计算机网络与网络协议.ppt

计算机网络与网络协议 计算机网络 定义 所谓计算机网络，就是利用通信设备和线路将地理 位置不同、功能独立的多个计算机系统互连起来， 以功能完善的网络软件（即网络通信协议、信息交 换方式和网络操作系统等）实现网络中资源共享和 信息传递的系统。 网络硬件 网络软件 网络协议 网络操作系统 制定组织 ISO/OSI七层参考模型 TCP/IP协议族 IP地址 网络操作系统概念 主流网络操作系统 网络服务器 网络工作站 网络适配器、中继器、集线器、 网桥、交换机、路由器、调制解调器 传输介质 IP地址的概念 为使接入因特网的计算机在通信时 能够互相识别，IP协议规定每台入网的 计算机都必须有一个惟一的网络地址， 这个地址也叫因特网地址或者简称IP地 址（IP Address）。 -家庭地址 -身份证号码 实践操作1： 查看IP地址的方法 1、属性面板查看： 网上邻居-属性-本地连接-属性- Internet协议（TCP/IP） 2、ipconfig命令： 开始-运行-cmd-ipconfig 获取IP地址的方法 u固定IP地址：长期分配给一台计算机使用 的IP地址，如教室中的机器。 u动态IP地址：可以理解为临时地址，一旦 用户建立与Internet的连接，就得到一个IP 地址，当退出连接时，所分配的地址自动 取消。再次连接，重新分配IP地址。由因 特网服务提供商ISP（Internet Service Provider）分配给自己的用户使用。 IP地址的构成 IP地址是由32位二进制数构成的，即4个字节。 为使IP地址看上去简洁明了，一般用十进制数表示 ，每段对应一个字节，取值范围为0到255。每段数 字之间用小圆点隔开。 1100000 0 1010100 0 0000100 1 0110111 0 字节1 字节2字节3 字节4 10 位表示 十进制数表示 IPv6 把 IP 地址由 32 位增加到 128 位，也 就是说可以有2的128次方的IP地址，相当 于10的后面有38个零；如此庞大的地址空 间，足以保证地球上每个人拥有一个或多 个IP地址。 IP地址的表示形式 有两种表示形式： 1、十进制表示 例： 2、二进制表示 例： 11000000.10101000.00000000.00000001 注：在实际应用中多用十进制表示，每8位二 进制数对应一位十进制数。 IP 地址 0001 0000 0000 IP 地址 Host ID Network ID IP地址的分类 Internet组织已经将地址进行分类以适应不同 规模的网络。IP地址中的网络地址分为（A 、B、C、D、E）五类，每一类网络可以从 IP地址的第一个数字看出。网络类决定了IP 地址4个字节如何划分成网络和主机部分。 从下图说明五个地址类： A类0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 网络 主机 1126224-2=16,777,214 D类1110xxxxxxxxxxxxxxxxxxxxxxxxxxxx 多广播 224239 E类11110xxx xxxxxxxxxxxxxxxxxxxxxxxx 实验室保留 240255 网络主机 B类10xxxxxxxxxxxxxxxxxxxxxxxxxxxxx 128191216-2=65534 网络 主机 C类110xxxxxxxxxxxxxxxxxxxxxxxxxxxxx 19222328-2=254 识 别 IP地 址 分 类 (第 一 字 节 ) High Order Bits Octet in Decimal Address Class 0 10 110 1 -126 128 -191 192 -223 A B C 练 习 : IP 地 址 分 类 AddressClassNetworkHost 00 4 6 20 A B00 C4 C B6 Nonexistent 特殊的IP地 址 地址功能 网络指缺省的路由，这个值用于简化IP路由表 网络 通常指本主机，使用这个地址，应用程序 可以像访问远 程主机一样访问 本主机 所有网络位为0 的IP地址 指本网络的某主机，如4将访问本 网络中结点为34的主机。 