1．5安全电子邮件协议S／MIME(Secure／Multi—purpose Intemet Mail Extensions)

　　由RSA公司提出，是电子邮件的安全传输标准，它是一个用于发送安全报史的IETF标准。目前大多数电子邮件产品都包含对S／MIME的内部支持。

　　(1)在TCP／IP协议栈中所处的层次如图5。

图5 S／MIME在TCP／IP协议栈中所处的层次

　　(2)安全服务：它用PKI数字签名技术支持消息和附件的加密。

　　(3)加密机制：S／MIME采用单向散列算法，如SHA-1、MD5等，也采用公钥机制的加密体系。S／MIME的证书格式采用X．509标准。

　　(4)工作原理：S/MlME的认证机制依赖于层次结构的证书认证机构，所有下一级组织和个人的证书均由上一级组织认证，而最上一级的组织(根证书)间相互认证，整个信任关系是树状结构。另外S/MIME将信件内容加密签名后作为特殊附件传送。

　　(5)应用领域：各种安全电子邮件发送的领域。

　　(6)优点：与传统PEM不同，因其内部采用MIME的消息格式，所以不仅能发送文本，还可携带各种附加文档，如包含国际字符集、HTML、音频、语音邮件、图像等不同类型的数据内容。

　　1．6网络层安全协议IPSec(Internet ProtocolSecurity)

　　由IETF制定，面向TCMP，它足为IPv4和IPv6协议提供基于加密安全的协议。

　　(1)在TCP／IP协议栈中所处的层次如图6。

图6 IPSec在TOP／IP协议栈中所处的层次

　　(2)安全服务：IPSec提供访问控制、无连接完整性、数据源的认证、防重放攻击、机密性(加密)、有限通信量的机密性等安全服务。另外IPSec的DOI也支持IP压缩。

　　 (3)加密机柳：IPSec通过支持DES，三重DES，IDEA，AES等确保通信双方的机密性；身份认证用DSS或RSA算法；用消息鉴别算法HMAC计算MAC，以进行数据源验证服务。

　　(4)工作原理：IPSec有两种工作模式(如图7)传输模式和隧道模式。传输模式用于两台主机之间，保护传输层协议头，实现端对端的安全性。隧道模式用于主机与路由器之间，保护整个IP数据包。

图7 IPSec的两种工作模式

　　(5)应用领域：IPSec可为各种分布式应用，如远程登录、客户，服务器、电了邮件、文件传输、web访问等提供安全。可保证LAN、专用和公用WAN以及Internet的通信安全。目前主要应用于VPN、路由器中。

　　(6)优点：IPSoc可用来在多个防火墒和服务器间提供安全性，可确保运行在TCP/IP协议上的VPNs间的互操作性。它对于最终用户和应用程序是透明的。

　　(7)缺点：IPSec系统复杂，且不能保护流量的隐蔽性；除TCP／IP外，不支持其它协议;IPSec与防火墙、NAT等的安全结构也是一个复杂的问题。

 　　2 安全协议对比分析

　　2．1 SSL与IPSec

　　 (1)SSL保护在传输层上通信的数据的安全，IPSec除此之外还保护IP层上的教据包的安全，如UDP包。

　　(2)对一个在用系统，SSL不需改动协议栈但需改变应用层，而IPSec却相反。

　　(3)SSL可单向认证(仅认证服务器)，但IPSec要求双方认证。当涉及应用层中间节点，IPSec只能提供链接保护，而SSL提供端到端保护。

　　(4)IPSec受NAT影响较严重，而SSL可穿过NAT而毫无影响。

　　(5)IPSec是端到端一次握手，开销小；而SSL/TLS每次通信都握手，开销大。

　　2．2 SSL与SET

　　(1)SET仅适于信用卡支付。而SSL是面向连接的网络安全协议。SET允许各方的报文交换非实时，SET报文能在银行内部网或其他网上传输，而SSL上的卡支付系统只能与Web浏览器捆在一起。

　　 (2)SSL只占电子商务体系中的一部分(传输部分)。而SET位于应用层。对网络上其他各层也有涉及，它规范了整个商务活动的流程。

　　(3)SET的安全性远比SSL高。SET完全确保信息在网上传输时的机密性、可鉴删性、完整性和不可抵赖性。SSL也提供信息机密性、完整性和一定程度的身份鉴别功能，但SSL不能提供完备的防抵赖功能。因此从网上安全支付来看，SET比SSL针对性更强更安全。

　　(4)SET协议交易过程复杂庞大，比SSL处理速度慢，因此SET中服务器的负载较重，而基于SSL网上支付的系统负载要轻得多。

　　(5)SET比SSL贵，对参与各方有软件要求，且目前很少用网上支付，所以SET很少用到。而SSL因其使用范围广、所需费用少、实现方便，所以普及率较高。但随着网l二交易安全性需求的不断提高，SET必将是未来的发展方向。

　　2．3 SSL与S/MIME

　　S／MIME是应用层专保护E-mail的加密协议。而SMTP／SSL保护E-mail效果不是很好，因SMTP／SSL仅提供使用SMTP的链路的安全，而从邮件服务器到本地的路径是用POP／MAN协议，这无法用SMTP／SSL保护。相反S／MIME加密整个邮件的内容后用MIME教据发送，这种发送可以是任一种方式。它摆脱了安全链路的限制，只需收发邮件的两个终端支持S／MIME即可。

　　2．4 SSL与SHTTP

　　SHITP是应用层加密协议，它能感知到应用层数据的结构，把消息当成对象进行签名或加密传输。它不像SSL完全把消息当作流来处理。SSL主动把数据流分帧处理。也因此SHTTP可提供基于消息的抗抵赖性证明，而SSL不能。所以SHTTP比SSL更灵活，功能更强，但它实现较难，而使用更难，正因如此现在使用基于SSL的HTTPS要比SHTTP更普遍。

　　3 小结

　　每种网络安全协议都有各自的优缺点，实际应用中要根据不同情况选择恰当协议并注意加强协议间的互通与互补，以进一步提高网络的安全性。另外现在的网络安全协议虽已实现了安全服务，但无论哪种安全协议建立的安全系统都不可能抵抗所有攻击，要充分利用密码技术的新成果，在分析现有安全协议的基础上不断探索安全协议的应用模式和领域。