SSL協(xié)議、SET協(xié)議、HTTPS簡介.doc_第1頁
SSL協(xié)議、SET協(xié)議、HTTPS簡介.doc_第2頁
SSL協(xié)議、SET協(xié)議、HTTPS簡介.doc_第3頁
SSL協(xié)議、SET協(xié)議、HTTPS簡介.doc_第4頁
SSL協(xié)議、SET協(xié)議、HTTPS簡介.doc_第5頁
已閱讀5頁,還剩19頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

SSL協(xié)議、SET協(xié)議、HTTPS簡介朱先忠 整理一、SSL協(xié)議簡介SSL是Secure Socket Layer的縮寫,中文名為安全套接層協(xié)議層。使用該協(xié)議后,您提交的所有數(shù)據(jù)會首先加密后,再提交到網(wǎng)易郵箱,從而可以有效防止黑客盜取您的用戶名、密碼和通訊內(nèi)容,保證了您個人內(nèi)容的安全。具體地說,SSL (Secure Socket Layer)為Netscape所研發(fā),用以保障在Internet上數(shù)據(jù)傳輸之安全,利用數(shù)據(jù)加密(Encryption)技術(shù),可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會被截取及竊聽。目前一般通用之規(guī)格為40 bit之安全標(biāo)準(zhǔn),美國則已推出128 bit之更高安全標(biāo)準(zhǔn),但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。當(dāng)前版本為3.0。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。 SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議可分為兩層: SSL記錄協(xié)議(SSL Record Protocol):它建立在可靠的傳輸協(xié)議(如TCP)之上,為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。 SSL握手協(xié)議(SSL Handshake Protocol):它建立在SSL記錄協(xié)議之上,用于在實(shí)際的數(shù)據(jù)傳輸開始前,通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。SSL協(xié)議提供的服務(wù)主要有:1)認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??;3)維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。SSL協(xié)議的工作流程: 服務(wù)器認(rèn)證階段:1)客戶端向服務(wù)器發(fā)送一個開始信息“Hello”以便開始一個新的會話連接;2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰, 如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時將包含生成主密鑰所需的信息;3)客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個主密鑰,并用服務(wù)器的公開密鑰 加密后傳給服務(wù)器;4)服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個用主密鑰認(rèn)證的信息,以此讓客戶認(rèn)證服務(wù)器。用戶認(rèn)證階段:在此之前,服務(wù)器已經(jīng)通過了客戶認(rèn)證,這一階段主要完成對客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶,客戶則返回(數(shù)字)簽名后的提問和其公開密鑰,從而向服務(wù)器提供認(rèn)證。從SSL 協(xié)議所提供的服務(wù)及其工作流程可以看出,SSL協(xié)議運(yùn)行的基礎(chǔ)是商家對消費(fèi)者信息保密的承諾,這就有利于商家而不利于消費(fèi)者。在電子商務(wù)初級階段,由于運(yùn)作電子商務(wù)的企業(yè)大 多是信譽(yù)較高的大公司,因此這問題還沒有充分暴露出來。