新计算机网络安全教程 教学课件 978 7 302 26962 5 第09章.ppt

五、SET协议 4、SET和TLS协议的比较 SET与TLS同样提供了电子安全交易的机制，但是运行方式有所差别。 (1) SET是一个多方的报文协议，它定义了银行、商店和消费者之间必需遵守的报文规范；TLS只是简单地在交易双方之间建立了安全连接； (2) TLS是面向连接的；而SET允许各方之间的报文交换不是实时的； (3) SET报文能够在银行内部网或者其他网络上传输；而TLS之上的交付系统只能与WEB浏览器捆绑在一起工作； (4) SET的安全需求较高，因此所有参与SET交易的成员（消费者、商店、支付网关等）都必须先申请数字证书来识别身份，并且整个交易过程都受到严密的保护；而在TLS中只有商店端的服务器需要认证，客户端认证是可选的，同时交易过程中的安全范围只限于消费者到商店的信息交换； (5) SET交易，除了申请数字证书之外，还必须安装符合SET规范的电子钱包软件；而TLS交易不需要； (6) 由于SET的成本较高，并且引入中国的时间较短，目前是以TLS的普及率较高，大约有7-8成，但是网上交易的安全性需求不断提高，可以预料SET将会成为日后市场的主流。 计算机网络安全教程 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 重点内容： 安全协议概述 IPsec协议 TLS协议 Kerberos协议 SET协议 第9章 Internet安全协议 一、安全协议概述 所谓协议，就是两个或两个以上的参与者为完成某项特定的任务而采取的一系列步骤。它包含三层含义： 协议自始至终是有序的过程，每一个步骤必须执行，在前一步没有执行完成之前，后面的步骤不可能进行； 协议至少需要两个参与者； 通过协议必须能够完成某项任务。 基本的密码协议按照其完成的功能可以分为三类： 密码交换协议 认证协议 认证和密钥交换协议 IPSec概述 端到端的确保IP层通信安全的机制 协议簇：12个RFC文件，几十个草案 IPv6的组成部分（IPv6必须支持） 同时支持IPv4（可选） IPSec为IP层提供安全服务，使系统能按需选择安全协议 决定服务所使用的算法及放置服务所需密钥到相应位置 IPSec能提供的安全服务包括 访问控制 无连接的完整性 数据源认证 抗重播(replay)保护 必威体育官网网址性和有限传输流必威体育官网网址性在内的服务 IPSec也支持IP压缩协议 1、概述 二、IPSec协议 1、概述 二、IPSec协议 IP封装过程 IPv4首部 0 15 16 31 二、IPSec协议 1、概述 IPSec不安全性 窃听 篡改 IP欺骗 重放攻击 Iris工具演示 二、IPSec协议 1、概述 IPSec的功能 实现VPN（隧道模式） 保证数据来源可靠（身份认证） 保证数据完整性（验证算法） 保证数据机密性（加密） 二、IPSec协议 1、概述 二、IPSec协议 2、IPSec体系结构 二、IPSec协议 2、IPSec体系结构 IKE 二、IPSec协议 3、IPSec的AH IPSec的认证头协议AH（Authentication Header） 二、IPSec协议 3、IPSec的AH 传输模式： AH头插入到IP头部之后、传输层协议之前 验证范围整个IP包，可变字段除外 与NAT冲突，不能同时使用 IP头部(含选项字段) TCP头部(含选项字段) 数 据 应用AH前 IP头部(含选项字段) AH头部 数 据 TCP头部(含选项字段) 验证区域 应用传输模式AH后 二、IPSec协议 3、IPSec的AH AH隧道模式 AH插入到原始IP头部之前，然后在AH外面再封装一个新的IP头部 验证范围整个IP包，也和NAT冲突 IP头部(含选项字段) TCP头部(含选项字段) 数 据 应用AH前 IP头部(含选项字段) AH头部 数 据 TCP头部(含选项字段) 验证区域 应用隧道模式AH后 新IP头部（含选项） 二、IPSec协议 4、IPSec的ESP IPSec的安全负载封装协议 （ESP，Encapsulated Security Payload） 二、IPSec协议 4、IPSec的ESP 传输模式 保护内容是IP包的载荷（如TCP、UDP、ICMP等） ESP插入到IP头部之后，传输层协议之前 验证和加密范围不是整个IP包 IP头部(含选项字段) TCP头部(含选项字段) 数 据 应用ESP前 IP头部(含选项字段) ESP头部 数 据 TCP头部(含选项字段) 验证区域 应用传输模式ESP后 ESP尾部 ESP验证数据 加密 区域 二、IPSec协议 4、IPSec的ESP 验证区域 隧道模式 保护的内容是整个IP