ssl協(xié)議精品(七篇)

序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇ssl協(xié)議范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

ssl協(xié)議建議開啟，它能保證網(wǎng)上安全。

SSL（SecureSocketsLayer安全套接層）協(xié)議，及其繼任者TLS（TransportLayerSecurity傳輸層安全）協(xié)議，是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進(jìn)行加密，用于保障網(wǎng)絡(luò)數(shù)據(jù)傳輸安全，利用數(shù)據(jù)加密技術(shù)，確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不會(huì)被截取及竊聽。SSL協(xié)議已成為全球化標(biāo)準(zhǔn)，所有主要的瀏覽器和WEB服務(wù)器程序都支持SSL協(xié)議，可通過安裝SSL證書激活SSL協(xié)議。

SSL證書就是遵守SSL協(xié)議的服務(wù)器數(shù)字證書，由受信任的證書頒發(fā)機(jī)構(gòu)（CA機(jī)構(gòu)），驗(yàn)證服務(wù)器身份后頒發(fā)，部署在服務(wù)器上，具有網(wǎng)站身份驗(yàn)證和加密傳輸雙重功能。

（來源：文章屋網(wǎng) ）

篇(2)

SSL及其繼任者傳輸層安全是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。

TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進(jìn)行加密。

解決方法：

1、首先打開瀏覽器，找到工具，Internet選項(xiàng)。

篇(3)

[關(guān)鍵詞] 電子商務(wù)SSL瀏覽器客戶端服務(wù)器數(shù)字證書CA

一、 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，電子商務(wù)開始蓬勃發(fā)展起來，通過Internet進(jìn)行的網(wǎng)上購物、在線交易、網(wǎng)上銀行等業(yè)務(wù)雖然為人們的工作和生活提供了極大的便利。但是，由于Internet本身具有的開放性、靈活性、共享性等特點(diǎn)，也為信息安全帶來了巨大威脅。所以，電子商務(wù)的安全問題是事關(guān)能否正常開展電子商務(wù)的首要問題。

目前，世界上提出了很多加強(qiáng)網(wǎng)上交易安全性的協(xié)議,如SSL、SET等。由于SET協(xié)議非常復(fù)雜,實(shí)現(xiàn)比較困難,而且執(zhí)行效率比較低，所以目前大部分網(wǎng)上交易都是采用SSL協(xié)議來實(shí)現(xiàn)。當(dāng)前，網(wǎng)上銀行等大型電子商務(wù)交易系統(tǒng)一般都采用HTTP和SSL相結(jié)合的方式,即在服務(wù)器端采用支持SSL的WWW服務(wù)器，在客戶端采用支持SSL的瀏覽器,雙方共同協(xié)作來實(shí)現(xiàn)安全的網(wǎng)絡(luò)通信。

二、SSL協(xié)議的介紹

安全套接層協(xié)議(Secure Sock Layer Protocol，簡稱SSL)是在電子商務(wù)發(fā)展初期發(fā)展起來的，最早由Netscape公司設(shè)計(jì)開發(fā)，它是在TCP/IP上實(shí)現(xiàn)的一種安全協(xié)議，其采用了不對稱加密技術(shù)。它為C/S(客戶端/服務(wù)器)通信安全提供面向連接的機(jī)制，建立安全通道，通過在安全通道上傳輸信用卡卡號的方式，可以構(gòu)建電子商務(wù)支付系統(tǒng)。SSL安全通道能使客戶端/服務(wù)器應(yīng)用之間的通信不被第三者竊聽，并且始終對服務(wù)器進(jìn)行身份認(rèn)證，還可選擇對客戶端進(jìn)行認(rèn)證。目前，大部分Web瀏覽器(Netscape Navigator和Microsoft IE)和Web服務(wù)器都已內(nèi)置了SSL協(xié)議，SSL已成為在電子商務(wù)中應(yīng)用最廣泛的安全協(xié)議之一。

SSL協(xié)議要求建立在可靠的傳輸層協(xié)議(例如：TCP)之上。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨(dú)立無關(guān)的。高層的應(yīng)用層協(xié)議(例如：HTTP，F(xiàn)TP，TELNET)能透明地建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成了加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證通信的機(jī)密性。

SSL協(xié)議主要由SSL記錄協(xié)議和SSL握手協(xié)議兩部分組成。

1.SSL記錄協(xié)議。SSL記錄協(xié)議位于SSL協(xié)議的底層，用于封裝上層的協(xié)議。其規(guī)定了會(huì)話中傳遞的所有數(shù)據(jù)項(xiàng)的基本格式，提供壓縮數(shù)據(jù)、生成數(shù)據(jù)的完整性校驗(yàn)值(MAC)、對數(shù)據(jù)進(jìn)行加密、標(biāo)示數(shù)據(jù)長度、填充、流水作業(yè)號，并支持不同的加解密和雜湊算法。

2.SSL握手協(xié)議。SSL握手協(xié)議使得服務(wù)器和客戶端能夠相互認(rèn)證對方的身份、傳送所需的數(shù)字證書、建立所需的會(huì)話密鑰。SSL握手協(xié)議是較SSL記錄協(xié)議更高層的協(xié)議，必須先執(zhí)行握手協(xié)議后，才可能實(shí)現(xiàn)SSL記錄協(xié)議中的加密和完整性校驗(yàn)。SSL協(xié)議通過在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來實(shí)現(xiàn)有關(guān)安全特性的建立。SSL握手過程一般分為4個(gè)階段：

(1)建立安全能力:該階段是用來初始化邏輯連接，并建立與之相關(guān)的安全能力。交換在客戶端發(fā)起，客戶端發(fā)送Client_hello消息，并包含以下數(shù)據(jù)(SSL版本、初始隨機(jī)參數(shù)、會(huì)話ID、密碼組參數(shù)、壓縮方法)，在發(fā)送了Client_hello消息之后，客戶端將等待包含與Client_hello消息參數(shù)一樣的Server_hello消息。

(2)服務(wù)器身份認(rèn)證和密碼交換：服務(wù)器發(fā)送自己的數(shù)字證書給客戶端，該證書帶有證書授權(quán)中心(CA)的數(shù)字簽名和服務(wù)器的公鑰以及其數(shù)字簽名，可以證明自己的合法性，然后開始密鑰交換。如果服務(wù)器要求認(rèn)證客戶端，則要請求客戶端數(shù)字證書。該階段以Hello消息段結(jié)束，之后服務(wù)器等待客戶端的響應(yīng)。

(3)客戶端認(rèn)證和密鑰交換：在這一階段，客戶端認(rèn)證服務(wù)器數(shù)字證書的合法性。如果服務(wù)器要求客戶端的數(shù)字證書，客戶端應(yīng)提供其數(shù)字證書，供服務(wù)器認(rèn)證客戶端的合法性。此外，還要發(fā)送交換密鑰。

(4)完成:該階段完成安全通道的建立，該消息并不被認(rèn)為是握手協(xié)議的一部分，而是改變密碼規(guī)格協(xié)議發(fā)送的。至此，客戶端和服務(wù)器完成了握手協(xié)議，可以開始交換應(yīng)用層的數(shù)據(jù)了。

三、SSL協(xié)議在服務(wù)器上的應(yīng)用

實(shí)現(xiàn)SSL協(xié)議，首先要在服務(wù)器上加裝SSL，其步驟為先在“Internet服務(wù)管理器”的“識(shí)別碼管理器”上填入網(wǎng)站的相關(guān)信息，以它為內(nèi)容產(chǎn)生一組公鑰，識(shí)別碼管理器還會(huì)將以上信息都寫入文件，接下來就可以用這份數(shù)據(jù)向證書授權(quán)中心(Certification Authority)申請SSL服務(wù)器數(shù)字證書了。CA是一個(gè)公開而且公正的組織單位，其專門負(fù)責(zé)受理數(shù)字證書的核準(zhǔn)，發(fā)放，注銷等管理工作(例如：VeriSign)。不同的CA有不同的申請方法。當(dāng)申請好數(shù)字證書后，選擇識(shí)別碼管理器下的安裝識(shí)別碼認(rèn)證，輸人密碼和數(shù)字證書文件的位置，就把數(shù)字證書安裝好了。然后就是指定哪些頁面需要用到SSL功能，打開Internet服務(wù)管理器，單擊所要設(shè)置的頁面目錄后按右鍵，單擊“屬性”，再選擇“目錄安全設(shè)定”下“安全通信”，按下編輯按鍵后在“當(dāng)存取這個(gè)資源必須使用安全通道”選項(xiàng)上打上勾，表示當(dāng)客戶端存取這個(gè)目錄時(shí)就會(huì)激活SSL功能。