但隨著電子商務(wù)的發(fā)展,各中小型公司也參與進(jìn)來,這樣在電子支付過程中的單一認(rèn)證問題就越來越突 出。雖然在SSL3.0中通過數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證,但是SSL協(xié)議仍存在一些問題,比如,只能提供交易中客戶與 服務(wù)器間的雙方認(rèn)證,在涉及多方的電子交易中,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。在這種情況下,Visa和 MasterCard兩大信用卡公組織制定了SET協(xié)議,為網(wǎng)上信用卡支付提供了全球性的標(biāo)準(zhǔn)。二、與SET協(xié)議相比,SSL協(xié)議的優(yōu)點(diǎn)兩種都是應(yīng)用于電子商務(wù)用的網(wǎng)絡(luò)安全協(xié)議。都能保證交易數(shù)據(jù)的安全性、保密性和完整性。SSL叫安全套接層協(xié)議,是國際上最早用的,已成工業(yè)標(biāo)準(zhǔn),但它的基點(diǎn)是商家對客戶信息保密的承諾,因此有利于商家而不利于客戶。SET叫安全電子交易協(xié)議,是為了在互聯(lián)網(wǎng)上進(jìn)行在線交易時保證信用卡支付的安全而設(shè)立的一個開放的規(guī)范。因它的對象包括消費(fèi)者、商家、發(fā)卡銀行、收單銀行、支付網(wǎng)關(guān)、認(rèn)證中心,所以對消費(fèi)者與商家同樣有利。它越來越得到眾人認(rèn)同,將會成為未來電子商務(wù)的規(guī)范近年來,IT業(yè)界與金融行業(yè)一起,推出不少更有效的安全交易標(biāo)準(zhǔn)。主要有:(1) 安全超文本傳輸協(xié)議(S-HTTP):依靠密鑰對的加密,保障Web站點(diǎn)間的交易信息傳輸?shù)陌踩浴?2) 安全套接層協(xié)議(SSL協(xié)議:Secure Socket Layer)是由網(wǎng)景(Netscape)公司推出的一種安全通信協(xié)議,是對計算機(jī)之間整個會話進(jìn)行加密的協(xié)議,提供了加密、認(rèn)證服務(wù)和報文完整性。它能夠?qū)π庞每ê蛡€人信息提供較強(qiáng)的保護(hù)。SSL被用于Netscape Communicator和Microsoft IE瀏覽器,用以完成需要的安全交易操作。在SSL中,采用了公開密鑰和私有密鑰兩種加密方法。(3) 安全交易技術(shù)協(xié)議(STT:Secure Transaction Technology):由Microsoft公司提出,STT將認(rèn)證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft將在Internet Explorer中采用這一技術(shù)。(4) 安全電子交易協(xié)議(SET:Secure Electronic Transaction):SET協(xié)議是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的,以保證支付信息的機(jī)密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。目前公布的SET正式文本涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)字認(rèn)證、數(shù)字簽名等。這一標(biāo)準(zhǔn)被公認(rèn)為全球網(wǎng)際網(wǎng)絡(luò)的標(biāo)準(zhǔn),其交易形態(tài)將成為未來“電子商務(wù)”的規(guī)范。支付系統(tǒng)是電子商務(wù)的關(guān)鍵,但支持支付系統(tǒng)的關(guān)鍵技術(shù)的未來走向尚未確定。安全套接層(SSL)和安全電子交易(SET)是兩種重要的通信協(xié)議,每一種都提供了通過Internet進(jìn)行支付的手段。但是,兩者之中誰將領(lǐng)導(dǎo)未來呢?SET將立刻替換SSL嗎?SET會因其復(fù)雜性而消亡嗎?SSL真的能完全滿足電子商務(wù)的需要嗎?我們可以從以下幾點(diǎn)對比作管中一窺:SSL提供了兩臺機(jī)器間的安全連接。支付系統(tǒng)經(jīng)常通過在SSL連接上傳輸信用卡卡號的方式來構(gòu)建,在線銀行和其他金融系統(tǒng)也常常構(gòu)建在SSL之上。