ssl协议范文1
关键词:SSL;电子商务;数据安全
1 引言
随着计算机技术和Internet的飞速发展,商业活动实现了电子化,从而发展成为电子商务。电子商务借助互联网、企业内部网和增值网等计算机与网络和现代通信技术,按照一定的标准,利用电子化工具,将传统的商业活动的各个环节电子化、网络化,从而以数字化方式来进行交易活动和相关服务活动。
电子商务包括电子货币交换、供应链管理、电子交易市场、网络营销、在线事务处理、电子数据交换(EDI)、存货管理和自动数据收集系统。电子商务完全不同于传统的商务活动,它是一种以网络为载体的新的商务运作方式。
(1)SSL不能提供交易的不可否认性。SSL协议是基于Web应用的安全协议,它只能提供安全认证,保证SSL链路上的数据完整性和保密性。却不能对电子商务的交易应用层的信息进行数字签名,因此,SSL不能提供交易的不可否认性,这可以说是SSL在电子商务中最大的缺陷。
(2)SSL只能提供客户机到服务器之间的两方认证,无法适应电子商务中的多方交易业务。
(3)SSL易遭受Change Cipher Spec消息丢弃攻击。由于SSL握手协议中存在一个漏洞:在finished消息中没有对变换加密的说明消息进行认证处理,在接收到该消息前,所有的密码族都不做任何加密处理和MAC保护,只有在接收到Change Cipher Spec消息之后,记录层才开始对通信数据进行加密和完整性保护。这种处理机制使得SSL易遭受Change Cipher Spec消息丢弃攻击。
(4)SSL无法避免通信业务流分析攻击。由于SSL位于TCP/IP的协议层之上,因此,无法对TCP/IP协议头部进行保护,导致潜在的隐患。攻击者通过获取IP地址、URL请求的长度以及返回的Web页面的长度等信息,可以分析出用户访问的目标,再加上SSL协议只支持对 块密码的随机填充,没有提供对流式密码算法的支持,使得SSL无法阻止这类攻击。
4 总结
电子商务正飞速地发展。用于保障电子商务活动的安全协议主要有S-HTTP、STT、IKP、SET和SSL。其中SSL协议是目前电子商务采用的主要的网上交易协议。SSL协议采用了加密、认证等安全措施,结合了Hash算法,较好地保证了数据在传输过程中的保密性、可靠性和完整性,在一定程度上放置了欺骗、篡改、重放等攻击。本文在介绍SSL协议栈及其工作原理和机制的基础上,对基于SSL的电子商务的安全性进行了分析。
参考文献:
[1] 邢双慧.浅谈电子商务与SSL协议[J].硅谷,2010(01):37
ssl协议范文2
[关键词] 电子商务 SSL协议 SET协议
一、引言
电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经成为人类跨入知识经济新纪元的重要标志之一。但美国的一个调查机构显示超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。安全是电子商务发展的核心问题。
保证电子商务安全,其核心在于安全协议。迄今为止,国内外已经出现了多种电子支付协议,目前有两种安全在线支付协议被广泛采用,即安全套接层SSL协议和安全电子交易SET协议,二者均是成熟和实用的安全协议。
二、安全套接层协议(SSL)
SSL协议是由网景公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中,采用了公开密钥和私有密钥两种加密方法。
它已成为事实上的工业标准,独立于应用层,可加载任何高层应用协议,适合为各类C/S模式产品提供安全传输服务。它提供一种加密的握手会话,使客户端和服务器端实现身份验证、协商加密算法和压缩算法、交换密钥信息。这种握手会话通过数字签名和数字证书来实现客户和服务器双方的身份验证,采用DES、MD5等加密技术实现数据的保密性和完整性。在用数字证书对双方的身份验证后,双方就可以用密钥进行安全会话。
1.SSL安全协议主要提供三方面的服务
(1)用户和服务器的合法性认证:认证用户和服务器的合法性,使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号,这些识别号由公开密钥进行编号,为了验证用户是否合法,SSL要求在握手交换数据进行数字认证,以此来确保用户的合法性。
(2)加密数据以隐藏被传送的数据:SSL采用的加密技术既有对称密钥技术,也有公开密钥技术。在客户机与服务器进行数据交换之前,交换SSL初始握手信息,在SSL握手情息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。
(3)护数据的完整性:SSL采用Hash函数和机密共享的方法来提供信息的完整性服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。
2.SSL协议的缺点
(1)客户的信息先到商家,让商家阅读,这样,客户资料的安全性就得不到保证。
(2)SSL只能保证资料信息传递的安全,而传递过程是否有人截取就无法保证了。所以,SSL并没有实现电子支付所要求的保密性、完整性,而且多方互相认证也是很困难的。
三、安全电子交易SET协议
SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。
1.SET支付系统的组成
SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。对应地,基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。
2.SET安全协议主要提供三方面的服务
(1)保证客户交易信息的保密性和完整性:SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名,使得商家看不到支付信息,只能接收用户的订单信息;而金融机构看不到交易内容,只能接收到用户支付信息和帐户信息,从而充分保证了消费者帐户和定购信息的安全性。
(2)确保商家和客户交易行为的不可否认性:SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性,采用的核心技术包括X.509电子证书标准,数字签名,报文摘要,双重签名等技术。
(3)确保商家和客户的合法性:SET协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证,可以确保交易中的商家和客户都是合法的,可信赖的。
