SSL協議
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
SSL協議(Secure Socket Layer,安全套接層)主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性,它不能保證信息的不可抵賴性,主要適用於點對點之間的信息傳輸,常用Web Server方式。
安全套接層協議(SSL,Security Socket Layer)是網景(Netscape)公司提出的基於WEB應用的安全協議,它包括:伺服器認證、客戶認證(可選)、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對於電子商務應用來說,使用SSL可保證信息的真實性、完整性和保密性。但由於SSL不對應用層的消息進行數字簽名,因此不能提供交易的不可否認性,這是SSL在電子商務中使用的最大不足。有鑒於此,網景公司在從Communicator 4.04版開始的所有瀏覽器中引入了一種被稱作"表單簽名(Form Signing)"的功能,在電子商務中,可利用這一功能來對包含購買者的訂購信息和付款指令的表單進行數字簽名,從而保證交易信息的不可否認性。綜上所述,在電子商務中採用單一的SSL協議來保證交易的安全是不夠的,但採用"SSL+表單簽名"模式能夠為電子商務提供較好的安全性保證。
(1)信息保密,通過使用公開密鑰和對稱密鑰技術以達到信息保密。SSL客戶機和伺服器之間的所有業務都使用在SSL握手過程中建立的密鑰和演算法進行加密。這樣就防止了某些用戶通過使用IP數據包嗅探工具非法竊聽。儘管數據包嗅探仍能捕捉到通信的內容,但卻無法破譯。
(2)信息完整性,確保SSL業務全部達到目的。應確保伺服器和客戶機之間的信息內容免受破壞。SSL利用機密共用和hash函數組提供信息完整性服務。
(3)雙向認證,客戶機和伺服器相互識別的過程。它們的識別號用公開密鑰編碼,併在SSL握手時交換各自的識別號。為了驗證證明持有者是其合法用戶(而不是冒名用戶),SSL要求證明持有者在握手時對交換數據進行數字式標識。證明持有者對包括證明的所有信息數據進行標識,以說明自己是證明的合法擁有者。這樣就防止了其他用戶冒名使用證明。證明本身並不提供認證,只有證明和密鑰一起才起作用。
(4)SSL的安全性服務對終端用戶來講做到儘可能透明。一般情況下,用戶只需單擊桌面上的一個按鈕或聯接就可以與SSL的主機相連。與標準的HTTP連接申請不同,一臺支持SSL的典型網路主機接受SSL連接的預設埠是443,而不是80。
SSL協議的優勢在於它是與應用層協議獨立無關的。高層的應用層協議(例如:HTTP、FTP、Telnet等等)能透明的建立於SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密演算法、通信密鑰的協商以及伺服器認證工作。在此之後應用層協議所傳送的數據都會被加密,從而保證通信的私密性。
SSL安全協議也是國際上最早應用於電子商務的一種網路安全協議,至今仍然有許多網上商店在使用。在使用時,SSL協議根據郵購的原理進行了部分改進。在傳統的郵購活動中,客戶首先尋找商品信息,然後匯款給商家,商家再把商品寄給客戶。這裡,商家是可以信賴的,所以,客戶須先付款給商家。在電子商務的開始階段,商家也是擔心客戶購買後不付款,或使用過期作廢的信用卡,因而希望銀行給予認證。SSL安全協議正是在這種背景下應用於電子商務的。
SSL協議運行的基點是商家對客戶信息保密的承諾。如美國著名的亞馬遜(Amazon)網上書店在它的購買說明中明確表示:"當你在亞馬遜公司購書時,受到'亞馬遜公司安全購買保證'保護,所以,你永遠不用為你的信用卡安全擔心"。但是上述流程中我們也可以註意到,SSL協議有利於商家而不利於客戶。客戶的信息首先傳到商家,但整個過程中缺少了客戶對商家的認證。在電子商務的開始階段,由於參與電子商務的公司大都是一些大公司,信譽較高,這個問題沒有引起人們的重視。隨著電子商務參與的廠商迅速增加,對廠商的認證問題越來越突出,SSL協議的缺點完全暴露出來。SSL協議逐漸被新的SET協議所取代。
目前我國開發的電子支付系統,無論是中國銀行的長城卡電子支付系統,還是上海長途電信局的網上支付系統,均沒有採用SSL協議。主要原因就是無法保證客戶資金的安全性。