雖然基于SSL的信用卡支付方式促進(jìn)了電子商務(wù)的發(fā)展,但如果想要電子商務(wù)得以成功地廣泛開展的話,必須采用更先進(jìn)的支付系統(tǒng)。SSL被廣泛應(yīng)用的原因在于它被大部分Web瀏覽器和Web服務(wù)器所內(nèi)置,比較容易被應(yīng)用。SET和SSL除了都采用RSA公鑰算法以外,二者在其他技術(shù)方面沒有任何相似之處。而RSA在二者中也被用來實(shí)現(xiàn)不同的安全目標(biāo)。SET是一種基于消息流的協(xié)議,它主要由MasterCard和Visa以及其他一些業(yè)界主流廠商設(shè)計發(fā)布,用來保證公共網(wǎng)絡(luò)上銀行卡支付交易的安全性。SET已經(jīng)在國際上被大量實(shí)驗(yàn)性地使用并經(jīng)受了考驗(yàn),但大多數(shù)在Internet上購的消費(fèi)者并沒有真正使用SET。SET是一個非常復(fù)雜的協(xié)議,因?yàn)樗浅T敿?xì)而準(zhǔn)確地反映了卡交易各方之間存在的各種關(guān)系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規(guī)則。事實(shí)上,SET遠(yuǎn)遠(yuǎn)不止是一個技術(shù)方面的協(xié)議,它還說明了每一方所持有的數(shù)字證書的合法含義,希望得到數(shù)字證書以及響應(yīng)信息的各方應(yīng)有的動作,與一筆交易緊密相關(guān)的責(zé)任分擔(dān)。.SSL安全協(xié)議SSL安全協(xié)議最初是由Netscape Communication公司設(shè)計開發(fā)的,又叫“安全套接層(Secure Sockets Layer)協(xié)議”,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的整個概念可以被總結(jié)為:一個保證任何安裝了安全套接字的客戶和服務(wù)器間事務(wù)安全的協(xié)議,它涉及所有TC/IP應(yīng)用程序。SSL安全協(xié)議主要提供三方面的服務(wù):1.用戶和服務(wù)器的合法性認(rèn)證認(rèn)證用戶和服務(wù)器的合法性,使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上??蛻魴C(jī)和服務(wù)器都是有各自的識別號,這些識別號由公開密鑰進(jìn)行編號,為了驗(yàn)證用戶是否合法,安全套接層協(xié)議要求在握手交換數(shù)據(jù)進(jìn)行數(shù)字認(rèn)證,以此來確保用戶的合法性。2.加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)安全套接層協(xié)議所采用的加密技術(shù)既有對稱密鑰技術(shù),也有公開密鑰技術(shù)。在客戶機(jī)與服務(wù)器進(jìn)行數(shù)據(jù)交換之前,交換SSL初始握手信息,在SSL握手情息中采用了各種加密技術(shù)對其加密,以保證其機(jī)密性和數(shù)據(jù)的完整性,并且用數(shù)字證書進(jìn)行鑒別。這樣就可以防止非法用戶進(jìn)行破譯。3.保護(hù)數(shù)據(jù)的完整性安全套接層協(xié)議采用Hash函數(shù)和機(jī)密共享的方法來提供信息的完整性服務(wù),建立客戶機(jī)與服務(wù)器之間的安全通道,使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)在傳輸過程中能全部完整準(zhǔn)確無誤地到達(dá)目的地。要說明的是,安全套接層協(xié)議是一個保證計算機(jī)通信安全的協(xié)議,對通信對話過程進(jìn)行安全保護(hù)。例如,一臺客戶機(jī)與一臺主機(jī)連接上了,首先是要初始化握手協(xié)議,然后就建立了一個SSL。對話進(jìn)段。直到對話結(jié)束,安全套接層協(xié)議都會對整個通信過程加密,并且檢查其完整性。這樣一個對話時段算一次握手。而HTTP協(xié)議中的每一次連接就是一次握手,因此,與HTTP相比。安全套接層協(xié)議的通信效率會高一些。