服務(wù)器通過SSL服務(wù)器數(shù)字證書的兩個(gè)必要功能來建立電子商務(wù)信任體系。SSL服務(wù)器數(shù)字證書的兩個(gè)必要功能是：

1.SSL服務(wù)器認(rèn)證：服務(wù)器數(shù)字證書允許用戶確認(rèn)Web服務(wù)器的身份。Web瀏覽器自動(dòng)檢查服務(wù)器數(shù)字證書和公共ID是有效的并已經(jīng)被CA(如：VeriSign)所，包括在可信任的內(nèi)嵌于瀏覽器中的CA列表。SSL服務(wù)器認(rèn)證對安全的電子商務(wù)交易是至關(guān)重要的。例如，用戶通過網(wǎng)絡(luò)發(fā)送信用卡號并想校驗(yàn)接收服務(wù)器的身份。

2.SSL加密:SSL服務(wù)器數(shù)字證書建立了一個(gè)安全通道，在用戶瀏覽器和Web服務(wù)器之間傳送的所有信息由發(fā)送軟件加密、接收軟件解密，從而保護(hù)私有信息不被第三方所竊取。

四、SSL協(xié)議在客戶端的應(yīng)用

1.客戶連接一個(gè)站點(diǎn)和訪問一個(gè)安全的URL，即受服務(wù)器ID所保護(hù)的網(wǎng)頁。

2.客戶的瀏覽器自動(dòng)向服務(wù)器發(fā)送瀏覽器的SSL版本號、密碼設(shè)置、產(chǎn)生的隨機(jī)數(shù)和服務(wù)器需要和客戶用SSL通信的其他信息。

3.服務(wù)器做出反應(yīng)，自動(dòng)向?yàn)g覽器發(fā)送站點(diǎn)的數(shù)字證書，包括服務(wù)器的SSL版本號、密碼設(shè)置等等。

4.客戶的瀏覽器檢查包含在服務(wù)器數(shù)字證書中的信息并校驗(yàn)。

(1)服務(wù)器數(shù)字證書是否有效，日期是否有效。

(2)服務(wù)器數(shù)字證書的CA是否被可信任的CA所簽名，可信任的CA證書已嵌入瀏覽器中。

(3)嵌入瀏覽器中的CA的公鑰是否使者的數(shù)字簽名有效。

(4)服務(wù)器數(shù)字證書所指定的域名與服務(wù)器的真實(shí)域名是否匹配。

如果服務(wù)器不能通過認(rèn)證，那么用戶就會(huì)接收到警告信息，從而不能建立SSL安全通道。

5.如果服務(wù)器通過認(rèn)證，客戶瀏覽器就會(huì)產(chǎn)生一個(gè)唯一的“會(huì)話密鑰”來加密所有與服務(wù)器的通信內(nèi)容。

6.客戶的瀏覽器用服務(wù)器數(shù)字證書中的公鑰加密“會(huì)話密鑰”發(fā)送給服務(wù)器。這樣就可以確保只有服務(wù)器才能讀出“會(huì)話密鑰”。

7.服務(wù)器用自己的私鑰解密“會(huì)話密鑰”。

8.瀏覽器向服務(wù)器發(fā)送信息，表明以后從客戶端發(fā)送的信息都將用“會(huì)話密鑰”加密。

9.服務(wù)器向?yàn)g覽器發(fā)送信息，表明以后從服務(wù)器發(fā)送的信息也將用“會(huì)話密鑰”加密。

10.這樣，在客戶端與服務(wù)器就建立了一個(gè)SSL安全通道。之后，所有通信內(nèi)容就在SSL安全通道內(nèi)用“會(huì)話密鑰”來加密和解密信息。

11.一旦本次會(huì)話結(jié)束，“會(huì)話密鑰”也就隨之失效。

上述過程只要花費(fèi)幾秒鐘的時(shí)間，且不需要客戶的干涉。

另外，用戶還可以通過以下情況來確認(rèn)是否已經(jīng)和正在訪問的服務(wù)器建立了SSL安全通道：

> 在瀏覽器窗口的URL中以HTTPS：//開頭

> 在Netscape中，在窗口左下角的掛鎖是關(guān)閉的，而不是打開的。

> 在IE中，掛鎖出現(xiàn)在窗口狀態(tài)條的右下角。

五、SSL在現(xiàn)實(shí)中的應(yīng)用

以中國工商銀行“個(gè)人網(wǎng)上銀行”為例。首先訪問工商銀行首頁(省略/)。單擊“個(gè)人網(wǎng)上銀行登錄”圖標(biāo)。然后填入必要的信息，之后單擊同意按鈕就可以打開“個(gè)人網(wǎng)上銀行”。

首次使用時(shí)，會(huì)彈出一個(gè)要求安裝SSL數(shù)字證書的對話框，單擊“是”按鈕即可。在安裝好SSL數(shù)字證書之后，在IE瀏覽器的右下方就會(huì)出現(xiàn)一把閉合的黃色小鎖，其代表瀏覽器正在使用SSL加密傳輸?shù)馁Y料，從而避免敏感信息在傳輸?shù)倪^程中被竊取或者篡改。用戶可以通過雙擊這把小鎖來查看服務(wù)器SSL數(shù)字證書的詳細(xì)內(nèi)容。

值得一提的是個(gè)別瀏覽器只支持40位以下的加密算法。這對于傳輸重要信息是遠(yuǎn)遠(yuǎn)不夠的。在IE瀏覽器中，只要將鼠標(biāo)指向?yàn)g覽器右下方的黃色小鎖，就可以看到SSL加密的位數(shù)。假如不是128位的話，可以通過單擊瀏覽器“幫助”菜單下的“關(guān)于Internet Explorer”。如果顯示的密鑰長度小于128位，則可以單擊“工具”菜單上的“Windows Update”，然后依據(jù)提示將瀏覽器更新為最新版本，使其支持128位的SSL加密算法。

六、SSL的功能及SSL的局限性

1.信息加密。SSL所采用的加密技術(shù)既有對稱加密技術(shù)，如DES；也有不對稱加密技術(shù)，如RSA。具體來說，客戶端與服務(wù)器在進(jìn)行數(shù)據(jù)交換之前，先交換SSL握手信息，在SSL握手信息中采用了各種加密技術(shù)對其加密，以保證其機(jī)密性和數(shù)據(jù)的完整性，并且用數(shù)字證書進(jìn)行認(rèn)證。

2.信息完整。SSL提供了信息完整服務(wù)，以建立客戶端與服務(wù)器之間的安全通道，使所有經(jīng)過SSL協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無誤地到達(dá)其目的地。

3.身份認(rèn)證?？蛻舳撕头?wù)器都有各自的識(shí)別號，這些識(shí)別號由公開密鑰進(jìn)行編號。為了驗(yàn)證用戶是否合法，SSL協(xié)議要求在握手交換數(shù)據(jù)前進(jìn)行認(rèn)證，以此來確保用戶的合法性。 SSL堅(jiān)持對服務(wù)器進(jìn)行身份認(rèn)證，還可選擇性的對客戶端進(jìn)行認(rèn)證。

然而，SSL當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的，所以其在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端。它只是簡單地在雙方之間建立了一條安全通道，在涉及多方的電子交易中，只能提供交易中客戶端與服務(wù)器之間的雙方認(rèn)證。而電子商務(wù)往往是用戶、網(wǎng)站、銀行三方協(xié)作完成，SSL協(xié)議并不能協(xié)調(diào)各方之間的安全傳輸和信任關(guān)系；另外還有購物時(shí)用戶要輸入通信地址，這樣將有可能使得用戶收到大量的垃圾信件。 此外，SSL協(xié)議不能防止心術(shù)不正的商家的欺詐，因?yàn)樵撋碳艺莆樟丝蛻舻男庞每ㄌ?。商家欺詐是信用卡業(yè)發(fā)展所面臨的最嚴(yán)重的問題之一。但是，SSL除了傳輸過程以外不能提供任何安全保證，它并不能使客戶確信此公司接受信用卡支付是得到授權(quán)的。再者，SSL協(xié)議的最大不足之處在于，其不對應(yīng)用層的消息進(jìn)行數(shù)字簽名，因此SSL不能提供交易的不可否認(rèn)性。

篇(4)

關(guān)鍵詞:IPSec VPN;AH;ESP;SSL VPN;IKE

中圖分類號:TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號:1009-3044(2009)24-6652-03

Security Research of VPN Based on IPSec

GUO Xu-zhan

(Computer and Information Technology College, Xinyang Normal University, Xinyang 464000, China)

Abstract: SSL VPN and IPSec VPN security technology principles are introducedin this paper. Andcarried out a detailedstudy and research on the encryption, authentication, key management of IPSec, research the security of IPSec VPN.