3.SET协议的缺点
(1)只能建立两点之间的安全连线,所以顾客只能把付款信息先发送到商家,再由商家转发到银行,而且只能保证连接通道是安全的而没有其他保证。
(2)不能保证商家会私自保留或盗用他的付款信息。
4.SSL与SET协议的比较
(1)在认证要求方面,早期的SSL并没有提供商家身份认证机制,不能实现多方认证;而SET的安全要求较高,所有参与SET交易的成员都必须申请数字证书进行身份识别。
(2)在安全性方面,SET协议规范了整个商务活动的流程,从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商店端的信息交换进行加密保护,可以看作是用于传输的那部分的技术规范。从电子商务特性来看,它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。
(3)在网络层协议位置方面,SSL是基于传输层的通用安全协议,而SET位于应用层,对网络上其他各层也有涉及。
(4)在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全,但如果电子商务应用是一个涉及多方交易的过程,则使用SET更安全、更通用些。
四、结束语
由于两协议所处的网络层次不同,为电子商务提供的服务也不相同,因此在实践中应根据具体情况来选择独立使用或两者混合使用。
参考文献:
[1]陈兵主编:网络安全与电子商务[M].北京:北京大学出版社,2002.1
ssl协议范文3
关键词:网络支付; 安全套接层; 安全电子交易; 电子商务; 支付系统; 电子钱包
中图分类号:F724.6 文献标志码:A
Internet payment system based on SSL and SET protocol
JIANG Zhihua
(Info. Eng. College, Shanghai Maritime Univ., Shanghai 200135, China)
Abstract: Internet payment is the bottleneck that restricts the development of E-Business. So the general internet payment system framework for bank card is introduced, and an Internet payment system based on Secure Socket Layer (SSL) and Secure Electronic Transaction (SET) protocol is proposed. And its payment flow and security are detailed and discussed.
Key words: Internet payment; secure socket layer; secure electronic transaction; E-Business; payment system; E-Wallet
0 引 言
网络支付方式是电子商务发展的关键要素.电子商务交易支付涉及支付安全和实现平台的统一,信息安全技术已经为网络支付研究出一系列安全加密及信息传输的技术规范,如以安全套接层(Secure Socket Layer, SSL)协议和安全电子交易协议(Secure Electronic Transaction, SET)为代表的网络支付协议及应用于网上的数字签名、用户论证等技术.本文结合SSL和SET网络支付协议及应用技术,讨论基于第三方运营的网络支付方式,发挥SET的严密性和SSL的简单直观性等特点,使网络支付系统构建体现资源整合、方便交易特色的统一支付平台.
1 网络支付模式
网络支付是指电子商务交易的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转,对支付的要求是能够实现跨地跨行的交易支付快捷且安全,并保证银行之间、银行商户之间的资金结算准确无误.电子支付的方式主要有3类:一类是电子货币类,如电子现金和电子钱包等;另一类是电子信用卡类,包括银行磁卡、智能卡和电话卡等;还有一类是电子支票类,如电子支票、电子汇款和电子划款等.
在电子支付的3种基本支付方式中信用卡(银行卡)支付得到世界范围内的普及[1],能很好地解决小额在线支付结算中的安全问题,因此越来越多的人愿意接受并且喜欢利用信用卡进行网络支付.信用卡网络支付模式总体有下面4种.
1.1 无安全措施的信用卡支付模式
这种支付模式是指持卡人利用信用卡进行支付结算时,几乎没有采取任何技术上的安全措施而把信用卡号码和密码直接传送给商家,然后由商家负责后续处理的模式(见图1).这是在电子商务发展初期各方面都不太成熟,特别是银行对电子商务的支持还不完善的情况下出现的,风险由商家负责,安全性差,持卡人的信用卡隐私信息完全被商家掌握,支付效率较低.[2]
1.2 借助第三方机构的信用卡支付模式
为了降低在无安全措施支付模式中的风险,在买方和卖方之间启用1个具有诚信的第三方机构,这个机构持有持卡客户的信用卡账号信息用于与银行的支付结算,并负责将交易信息在商家和客户之间传递(见图2).这种方式对第三方机构的公正、信誉和操作规范有很高的要求[3],主要风险由第三方机构承担,安全性得到一定的保证;但由于并未发挥银行网络在支付中的作用,在提高安全性的同时支付效率没有得到提高,成本也较高,且不太适合小额的网上支付.
1.3 基于SSL协议机制的信用卡支付模式
这种方式为Internet环境下信用卡支付的典型方式(见图3):使用SSL作为安全会话,保护和防止Internet其他用户获取信用卡帐号等机密信息.交易多方身份验证机构认证中心(Certification Authority,CA)的作用是间接的,主要是为支付各方颁发证书.用户以明文方式输入其信用卡号,该卡号将被加过密的SSL会话发送给商家的服务器并转发给发卡银行.这种通过商家中转支付信息的SSL支付模式不能保证支付账户信息不被商家看到,所以改进的SSL支付模式就是客户浏览器与银行服务器之间直接建立SSL加密联接.SSL支付模式是应用最为广泛的网络支付模式,其特点是应用方便、成本较低、安全性高、市场产品成熟,国内大多数商业银行的信用卡网络支付系统都采用这种技术模式,绝大多数的网上商家均支持这种模式的信用卡应用.