(1)接通階段:客戶通過網(wǎng)絡(luò)向服務(wù)商打招呼,服務(wù)商回應(yīng);(2)密碼交換階段:客戶與服務(wù)器之間交換雙方認(rèn)可的密碼,一般選用RSA密碼算法,也有的選用Diffie-Hellmanf和Fortezza-KEA密碼算法;(3)會談密碼階段:客戶與服務(wù)商間產(chǎn)生彼此交談的會談密碼;(4)檢驗(yàn)階段:檢驗(yàn)服務(wù)商取得的密碼;(5)客戶認(rèn)證階段:驗(yàn)證客戶的可信度;(6)結(jié)束階段,客戶與服務(wù)商之間相互交換結(jié)束的信息。當(dāng)上述動作完成之后,兩者間的資料傳送就會加密,另外一方收到資料后,再將編碼資料還原。即使盜竊者在網(wǎng)絡(luò)上取得編碼后的資料,如果沒有原先編制的密碼算法,也不能獲得可讀的有用資料。發(fā)送時信息用對稱密鑰加密,對稱密鑰用非對稱算法加密,再把兩個包綁在一起傳送過去。接收的過程與發(fā)送正好相反,先打開有對稱密鑰的加密包,再用對稱密鑰解密。在電子商務(wù)交易過程中,由于有銀行參與,按照SSL協(xié)議,客戶的購買信息首先發(fā)往商家,商家再將信息轉(zhuǎn)發(fā)銀行,銀行驗(yàn)證客戶信息的合法性后,通知商家付款成功,商家再通知客戶購買成功,并將商品寄送客戶。SSL安全協(xié)議是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議,至今仍然有很多網(wǎng)上商店使用。在傳統(tǒng)的郵購活動中,客戶首先尋找商品信息,然后匯款給商家,商家將商品寄給客戶。這里,商家是可以信賴的,所以客戶先付款給商家。在電子商務(wù)的開始階段,商家也是擔(dān)心客戶購買后不付款,或使用過期的信用卡,因而希望銀行給予認(rèn)證。SSL安全協(xié)議正是在這種背景下產(chǎn)生的。SSL協(xié)議運(yùn)行的基點(diǎn)是商家對客戶信息保密的承諾。但在上述流程中我們也可以注意到,SSL協(xié)議有利于商家而不利于客戶。客戶的信息首先傳到商家,商家閱讀后再傳至(銀行,這樣,客戶資料的安全性便受到威脅。商家認(rèn)證客戶是必要的,但整個過程中,缺少了客戶對商家的認(rèn)證。在電子商務(wù)的開始階段,由于參與電子商務(wù)的公司大都是一些大公司,信譽(yù)較高,這個問題沒有引起人們的重視。隨著電子商務(wù)參與的廠商迅速增加,對廠商的認(rèn)證問題越來越突出,SSL協(xié)議的缺點(diǎn)完全暴露出來。SSL協(xié)議將逐漸被新的電子商務(wù)協(xié)議(例如SET)所取代。11. SET安全協(xié)議在開放的因特網(wǎng)上處理電子商務(wù),保證買賣雙方傳輸數(shù)據(jù)的安全成為電子商務(wù)的重要的問題。為了克服SSL安全協(xié)議的缺點(diǎn),滿足電子交易持續(xù)不斷地增加的安全要求,為了達(dá)到交易安全及合乎成本效益的市場要求,VISA國際組織及其它公司如Master Card、Micro Soft、IBM等共同制定了安全電子交易(SET:Secure Electronic Transactions)公告。這是一個為在線交易而設(shè)立的一個開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認(rèn)證的前提下,又增加了對商家身份的認(rèn)證,這對于需要支付貨幣的交易來講是至關(guān)重要的。由于設(shè)計合理,SET協(xié)議得到了許多大公司和消費(fèi)者的支持,己成為全球網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn),其交易形態(tài)將成為未來“電子商務(wù)”的規(guī)范。安全電子交易規(guī)范,為在因特網(wǎng)上進(jìn)行安全的電子商務(wù)提供了一個開放的標(biāo)準(zhǔn)。SET主要使用電子認(rèn)證技術(shù),其認(rèn)證過程使用RS三、請問哪位知道SSL協(xié)議和SET協(xié)議有什么區(qū)別?摘要:在電子商務(wù)中,SSL協(xié)議得到了廣泛的協(xié)議,而SET協(xié)議則是今后的發(fā)展趨勢,本文在分析這兩種協(xié)議原理的基礎(chǔ)上,對兩者的特點(diǎn)進(jìn)行了比較。關(guān)鍵詞:電子商務(wù);SSL協(xié)議;SET協(xié)議1 SSL協(xié)議1.1 SSL協(xié)議概述SSL(Secure Sockets Layer)安全套接層協(xié)議是Netscape公司1995年推出的一種安全通信協(xié)議。