Key words: IPSec VPN; AH; ESP; SSL VPN; IKE

隨著經(jīng)濟(jì)的不斷發(fā)展,企業(yè)的信息化進(jìn)程也在逐漸加快,為了保證企業(yè)機(jī)密信息在遠(yuǎn)距離傳輸過程中的安全,可以采用專線式廣域網(wǎng)絡(luò)傳輸數(shù)據(jù),但是這樣的方案耗資巨大,不符合成本-效益原理。因此VPN (虛擬專用網(wǎng)絡(luò))技術(shù)應(yīng)運(yùn)而生。VPN是以Internet為平臺(tái),建立起在安全技術(shù)保護(hù)下的虛擬專用網(wǎng)絡(luò),并且此虛擬網(wǎng)絡(luò)提供與專用網(wǎng)絡(luò)相同的功能、安全性、易于管理等特點(diǎn),是原有專用網(wǎng)絡(luò)的替代方案,更為符合成本-效益原理。通過VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商等外部用戶透過公用網(wǎng)與公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。將企業(yè)專用網(wǎng)上的數(shù)據(jù)加密封裝后,透過虛擬專用網(wǎng)絡(luò)進(jìn)行傳輸,可以防止敏感數(shù)據(jù)被竊。VPN技術(shù)發(fā)展非常迅速,目前組建技術(shù)多種多樣,比較常見的有SSL、IPSec、L2TP等。只有在充分了解這些協(xié)議的基礎(chǔ)上,才能根據(jù)需求組建不同保護(hù)功能地VPN。

1 SSL安全協(xié)議

SSL[1-2]協(xié)議工作在傳輸層,它分為兩層:SSL握手協(xié)議和SSL記錄協(xié)議。使用SSL協(xié)議組建的VPN稱為SSL VPN。

1.1 SSL握手協(xié)議

SSL握手協(xié)議[3]用于在通信雙方建立安全傳輸通道,可以實(shí)現(xiàn)以下功能:

1) 在客戶端驗(yàn)證服務(wù)器,SSL協(xié)議采用公鑰方式進(jìn)行身份認(rèn)證;

2) 在服務(wù)器端驗(yàn)證客戶(可選);

3) 客戶端和服務(wù)器之間協(xié)商雙方都支持的加密算法和壓縮算法,可選用的加密算法包括:IDEA、RC4、DES、3DES、RSA、DSS、MD5等;

4) 產(chǎn)生對稱加密算法的會(huì)話密鑰;

5) 建立加密SSL連接。

1.2 SSL記錄協(xié)議

SSL記錄協(xié)議[4]從高層接收到數(shù)據(jù)后要經(jīng)過分段、壓縮和加密處理,再發(fā)送出去。在SSL協(xié)議中,所有的傳輸數(shù)據(jù)都被封裝在記錄中,SSL記錄協(xié)議規(guī)定了記錄頭和記錄數(shù)據(jù)的格式。每個(gè)SSL記錄包含以下信息:1) 內(nèi)容類型:指SSL的高層協(xié)議;2) 協(xié)議版本號:指所用的SSL協(xié)議版本號;3) 長度:指記錄數(shù)據(jù)的長度,最大長度為16383字節(jié);4) 數(shù)據(jù)有效載荷:將數(shù)據(jù)進(jìn)行壓縮和加密處理后的結(jié)果;5)MAC:MAC在有效數(shù)據(jù)被加密之前計(jì)算出來并放入SSL記錄中,用于進(jìn)行數(shù)據(jù)完整性檢查。

SSL VPN 最大的好處就是不需要安裝客戶端程序,由于只通過 443 端口作為唯一的傳輸通道,因此管理員不需要在防火墻上作任何修改,從而最大限度的減少了分發(fā)和管理客戶端軟件的麻煩,降低了系統(tǒng)部署成本和 IT 部門日常性的管理支持工作費(fèi)用。SSL VPN 能保證在任何地方訪問基于 TCP 應(yīng)用程序的安全,包括 Web 和 C/S 應(yīng)用,傳統(tǒng)的應(yīng)用程序,網(wǎng)絡(luò)文件傳輸和共享,終端服務(wù),電子郵件服務(wù)以及 PDA 等手持無線設(shè)備。

然而SSL VPN也有其缺點(diǎn):它不適用做點(diǎn)對點(diǎn)的 VPN,后者通常是使用 IPsec 技術(shù),SSL VPN 需要開放網(wǎng)絡(luò)防火墻中的 HTTPS 連接端口,以使 SSL VPN 網(wǎng)關(guān)流量通過,SSL VPN 通常需要其他安全配置,例如用第三方技術(shù)驗(yàn)證“非信任”設(shè)備的安全性(包括其他信息站或家用計(jì)算機(jī))。

2 IPsec 協(xié)議與隧道技術(shù)

2.1 隧道技術(shù)簡介

隧道[5]是網(wǎng)絡(luò)通信常用的一種模式,在公用網(wǎng)絡(luò)中,通信兩端之間建立的虛擬專用網(wǎng)絡(luò),就是一種隧道技術(shù)的運(yùn)用。隧道技術(shù)包括封裝、傳輸及解除封裝等幾個(gè)方面。目前常見的隧道技術(shù)有IPsec 隧道模式、IPX 隧 道、點(diǎn)對點(diǎn)隧道協(xié)議PPTP和第二層隧道協(xié)議L2TP等。其中效果最好,應(yīng)用最廣泛的就是IPsec。

隧道由用戶終端及服務(wù)器端構(gòu)成,兩端必須使用相同的隧道協(xié)議(tunnel protocol)。隧道傳輸協(xié)議用來傳送數(shù)據(jù),隧道維護(hù)協(xié)議用于管理隧道。隧道工作于OSI 參考模型的第二層或第三層,第二層對應(yīng)到數(shù)據(jù)鏈路層,以幀為單元交換信息。PPTP、 L2TP都是第二層的隧道協(xié)議,數(shù)據(jù)被封裝在點(diǎn)對點(diǎn)通訊協(xié)議 (PPP)幀中,再以隧道協(xié)議封裝,繼而通過網(wǎng)絡(luò)傳送。第二層隧道協(xié)議可以實(shí)現(xiàn)如下功能:用戶驗(yàn)證、動(dòng)態(tài)地址指派、數(shù)據(jù)壓縮、數(shù)據(jù)加密等。第三層對應(yīng)到網(wǎng)絡(luò)層,以信息分組為信息交換單位,包括IPX及 IPsec 隧道模式,IP 信息分組被處理(如壓縮、加密)后,封裝上額外的 IP標(biāo)頭,然后再通過 IP網(wǎng)絡(luò)傳送。

2.2 IPSec的基本概念

IPSec 協(xié)議定義了通過公共網(wǎng)絡(luò)時(shí)實(shí)現(xiàn)安全通信的規(guī)范,通過在 IP 數(shù)據(jù)包中增加字段來保證 IP 數(shù)據(jù)包的完整性、私有性和真實(shí)性以及采用的加密方法。IPsec協(xié)議集合了多種安全技術(shù),從而能確保建立一個(gè)安全的通信隧道。