SET协议是由Visa和MasterCard联合开发的1种开放性标准.SET协议可以让持卡人在开放网络上发送安全的支付指令和获取认证信息.SET主要用于兼容当前的信用卡网络,目前涉及的是B2C的电子商务交易.在交易之前,客户必须到相应的发卡银行柜台办理应用SET协议机制的信用卡,并下载安装持卡客户端软件(电子钱包软件),将信用卡相关信息添加进客户端软件,最后为其中的信用卡申请数字证书;同样,商户需到银行办理这类信用卡结算事宜,得到服务器端SET支持软件,并且从CA得到数字证书.作为银行网络与外部网的接口支付网关,也须得到数字证书的认证.在交易过程中,SET介入信用卡支付的全过程,由于加密、认证较多,支付处理速度相对SSL机制的信用卡支付稍慢,各方开销也大一些,但该协议设计得很安全,已经成为事实上的工业标准.[4]
2 基于SSL和SET的网络支付
2.1 网络支付原理
目前应用较多的SSL和SET机制各有优劣.SSL强调的重点在于实现网络支付的便捷性,即可以在任何1网的PC上进行网上支付(需要安全认证和数字证书的下载),但是用户必须遵循不同银行卡相对独立的支付规则,且针对银行的是特约商户,一般商户不能支持所有银行卡.而SET流程设计安全,一般利用安装在物理设备(用户PC硬盘)之上的电子钱包模拟实际购物,对于用户而言很直观也比较易用,但是移动性却因为需要安装电子钱包软件而丧失,每次网络支付都要安装电子钱包软件很不现实.
结合SSL和SET网上支付的优势,将安装在本地硬盘的电子钱包置于网络上,由独立的第三方(网络服务商)管理用户电子钱包,并使网上钱包与银行的前端接口――支付网关有机结合,这样用户在网上购物与支付时,以浏览器加密专用通道(即SSL)的方式使用SET机制的电子钱包功能.
2.2 网络支付流程
网络支付流程见图4.
从图4可知,利用网上钱包进行在线支付的大致流程如下:(1)申请电子钱包.客户要在网上钱包服务商处开通网上钱包功能,申请电子钱包并进行设置.一般情况下客户可以到柜台申请,也可以在线申请,成功后用户得到网上钱包的账号和密码.用户还需对自己的电子钱包进行设置,将信用卡及支付卡账号、密码等信息存入网上钱包的个人账户中,除此之外还应对电子钱包的保密性做设置.(2)使用钱包中的信用卡支付.网上钱包实际上是个统一的支付平台,用户在SSL会话界面输入自己的网上钱包账号和密码进入钱包系统,选择信用卡进行支付.此时SET介入其中,对于银行支付网关,可以是与网上钱包平台集成的统一支付网关,也可以是银行自身的支付网关.收单行扣款成功返还给网上钱包平台,再通过SSL通知客户支付成功信息.
3 网络支付的安全性讨论
网络支付给用户带来使用上的方便,而且SSL和SET的结合能够使支付交易的速度得到提高.SSL和SET协议在网络安全上根据不同的安全要求和级别采取相应的安全防范措施.同样,网络支付在应用中也采用诸如数字签名、数字信封和数字摘要等技术,使其安全性问题就在于第三方钱包运营商的公正性(如钱包用户基本信息的保密问题等)以及钱包用户身份合法性上.
前者应当强化第三方机构(服务商)的审核,可以在应用中由业界普遍认同的绝对公正的金融机构担任网上钱包的服务商,同时CA应适时地加以身份鉴证;技术上加强用户对钱包账户信息的自我控制,对钱包运营商的数据监控.对于后者[5],应加强密码系统的安全性,用户应注意账户信息的保密和密码的及时更新,必要时可以采用动态密码机制.另外将账户信息集成在存储设备(如智能卡)上,采用双重身份登陆方法,也是实现网上钱包个人安全登陆的好办法.目前,国内金融网络建设的“银联”模式就是这样的实际应用,“银联”是依托于银行卡跨行跨地的资金流转业务而产生的,除了提供银行卡方便的现金支取和消费刷卡之外,其技术优势可完全应用于网络支付,作为第三方的支付网关,代表众多商业银行的支付工具,已经实现在线支付的即时到账,各类具有银联标志的银行卡都能方便地完成网络支付,并且正得到越来越多的应用.
4 结 论
本文阐述的是基于SSL和SET相结合的网络支付系统,是权衡两者利弊的较佳方案.可以看到,网络支付依托的是传统的网络支付模型和工具,在系统构成上主要要素不变,这就说明已经成熟的网络支付协议及安全技术是支付系统的基础,而在支付方式的形式上有比较大的拓展空间,这要根据实际的支付环境来决定.在设计网络支付系统时,应充分考虑支付环境和交易的情况,做到安全和便捷的统一.
参考文献:
[1] 梁春晓, 安徽. 电子商务从理念到行动[M]. 北京: 清华大学出版社, 2001.
[2] 柯新生. 网络支付与结算[M]. 北京: 电子工业出版社, 2004.
