进行密钥交换、管理及安全协商(Security Association)。IPSec安全协议工作在网络层，运行在它上面的所有网络通道都是加密的。IPSec安全服务包括访问控制、数据源认证、无连 接数据完整性、抗重播、数据机密性和有限的通信流量机密性。IPSec使用身份认证机制进行访问控制，即两个IPSec实体试图进行通信前，必须通过 IKE协商SA，协商过程中要进行身份认证，身份认证采用公钥签名机制，使用数字签名标准(DSS)算法或RSA算法，而公通常是从证书中获得的; IPSec使用消息鉴别机制实现数据源验证服务，即发送方在发送数据包前，要用消息鉴别算法HMAC计算MAC，HMAC将消息的一部分和密钥作为输入， 以MAC作为输出，目的地收到IP包后，使用相同的验证算法和密钥计算验证数据，如果计算出的MAC与数据包中的MAC完全相同，则认为数据包通过了验 证;无连接数据完整性服务是对单个数据包是否被篡改进行检查，而对数据包的到达顺序不作要求，IPSec使用数据源验证机制实现无连接完整性服务; IPSec的抗重播服务，是指防止攻击者截取和复制IP包，然后发送到源目的地，IPSec根据 IPSec头中的序号字段，使用滑动窗口原理，实现抗重播服务;通信流机密性服务是指防止对通信的外部属性(源地址、目的地址、消息长度和通信频率等)的 泄露，从而使攻击者对网络流量进行分析，推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。IPSec使用ESP隧道模式，对IP包进行 封装，可达到一定程度的机密性，即有限的通信流机密性。2.SSL协议安全套接层(Security Socket Layer，SSL)协议就是设计来保护网络传输信息的,它工作在传输层之上，应用层之下，其底层是基于传输层可靠的流传输协议(如TCP)。SSL协议 最早由Netscape公司于1994年11月提出并率先实现(SSLv2)的，之后经过多次修改，最终被IETF所采纳，并制定为传输层安全 (Transport Layer Security，TLS)标准。该标准刚开始制定时是面向Web应用的安全解决方案，随着SSL部署的简易性和较高的安全性逐渐为人所知，现在它已经成 为Web上部署最为广泛的信息安全协议之一。近年来SSL的应用领域不断被拓宽，许多在网络上传输的敏感信息(如电子商务、金融业务中的信用卡号或PIN 码等机密信息)都纷纷采用SSL来进行安全保护。SSL通过加密传输来确保数据的机密性，通过信息验证码(Message Authentication Codes，MAC)机制来保护信息的完整性，通过数字证书来对发送和接收者的身份进行认证。实际上SSL协议本身也是个分层的协议，它由消息子层以及承载消息的记录子层组成。SSL 记录协议首先按照一定的原则如性能最优原则把消息数据分成一定长度的片断;接着分别对这些片断进行消息摘要和MAC计算，得到MAC值;然后再对这些片断 进行加密计算;最后把加密后的片断和MAC值连接起来，计算其长度，并打上记录头后发送到传输层。这是一般的消息数据到达后，记录层所做的工作。但有的特 殊消息如握手消息，由于发送时还没有完全建立好加密的通道，所以并不完全按照这个方式进行;而且有的消息比较短小，如警示消息(Alert)，出于性能考 虑也可能和其它的一些消息一起被打包成一个记录。消息子层是应用层和SSL记录层间的接口，负责标识并在应用层和SSL记录层间传输数据或者对握 手信息和警示信息的逻辑进行处理，可以说是整个SSL层的核心。其中尤其关键的又是握手信息的处理，它是建立安全通道的关键，握手状态机运行在这一层上。 警示消息的处理实现上也可以作为握手状态机的一部分。SSL协议为了描述所有消息，引入了SSL规范语言，其语法结构主要仿照C语言，而是无歧义、精简 的。3. S-HTTP安全超文本传输协议(Secure HyperText Transfer Protocol，S-HTTP)是EIT公司结合 HTTP 而设计的一种消息安全通信协议。S-HTTP协议处于应用层，它是HTTP协议的扩展，它仅适用于HTTP联结上，S-HTTP可提供通信保密、身份识 别、可信赖的信息传输服务及数字签名等。S-HTTP 提供了完整且灵活的加密算法及相关参数。选项协商用来确定客户机和服务器在安全事务处理模式、加密算法(如用于签名的非对称算法 RSA 和 DSA等、用于对称加解密的 DES 和 RC2 等)及证书选择等方面达成一致。S-HTTP 支持端对端安全传输，客户机可能“首先”启动安全传输(使用报头的信息)，如，它可以用来支持加密技术。S-HTTP是通过在S-HTTP所交换包的特殊头标志来建立安全通讯的。当使用 S-HTTP时，敏感的数据信息不会在网络上明文传输。4. S/MIME S/MIME 是Secure / Multipurpose Internet Mail Extensions的缩写，是从PEM (Privacy Enhanced Mail)和MIME(Internet邮件的附件标准)发展而来的。S/MIME是利用单向散列算法(如SHA-1、MD5等)和公钥机制的加密体系。 S/MIME的证书格式采用X.509标准格式。S/MIME的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书均由上一级的组织负 责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系是树状结构的。另外，S/MIME将信件内容加密签名后作为特殊的附件传送。
安全超文本传输协议（S－HTTP）：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。 安全套接层协议（SSL）：由Netscape公司提出的安全交易协议，提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器，以完成需要的安全交易操作。安全交易技术协议（STT，Secure Transaction Technology）：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。安全电子交易协议（SET，Secure Electronic Transaction） 1996年6月，由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告，并于1997年5月底发布了SET Specification Version 1.0，它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等
f
D