所有主机位为0 的IP地址 指网络本身 网络或主机地址 位全1 指所有主机 5 5 本网络广播 返回 五、说明 1、IP地址中，主机号全为0或全为1时分别作为 本网络地址和广播地址使用，所以这个特殊 的 IP地址不能分配给用户使用。 2、D类网络用于广播，它可以将信息同时传送到 网上的所有设备，而不是点对点的信息传送 ， 这种网络可以用来召开电视电话会议。 3、E类网络常用于进行试验。 4、网络管理员在配置网络时不应该采用D类和E 类网络。 5、IP地址可以由网络管理员手动配置，也可由 安装DHCP的服务器来自动配置。 一、创建子网的目的 1、扩展网络。如果你的网络达到了物理限制，可以通过增 加路由器并创建子网来扩展网络，以连接更多的主机， 增加网上的用户。 2、减少竞争。同一网络中的节点占用带宽作为结果，主机 越多，需要带宽越大，创建子网减少每个网络的主机数 ，竞争也减少了。 3、减少CPU使用负载。这与减少竞争类似，网络中比较 多的主机会产生较多的广播。即使广播没有被发送给所 有的主机，但是每个主机必须听网络广播，以便决定是 否接收还是丢弃，这占用主机CPU。 4、隔离网络问题。通过将大网隔离成小网，你可以限制子 网对其它网络的影响。 5、有利于网络管理员对网络的管理。提高网络的安全性。 二、子网掩码的作用 所有的主机和网络必须有唯一的地址，如果你想把公司 网连到Internet，但是你只有比实际主机少的地址，这 样就可能存在问题。 TCP/IP允许通过借用主机地址扩展存在的网络，这种在 网络上创建子网的过程使用的是子网掩码技术。 把一个大的网络划分为若干个子网，这样网络地址和子 网地址就构成了IP地址的前半部分，IP地址的后半部 分自然就是主机地址了。如何从IP地址中区分子网和 主机呢？例如：IP地址是表示一个未子 网化的B类网上的设备，还是一个B类网上的子网化为 C类的网络设备呢，IP协议中定义了一个用来解释IP地 址的子网掩码。 子网掩码的组成及 标准IP地址的子网掩码图 组成： 子网掩码是一位特殊的32位二进制数， 它的格式与IP地址一样，但它用二进制中 的1来代替IP地址的前半部分（网络地址 和子网地址），用0来替代IP地址中的主 机地址。例如：的B类网络 的子网掩码为 11111111.1111111.00000000.0000000 0 用十进制表示 ： A类network 11111111.00000000.00000000.00000000 host B类network 11111111.11111111.00000000.00000000 host C类network 11111111.11111111.11111111.00000000 host 四、使用子网掩码 子网地址使得标准的主机地址被分成两部分： 子网地址和主机地址 在一个标准的IP地址结构中，每一类的IP地址的网络地址和主 机地址都是标准的。例如：A类网地址，前8位总为网络地址， 后24位为主机地址。在一个子网掩码屏蔽的地址结构中，网络 和主机地址随着子网掩码的不同而不同。子网地址借用的位数 决定了可用的子网数以及主机地址 subnetHost addressNet 较少的子网，较多的主机 hostSubnet addressNet 较多的子网，较少的主机 子网与主机相应关 系 例：AA公司被分配了一个B类地址，使用 子网掩码，AA公司的每台主机和路由器配 置前三个字节作为网络地址，最后一个字 节作为主机地址。如图所示，每台主机和 路由器被分配了一个的子网 掩码。因为整个第3字节作为屏蔽位，所以 ： AA公司可以创建28-2=254个子网 每个子网可以有28-2=254个主机 它是以整个子节作为屏蔽位 已知一个c类网络地址为，现 要将其划为不同的子网，其要求是：每个 子网的主机不超过25台，则最少能分多少 个子网？子网掩码是？ 