[3] 张卓其. 电子银行安全技术[M]. 北京: 电子工业出版社, 2003.
ssl协议范文4
[关键词] 电子商务SSL浏览器客户端服务器数字证书CA
一、 引言
随着计算机网络技术的飞速发展,电子商务开始蓬勃发展起来,通过Internet进行的网上购物、在线交易、网上银行等业务虽然为人们的工作和生活提供了极大的便利。但是,由于Internet本身具有的开放性、灵活性、共享性等特点,也为信息安全带来了巨大威胁。所以,电子商务的安全问题是事关能否正常开展电子商务的首要问题。
目前,世界上提出了很多加强网上交易安全性的协议,如SSL、SET等。由于SET协议非常复杂,实现比较困难,而且执行效率比较低,所以目前大部分网上交易都是采用SSL协议来实现。当前,网上银行等大型电子商务交易系统一般都采用HTTP和SSL相结合的方式,即在服务器端采用支持SSL的WWW服务器,在客户端采用支持SSL的浏览器,双方共同协作来实现安全的网络通信。
二、SSL协议的介绍
安全套接层协议(Secure Sock Layer Protocol,简称SSL)是在电子商务发展初期发展起来的,最早由Netscape公司设计开发,它是在TCP/IP上实现的一种安全协议,其采用了不对称加密技术。它为C/S(客户端/服务器)通信安全提供面向连接的机制,建立安全通道,通过在安全通道上传输信用卡卡号的方式,可以构建电子商务支付系统。SSL安全通道能使客户端/服务器应用之间的通信不被第三者窃听,并且始终对服务器进行身份认证,还可选择对客户端进行认证。目前,大部分Web浏览器(Netscape Navigator和Microsoft IE)和Web服务器都已内置了SSL协议,SSL已成为在电子商务中应用最广泛的安全协议之一。
SSL协议要求建立在可靠的传输层协议(例如:TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如:HTTP,FTP,TELNET)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成了加密算法、通信密钥的协商以及服务器认证工作。应用层协议所传送的数据都会被加密,从而保证通信的机密性。
SSL协议主要由SSL记录协议和SSL握手协议两部分组成。
1.SSL记录协议。SSL记录协议位于SSL协议的底层,用于封装上层的协议。其规定了会话中传递的所有数据项的基本格式,提供压缩数据、生成数据的完整性校验值(MAC)、对数据进行加密、标示数据长度、填充、流水作业号,并支持不同的加解密和杂凑算法。
2.SSL握手协议。SSL握手协议使得服务器和客户端能够相互认证对方的身份、传送所需的数字证书、建立所需的会话密钥。SSL握手协议是较SSL记录协议更高层的协议,必须先执行握手协议后,才可能实现SSL记录协议中的加密和完整性校验。SSL协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的建立。SSL握手过程一般分为4个阶段:
(1)建立安全能力:该阶段是用来初始化逻辑连接,并建立与之相关的安全能力。交换在客户端发起,客户端发送Client_hello消息,并包含以下数据(SSL版本、初始随机参数、会话ID、密码组参数、压缩方法),在发送了Client_hello消息之后,客户端将等待包含与Client_hello消息参数一样的Server_hello消息。
(2)服务器身份认证和密码交换:服务器发送自己的数字证书给客户端,该证书带有证书授权中心(CA)的数字签名和服务器的公钥以及其数字签名,可以证明自己的合法性,然后开始密钥交换。如果服务器要求认证客户端,则要请求客户端数字证书。该阶段以Hello消息段结束,之后服务器等待客户端的响应。
(3)客户端认证和密钥交换:在这一阶段,客户端认证服务器数字证书的合法性。如果服务器要求客户端的数字证书,客户端应提供其数字证书,供服务器认证客户端的合法性。此外,还要发送交换密钥。
(4)完成:该阶段完成安全通道的建立,该消息并不被认为是握手协议的一部分,而是改变密码规格协议发送的。至此,客户端和服务器完成了握手协议,可以开始交换应用层的数据了。
三、SSL协议在服务器上的应用
实现SSL协议,首先要在服务器上加装SSL,其步骤为先在“Internet服务管理器”的“识别码管理器”上填入网站的相关信息,以它为内容产生一组公钥,识别码管理器还会将以上信息都写入文件,接下来就可以用这份数据向证书授权中心(Certification Authority)申请SSL服务器数字证书了。CA是一个公开而且公正的组织单位,其专门负责受理数字证书的核准,发放,注销等管理工作(例如:VeriSign)。不同的CA有不同的申请方法。当申请好数字证书后,选择识别码管理器下的安装识别码认证,输人密码和数字证书文件的位置,就把数字证书安装好了。然后就是指定哪些页面需要用到SSL功能,打开Internet服务管理器,单击所要设置的页面目录后按右键,单击“属性”,再选择“目录安全设定”下“安全通信”,按下编辑按键后在“当存取这个资源必须使用安全通道”选项上打上勾,表示当客户端存取这个目录时就会激活SSL功能。
服务器通过SSL服务器数字证书的两个必要功能来建立电子商务信任体系。SSL服务器数字证书的两个必要功能是:
1.SSL服务器认证:服务器数字证书允许用户确认Web服务器的身份。Web浏览器自动检查服务器数字证书和公共ID是有效的并已经被CA(如:VeriSign)所,包括在可信任的内嵌于浏览器中的CA列表。SSL服务器认证对安全的电子商务交易是至关重要的。例如,用户通过网络发送信用卡号并想校验接收服务器的身份。
