|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
电子商务安全协议
|
日期:2007年5月17日 作者: 查看:[大字体
中字体 小字体]
|
网络安全是实现电子商务的基础,而一个通用性强,安全可靠的网络协议则是实现电子商务安全交易的关键技术之一,它也会对电子商务的整体性能产生很大的影响。由美国Netscape公司开发和倡导的SSL协议(Secure Sockets Layer,安全套接层),它是目前安全电子商务交易中使用最多的协议之一,内容主要包括协议简介、记录协议、握手协议、协议安全性分析以及应用等。本文在简单介绍SSL协议特点和流程的基础上,详细介绍了SSL协议的应用和配置过程。
1 SSL协议简介
SSL作为目前保护Web安全和基于HTTP的电子商务交易安全的事实上的,被许多世界知名厂商的Intranet和Internet网络产品所支持,其中包括Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客户机和服务器产品,如IE和Netscape浏览器,IIS、Domino Go WebServer、Netscape Enterprise Server和Appache等Web Server等。
SSL采用对称密码技术和公开密码技术相结合,提供了如下三种基本的安全服务:
秘密性。SSL客户机和服务器之间通过密码算法和密钥的协商,建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。
完整性。SSL利用密码算法和hash函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息内容受到破坏。
认证性。利用证书技术和可信的第三方CA,可以让客户机和服务器相互识别的对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户),SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。
SSL协议的实现属于SOCKET层,处于应用层和传输层之间,由SSL记录协议(SSL RECORD PROTOCOL)和SSL握手协议(SSL HAND-SHAKE PROTOCOL)组成的,其结构如图1所示:
SSL可分为两层,一是握手层,二是记录层。SSL握手协议描述建立安全连接的过程,在客户和服务器传送应用层数据之前,完成诸如加密算法和会话密钥的确定,通信双方的身份验证等功能;SSL记录协议则定义了数据传送的格式,上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样,应用层通过SSL协议把数据传给传输层时,已是被加密后的数据,此时TCP/IP协议只需负责将其可靠地传送到目的地,弥补了 TCP/IP协议安全性较差的弱点。
Netscape公司已经向公众推出了SSL的参考实现(称为SSLref)。另一免费的SSL实现叫做SSLeay。SSLref和SSLeay均可给任何TCP/IP应用提供SSL功能,并且提供部分或全部源代码。Internet号码分配当局(IANA)已经为具备SSL功能的应用分配了固定端口号,例如,带SSL的HTTP(https)被分配以端口号443,带SSL的SMTP(ssmtp)被分配以端口号465,带SSL的NNTP (snntp)被分配以端口号563。
微软推出了SSL版本2的改进版本,叫做PCT(私人通信技术)。SSL和PCT非常类似。它们的主要差别是它们在版本号字段的最显著位(The Most Significant Bit)上的取值有所不同:SSL该位取0,PCT该位取1。这样区分之后,就可以对这两个协议都给予支持。
1996年4月,IETF授权一个传输层安全(TLS)工作组着手制订一个传输层安全协议(TLSP),以便作为标准提案向IESG正式提交。TLSP将会在许多地方酷似SSL。
2 SSL安全性
目前,几乎所有操作平台上的WEB浏览器(IE、Netscatp)以及流行的Web服务器(IIS、Netscape Enterprise Server等)都支持SSL协议。因此使得使用该协议便宜且开发成本小。但应用SSL协议存在着不容忽视的缺点:
1. 系统不符合国务院最新颁布的《商用密码管理条例》中对商用密码产品不得使用国外密码算法的规定,要通过国家密码管理委员会的审批会遇到相当困难。
2. 系统安全性差。SSL协议的数据安全性其实就是建立在RSA等算法的安全性上,因此从本质上来讲,攻破RSA等算法就等同于攻破此协议。由于美国政府的出口限制,使得进入我国的实现了SSL的产品(Web浏览器和服务器)均只能提供512比特RSA公钥、40比特对称密钥的加密。目前已有攻破此协议的例子:1995年8月,一个法国学生用上百台工作站和二台小型机攻破了Netscape对外出口版本;另外美国加州两个大学生找到了一个“陷门”,只用了一台工作站几分钟就攻破了Netscape对外出口版本。
但是,一个安全协议除了基于其所采用的加密算法安全性以外,更为关键的是其逻辑严密性、完整性、正确性,这也是研究协议安全性的一个重要方面,如果一个安全协议在逻辑上有问题,那么它的安全性其实是比它所采用的加密算法的安全性低,很容易被攻破。从目前来看,SSL比较好地解决了这一问题。不过SSL协议的逻辑体现在SSL握手协议上,SSL握手协议本身是一个很复杂的过程,情况也比较多,因此我们并不能保证SSL握手协议在所有的情况下逻辑上都是正确的,所以研究SSL协议的逻辑正确性是一个很有价值的问题。
上一篇:NB的广告代码
下一篇:Google AdSense(GOOGLE广告)A--Z
|
| 电子商务安全协议 相关文章: |
|
|
|
| 电子商务安全协议 相关软件: |
|
|
|
|
