安全协议IPSec、SSL、SSH

IPSec（网络层）：

         IPSec在数据包三层头部（IP头部）和四层头部之间插入一个预定义的IPSec头部，对OSI上层协议数据提供保护。IPSec没有定义具体加密算法和散列函数，仅提供一种框架结构。有ESP（IP协议50）和AH（IP协议51）两种封装协议。

         ESP为数据提供加密、完整性和源认证三个方面的保护，能够抵御重放攻击。不对原始IP头部进行安全防护。

         AH为数据提供完整性和源认证，能够抵御重放攻击。AH对数据完整性验证的范围更广，包含原始IP头部。

         IPSec有两种数据封装模式：传输模式和隧道模式。

         传输模式将在原始IP头部和IP负载之间插入一个ESP头部，追加ESP尾部和ESP验证数据部分，对IP负载和ESP尾部进行加密和验证处理，原始IP头部被保留。当加密点等于通信点，通信设备地址是可路由的情况。

         隧道模式将把整个原始IP数据包封装到一个新的IP数据包中，并在新IP头和原始IP头中插入ESP头部，以对整个原始IP数据包进行加密和验证。当加密点不等于通信点，或者说IP地址不可路由（IP数据包的源和目的地址为私有地址）时使用隧道模式。

 

SSL协议：（传输层）

         SSL协议栈位置介于TCP和应用层之间，分为SSL记录协议层和SSL握手协议层。其中SSL握手协议层又分为SSL握手协议、SSL密钥更改协议和SSL警告协议。SSL握手协议作用是在通信双方之间协商出密钥，SSL记录层的作用是定义如何对上层的协议进行封装。SSL记录协议将数据块进行拆分压缩，计算消息验证码，加密，封装记录头然后进行传输。

 

SSL握手：

1、  初始化阶段。客户端创建随机数，发送ClientHello 将随机数连同自己支持的协议版本、加密算法和压缩算法发送给服务器。服务器回复ServerHello将自己生成的随机数连同选择的协议版本、加密算法和压缩算法给客户端。

2、  认证阶段。服务器发送ServerHello的同时可能将包含自己公钥的证书发送给客户端（Certificate），并请求客户端的证书（Certificate Request）。

3、  密钥协商阶段。客户端验证证书，如果收到Certificate Request则发送包含自己公钥的证书，同时对此前所有握手消息进行散列运算，并使用加密算法进行加密发送给服务器。同时，创建随机数pre-master-secret并使用服务器公钥进行加密发送。服务器收到这个ClientKeyExchange之后解密得到pre-master-secret。服务器和客户端利用1阶段的随机数，能够计算得出master-secret。

4、  握手终止。服务器和客户端分别通过ChangeCipherSpec消息告知伺候使用master-secret对连接进行加密和解密，并向对方发送终止消息（Finished）。

HTTPS（Hypertext TransferProtocol over Secure Socket Layer，基于SSL的HTTP协议），端口443，需要向CA申请证书，通过SSL握手建立安全通道，利用协商密钥对数据进行对称加密通信。

SSH协议（会话层）

         SSH协议由下到上分为SSH传输层协议、SSH用户认证协议、SSH连接协议。

         传输层协议：在通信双方之间建立一条安全的加密通道。包括版本协商和算法协商与密钥交换。

         用户认证协议：用户发送请求认证，服务器对用户进行认证。

         连接协议：客户端完成认证后可以发起请求建立会话通道。