第4章网络安全议(刘天华编著,科学出版社).pptVIP

2. S/MIME S/MIME是Secure/Multipurpose Internet Mail Extension的简称。它是从PEM（Privacy Enhanced Mail）和MIME(Internet邮件的附件标准)发展而来的。S/MIME集成了三类标准：MIME（RFC1521），加密消息语法标准（Cryptographic Message Syntax Standard）和证书请求语法标准（Certification Request Syntax Standard）。 S/MIME与PGP主要有两点不同：它的认证机制依赖于层次结构 的证书认证机构，所有下一级的组织和个人的证书由上一级的组 织负责认证，而最上一级的组织（根证书）之间相互认证，整个 信任关系基本是树状的，这就是所谓的Tree of Trust。还有， S/MIME将信件内容加密签名后作为特殊的附件传送，它的证书 格式采用X.509 V3相符的公钥证书。 4.4.1 电子邮件安全协议 表4.2 S/MIME的各种服务 4.4.1 电子邮件安全协议 MISE内容类型 MISE子类型 S/MIME类型 S/MIME服务 附件扩展名 应用 PKcs7-MIMS 签名数据 保证数据的完整性、认证和无法否认接收；使用不透明签名 .p7m 封装数据 保证数据的真实性 .p7m 复合 Signed NA 保证数据的完整性，认证和无法否认接收；使用透明签名 NA 应用 Pkcs7-signature NA 保证数据的完整性，认证和无法否认接收；使用透明签名 .p7s 4.4.2 SET协议 SET(Secure Electronic Transaction)协议是由VISA和MasterCard等国际信用卡组织于1997年提出的一种电子商务协议，它被设计为开放的电子交易信息加密和安全的规范，可为Internet公网上的电子交易提供整套安全解决方案：确保交易信息的保密性和完整性；确保交易参与方身份的合法性；确保交易的不可抵赖性。SET本身不是一个支付系统，它是一个安全协议和格式规范的集合。它可以使用户以一种安全的方式在公共、开放的Internet上传送银行帐户等敏感信息。从本质上讲，SET提供了三种服务： ? 在参与交易的各方之间建立安全的通信信道。 ? 通过使用符合X.509规定的数字证书来提供身份认证和信任。 ? 为了保证安全性，只有在必要的时候、必要的交易阶段才向必要的交易参与方提供必要的交易信息。 4.4.2 SET协议 SET协议主要特征： （1）信息的保密性。即客户的帐号、密码等支付信息在通过网络传输的时候应该是安全的。它区别于SSL 的一个最重要的特征是，防止商家得到客户的信用卡号码。因为支付信息应该是只有银行才可以看到的。同样，也应该防止银行看到客户的订单信息，订单信息应该是只有商家才可以看到的。这样明显的职责分割将提高整个交易过程的保密性。 （2）数据的完整性。即客户的订单信息和支付信息，以及商家向银行所发出的支付授权的内容均应该在传输的过程中保持原来的样子，而不能被不怀好意的人修改。而且还应该保证，即使被别人修改之后，在交易的下一个环节中，交易参与方可以及时的发现并中止本次电子交易的过程，然后等待有效信息的到来。 （3）不可抵赖性。即可在交易过程中判断当前交易的参与方是否是合法认证证书的持有者，以及是否是他所声称的那个人。这样，通过身份认证的交易参与方将对交易过程中发生的一切相关责任负责。 SET Participants Sequence of events for transactions The customer opens an account. The customer receives a certificate. Merchants have their own certificates. The customer places an order. The merchant is verified. The order and payment are sent. The merchant request payment authorization. The merchant confirm the order. The merchant provides the goods or service. The merchant requests payments. 4.4.3 SNMP协议 SNMP协议在研发之初并没有过多地考虑协议本身的安全问题，因为当时网络规模比较小。而当Interne