SSL提供了兩臺計算機(jī)之間的安全連接,對整個會話進(jìn)行了加密,從而保證了安全傳輸。SSL協(xié)議建立在可靠的TCP傳輸控制協(xié)議之上,并且與上層協(xié)議無關(guān),各種應(yīng)用層協(xié)議(如:HTTP,F(xiàn)TP,TELNET等)能通過SSL協(xié)議進(jìn)行透明傳輸。SSL協(xié)議分為兩層:SSL握手協(xié)議和SSL記錄協(xié)議。SSL協(xié)議與TCP/IP協(xié)議間的關(guān)系如圖一所示:HTTPSFTPSTELNETSIMAPS等SSL握手協(xié)議SSL記錄協(xié)議TCP傳輸控制協(xié)議IP因特網(wǎng)協(xié)議圖一SSL協(xié)議與TCP/IP協(xié)議間的關(guān)系SSL協(xié)議提供的安全連接具有以下三個基本特點(diǎn):(1)連接是保密的:對于每個連接都有一個唯一的會話密鑰,采用對稱密碼體制(如DES、RC4等)來加密數(shù)據(jù);(2)連接是可靠的:消息的傳輸采用MAC算法(如MD5、SHA等)進(jìn)行完整性檢驗(yàn);(3)對端實(shí)體的鑒別采用非對稱密碼體制(如RSA、DSS等)進(jìn)行認(rèn)證。1.2 SSL握手協(xié)議SSL握手協(xié)議用于在通信雙方建立安全傳輸通道,具體實(shí)現(xiàn)以下功能:(1)在客戶端驗(yàn)證服務(wù)器,SSL協(xié)議采用公鑰方式進(jìn)行身份認(rèn)證;(2)在服務(wù)器端驗(yàn)證客戶(可選的);(3)客戶端和服務(wù)器之間協(xié)商雙方都支持的加密算法和壓縮算法,可選用的加密算法包括:IDEA、RC4、DES、3DES、RSA、DSS、Diffie_hellman、Fortezza、MD5、SHA等;(4)產(chǎn)生對稱加密算法的會話密鑰;(5)建立加密SSL連接。一般的握手過程如圖二所示:圖二SSL協(xié)議的握手過程握手過程分為4個階段:(1)初始化邏輯連接,客戶方先發(fā)出ClientHello消息,服務(wù)器方也應(yīng)返回一個ServerHello消息,這兩個消息用來協(xié)商雙方的安全能力,包括協(xié)議版本、隨機(jī)參數(shù)、會話ID、交換密鑰算法、對稱加密算法、壓縮算法等。(2)服務(wù)器方應(yīng)發(fā)送服務(wù)器證書(包含了服務(wù)器的公鑰等)和會話密鑰,如果服務(wù)器要求驗(yàn)證客戶方,則要發(fā)送CertificateRequest消息。最后服務(wù)器方發(fā)送ServerHelloDone消息,表示hello階段結(jié)束,服務(wù)器等待客戶方的響應(yīng)。(3)如果服務(wù)器要求驗(yàn)證客戶方,則客戶方先發(fā)送Certificate消息,然后產(chǎn)生會話密鑰,并用服務(wù)器的公鑰加密,封裝在ClientKeyExchange消息中,如果客戶方發(fā)送了自己的證書,則再發(fā)送一個數(shù)字簽名CertificateVerify來對證書進(jìn)行校驗(yàn)。(4)客戶方發(fā)送一個ChangeCipherSpec消息,通知服務(wù)器以后發(fā)送的消息將采用先前協(xié)商好的安全參數(shù)加密,最后再發(fā)送一個加密后的Finished消息。服務(wù)器在收到上述兩個消息后,也發(fā)送自己的ChangeCipherSpec消息和Finished消息。至此,握手全部完成,雙方可以開始傳輸應(yīng)用數(shù)據(jù)。SSL握手協(xié)議在通信雙方建立起合適的會話狀態(tài)信息要素,如下表所示:會話狀態(tài)信息要素 描述對話標(biāo)識 服務(wù)器選擇的用于標(biāo)識一個活躍的、重新開始的對話標(biāo)識對等證書 對等實(shí)體的X509證書壓縮方法 所采用的數(shù)據(jù)壓縮算法加密說明 所采用的數(shù)據(jù)加密算法和MAC算法會話密鑰 客戶端和服務(wù)器所共享的會話密鑰可重開始 標(biāo)識此對話是否可以用來初始化新的標(biāo)志1.3 SSL記錄協(xié)議SSL記錄協(xié)議從高層接收到數(shù)據(jù)后要經(jīng)過分段、壓縮和加密處理,最后由傳輸層發(fā)送出去。