IPSec 提供以下幾個(gè)方面的網(wǎng)絡(luò)安全服務(wù):

(1) 私有性:IPSec 通過加密數(shù)據(jù)包,保證數(shù)據(jù)的安全性。

(2) 完整性:IPSec 能在目的地驗(yàn)證數(shù)據(jù)包,保證數(shù)據(jù)包沒有被替換。

(3) 真實(shí)性:IPSec 端驗(yàn)證所有加密數(shù)據(jù)包,保證加密正確。

(4) 反重復(fù):IPSec 通過序列號防止數(shù)據(jù)包被捕捉。

IPSec協(xié)議實(shí)現(xiàn)過程如圖1所示。

IPsec實(shí)施方案主要包括以下幾個(gè)組件:

1) IPSec 基本協(xié)議:包括ESP 和AH,用于處理數(shù)據(jù)包頭,通過與SPD和SADB交互,決定為數(shù)據(jù)包提供的安全措施。

2) SPD:SPD決定了對數(shù)據(jù)包是否采用安全措施以及外來數(shù)據(jù)包的安全措施是否符合策略配置。

3) SADB:SADB 為數(shù)據(jù)包的出入處理維持一個(gè)活動(dòng)列表。以確保數(shù)據(jù)包的安全受到IPSec的保障。SADB由各個(gè)SA 聚集構(gòu)成,通常由IKE 等自動(dòng)密鑰管理系統(tǒng)來進(jìn)行。

4) IKE: IKE 代表IPSec 對SA 進(jìn)行協(xié)商,并對SADB 數(shù)據(jù)庫進(jìn)行填充。

5) 策略和SA 管理:對策略和SA 進(jìn)行管理。

2.3 IPSec 組件功能

IPsec 安全體系結(jié)構(gòu)中包括了三個(gè)最基本的協(xié)議:AH協(xié)議,為 IP 包提供信息源驗(yàn)證和完整性保證;ESP協(xié)議,提供加密保證;密鑰管理協(xié)議ISAKMP,提供雙方交流時(shí)的共享安全信息。ESP和 AH 協(xié)議具備相關(guān)的一系列支持文件,規(guī)定了加密和認(rèn)證的算法。信息分組通過這兩種轉(zhuǎn)換協(xié)議得以加密保護(hù)。其實(shí)現(xiàn)方式分為隧道模式(Tunnel Mode)和傳輸模式(Transport Mode)兩 種 。IPSec的組件構(gòu)成如圖2所示。

2.3.1 AH 與 ESP

確認(rèn)性標(biāo)頭AH [6](Authentication Header)用來保證IP包的信息的完整性和準(zhǔn)確性。AH 既可以單獨(dú)使用,也可在隧道模式下和 ESP聯(lián)用。AH支持傳輸模式(Transport Mode)和隧道模式(Tunnel Mode)。AH利用在 Header 和信息分組之間添加驗(yàn)證鏈接,來驗(yàn)證該信息分組的發(fā)送用戶身份。AH協(xié)議不加密所保護(hù)的數(shù)據(jù)包,它只為IP數(shù)據(jù)流提供高強(qiáng)度的密碼認(rèn)證,以確保被修改的數(shù)據(jù)包可以被檢查出來。為此AH必須包含對 HMAC的支持(Keyed-Hashing for Message Authentication)。

植入安全載荷ESP[7] (Encapsulating Security Payload)主要用來處理對 IP 信息分組的加密,同時(shí)也可進(jìn)行認(rèn)證。為了保證通信中的互操作性, ESP規(guī)范規(guī)定要強(qiáng)制實(shí)現(xiàn)56位的DES 加密算法,同時(shí)ESP與具體的加密算法是相互獨(dú)立的,幾乎可以支持各種對稱密鑰加密算法,例如DES,Triple DES,RC5 等。ESP在隧道模式和傳輸模式中的作用是不同的,在隧道模式中,整個(gè)IP數(shù)據(jù)包都被ESP封裝和加密。真正的IP源地址和目的地址被隱藏為Internet發(fā)送的普通數(shù)據(jù)。而在傳輸模式中,只有更高層協(xié)議幀(TCP、UDP、ICMP等)被放到加密后的IP數(shù)據(jù)報(bào)的ESP負(fù)載部分,在這種模式中,源和目的IP地址以及所有的IP包頭域都是不加密發(fā)送的。

ESP 協(xié)議數(shù)據(jù)單元格式由三部分組成:頭部、加密數(shù)據(jù)、可選尾部。頭部有兩個(gè)域:安全策略索引(SPI)和序列號SN (Sequence Number)。使用 ESP 進(jìn)行安全通信之前,通信雙方需要先協(xié)商加密策略,包括使用的算法、密鑰以及密鑰的有效期等。安全策略索引用來標(biāo)識(shí)發(fā)送方的加密策略,接收方可采用相應(yīng)策略對收到的 IP 信息分組處理?！靶蛄刑枴庇脕韰^(qū)分不同信息分組。加密數(shù)據(jù)部分除了包含原 IP 信息分組的有效負(fù)載, 填充域 (用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求),其余部分在傳輸時(shí)都是加密過的。ESP結(jié)構(gòu)如圖3所示。

2.3.2 IKE

自動(dòng)密鑰交換IKE[8](IPsec Key Exchange)用于動(dòng)態(tài)驗(yàn)證IPSec通信雙方的身份、協(xié)商安全服務(wù)以及生成安全密鑰。有了IKE ,密鑰在使用一段時(shí)間后可以作廢,并重新生成密鑰。這樣,限制了每個(gè)密鑰所保護(hù)的數(shù)據(jù)量,增強(qiáng)了IPSec 的安全性。IKE協(xié)商的參數(shù)同協(xié)議本身是分隔開的,在IPsec協(xié)議中IKE協(xié)商的參數(shù)被歸于一個(gè)單獨(dú)的IKE參數(shù)文檔內(nèi)。

IKE 定義了兩個(gè)階段的協(xié)議:第一階段生成 IKE 自身的加密和驗(yàn)證標(biāo)頭,第二階段 IKE 快速生成和刷新IPsec 的加密和驗(yàn)證標(biāo)頭。 IPsec 和 IKE 通過接口層進(jìn)行交互,IPsec 通過接口層向 IKE 發(fā)出生成或刷新 IPsec 的加密和驗(yàn)證標(biāo)頭的請求,IKE通過接口層向 IPsec 傳送加密和驗(yàn)證標(biāo)頭。

2.3.3 密鑰管理協(xié)議 ISAKMP

IPSec采用ISAKMP[9](Internet Security Association and Key Management Protocol)作為管理協(xié)議的框架。ISAKMP 是一個(gè)應(yīng)用層協(xié)議,它不僅可管理 IPSec協(xié)議所轄的安全聯(lián)結(jié)和密鑰,而且也適應(yīng)于其他網(wǎng)絡(luò)安全協(xié)議。ISAKMP 協(xié)議定義了通信雙方的認(rèn)證過程,安全聯(lián)結(jié)的建立、修改和刪除過程及相應(yīng)的報(bào)文格式。一次 ISAKMP 會(huì)話分為兩個(gè)階段:

第一階段,會(huì)話雙方協(xié)商建立一個(gè)ISAKMP 的安全聯(lián)結(jié),用來保護(hù)它們自身的通信。會(huì)話雙方通過基于公鑰加密算法的數(shù)字簽名完成相互認(rèn)證。具體的認(rèn)證步驟由相應(yīng)的認(rèn)證協(xié)議來規(guī)定,ISAKMP定義了一個(gè)認(rèn)證時(shí)應(yīng)遵循的報(bào)文格式。