域名(Domain Name) IP地址是一串数字，显然人们记忆有意义的字 符串比记忆数字更容易。为此因特网采用了域 名系统。 域名由25段字符串组成。 网络中有负责解析域名服务器(domain name service,DNS)，完成域名到IP地址的转换。 域名的组成 主机名子域名所属机构名顶级域名 如： www. sina. com. cn 顶级域名代码 国家或地区名称机构代码 机构名称 cn中国com商业机构 jp日本edu教育机构 hk香港gov政府机构 uk 英国Int国际机构 ca加拿大mil军事机构 de德国net网络服务机构 IP地址和域名的关系 u域名和IP地址是两种标识因特网中主机的 方法，它们具有对应关系。 u因特网中的一台主机只能有一个IP地址， 而一个IP地址可以对应有多个域名。 这有点类似于人的身份证和姓名之间的关系 ：一个人只能拥有惟一的一个身份证号码 （IP地址），而可以有多个名字（域名） ，如曾用名、笔名、昵称等。 域名(Domain Name) IP地址是一串数字，显然人们记忆有意义的字 符串比记忆数字更容易。为此因特网采用了域 名系统。 域名由25段字符串组成。 网络中有负责解析域名服务器(domain name service,DNS)，完成域名到IP地址的转换。 域名的组成 主机名子域名所属机构名顶级域名 如： www. sina. com. cn 顶级域名代码 国家或地区名称机构代码 机构名称 cn中国com商业机构 jp日本edu教育机构 hk香港gov政府机构 uk 英国Int国际机构 ca加拿大mil军事机构 de德国net网络服务机构 IP地址和域名的关系 u域名和IP地址是两种标识因特网中主机的 方法，它们具有对应关系。 u因特网中的一台主机只能有一个IP地址， 而一个IP地址可以对应有多个域名。 这有点类似于人的身份证和姓名之间的关系 ：一个人只能拥有惟一的一个身份证号码 （IP地址），而可以有多个名字（域名） ，如曾用名、笔名、昵称等。 3.4 DNS域名系统 虽然IP地址可以写成4组十进制数，但对普通用 户仍然不好记忆。 为了方便记忆，在互联网上通常用域名来代表一 台主机，并与每台主机的IP地址之间建立一一映 射关系。 DNS（Domain Name System）域名管理系统是 域名解析服务器的意思，它的作用是把域名和IP 地址进行相互转换。 按照Internet上的域名管理系统（DNS）的规定， 域名是由用小数点分隔的几组英文字母加数字组 成 格式为：计算机主机名.机构名.网络名.最高层域 名。 最高层域名一般有两种类型，一种是地理域，另 一种是机构域。 地理域是通过地理区域来划分域名， 例如中国的地理域名是CN，日本是JP，香港是HK， 美国一般不使用地理域名； 机构域是根据注册的机构类型来分类 常见机构域名有如下几种：com商业领域、edu教育领 域、gov政府部门、int国际组织、mil军事机构、net网 络领域、org社会组织。 邮箱服务器域名 接收服务器 发送服务器 接收服务器 发送服务器 Qq的pop3和smtp服务器地址为： pop3：； smtp： 网络协议 为什么这部分内容要提前讲？ 计算机网路技术的基本思路就是：网络协 议体系结构； 掌握计算机网络技术的最好办法就是从： 网络协议体系结构开始； 目录 大网的概念 层面分析的概念 OSI网络体系结构 TCP/IP网络体系结构 五层协议体系结构 应用举例 一、大网的概念 例子：我（在4号楼的办公室里面）跟在美 国的朋友聊天的信息是怎样通过网络传过 去的？ 