在SSL協(xié)議中,所有的傳輸數(shù)據(jù)都被封裝在記錄中,SSL記錄協(xié)議規(guī)定了記錄頭和記錄數(shù)據(jù)的格式。每個SSL記錄包含以下信息:(1)內(nèi)容類型:指SSL的高層協(xié)議;(2)協(xié)議版本號:指所用的SSL協(xié)議版本號,目前已有2.0和3.0版本;(3)長度:指記錄數(shù)據(jù)的長度,記錄數(shù)據(jù)的最大長度為16383個字節(jié);(4)數(shù)據(jù)有效載荷:將數(shù)據(jù)用SSL握手階段所定義的壓縮方法和加密方法進(jìn)行處理后得到的結(jié)果;(5)MAC:MAC在有效數(shù)據(jù)被加密之前計算出來并放入SSL記錄中,用于進(jìn)行數(shù)據(jù)完整性檢查,若使用MD5算法,則MAC數(shù)據(jù)長度是16個字節(jié)。SSL記錄協(xié)議采用了RFC2104中關(guān)于HMAC結(jié)構(gòu)的修正版,在HASH函數(shù)作用之前將一個序號放入消息中,以抵抗各種形式的重傳攻擊,序號是一個32位的遞增計數(shù)器。2 SET協(xié)議2.1 SET協(xié)議概述SET(Secure Electronic Transaction)安全電子交易協(xié)議是1996年由MasterCard(維薩)與Visa(萬事達(dá))兩大國際信用卡公司聯(lián)合制訂的安全電子交易規(guī)范。它提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保交易的保密性、可靠性和不可否認(rèn)性,保證在開放網(wǎng)絡(luò)環(huán)境下使用信用卡進(jìn)行在線購物的安全。2.2 SET協(xié)議中采用的數(shù)據(jù)加密模型SET協(xié)議采用的數(shù)據(jù)加密模型如圖三所示。圖三SET協(xié)議采用的數(shù)據(jù)加密模型該模型具有以下特點(diǎn):(1)交易參與者的身份鑒別采用數(shù)字證書的方式來完成,數(shù)字證書的格式一般采用X.509國際標(biāo)準(zhǔn);(2)交易的不可否認(rèn)性用數(shù)字簽名的方式來實(shí)現(xiàn)。由于數(shù)字簽名是由發(fā)送方的私鑰產(chǎn)生,而發(fā)送方的私鑰只有他本人知道,所以發(fā)送方便不能對其發(fā)送過的交易數(shù)據(jù)進(jìn)行抵賴;(3)用報文摘要算法來保證數(shù)據(jù)的完整性;(4)由于非對稱加密算法的運(yùn)算速度慢,所以要和對稱加密算法聯(lián)合使用,用對稱加密算法來加密數(shù)據(jù),用數(shù)字信封來交換對稱密鑰。2.3 SET協(xié)議的數(shù)據(jù)交換過程SET協(xié)議的購物系統(tǒng)由持卡人、商家、支付網(wǎng)關(guān)、收單銀行和發(fā)卡銀行五個部分組成,這五大部分之間的數(shù)據(jù)交換過程如圖四所示。圖四SET協(xié)議的數(shù)據(jù)交換過程3 SSL協(xié)議和SET協(xié)議的對比SSL協(xié)議和SET協(xié)議的差別主要表現(xiàn)在以下幾個方面:(1)用戶接口:SSL協(xié)議已被瀏覽器和WEB服務(wù)器內(nèi)置,無需安裝專門軟件;而SET協(xié)議中客戶端需安裝專門的電子錢包軟件,在商家服務(wù)器和銀行網(wǎng)絡(luò)上也需安裝相應(yīng)的軟件。(2)處理速度:SET協(xié)議非常復(fù)雜、龐大,處理速度慢。一個典型的SET交易過程需驗(yàn)證電子證書9次、驗(yàn)證數(shù)字簽名6次、傳遞證書7次、進(jìn)行5次簽名、4次對稱加密和4次非對稱加密,整個交易過程可能需花費(fèi)1.5至2分鐘;而SSL協(xié)議則簡單得多,處理速度比SET協(xié)議快。(3)認(rèn)證要求:早期的SSL協(xié)議并沒有提供身份認(rèn)證機(jī)制,雖然在SSL3.0中可以通過數(shù)字簽名和數(shù)字證書實(shí)現(xiàn)瀏覽器和Web服務(wù)器之間的身份驗(yàn)證,但仍不能實(shí)現(xiàn)多方認(rèn)證,而且SSL中只有商家服務(wù)器的認(rèn)證是必須的,客戶端認(rèn)證則是可選的。