第二階段,雙方協(xié)商建立其他安全聯(lián)結(jié)。IPSec 使用因特網(wǎng)密鑰交換協(xié)議 IKE(Internet Key Exchange)來完成會(huì)話密鑰的生成。IKE 規(guī)定了自動(dòng)驗(yàn)證 IPSec 對等實(shí)體、協(xié)商安全服務(wù)和產(chǎn)生共享密鑰的標(biāo)準(zhǔn)。IKE 采用 ISAKMP 報(bào)文格式,并綜合了 Oakley 和 SKEME 密鑰交換協(xié)議的優(yōu)點(diǎn),使用 Diffie-Hellman 算法來生成會(huì)話密鑰。

3 IPSec 安全特點(diǎn)

IPsec 產(chǎn)生于 IPv6 的制定過程中,用于提供 IP 層的安全性。由于所有支持TCP/IP 協(xié)議的主機(jī)進(jìn)行通信時(shí),都要經(jīng)過 IP 層的處理,所以提供了 IP 層的安全性就相當(dāng)于為整個(gè)網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。在IPSec 協(xié)議中,一旦IPSec 通道建立,所有在網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都經(jīng)過加密,如TCP、UDP、SNMP、HTTP、POP 等,而不管這些協(xié)議構(gòu)建時(shí)所采用的安全和加密方法如何。IPsec 協(xié)議彌補(bǔ)了 IP 層的安全缺陷,定義了針對 IP 分組(信息分組)的加密標(biāo)頭和驗(yàn)證標(biāo)頭,以及如何添加和拆分這些標(biāo)頭。同時(shí)IPSec支持各種對稱密鑰加密算法,這就使得數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)靈活多樣,提高了數(shù)據(jù)的安全性。

4 結(jié)束語

通過以上分析,可以看出IPSec因其安全性和靈活性,已經(jīng)成為構(gòu)建VPN的首選。IPSec能對IP數(shù)據(jù)包的安全提供足夠的保護(hù),大大加強(qiáng)了Internet傳輸信息的安全性,為VPN的建立提供了堅(jiān)實(shí)的基礎(chǔ),同時(shí)大大降低了網(wǎng)絡(luò)費(fèi)用。未來的VPN技術(shù)將在IPSec的基礎(chǔ)上得到更大的發(fā)展。

參考文獻(xiàn):

[1] 李塑京.SSL的原理和應(yīng)用[J].微型機(jī)與應(yīng)用,2000,11:34-35.

[2] 馮登國.計(jì)算機(jī)通信網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2001.

[3] 金侖,謝俊元.基于SSL協(xié)議的可信應(yīng)用及實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究,2006,(1):103-105.

[4] 馬英杰,肖麗萍,何文才,李彥兵.SSL協(xié)議分析及其在Web服務(wù)應(yīng)用中的改進(jìn)[J].微處理機(jī),2005,12:31-33.

[5] 劉鐵民,孫偉.VPN網(wǎng)絡(luò)隧道技術(shù)的研究[J].電信工程技術(shù)與標(biāo)準(zhǔn)化,2003(12):55-57.

[6] S. Kent, R. Atkinson. IP Authentication Header. RFC2402 IETF[S].1998,11:1-68.

[7] S. Kent, R. Atkinson, IP Encapsulating Security Payload. RFC2406 IETF[S].1998,11:1-57.

篇(5)

隨著Internet的普及和應(yīng)用的擴(kuò)展，越來越多的政府、企業(yè)希望在網(wǎng)上開展工作。然而Internet原先是建立在可信的基礎(chǔ)上，從原理上不能保證通信的安全性。如何既能充分利用Internet的便利資源又可以保障通信的安全，成為人們最為關(guān)注的問題，虛擬專用網(wǎng)絡(luò)(VPN)也就應(yīng)運(yùn)而生。

VPN是一種充分利用隧道、認(rèn)證、加密等技術(shù)手段，使用戶可以利用現(xiàn)有的Internet公共網(wǎng)絡(luò)，安全地遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)資源的網(wǎng)絡(luò)系統(tǒng)。同傳統(tǒng)的私有網(wǎng)絡(luò)相比，VPN技術(shù)大大降低了成本，提高了靈活性。正是由于其具有的優(yōu)點(diǎn)，近年來VPN已成為網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)熱點(diǎn)。

作為一種加密協(xié)議，IPSec為數(shù)據(jù)通過公用網(wǎng)絡(luò)(如因特網(wǎng))在網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障。通信雙方要建立IPSec通道，首先要采用一定的方式建立通信連接。

因?yàn)镮PSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，這包括如加密運(yùn)算法則和身份驗(yàn)證方法類型等。一旦IPSec通道建立，則通信雙方的所有通信協(xié)議(如TCP、UDP、HTTP等)都要經(jīng)過加密。IPSec VPN工作在OSI網(wǎng)絡(luò)模型的網(wǎng)絡(luò)層，從而使用戶訪問內(nèi)部資源時(shí),就像采用專線方式與公司網(wǎng)絡(luò)直接物理連接一樣。

基于SSL的VPN

SSL是網(wǎng)景(Netscape)公司提出的基于Web應(yīng)用的安全協(xié)議。SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議(如HTTP TELENET、SMTP和FTP等)和TCP／IP協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，它為TCP／IP連接提供數(shù)據(jù)加密服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。

SSL提供的加密和身份驗(yàn)證的安全方法與IPSec非常類似。但SSL協(xié)議只對通信雙方所進(jìn)行的應(yīng)用通道進(jìn)行加密，而不是對從一個(gè)主機(jī)到另一個(gè)主機(jī)的整個(gè)通道進(jìn)行加密。

SSL VPN的技術(shù)特點(diǎn)面對IPSec VPN在市場上的強(qiáng)勢地位，SSL VPN憑借其技術(shù)優(yōu)勢越來越受到人們的關(guān)注，應(yīng)用正逐漸呈上升趨勢。SSL安全通道則可以在客戶到所訪問的資源之間建立。確保端到端的真正安全。無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上。數(shù)據(jù)都不是透明的。如圖1所示。

圖1 SSL VPN支持端到端的安全

SSL與IPSec安全協(xié)議一樣，也可提供加密和身份驗(yàn)證安全方法。

但是不管怎樣，SSL協(xié)議只對通信雙方所進(jìn)行的應(yīng)用通道進(jìn)行加密，而不是對從一個(gè)主機(jī)到另一主機(jī)的整個(gè)通道進(jìn)行加密。因?yàn)榻^大多數(shù)客戶應(yīng)用，是不必加密從一個(gè)系統(tǒng)到另一個(gè)系統(tǒng)的整個(gè)通道的，僅加密應(yīng)用數(shù)據(jù)這一方案更顯恰當(dāng)。

“加密”和“安全”協(xié)議都是屬于傳輸協(xié)議，它們是用來確保重要數(shù)據(jù)的安全傳輸。加密是任何安全協(xié)議的核心技術(shù)，它相對采用明文密碼加密或者不經(jīng)過加密數(shù)據(jù)有三方面的優(yōu)勢:

數(shù)據(jù)的私密性:在傳輸過程中可以使數(shù)據(jù)保持隱藏，不被非法查看;

數(shù)據(jù)的真實(shí)性和完整性: 因?yàn)樵谟嘘P(guān)數(shù)字加密、安全協(xié)議有關(guān)的技術(shù)可以確保數(shù)據(jù)在傳輸過程中不被修改或者損壞;

連接的可靠性:數(shù)據(jù)加密的另一個(gè)數(shù)學(xué)特征是可以證明事件的發(fā)生。

在使用SSL協(xié)議的通信中，每一個(gè)應(yīng)用是一個(gè)安全的獨(dú)立體，而不像IPSec那樣，操作與應(yīng)用脫節(jié)。

要使用SSL協(xié)議進(jìn)行VPN通信，則所進(jìn)行的遠(yuǎn)程通信應(yīng)用必須能識(shí)別SSL技術(shù)，不過現(xiàn)在常見的應(yīng)用一般都能識(shí)別SSL技術(shù)的，如IE、Netscape瀏覽器，OutLook、Eudora郵件應(yīng)用等。

改進(jìn)SSL VPN的新技術(shù)

SSL的一個(gè)運(yùn)算法則是RSA，用來在客戶端和服務(wù)器端傳遞密鑰。

SSL加速技術(shù)