2.SSL加密:SSL服务器数字证书建立了一个安全通道,在用户浏览器和Web服务器之间传送的所有信息由发送软件加密、接收软件解密,从而保护私有信息不被第三方所窃取。
四、SSL协议在客户端的应用
1.客户连接一个站点和访问一个安全的URL,即受服务器ID所保护的网页。
2.客户的浏览器自动向服务器发送浏览器的SSL版本号、密码设置、产生的随机数和服务器需要和客户用SSL通信的其他信息。
3.服务器做出反应,自动向浏览器发送站点的数字证书,包括服务器的SSL版本号、密码设置等等。
4.客户的浏览器检查包含在服务器数字证书中的信息并校验。
(1)服务器数字证书是否有效,日期是否有效。
(2)服务器数字证书的CA是否被可信任的CA所签名,可信任的CA证书已嵌入浏览器中。
(3)嵌入浏览器中的CA的公钥是否使者的数字签名有效。
(4)服务器数字证书所指定的域名与服务器的真实域名是否匹配。
如果服务器不能通过认证,那么用户就会接收到警告信息,从而不能建立SSL安全通道。
5.如果服务器通过认证,客户浏览器就会产生一个唯一的“会话密钥”来加密所有与服务器的通信内容。
6.客户的浏览器用服务器数字证书中的公钥加密“会话密钥”发送给服务器。这样就可以确保只有服务器才能读出“会话密钥”。
7.服务器用自己的私钥解密“会话密钥”。
8.浏览器向服务器发送信息,表明以后从客户端发送的信息都将用“会话密钥”加密。
9.服务器向浏览器发送信息,表明以后从服务器发送的信息也将用“会话密钥”加密。
10.这样,在客户端与服务器就建立了一个SSL安全通道。之后,所有通信内容就在SSL安全通道内用“会话密钥”来加密和解密信息。
11.一旦本次会话结束,“会话密钥”也就随之失效。
上述过程只要花费几秒钟的时间,且不需要客户的干涉。
另外,用户还可以通过以下情况来确认是否已经和正在访问的服务器建立了SSL安全通道:
> 在浏览器窗口的URL中以HTTPS://开头
> 在Netscape中,在窗口左下角的挂锁是关闭的,而不是打开的。
> 在IE中,挂锁出现在窗口状态条的右下角。
五、SSL在现实中的应用
以中国工商银行“个人网上银行”为例。首先访问工商银行首页(省略/)。单击“个人网上银行登录”图标。然后填入必要的信息,之后单击同意按钮就可以打开“个人网上银行”。
首次使用时,会弹出一个要求安装SSL数字证书的对话框,单击“是”按钮即可。在安装好SSL数字证书之后,在IE浏览器的右下方就会出现一把闭合的黄色小锁,其代表浏览器正在使用SSL加密传输的资料,从而避免敏感信息在传输的过程中被窃取或者篡改。用户可以通过双击这把小锁来查看服务器SSL数字证书的详细内容。
值得一提的是个别浏览器只支持40位以下的加密算法。这对于传输重要信息是远远不够的。在IE浏览器中,只要将鼠标指向浏览器右下方的黄色小锁,就可以看到SSL加密的位数。假如不是128位的话,可以通过单击浏览器“帮助”菜单下的“关于Internet Explorer”。如果显示的密钥长度小于128位,则可以单击“工具”菜单上的“Windows Update”,然后依据提示将浏览器更新为最新版本,使其支持128位的SSL加密算法。
六、SSL的功能及SSL的局限性
1.信息加密。SSL所采用的加密技术既有对称加密技术,如DES;也有不对称加密技术,如RSA。具体来说,客户端与服务器在进行数据交换之前,先交换SSL握手信息,在SSL握手信息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行认证。
2.信息完整。SSL提供了信息完整服务,以建立客户端与服务器之间的安全通道,使所有经过SSL协议处理的业务能全部准确无误地到达其目的地。
3.身份认证。客户端和服务器都有各自的识别号,这些识别号由公开密钥进行编号。为了验证用户是否合法,SSL协议要求在握手交换数据前进行认证,以此来确保用户的合法性。 SSL坚持对服务器进行身份认证,还可选择性的对客户端进行认证。
然而,SSL当初并不是为支持电子商务而设计的,所以其在电子商务系统的应用中还存在很多弊端。它只是简单地在双方之间建立了一条安全通道,在涉及多方的电子交易中,只能提供交易中客户端与服务器之间的双方认证。而电子商务往往是用户、网站、银行三方协作完成,SSL协议并不能协调各方之间的安全传输和信任关系;另外还有购物时用户要输入通信地址,这样将有可能使得用户收到大量的垃圾信件。 此外,SSL协议不能防止心术不正的商家的欺诈,因为该商家掌握了客户的信用卡号。商家欺诈是信用卡业发展所面临的最严重的问题之一。但是,SSL除了传输过程以外不能提供任何安全保证,它并不能使客户确信此公司接受信用卡支付是得到授权的。再者,SSL协议的最大不足之处在于,其不对应用层的消息进行数字签名,因此SSL不能提供交易的不可否认性。
ssl协议范文5
[关键词] 电子商务安全 安全套接层协议 安全电子交易协议
在电子商务过程中,买卖双方是通过网络来联系的,因而建立交易双方的安全和信任关系是相当困难的。这样使得电子商务交易双方都面临不同的安全威胁。而电子商务的主要特征是在线支持,为了加强电子商务交易的安全性,需要采用数据加密和身份认证技术,以便营造一种可信赖的电子交易环境。目前有两种安全支付协议被采用,即安全套接层SSL协议和安全电子交易SET协议。
一、安全套接层协议
安全套接层协议SSL(Secure Sockets Layer)是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接,对计算机整个会话进行了加密,从而保证了信息传输的安全,实现浏览器与Web服务器之间的安全通信,在Internet上广泛应用于处理与金融有关的敏感信息。