相比之下,SET協(xié)議的認(rèn)證要求較高,所有參與SET交易的成員都必須申請數(shù)字證書,并且解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認(rèn)證問題。(4)安全性:安全性是網(wǎng)上交易中最關(guān)鍵的問題。SET協(xié)議由于采用了公鑰加密、信息摘要和數(shù)字簽名可以確保信息的保密性、可鑒別性、完整性和不可否認(rèn)性,且SET協(xié)議采用了雙重簽名來保證各參與方信息的相互隔離,使商家只能看到持卡人的訂購數(shù)據(jù),而銀行只能取得持卡人的信用卡信息。SSL協(xié)議雖也采用了公鑰加密、信息摘要和MAC檢測,可以提供保密性、完整性和一定程度的身份鑒別功能,但缺乏一套完整的認(rèn)證體系,不能提供完備的防抵賴功能。因此,SET的安全性遠(yuǎn)比SSL高。(5)協(xié)議層次和功能:SSL屬于傳輸層的安全技術(shù)規(guī)范,它不具備電子商務(wù)的商務(wù)性、協(xié)調(diào)性和集成性功能。而SET協(xié)議位于應(yīng)用層,它不僅規(guī)范了整個商務(wù)活動的流程,而且制定了嚴(yán)格的加密和認(rèn)證標(biāo)準(zhǔn),具備商務(wù)性、協(xié)調(diào)性和集成性功能??偨Y(jié):由于SSL協(xié)議的成本低、速度快、使用簡單,對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)不需進(jìn)行大的修改,因而目前取得了廣泛的應(yīng)用。但隨著電子商務(wù)規(guī)模的擴(kuò)大,網(wǎng)絡(luò)欺詐的風(fēng)險性也在提高,在未來的電子商務(wù)中SET協(xié)議將會逐步占據(jù)主導(dǎo)地位。四、https介紹HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協(xié)議它是由Netscape開發(fā)并內(nèi)置于其瀏覽器中,用于對數(shù)據(jù)進(jìn)行壓縮和解 壓操作,并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS實(shí)際上應(yīng)用了Netscape 的完全套接字層(SSL)作為HTTP應(yīng)用層的子層。(HTTPS使用端口443,而不是象HTTP那樣使用端口80來和TCP/IP進(jìn)行通信。)SSL 使用40 位關(guān)鍵字作為RC4流加密算法,這對于商業(yè)信息的加密是合適的。HTTPS和SSL支持使用X.509數(shù)字認(rèn)證,如果需要的話用戶可以確認(rèn)發(fā)送者是誰。https是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,https的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容請看SSL。它是一個URI scheme(抽象標(biāo)識符體系),句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同 于HTTP的默認(rèn)端口及一個加密/身份驗(yàn)證層(在HTTP與TCP之間)。這個系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行,提供了身份驗(yàn)證與加密通訊方法,現(xiàn)在它被廣 泛用于萬維網(wǎng)上安全敏感的通訊,例如交易支付方面。限制它的安全保護(hù)依賴瀏覽器的正確實(shí)現(xiàn)以及服務(wù)器軟件、實(shí)際加密算法的支持.一種常見的誤解是“銀行用戶在線使用https:就能充分徹底保障他們的 銀行卡號不被偷竊?!睂?shí)際上,與服務(wù)器的加密連接中能保護(hù)銀行卡號的部分,只有用戶到服務(wù)器之間的連接及服務(wù)器自身。并不能絕對確保服務(wù)器自己是安全的, 這點(diǎn)甚至已被攻擊者利用,常見例子是模仿銀行域名的釣魚攻擊。少數(shù)罕見攻擊在網(wǎng)站傳輸客戶數(shù)據(jù)時發(fā)生,攻擊者嘗試竊聽數(shù)據(jù)于傳輸中。商業(yè)網(wǎng)站被人們期望迅速盡早引入新的特殊處理程序到金融網(wǎng)關(guān),僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個數(shù)據(jù)庫里。