4 号 楼 办 公 网 401402404403405406 301302303304305306楼层接入交换机 楼层接入交换机 楼层接入交换机 hub 大楼出口交换机 校 园 网 典型的二层交换网络 MeMe 4号楼 2号楼 1号楼 电 信 房 山 网 校园网管中心 校园网汇接路由器 防火墙 三层网络，接入层 校 园 网 校园网 其他学校园 网 区政府办公网 其他企事业 局域网 电 信 北 京 网 电信区网管中心 电信宁波市网 区网汇接路由器区网核心路由器 区网汇接路由器 三层网络，汇接层 浙江 上海 北京 广州 武汉 乌鲁 木齐 兰州 西安 天津 电信全国网（部分） Internet Internet Internet 国际线路 国际线路 国 际 线 路 中国 美国 俄罗斯 德国 新加波 香港 日本 台湾 全球Internet (部分) 美国美国 全球Internet 中国国内网络 北京网 房山区网 现大校园网 4号楼办公网 互联的网络，其实是部分与整体，逻辑上总是由小到大 MeMe 朋友朋友 问题： 这些网络是根据什么原理连在一起的？ 这些网络是根据什么方法传递数据的？ 为什么必须是统一的？ 这个网络协议体系又是什么样的？ 答案： 统一的网络协议体系 二、层面分析的概念 1、Windows XP系统故障； 2、碰了网线，插网线的网口松了； 3、网线被老鼠咬了； 4、运营商网络不通； 5、其他； 网断了，有哪些可能的原因？ QQ断线了，有哪些可能的原因？ 因为QQ断线我们很熟悉,所以可以根据以往 的经验判断故障的原因; 如果遇到不熟悉的网络故障,怎么办? 我们需要一种科学的方法来解决这些问题; 这种方法能用来分析和解决网络上千变万化 的各种情况. 1、Windows XP系统故障； 深入分析一下： 5、其他； 2、碰了网线，插网线的网口松了； 3、网线被老鼠咬了； 4、运营商网络不通； 系统应用层面的问题 数据链路层面的问题 物理层面的问题 网络层面的问题 其他层面的问题 结论： 我们把问题可能的原因采用分层分析的方法进行 归类； “分层”可将庞大而复杂的问题，转化为若干较小的局 部问题，而这些较小的局部问题就比较易于研究和处 理。 问：是不是所有网络问题的原因都可用同一个层 面体系结构来分析？答案：是。 问：为什么？ 问：这个完整的网络层面体系结构是怎样的？ 例子1和2的结合： 分层（按照统一的标准对网络分层） 每层采用相同的协议（统一，标准化） 网络协议体系结构的两个要素： 分层 协议 协议： 协议（protocol）：就是通信双方必须共同 遵从的一组约定。 通常，网络协议由下面三个要素组成： 语法(syntax)，就是控制信息和数据的结构和格式，表 示信号的电平等； 语义（semantics），就是信息的含义，包括控制信息 和差错控制等。 时序（timing），包括对事件实现顺序的详细说明和数 据传输速率等。 为什么协议要标准化？ 制定协议的标准化组织 国际电信联盟ITU 因特网工程任务组IETF 国际标准化组织：ISO 电子电气工程师学会：IEEE 网络协议体系结构的两种国际 标准 理论上的国际标准 OSI 网络协议 体系。 事实上的国际标准 TCP/IP 网络协 议体系。 三、OSI网络协议体系结构 应用层 传输层 网络层 表示层 会话层 数据链路层 物理层 7 6 5 4 3 2 1 四、TCP/IP 网络协议体系结构 应用层 网络接口层 网际层 IP (各种应用层协议) 传输层(TCP 或 UDP) OSI 与 TCP/IP体系结构的比较 应用层 传输层 网络层 表示层 会话层 数据链路层 物理层 7 6 5 4 3 2 1 OSI 的体系结构 应用层 网络接口层 网际层 IP (各种应用层协议如 TELNET, FTP, SMTP 等) 传输层(TCP 或 UDP) TCP/IP 的体系结构 五、五层协议的体系结 构 TCP/IP 是四层的体系结构：应用层、传 输层、网际层和网络接口层。 最下面的网络接口层并没有具体内容。 因此往往采取折中的办法，即综合 OSI 和 TCP/IP 的优点，采用一种只有五层协 议的体系结构 。 五层协议体系结构 应用层(application layer) 传输层(transport layer) 网络层(network layer) 数据链路层(data link layer) 物理层(physical layer) 数据链路层 5 应用层 4 传输层 3 网络层 2 数据链路层 1 物理层 数据链路层 5 应用层 4 传输层 3 网络层 2 数据链路层 1 物理层 QQ怎么体现在五层网络体系结构中？ QQ软件协议 TCP & UDP IP 以太网 六、应用举例 以太网接口RJ45 Windows下TCP/IP协议栈协议栈 的实现实现 6.2 基于网络体系结构的数据传输 网络体系结构是根据每层的功能进行划分的,那上下 层之间是什么样的关系,我们通过基于网络体系结构 的数据传输看一下。 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 我们一起吃饭我们一起吃饭 应用层首部 H5 10100110100101 比 特 流 110101110101 QQ:QQ:我们一起吃饭我们一起吃饭 我们一起吃饭我们一起吃饭 H5我们一起吃饭我们一起吃饭 H4H5我们一起吃饭我们一起吃饭 H3H4H5我们一起吃饭我们一起吃饭 H4 传输层首部 H3 网络层首部 H2 链路层 首部 T2 链路层 尾部 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 QQ数据（我们一起吃饭）先传送到应用层 加上应用层首部（控制信息），成为应用层 数据 我们一起吃饭我们一起吃饭 应用层首部 H5我们一起吃饭我们一起吃饭 5 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 应用层数据再传送到传输层 加上传输层首部（控制信息），成为传输层报文 H5我们一起吃饭我们一起吃饭H4 传输层首部 H5我们一起吃饭我们一起吃饭 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 传输层报文再传送到网络层 加上网络层首部（控制信息），成为 IP 数据报 H5我们一起吃饭我们一起吃饭 H4H5我们一起吃饭我们一起吃饭 H4 H3 网络层首部 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 IP 数据报再传送到数据链路层 加上链路层首部和尾部（控制信息）， 成为数据链路层帧 H4H5我们一起吃饭我们一起吃饭 H3H4H5我们一起吃饭我们一起吃饭 H3 H2 链路层 首部 T2 链路层 尾部 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 数据链路层帧再传送到物理层 最下面的物理层把比特流传送到物理媒体 10100110100101 比 特 流 110101110101 H3H4H5我们一起吃饭我们一起吃饭H2T2 计算机 1 向计算机 2 发送数据 应用层(application layer) 5 4 3 2 1 5 4 3 2 1 物理传输媒体 计算机 1 AP2 AP1 电信号（或光信号）在物理媒体中传播 从发送端物理层传送到接收端物理层 计算机 2 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 我们一起吃饭我们一起吃饭 应用层首部 H5 10100110100101 比 特 流 110101110101 QQ:QQ:我们一起吃饭我们一起吃饭 我们一起吃饭我们一起吃饭 H5我们一起吃饭我们一起吃饭 H4H5我们一起吃饭我们一起吃饭 H3H4H5我们一起吃饭我们一起吃饭 H4 传输层首部 H3 网络层首部 H2 链路层 首部 T2 链路层 尾部 物理传输媒体 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 10100110100101 比 特 流 110101110101 计算机 2 的物理层收到比特流后 交给数据链路层 H2T2H3H4H5我们一起吃饭我们一起吃饭 H3H4H5我们一起吃饭我们一起吃饭 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 数据链路层剥去帧首部和帧尾部后 把帧的数据部分交给网络层 H2T2H3H4H5 