SSL协议是一种保护Web通信的工业标准,能够对信用卡和个人信息、电子商务提供较强的加密保护。
1.SSL协议提供安全连接的基本特点
(1)连接是保密的:对于每个连接都有一个惟一的会话密钥,采用对称密码体制(如DES、RC4等)来加密数据;
(2)连接是可靠的:消息的传输采用MAC算法(如MD5、SHA等)进行完整性检验;
(3)对端实体的鉴别采用非对称密码体制(如RSA、DSS等)进行认证。
2.SSL协议提供的服务
(1)数据和服务器的合法认证。使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号,由公开密钥编排。为了验证用户,SSL协议要求在握手交换数据中做数字认证,以此来确保用户的合法性。
(2)加密数据以便隐藏被传送的数据。SSL协议采用的加密技术既有对称密钥也有公开密钥。具体来说,就是客户机与服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证数据的机密性,防止非法用户破译。
(3)维护数据的完整性。SSL协议采用Hash函数和机密共享的方法,提供完整信息性的服务,来建立客户机与服务器之间的安全通道,使经过处理的业务在传输过程中能够完整、准确地到达目的地。
3.SSL协议的构成
SSL协议分为两层:SSL握手协议和SSL记录协议。
(1)SSL握手协议。SSL握手协议用于在通信双方建立安全传输通道,是在客户机与服务器之间交换信息强化安全性的协议。具体实现以下功能:
①在客户端验证服务器,SSL协议采用公钥方式进行身份认证;
②在服务器端验证客户(可选的);
③客户端和服务器之间协商双方都支持的加密算法和压缩算法。
④产生对称加密算法的会话密钥;
⑤建立加密SSL连接。
SSL握手协议最终使双方建立起合适的会话状态信息要素,包括对话标识、对等证书、压缩方法、加密说明、会话密钥等信息。
(2)SSL记录协议。SSL记录协议提供通信、认证功能,从高层接收到数据后要经过分段、压缩和加密处理,最后由传输层发送出去。在SSL协议中所有的传输数据都被封装在记录中,SSL记录协议规定了记录头和记录数据的格式。每个SSL记录包含内容类型、协议版本号、记录长度、数据有效载荷、MAC等信息。
二、安全电子交易协议
安全电子交易协议SET(Secure Electronic Transaction),是1996年由Visa (维萨)与 MasterCard (万事达)两大国际信用卡公司联合制订的安全电子交易规范。它提供了消费者、商家和银行之间的认证,确保网上交易的保密性、数据完整性、交易的不可否认性和交易的身份认证,保证在开放网络环境下使用信用卡进行在线购物的安全。
目前,SET协议由SETCo负责推广、发展和认证。SETCo是由Visa和MasterCard这两个公司为首组成的SET厂商集团,把SET标识授予成功通过SET兼容性试验的软件厂商。
1.SET协议中采用的数据加密过程的特点
(1)交易参与者的身份鉴别采用数字证书的方式来完成,数字证书的格式一般采用X.509国际标准;
(2)交易的不可否认性用数字签名的方式来实现。由于数字签名是由发送方的私钥产生,而发送方的私钥只有他本人知道,所以发送方便不能对其发送过的交易数据进行抵赖;
(3)用报文摘要算法来保证数据的完整性;
(4)由于非对称加密算法的运算速度慢,所以要和对称加密算法联合使用,用对称加密算法来加密数据,用数字信封来交换对称密钥。
2.SET协议的数据交换过程
SET协议的购物系统由持卡人、商家、支付网关、收单行和发卡行五个部分组成,这五大部分之间的数据交换过程如下:(1)持卡人决定购买,向商家发出购买请求;
(2)商家返回商家证书等信息;
(3)持卡人验证商家身份,将定购信息和支付信息安全传送给商家,但支付信息对商家来说是不可见的(用银行公钥加密);
(4)商家验证支付网关身份,把支付信息传给支付网关,要求验证持卡人的支付信息是否有效;
(5)支付网关验证商家身份,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并把结果返回商家;
(6)商家返回信息给持卡人,按照订单信息送货;
(7)商家定期向支付网关发送要求支付信息,支付网关通知发卡行划账,并把结果返回商家,交易结束。
三、SSL协议和SET协议的对比
SSL协议和SET协议的差别主要表现在以下几个方面:
1.用户接口
SSL协议已被浏览器和WEB服务器内置,无需安装专门软件;而SET协议中客户端需安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件。
2.处理速度
SET协议非常复杂、庞大,处理速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程可能需花费1.5至2分钟;而SSL协议则简单得多,处理速度比SET协议快。
3.认证要求
早期的SSL协议并没有提供身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和Web服务器之间的身份验证,但仍不能实现多方认证,而且SSL中只有商家服务器的认证是必须的,客户端认证则是可选的。相比之下,SET协议的认证要求较高,所有参与SET交易的成员都必须申请数字证书,并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