那些數(shù)據(jù)庫和服務(wù)器少數(shù)情況有可能被未授權(quán)用戶攻擊和損害。五、以銀行卡在SSL協(xié)議支持下進(jìn)行網(wǎng)上支付為例,說明利用銀行卡進(jìn)行B2C網(wǎng)上支付的過程。以銀行卡在SSL協(xié)議支持下進(jìn)行網(wǎng)上支付為例,說明利用銀行卡進(jìn)行B2C網(wǎng)上支付的過程:SSL協(xié)議是 Netscape Communication公司推出在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。是對計算機(jī)之間整個 會話進(jìn)行加密的協(xié)議,提供了加密、認(rèn)證服務(wù)和報文完整性。它是國際上最早應(yīng)用于電子商務(wù)的一種由消費(fèi)者和商家雙方參加的信用卡/借記卡支付協(xié)議。1.SSL協(xié)議提供的服務(wù)主要有(1)用戶和服務(wù)器的合法性認(rèn)證;(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù);(3)維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)能完整準(zhǔn)確地傳輸?shù)侥康牡?。該協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性,它不能保證信息的不可抵賴性,主要適用于點(diǎn)對點(diǎn)之間的信息傳輸,常用Web Server方式,它包括:服務(wù)器認(rèn)證、客戶認(rèn)證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于電子商務(wù)應(yīng)用來說,使用SSL可保證信息的真實(shí)性、完整性和保密性。2.SSL協(xié)議的工作流程(1)接通階段:客戶通過網(wǎng)絡(luò)向服務(wù)商發(fā)送連接信息,服務(wù)商回應(yīng);(2)密碼交換階段:客戶與服務(wù)器之間交換雙方認(rèn)可的密碼,一般選用RSA密碼算法,也有的選用Diffie-Hellmanf和Fortezza-KEA密碼算法;(3)會談密碼階段:客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個主密鑰,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器;(4)檢驗(yàn)階段:服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個用主密鑰認(rèn)證的信息,以此讓客戶認(rèn)證服務(wù)器。(5)客戶認(rèn)證階段:服務(wù)器通過數(shù)字簽名驗(yàn)證客戶的可信度; (6)結(jié)束階段,客戶與服務(wù)商之間相互交換結(jié)束的信息。SSL協(xié)議運(yùn)行的基點(diǎn)是商家對客戶信息保密的承諾。從SSL 協(xié)議所提供的服務(wù)及其工作流程可以看出,該協(xié)議有利于商家而不利于消費(fèi)者??蛻舻男畔⑹紫葌鞯缴碳?,商家閱讀后再傳給銀行,這樣,客戶資料的安全性便受到 威脅。商家認(rèn)證客戶是必要的,但整個過程中,缺少了客戶對商家的認(rèn)證。在電子商務(wù)的初級階段,由于運(yùn)作電子商務(wù)的企業(yè)大多是信譽(yù)較高的大公司,因此這問題 還沒有充分暴露出來。但隨著電子商務(wù)的發(fā)展,各中小型公司也參與進(jìn)來,這樣在電子支付過程中的單一認(rèn)證問題就越來越突出。雖然在SSL3.0中通過數(shù)字簽 名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證,但是SSL協(xié)議仍存在一些問題,比如,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,在涉及多方的電 子交易中,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。在這種情況下,Visa和 MasterCard兩大信用卡公組織制定了SET協(xié)議,為網(wǎng)上信用卡支付提供了全球性的標(biāo)準(zhǔn)。S

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論