我们一起吃饭我们一起吃饭 H4H5我们一起吃饭我们一起吃饭 H3H4H5我们一起吃饭我们一起吃饭 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 网络层剥去分组首部后 把分组的数据部分交给传输层 H5我们一起吃饭我们一起吃饭 H4H5我们一起吃饭我们一起吃饭 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 传输层剥去报文首部后 把报文的数据部分交给应用层 我们一起吃饭我们一起吃饭 H5我们一起吃饭我们一起吃饭 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 应用层剥去应用层 首部后 把应用程序数据交给应用进程QQ 计算机 1 向计算机 2 发送数据 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 我收到了 AP1 发来的 应用程序数据 （QQ：我们一起吃饭！） 概念测试题： 1.OSI模型采用七个层次的网络体系，其中最底层是( )。 A. 网络层 B. 应用层 C. 物理层 D. 数据链路层 2. TCP/IP协议栈的网络接口层对应OSI模型的哪一层？( ) 。 A. 物理层 B.数据链路层 C. 物理层和数据链路层 D. 数据链路层和网络层 4、电子商务安全协议 为了保障电子商务的安全性，一些公司和机构制定为了保障电子商务的安全性，一些公司和机构制定 了电子商务的安全协议，来规范在了电子商务的安全协议，来规范在InternetInternet上从事商务上从事商务 活动的流程。活动的流程。 目前，典型的电子商务安全协议有：目前，典型的电子商务安全协议有： SSLSSL（安全套接层）协议安全套接层）协议 SETSET（安全电子交易）协议安全电子交易）协议 4.1 SSL协议 SSLSSL协议（协议（Security Socket LayerSecurity Socket Layer， 安全套接层协安全套接层协 议）是议）是NetscapeNetscape公司提出的基于公司提出的基于WebWeb应用的安全协议，该应用的安全协议，该 协议向基于协议向基于TCP/IPTCP/IP的的C/SC/S应用程序提供了客户端和服务器应用程序提供了客户端和服务器 的鉴别、数据完整性及信息机密性等安全措施。的鉴别、数据完整性及信息机密性等安全措施。 1. 协议简介 4.1 SSL协议 SSLSSL采用对称密码技术和公开密码技术相结合，提供采用对称密码技术和公开密码技术相结合，提供 了如下三种基本的安全服务：了如下三种基本的安全服务： 秘密性。秘密性。SSLSSL客户机和服务器之间通过密码算法和密钥的协商，建客户机和服务器之间通过密码算法和密钥的协商，建 立起一个安全通道。以后在安全通道中传输的所有信息都经过了加立起一个安全通道。以后在安全通道中传输的所有信息都经过了加 密处理。密处理。 完整性。完整性。SSLSSL利用密码算法和利用密码算法和hashhash函数，通过对传输信息特征值的函数，通过对传输信息特征值的 提取来保证信息的完整性。提取来保证信息的完整性。 认证性。利用证书技术和可信的第三方认证性。利用证书技术和可信的第三方CACA，可以让客户机和服务器可以让客户机和服务器 相互识别对方的身份。相互识别对方的身份。 1. 协议简介 4.1 SSL协议 SSLSSL协议的关键是要解决以下几个问题：协议的关键是要解决以下几个问题： 客户对服务器的身份确认：容许客户浏览器，使用客户对服务器的身份确认：容许客户浏览器，使用 标准的公钥加密技术和一些可靠的认证中心（标准的公钥加密技术和一些可靠的认证中心（CACA）的的 证书，来确认服务器的合法性。证书，来确认服务器的合法性。 服务器对客户的身份确认：容许客户服务器的软件服务器对客户的身份确认：容许客户服务器的软件 通过公钥技术和可信赖的证书，来确认客户的身份。通过公钥技术和可信赖的证书，来确认客户的身份。 