Author: Fox

//-----------------------------------------------------------------------------------------------------
關(guān)于反外掛，這兩天在和幾位同事和網(wǎng)友討論的結(jié)果依然是，更多的要從策劃角度解決……
//-----------------------------------------------------------------------------------------------------

最近在考慮安全問(wèn)題的時(shí)候，在《游戲編程精粹3》中看到Pete Isensee的《安全套接字》（即通常所說(shuō)的Secure Socket Layer, SSL技術(shù)），又Google了一些IPSec的相關(guān)資料。盡管IPSec是部署在IP層的協(xié)議，但它還是可以為我們提供一些思路。

一、IPSec的認(rèn)證安全（AH+ESP）

1、不可否認(rèn)性：采用公鑰加密的數(shù)字簽名具有抗抵賴(lài)性。

2、防止報(bào)文重放：使用序列號(hào)和滑動(dòng)窗口以保證數(shù)據(jù)包的唯一性，即使數(shù)據(jù)包被截獲重發(fā)，也會(huì)因序列號(hào)的相同或者錯(cuò)誤而被拋棄。

3、完整性：IPSec使用單獨(dú)的鑒別頭部（Authentication Header, AH）信息進(jìn)行校驗(yàn)，防止報(bào)文篡改，校驗(yàn)的算法主要是MD5、SHA-1等單向哈希算法。

4、可靠性：通過(guò)加密封裝安全有效載荷（Encapsulating Security Payload, ESP），IPSec對(duì)傳輸數(shù)據(jù)進(jìn)行保護(hù)，加密算法除了MD5、SHA-1，還有加密塊鏈接（Cipher Block Chaining, CBC）模式加密算法等。

二、IPSec的數(shù)據(jù)加密

在數(shù)據(jù)加密上，IPSec使用的主要是DES（Data Encryption Standard）和3DES（Triple Data Encryption Standard）算法。

三、IPSec的密鑰管理

為了保證數(shù)據(jù)傳輸安全，IPSec使用由IKE（Internet Key Exchange）提供的動(dòng)態(tài)密鑰更新機(jī)制，Diffie-Hellman算法提供密鑰生成策略，通信兩端需要維持一個(gè)安全關(guān)聯(lián)（Security Association），為兩端通信指定認(rèn)證及加密所用算法和密鑰，并提供序列號(hào)和滑動(dòng)窗口等。

需要注意的是，IPSec并沒(méi)有提供數(shù)據(jù)產(chǎn)生到發(fā)送之前的保護(hù)機(jī)制。舉例來(lái)說(shuō)，就是IPSec可以在最大程度上保證你輸入的帳號(hào)密碼在傳輸過(guò)程中的安全，但并不能防止釣魚(yú)軟件和其他木馬在你輸入這些信息時(shí)被截獲L，那應(yīng)該是你要注意的。

對(duì)IPSec有興趣的TX可以到http://www.ietf.org上下載相關(guān)的RFC文檔研究研究J。

//-----------------------------------------------------------------------------------------------------
本以為手上工作完成，可以偷時(shí)間看看安全方面的東西，不曾想Joe又分下了新任務(wù)L……
//-----------------------------------------------------------------------------------------------------