舉例來說．一個(gè)Modem撥號的Web服務(wù)器，大約每秒可以接受75個(gè)新的SSL連接。每一個(gè)新的連接RSA都必須完成翻譯和檢驗(yàn)工作。如果系統(tǒng)每秒所有接受超過75個(gè)，CPU的利用率就會(huì)超過可接受極限而停止對新的網(wǎng)絡(luò)連接請求進(jìn)行響應(yīng)。

為了提高服務(wù)器的接受能力，SSL VPN可以采用SSL加速器技術(shù)。一個(gè)SSL加速器就像一個(gè)核心處理器。用來完成RSA的解密功能以及密碼交換和生成的過程。

其大致可分為三種類型:其一，使用協(xié)處理器，即使用專門的處理器來處理網(wǎng)絡(luò)相關(guān)的操作，任何加密報(bào)文被收到后，直接交給協(xié)處理器處理，從而加速整個(gè)過程;其二，采用內(nèi)置的安全處理器大幅度加速處理過程，這種方法速度很快，但是安全處理器的功能和網(wǎng)絡(luò)處理器有重復(fù);其三，是在網(wǎng)絡(luò)處理器中直接集成加密等安全功能，這種方法可以最大限度地降低成本，并獲得線性加速性能。

對于電子商務(wù)而言，SSL加速器可以有效提高交易的速度，所有的交易信息都是以符合安全機(jī)制的加密方式進(jìn)行傳遞。通過加速后，一部智能完成接受75個(gè)SSL連接的服務(wù)器，就可打到接受每秒800個(gè)以上連接的性能。

SSL技術(shù)

SSL分為客戶端和服務(wù)器端兩種，對于SSL VPN而言，起作用的是服務(wù)器端的SSL。SSL客戶端與Web服務(wù)器建立連接時(shí)，實(shí)際上先與SSL建立連接，SSL在客戶端和Web服務(wù)器之間提供信息轉(zhuǎn)發(fā)服務(wù)，同時(shí)進(jìn)行加解密操作。

在公共網(wǎng)絡(luò)上，SSL客戶端與SSL之間建立安全的SSL連接，傳遞密文信息，在私有網(wǎng)絡(luò)上，SSL與Web服務(wù)器可以建立SSL連接，也可以直接傳遞明文信息，這取決于用戶對安全性的要求。對于SSL客戶端來講，SSL是SSL服務(wù)器，對于Web服務(wù)器來講，SSL又是客戶端。

SSL技術(shù)在通信中可提高VPN服務(wù)器通信的安全性能和身份驗(yàn)證能力，主要表現(xiàn)在以下兩個(gè)方面:

提高安全性能 從原理上來說，SSL在外部訪問者和內(nèi)部服務(wù)器之間提供了一個(gè)緩沖地帶，遠(yuǎn)程訪問的連接實(shí)際上只能到達(dá)SSL VPN網(wǎng)關(guān)，從而實(shí)現(xiàn)了保護(hù)內(nèi)部網(wǎng)絡(luò)資源的目的。通過對連接請求的統(tǒng)計(jì)信息進(jìn)行分析，制定并執(zhí)行適當(dāng)?shù)陌踩呗?，SSL在公共的因特網(wǎng)和私有的局域網(wǎng)之間建立了一道安全崗哨。SSL還可以通過查詢外部認(rèn)證服務(wù)器或者策略服務(wù)器，或者通過用戶提供的證書，賦予不同的用戶以不同的訪問權(quán)限。

增加身份驗(yàn)證強(qiáng)度 SSL協(xié)議自身的驗(yàn)證方法包括在服務(wù)器端和客戶端進(jìn)行的密碼身份驗(yàn)證，但這種安全基于一個(gè)前提:客戶端的私鑰密碼被安全地保管。如果這個(gè)密鑰遭到破壞或者丟失，客戶端就不可能再得到信任。

許多Web服務(wù)器自身并不支持比SSL更加強(qiáng)大的身份驗(yàn)證方法，這就需要SSL提供更加強(qiáng)大的身份驗(yàn)證，如Radius第三方認(rèn)證，USB key加PIN碼的雙因素認(rèn)證等。

SSL虛擬通道技術(shù) 虛擬通道技術(shù)是利用對用戶透明的SSL VPN客戶端，把遠(yuǎn)程客戶端和內(nèi)部網(wǎng)絡(luò)連接成一個(gè)虛擬網(wǎng)絡(luò)的技術(shù)。在這個(gè)虛擬通道上，可以讓受信任的用戶登錄到整個(gè)內(nèi)部網(wǎng)絡(luò)，支持任意基于IP的應(yīng)用，如圖2所示。

虛擬網(wǎng)卡驅(qū)動(dòng)程序?qū)τ诓僮飨到y(tǒng)而言就像一塊真正的物理網(wǎng)卡，操作系統(tǒng)可以對其進(jìn)行所有真正物理網(wǎng)卡可以進(jìn)行的控制，如收發(fā)數(shù)據(jù)包，禁用、啟用、掛起、查詢狀態(tài)和綁定TCP/IP、IPX協(xié)議等。將虛擬網(wǎng)卡技術(shù)與SSL加密技術(shù)結(jié)合起來，建立SSL虛擬通道，用戶可以通過操作系統(tǒng)在該通道上正常使用HTTP、FTP、Telnet等Internet服務(wù)和網(wǎng)絡(luò)鄰居等局域網(wǎng)應(yīng)用。

圖2 虛擬通道技術(shù)結(jié)構(gòu)示意圖

客戶端可做成Applet或者ActiveX的形式，當(dāng)用戶通過認(rèn)證后，自動(dòng)從VPN網(wǎng)關(guān)下載，在整個(gè)安裝和配置過程中，不需要用戶干預(yù)?？蛻舳税惭b成功之后，用戶點(diǎn)擊建立虛擬通道即可，無需輸入任何配置信息。

篇(6)

簡便易行的SSL協(xié)議

安全套接層SSL協(xié)議是一種對計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議，最初是由Netscape推出的一種安全通信協(xié)議，它通過密鑰技術(shù)能夠?yàn)樾庞每ê蛡€(gè)人信息提供較強(qiáng)的安全防護(hù)。在SSL協(xié)議中采用了公開密鑰和私有密鑰兩種加密方式。Web信息通過協(xié)議傳輸時(shí)，先在傳送端被加密，然后在接收端被解密，從而為機(jī)器之間提供安全連接。

SSL協(xié)議是兩層協(xié)議，建立在TCP傳輸控制協(xié)議之上、應(yīng)用層之下，并且與上層應(yīng)用協(xié)議無關(guān)，可為應(yīng)用層協(xié)議如HTTP、FTP、SMTP等提供安全傳輸，通過將HTTP與SSL相結(jié)合，Web服務(wù)器就可實(shí)現(xiàn)客戶瀏覽器與服務(wù)器間的安全通信。

通過用戶和服務(wù)器的合法性認(rèn)證、加密數(shù)據(jù)、保護(hù)數(shù)據(jù)完整性三個(gè)方面的服務(wù)，SSL協(xié)議為電子商務(wù)連接提供這樣的交易流程：當(dāng)顧客想從Web站點(diǎn)購買某個(gè)產(chǎn)品時(shí)，顧客和Web站點(diǎn)都要進(jìn)行認(rèn)證。顧客通常是以提供名字和密碼的方式來認(rèn)證其本人；Web站點(diǎn)通過交換一塊簽名數(shù)據(jù)和一個(gè)有效的X.509證書來認(rèn)證它自己。顧客通過瀏覽器驗(yàn)證該證書并用所附的公用密鑰驗(yàn)證簽名數(shù)據(jù)，一旦雙方都認(rèn)證了，交易就可以開始了。

簡便易行是SSL協(xié)議的最大優(yōu)點(diǎn)，但與此同時(shí)其缺點(diǎn)也是顯而易見的。首先，在交易過程中，客戶的信息先到達(dá)商家那里，這就導(dǎo)致客戶資料安全性無法保證；其次，SSL只能保證資料傳遞過程的安全性，而傳遞過程是否有人截取則無法保證；再次，由于SSL協(xié)議的數(shù)據(jù)安全性是建立在RSA等算法上，因此其系統(tǒng)安全性較差。