建立起服务器和客户之间安全的数据通道：要求客建立起服务器和客户之间安全的数据通道：要求客 户和服务器之间的所有的发送数据都被发送端加密，户和服务器之间的所有的发送数据都被发送端加密， 所有的接收数据都被接收端解密，同时所有的接收数据都被接收端解密，同时SSLSSL协议会在协议会在 传输过程中解查数据是否被中途修改。传输过程中解查数据是否被中途修改。 2. SSL协议的作用 4.1 SSL协议 目前，几乎所有操作平台上的目前，几乎所有操作平台上的WEBWEB浏览器（浏览器（IEIE、NetscapeNetscape）以及以及 流行的流行的WebWeb服务器（服务器（IISIIS、Netscape Enterprise ServerNetscape Enterprise Server等）都支持等）都支持 SSLSSL协议。协议。 缺点：缺点： （1 1）系统不符合中国国务院最新颁布的）系统不符合中国国务院最新颁布的商用密码管理条例商用密码管理条例 中对商用密码产品不得使用国外密码算法的规定，要通过国家密码中对商用密码产品不得使用国外密码算法的规定，要通过国家密码 管理委员会的审批会遇到相当困难。管理委员会的审批会遇到相当困难。 （2 2）系统安全性方面的缺陷：）系统安全性方面的缺陷：SSLSSL协议的数据安全性其实就是协议的数据安全性其实就是 建立在建立在RSARSA等算法的安全性上，攻破等算法的安全性上，攻破RSARSA等算法就等同于攻破此协议等算法就等同于攻破此协议 。 但是总的来讲，但是总的来讲，SSLSSL协议的安全性能是好的，而且随着协议的安全性能是好的，而且随着SSLSSL协议协议 的不断改进，更多的安全性能好的加密算法被采用，逻辑上的缺陷的不断改进，更多的安全性能好的加密算法被采用，逻辑上的缺陷 被弥补。被弥补。 3. SSL的安全性 4.1 SSL协议 4. 双向认证SSL协议的具体过程 双向认证双向认证SSLSSL协议的具体通讯过程，要求服务器和用户双方协议的具体通讯过程，要求服务器和用户双方 都有证书。单向认证都有证书。单向认证SSLSSL协议不需要客户拥有协议不需要客户拥有CACA证书。证书。 基于基于SSLSSL协议，双方的通讯内容是经过加密的数据，这时候协议，双方的通讯内容是经过加密的数据，这时候 的安全就依赖于密码方案的安全。的安全就依赖于密码方案的安全。 4.2 SET协议 1. SET概述 SETSET协议（协议（Secure Electronic TransactionSecure Electronic Transaction，安全电子交易安全电子交易 协议）是由协议）是由VISAVISA和和MasterCardMasterCard两大信用卡公司于两大信用卡公司于19971997年年5 5月联合推月联合推 出的规范。出的规范。其实质是一种应用在其实质是一种应用在InternetInternet上、以上、以信用卡信用卡为基础的为基础的 电子付款系统规范，目的就是为了保证网络交易的安全。电子付款系统规范，目的就是为了保证网络交易的安全。 SETSET协议采用公钥密码体制和协议采用公钥密码体制和X.509X.509数字证书标准，提供了消数字证书标准，提供了消 费者、商家和银行之间的认证，确保了交易数据的机密性、真实费者、商家和银行之间的认证，确保了交易数据的机密性、真实 性、完整性和交易的不可否认性，特别是保证不将消费者银行卡性、完整性和交易的不可否认性，特别是保证不将消费者银行卡 号暴露给商家等优点，因此它成为了目前公认的信用卡号暴露给商家等优点，因此它成为了目前公认的信用卡/ /借记卡的借记卡的 网上交易的国际安全标准。网上交易的国际安全标准。 4.2 SET协议 2. SET协议的目标 SETSET要达到的最主要目标是要达到的最主要目标是： （1 1）信息在公共因特网上安全信息在公共因特网上安全传输传输传输传输 （2 2）订单信息和个人账号信息隔离）订单信息和个人账号信息隔离 （3 3）持卡人和商家相互认证）持卡人和商家相互认证 SETSET协议涉及的当事人包