4.安全性
安全性是网上交易中最关键的问题。SET协议由于采用了公钥加密、信息摘要和数字签名可以确保信息的保密性、可鉴别性、完整性和不可否认性,且SET协议采用了双重签名来保证参与交易活动的各方信息的相互隔离,使商家只能看到持卡人的订购数据,而银行只能取得持卡人的信用卡信息。SSL协议虽也采用了公钥加密、信息摘要和MAC检测,可以提供保密性、完整性和一定程度的身份鉴别功能,但缺乏一套完整的认证体系,不能提供完备的防抵赖功能。因此,SET的安全性远比SSL高。
5.协议层次和功能
SSL属于传输层的安全技术规范,它不具备电子商务的商务性、协调性和集成性功能。而SET协议位于应用层,它不仅规范了整个商务活动的流程,而且制定了严格的加密和认证标准,具备商务性、协调性和集成性功能。
ssl协议范文6
摘 要:随着Intemet访问的增加,传统的Intemet接入服务已越来越满足不了用户需求,因为传统的Intemet只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,VPN的提出就是来解决这些问题。VPN的组网方式为企业提供了一种低成本的网络基础设施.并增加了企业网络功能.扩大了其专用网的范围。VPN技术已经发展了几个阶段,结合相关阶段的技术进行研究,进而展望下一代VPN技术。
关键词:虚拟专用网;IPSec;SSL;隧道协议
中图分类号:TP393.01 文献标识码:A 文章编号:1009―3044(2007)01―10056-02
1 引言
随着Interact访问的增加,传统的Intemet接入服务已越来越满足不了用户需求,因为传统的Intemet只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,VPN的提出就是来解决这些问题。VPN的组网方式为企业提供了一种低成本的网络基础设施,并增加了企业网络功能,扩大了其专用网的范围。
传统的专用网络往往需要建立自己的物理专用线路,使用昂贵的长途拨号以及长途专线服务;而VPN则是利用公共网络资源和设备建立一个逻辑上的专用通道,尽管没有自己的专用线路,但是这个逻辑上的专用通道却可以提供和专用网络同样的功能。换言之,VPN虽然不是物理上真正的专用网络,但却能够实现物理专用网络的功能。
2 什么是虚拟专用网(VPN)
2.1 VPN的定义
VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接:可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2.2 VPN的主要技术及特点
VPN具有降低成本、易于扩展、保证安全等优点。VPN作为一种综合的网络安全方案,包含了很多重要的技术,最主要的是采用了密码技术、身份认证技术、隧道技术和密钥管理技术4项技术。
密码技术:包括对称密钥加密和非对称密钥加密。
身份认证技术:采用PKI体系的身份认证。目前常用的方法是依赖于CA(数字证书签发中心)所签发的符合X.509规范的标准数字证书。通信双方交换数据前,需先确认彼此的身份,交换彼此的数字证书,双方将此证书进行比较,只有比较结果正确,双方才开始交换数据;否则,不能进行后续通信。
隧道技术:通过对数据进行封装,在公共网络上建立一条数据通道(隧道),让数据包通过这条隧道传输。生成隧道的协议有多种,包括第二层隧道协议、第三层隧道协议及SSL协议等。
密钥管理技术:在VPN应用中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式.另一种是采用密钥交换协议动态分发。手工配置的方法要求密钥更新不要太频繁,否则管理工作量太大,因此只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,保证密钥在公共网络上安全地传输而不被窃取,适合于复杂网络的情况,而且密钥可快速更新,可以显著提高VPN应用的安全性。目前主要的密钥交换与管理标准有SKIP和ISAKMP(Intemet安全联盟和密钥管理协议)。
3 VPN解决方案的核心技术:第二层隧道技术
第二层隧道协议是在数据链路层进行的,先把各种网络协议封装到PPP包中,再把整个数据包装入隧道协议中,这种经过两层封装的数据包由第二层协议进行传输。第二层隧道协议有以下几种:
L2F(RFC2341,Layer 2 Forwarding)
PPTP(RFC2637,Point-to Point Tunneling Protocol)
L2TP(RFC2661,Layer Two Tunneling Protoe01)
L2F已经过时,很少使用;PPTP在微软的推动与支持下.已经成为一种事实上的工业标准,被广泛实现并已使用很长一段时间,目前夫多数厂家均支持PPTP;L2TP作为下一代的隧道协议.是PPTP和L2F隧道功能的集合,其隧道并不局限于TCP/IP,但是目前仅支持IP。
第二层隧道协议具有简单易行的优点,但是它们的可扩展性都不好。更重要的是,它们都没有提供内在的安全机制.它们不能支持企业和企业的外部客户以及供应商之间会话的保密性需求,因此它们不支持用来连接企业内部网和企业的外部客户及供应商的企业外部网Extranet的概念。Extranet需要对隧道进行加密并需要相应的密钥管理机制
4 VPN解决方案的核心技术:第三层隧道技术
4.1第三层隧道技术分类
第三层隧道协议是在网络层进行的.把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层协议有以下几种:
lPSec(JP Security)
GRE(RFC 2784,General Routing Encapsulation)
GRE协议提出较早,有很强封装能力,是一种通用的封装形式。然而,GRE协议既不进行加密.又不进行验证,因此通常与其他协议结合使用,
4.2 IPSec VPN相关说明
1PSee(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。它不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括网络安全协议Authentication Header(AH)协议和Encapsulating SecurityPayload(ESP)协议、密钥管理协议Intemet Key Exchange(IKE)协议和用丁网络验证及加密的一些算法等。
4.2.1 IPSec的功能包括:
(1)作为一个隧道协议实现了VPN通信
(2)保证数据来源可靠(通过认证实现)
(3)保证数据完整性(通过验证算法)
(4)保证数据机密性(通过加密算法)
4.2.2 IPSec的主要不足:
(1)安全性能高,但通信性能较低
因为IPSec安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有公司资源时,就像采用专线方式与公司网络直接物理连接一样。
(2)要客户端软件
需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序,南于在每一台客户使用的计算机上安装了管理软件.软件补丁的和远程电脑的配置升级将是一件十分令人头疼的任务。在一些情形中,IPSec安全协议是在运行在网络硬件应用中,在这种解决方案巾大多数要求通信双方所采用的硬件是相同的,IPSec协议在硬件应用中同样存在着兼容性方面的问题。
(3)安装和维护困难
IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。
(4)采用隧道方式,使远程接人的安全风险增加
由于IPSec VPN在连接的两端创建隧道,提供直接(而非)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用。
5 新一代VPN解决方案的核心技术:SSL协议
5.1 SSL VPN的定义
现在,Web成为标准平台已势不可挡,越来越多的企业开始将ERP、CRM、SCM移植到Web上。SSL VPN指的是以HTFPS为基础的VPN.但也包括可支持SSL的应用程序。例如,电子邮件客户端程序,如Microsoft Outlook或Eudora。SSL VPN经常被称之“无客户端”.因为目前大多数计算机在出货时,都已经安装了支持HTFP和HTI'PS(以SSL为基础的HTrP)的Web浏览器,所以SSL VPN可以通过Web浏览器实现无客户端的远程访问。目前,SSL已由TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上。
5.2 SSL的体系结构设计
SSL是为了利用TCP提供可靠的端到端的安全传输。SSL不是一个单独的协议.而是两层协议,即SSI,记录协议和存记录协议之上的三个子协议.如图2所示。其中,最主要的两个SSL子协议是记录协议和握手协议。
5.3 SSL VPN技术的主要优点
(1)无需安装客户端软件:执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件,只需通过标准的支持SSL的Web浏览器连接因特网。
(2)适用大多数设备:基于Web访问的开放体系可以运行标准的浏览器访问任何设备。
(3)可以穿越防火墙进行访问:基于SSL的远程访问方案中,由于SSI以443通讯端口作为传输通道,它通常是作为WebServer对外的数据传输通道,防火墙是开放此端口的.因此不需要在防火墙上做任何修改,从而减少管理员的困扰,同时也不会降低整个通讯系统的安全性。
(4)维护工作量小,减少费用:对于那些简单远程访问用户(仅需要进入公司内部网站或者进行Email通信),基于SSL的VPN网络可以非常经济地提供远程访问服务,而这也是SSL VPN最适用的场合。
5.4 SSL VPN的不足
上面介绍SSL VPN技术这么多优势,那么为什么现在不是所有用户都使用SSL VPN,且据权威调查机构调查显示目前绝大多部分企业仍采用IPSec VPN呢?SSL VPN的主要不足在哪里呢?
(1)只能有限地支持Windows应用或者其它非Web系统:因为大多数基于SSL的VPN都是基于Web浏览器丁作的,远程用户不能在WindOWS、UNIX、Linux、AS400或者大型系统上进行非基于Web界面的应用。虽然有些SSL提供商已经开始合并终端服务来提供上述非Web应用,但不管如何,目前SSL VPN还未正式提出全面支持.这一技术还有待讨论,也可算是一个挑战。
(2)SSL存在潜在弱点,验证网络服务器身份所使用的数字证书可能会被偷窃或复制。如果两台计算机协商建立新的SSL会话.它们会使用数字证书(SSL证书)来确认对方的身份、交换密钥材料。密钥材料的交换利用网络服务器的公钥(网络服务器的SSL证书私有公钥)对材料进行加密。一收到加密后的材料,网络服务器就用相应的私钥进行解密。
(3)驱动SSL会话所需的任务繁重的密码计算会影响网络服务器的性能。标准的计算机处理器不是为专门的密码处理而设计的。网络服务器的处理器速度、存储器容量、操作系统及网络服务器软件都对决定SSL的整体性能起到重要作用。
6 未来的VPN