除這些缺點(diǎn)外，由于SSL協(xié)議不對應(yīng)用層的消息進(jìn)行數(shù)字簽名，因此不能提供交易的不可否認(rèn)性，這就造成了SSL協(xié)議在電子銀行應(yīng)用中的最大不足。

安全可靠的SET協(xié)議

安全電子交易SET協(xié)議是1997年由美國Visa和MasterCard兩大信用卡組織提出、應(yīng)用于Internet上、以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于B to C模式中保障支付信息的安全性。

SET協(xié)議主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計(jì)的，以保證支付信息的機(jī)密、支付過程的完整、商戶及持卡人的合法身份以及可操作性?？梢哉f，SET協(xié)議是PKI框架下的一個(gè)典型實(shí)現(xiàn)，其核心技術(shù)主要有公開密鑰加密、數(shù)字簽名、電子信封、電子安全證書等。通過這些手段，SET協(xié)議在電子交易環(huán)節(jié)上為用戶提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。

由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號暴露給商家等優(yōu)點(diǎn)，因此它成為目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。

在整個(gè)交易過程中，數(shù)字認(rèn)證（CA）扮演了系統(tǒng)中很重要的角色。SET協(xié)議重點(diǎn)就在于利用CA實(shí)現(xiàn)交易安全及隱秘性，數(shù)字證書為其核心，它提供了簡單的方法來確保進(jìn)行電子交易的人們能夠互相信任。在交易中，信用卡組織提供數(shù)字證書給發(fā)卡銀行，然后發(fā)卡行再提供證書給持卡人；同時(shí)，信用卡組織也提供數(shù)字證書給收單銀行，然后收單銀行再將證書發(fā)給特約商店。在進(jìn)行交易的時(shí)候，持卡人和特約商店兩邊利用符合SET協(xié)議規(guī)格的軟件，在資料交換前分別確認(rèn)雙方的身份，也就是檢查由授權(quán)的第三者所發(fā)給的證書。

在整個(gè)交易過程中，SET協(xié)議的安全保障主要來自于：將所有報(bào)文文本用非對稱的方式加密；增加兩類保密鍵（公鑰和單鑰）的字長；采用聯(lián)機(jī)動(dòng)態(tài)的授權(quán)和認(rèn)證檢查，以確保交易過程的安全可靠性。

安全可靠是SET協(xié)議最大的優(yōu)點(diǎn)，但在實(shí)際應(yīng)用中，SET協(xié)議依然存在以下不足：

1.協(xié)議沒有說明收單銀行給商家付款前，是否必須收到客戶的貨物接受證書。一旦客戶對貨物的質(zhì)量標(biāo)準(zhǔn)提出疑義，而收單銀行已把貨款付給了商家，誰承擔(dān)責(zé)任將無法定義。

2.協(xié)議沒有擔(dān)保“非拒絕行為”，這意味著在線商店沒有辦法證明訂購是不是由簽署證書的客戶發(fā)出的。

3.SET技術(shù)規(guī)范沒有提及在事務(wù)處理完成后如何安全地保存或銷毀此類數(shù)據(jù)；

4.利用SET協(xié)議實(shí)施電子支付，交易過程復(fù)雜，使用成本高。

兩種協(xié)議比較

SET是一個(gè)多方的消息報(bào)文協(xié)議，它定義了銀行、商家、持卡人之間必需的報(bào)文規(guī)范，而SSL只是簡單地在兩方之間建立了一條安全連接。SSL是面向連接的，而SET允許各方之間的報(bào)文交換不是實(shí)時(shí)的。SET報(bào)文能夠在銀行內(nèi)部網(wǎng)絡(luò)或者其他網(wǎng)絡(luò)上傳輸，而基于SSL協(xié)議之上的支付卡系統(tǒng)只能與Web瀏覽器捆綁在一起。兩者間的差別主要表現(xiàn)在以下幾個(gè)方面。

用戶接口不同

在應(yīng)用中，SSL協(xié)議已被瀏覽器與Web服務(wù)器內(nèi)置，無須安裝專門軟件，用戶通過網(wǎng)絡(luò)就可直接應(yīng)用；而SET協(xié)議中客戶端須安裝專門的電子錢包類軟件，并且在商家服務(wù)器和銀行網(wǎng)絡(luò)上也須安裝相應(yīng)的軟件，不同銀行間系統(tǒng)間的兼容性尚不夠完善。

處理速度不同

SET協(xié)議非常復(fù)雜、龐大，處理速度慢。一個(gè)典型的SET交易過程須驗(yàn)證電子證書9次，驗(yàn)證數(shù)字簽名6次，傳遞證書7次，進(jìn)行5次簽名，4次對稱加密和4次非對稱加密，整個(gè)交易過程可能需花費(fèi)1.5～2min；而SSL協(xié)議則簡單得多，處理速度比SET協(xié)議快。

認(rèn)證要求各異

早期的SSL協(xié)議并沒有提供身份認(rèn)證機(jī)制，雖然在SSL 3.0中可以通過數(shù)字簽名和數(shù)字證書實(shí)現(xiàn)瀏覽器和Web服務(wù)器之間的身份驗(yàn)證，但仍不能實(shí)現(xiàn)多方認(rèn)證，而且在SSL協(xié)議中商家服務(wù)器的認(rèn)證是必需的，客戶端的認(rèn)證則是可選的。相比之下，SET協(xié)議的認(rèn)證要求較高，所有參與SET交易的成員都必須申請數(shù)字證書。SET協(xié)議還解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認(rèn)證問題。

安全性能差別大

安全性是網(wǎng)上交易中最關(guān)鍵的問題。SET協(xié)議由于采用了公鑰加密、信息摘要和數(shù)字簽名，可以確保信息的保密性、可鑒別性、完整性和不可否認(rèn)性，且SET協(xié)議采用了雙重簽名來保證各參與方信息的相互隔離，使商家只能看到持卡人的訂購數(shù)據(jù)，而銀行只能取得持卡人的信用卡信息。

SSL協(xié)議雖也采用了公鑰加密、信息摘要和MAC檢測，可以提供保密性、完整性和一定程度的身份鑒別功能，但缺乏一套完整的認(rèn)證體系，不能提供完備的防抵賴功能。因此，SET的安全性遠(yuǎn)比SSL高。

協(xié)議層次和功能各異

SSL屬于傳輸層的安全技術(shù)規(guī)范，不具備電子商務(wù)的商務(wù)性、協(xié)調(diào)性和集成。而SET協(xié)議位于應(yīng)用層，不僅規(guī)范了整個(gè)商務(wù)活動(dòng)的流程，而且制定了嚴(yán)格的加密和認(rèn)證標(biāo)準(zhǔn)，具備商務(wù)性、協(xié)調(diào)性和集成。

相比之下，SET協(xié)議從技術(shù)上和流程上都要相對優(yōu)于SSL協(xié)議，功能上也更強(qiáng)，但這并不代表SET協(xié)議就會(huì)超過SSL協(xié)議的應(yīng)用。

因?yàn)殡m然SET通過制定標(biāo)準(zhǔn)和采用各種技術(shù)手段，解決了一直困擾電子商務(wù)發(fā)展的安全問題，但是SET協(xié)議要求在銀行網(wǎng)絡(luò)、商家服務(wù)器、顧客的PC機(jī)上安裝相應(yīng)的軟件；SET協(xié)議要求必須向各方發(fā)放證書，使得應(yīng)用SET協(xié)議要比SSL協(xié)議昂貴得多。這些都成了大面積推廣使用SET協(xié)議的障礙。

篇(7)

【關(guān)鍵詞】電子支付;密碼技術(shù);安全體系;數(shù)字證書

隨著金融業(yè)務(wù)以及金融支付系統(tǒng)的電子化不斷發(fā)展，為金融交易提了更為靈活簡便的交易方式。電子支付系統(tǒng)正好可以完成電子商務(wù)交易過程。截止到目前，幾乎每一種傳統(tǒng)支付機(jī)制都己開發(fā)出相應(yīng)的互聯(lián)網(wǎng)版本，如電子現(xiàn)金、電子支票；IT技術(shù)公司也開發(fā)出多種完全基于互聯(lián)網(wǎng)的創(chuàng)新支付機(jī)制，并在全球范圍內(nèi)己經(jīng)對傳統(tǒng)金融支付系統(tǒng)發(fā)起了挑戰(zhàn)。

1.電子支付安全現(xiàn)狀分析

隨著互聯(lián)網(wǎng)的快速發(fā)展，電子支付已成為網(wǎng)絡(luò)交易中最常用的方式，但也存在信息泄露等安全問題。如：信息泄漏。在交易過程中，消費(fèi)者是弱勢群體。商家可以選擇支付方式，而消費(fèi)者在填完一大串信息后不知道這些信息將流向何方，很難杜絕信息的泄漏。再者電子支付業(yè)務(wù)大多通過網(wǎng)絡(luò)進(jìn)行，沒有了以往的簽字、蓋章及紙質(zhì)憑證。因此，對于各種交易信息可以隨意修改，監(jiān)管部門無法看到真實(shí)的賬務(wù)情況，這是電子支付簽字的安全隱患。

2.電子支付安全協(xié)議

Internet中的七層網(wǎng)絡(luò)模型都有各自對應(yīng)的協(xié)議，其中對話層的SSL(安全套接層)協(xié)議和應(yīng)用層的SET(安全電子交易)協(xié)議與電子商務(wù)有著最密切的關(guān)系。

2.1 SSL安全協(xié)議

通常情況下，中間的計(jì)算機(jī)不會(huì)監(jiān)聽在源-宿之間傳遞的信息，但有時(shí)會(huì)監(jiān)聽信用卡以及網(wǎng)上銀行的交易信息，很可能會(huì)泄露個(gè)人隱私，而且這些隱私信息很可能被一些人獲取并更改。如何保證信息在傳遞過程中的安全問題，既能保密又能鑒別彼此身份，可以通過SSL協(xié)議來實(shí)現(xiàn)。以下為實(shí)現(xiàn)過程：服務(wù)器接受來自瀏覽器的SSL版本號、與Session有關(guān)的數(shù)據(jù)、加密參數(shù)以及其他信息；瀏覽器接收來自服務(wù)器的證書、瀏覽器SSL版本號、與Session有關(guān)的數(shù)據(jù)、加密參數(shù)以及其他信息；若服務(wù)器證書經(jīng)客戶端檢查失敗，則SSL連接無法建立。如果檢查成功，則可以繼續(xù)；用服務(wù)器公鑰對瀏覽器生成的pre-master secret進(jìn)行加密，并發(fā)送到服務(wù)器；假如需要客戶身份鑒別，客戶端需簽名后與證書一同發(fā)到服務(wù)器；對于客戶身份的鑒別，如果通過檢查證明簽署客戶證書的CA可信，則服務(wù)器用私鑰將收到的pre-master secret進(jìn)行解密，如果不可信，則結(jié)束本次通話；服務(wù)器所使用的會(huì)話密鑰與客戶端相同，在服務(wù)器與客戶端SSL握手結(jié)束后都要通過這個(gè)會(huì)話密鑰來傳遞信息；客戶端將使用會(huì)話密鑰加密發(fā)送信息以及本次SSL成功握手的消息通知給服務(wù)器；服務(wù)器將使用會(huì)話密鑰加密發(fā)送信息以及本次SSL成功握手的消息通知給客戶端；SSL握手結(jié)束并建立會(huì)話后，服務(wù)器和客戶端使用通過一個(gè)會(huì)話密鑰對對信息進(jìn)行加密和解密。

2.2 SSL協(xié)議使用的安全技術(shù)

系統(tǒng)的安全主要通過SSL協(xié)議來保障，具體包括壓縮、消息摘要加密和解密等技術(shù)。SSL協(xié)議主要包括SSL握手協(xié)議和SSL記錄協(xié)議。SSL記錄協(xié)議為各種高層協(xié)議提供基本的數(shù)據(jù)安全服務(wù)，對高層協(xié)議傳送來的數(shù)據(jù)進(jìn)行分段/組合、壓縮、附加消息摘要、加密等處理，然后把數(shù)據(jù)傳送給低層的傳輸層協(xié)議發(fā)送。SSL記錄協(xié)議為最底層協(xié)議，此外還有SSL警告協(xié)議、更改密碼規(guī)則協(xié)議和握手協(xié)議三個(gè)高層協(xié)議，它們都是建立在SSL記錄協(xié)議上的。SSL的會(huì)話和連接由這三個(gè)高層協(xié)議來進(jìn)行管理。

2.3 SET安全協(xié)議

作為一個(gè)開放的協(xié)議，SET協(xié)議主要是為了保證信用卡交易的安全性，主要是為信用卡交易所設(shè)計(jì)的，SET協(xié)議已慢慢成為工業(yè)標(biāo)準(zhǔn)，被Microsoft、IBM、HP等大公司所認(rèn)可，也得到了IETF（因特網(wǎng)工程任務(wù)組）的支持。

2.3.1 STE協(xié)議的支付系統(tǒng)

在SET協(xié)議支付系統(tǒng)的網(wǎng)絡(luò)模型中持卡人和發(fā)卡行之間的虛線表示持卡人在發(fā)卡行開設(shè)有帳戶，商家和收單行之間的虛線表示商家在收單行開設(shè)帳戶。持卡人通過Internet與商家進(jìn)行交易，為了保證持卡人和商家時(shí)合法主體，需要認(rèn)證中心CA來對雙方進(jìn)行認(rèn)證，通過認(rèn)證可以維護(hù)電子商務(wù)交易雙方所提供的信息具有完整性和真實(shí)性。

2.3.2 SET協(xié)議的安全體系結(jié)構(gòu)

在SET協(xié)議中，身份認(rèn)證通過雙重簽名、數(shù)字簽名等技術(shù)來實(shí)現(xiàn)，封字簽名通過RAS算法和SHA-1算法來實(shí)現(xiàn)，數(shù)據(jù)的加密通過RSA、DES加密算法來實(shí)現(xiàn)。

2.3.3 SET安全技術(shù)

SET通過使用加密解密和認(rèn)證等技術(shù)實(shí)現(xiàn)傳輸?shù)耐暾浴C(jī)密性以及不可否認(rèn)性，主要包括數(shù)字信封、混合密鑰加密技術(shù)、對稱密鑰加密技術(shù)以及非對稱加密技術(shù)。

（1）數(shù)字信封：主要是通過數(shù)據(jù)接收者的公鑰來加密，確保只有指定的收信人才能閱讀信的內(nèi)容。

（2）混合密鑰加密技術(shù)：主要是指通過專用密鑰技術(shù)和公共密鑰相結(jié)合的加密技術(shù)，保證電子商務(wù)中的電子支付安全。

（3）對稱密鑰加密技術(shù)：之所以稱為對稱密鑰加密，主要是因?yàn)樵诖朔N方法中使用相同的密鑰對信息加密和解密。RC4、AES、DES是常用的幾種對稱加密算法。

（4）非對稱密鑰加密技術(shù)：與對稱密鑰加密技術(shù)最明顯的區(qū)別就是采用不同的密鑰對信息進(jìn)行加密和解密，每個(gè)用戶同時(shí)擁有私有密鑰SK和公開密鑰PK兩給密鑰，且必須配對使用。概率加密、橢圓曲線密碼、Rabin密碼、RSA是常用的非對稱加密算法。

3.結(jié)束語

作為電子商務(wù)系統(tǒng)的重要組成部分，電子商務(wù)支付系統(tǒng)的安全問題得到廣泛關(guān)注，人們將研究安全方便的電子支付系統(tǒng)作為電子商務(wù)發(fā)展的首要任務(wù)。然而，電子安全支付系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)工程，我們必須通過實(shí)踐不斷總結(jié)，探究完善的措施。

參考文獻(xiàn)

[1] 張賢;;電子商務(wù)安全問題[J];中國科技信息;2006年03期.

[2] 馬波;中國電子商務(wù)信用體系模型及應(yīng)用研究[D];北京交通大學(xué);2008年.