欢迎来到天天文库
浏览记录
ID:9436202
大小:52.00 KB
页数:7页
时间:2018-04-30
《电子商务安全协议》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、电子商务安全协议
2、第1...网络安全是实现电子商务的基础,而一个通用性强,安全可靠的网络协议则是实现电子商务安全交易的关键技术之一,它也会对电子商务的整体性能产生很大的影响。由美国Netscape公司开发和倡导的SSL协议(SecureSocketsLayer,安全套接层),它是目前安全电子商务交易中使用最多的协议之一,内容主要包括协议简介、记录协议、握手协议、协议安全性分析以及应用等。本文在简单介绍SSL协议特点和流程的基础上,详细介绍了SSL协议的应用和配置过程。1SSL协议简介SSL作为目前保护
3、icrosoft、IBM、OpenMarket等公司提供的支持SSL的客户机和服务器产品,如IE和Netscape浏览器,IIS、DominoGoTP(ssmtp)被分配以端口号465,带SSL的NNTP(snntp)被分配以端口号563。微软推出了SSL版本2的改进版本,叫做PCT(私人通信技术)。SSL和PCT非常类似。它们的主要差别是它们在版本号字段的最显著位(TheMostSignificantBit)上的取值有所不同:SSL该位取0,PCT该位取1。这样区分之后,就可以对这两个协议都给予支持
4、。1996年4月,IETF授权一个传输层安全(TLS)工作组着手制订一个传输层安全协议(TLSP),以便作为标准提案向IESG正式提交。TLSP将会在许多地方酷似SSL。2SSL安全性目前,几乎所有操作平台上的WEB浏览器(IE、Netscatp)以及流行的Web服务器(IIS、NetscapeEnterpriseServer等)都支持SSL协议。因此使得使用该协议便宜且开发成本小。但应用SSL协议存在着不容忽视的缺点:1.系统不符合国务院最新颁布的《商用密码管理条例》中对商用密码产品不得使用国外密码
5、算法的规定,要通过国家密码管理委员会的审批会遇到相当困难。2.系统安全性差。SSL协议的数据安全性其实就是建立在RSA等算法的安全性上,因此从本质上来讲,攻破RSA等算法就等同于攻破此协议。由于美国政府的出口限制,使得进入我国的实现了SSL的产品(Web浏览器和服务器)均只能提供512比特RSA公钥、40比特对称密钥的加密。目前已有攻破此协议的例子:1995年8月,一个法国学生用上百台工作站和二台小型机攻破了Netscape对外出口版本;另外美国加州两个大学生找到了一个“陷门”,只用了一台工作站几分钟
6、就攻破了Netscape对外出口版本。但是,一个安全协议除了基于其所采用的加密算法安全性以外,更为关键的是其逻辑严密性、完整性、正确性,这也是研究协议安全性的一个重要方面,如果一个安全协议在逻辑上有问题,那么它的安全性其实是比它所采用的加密算法的安全性低,很容易被攻破。从目前来看,SSL比较好地解决了这一问题。不过SSL协议的逻辑体现在SSL握手协议上,SSL握手协议本身是一个很复杂的过程,情况也比较多,因此我们并不能保证SSL握手协议在所有的情况下逻辑上都是正确的,所以研究SSL协议的逻辑正确性是一
7、个很有价值的问题。另外,SSL协议在“重传攻击”上,有它独到的解决办法。SSL协议为每一次安全连接产生了一个128位长的随机数——“连接序号”。理论上,攻击者提前无法预测此连接序号,因此不能对服务器的请求做出正确的应答。但是计算机产生的随机数是伪随机数,它的实际周期要远比2128小,更为危险的是有规律性,所以说SSL协议并没有从根本上解决“信息重传”这种攻击方法,有效的解决方法是采用“时间戳”。但是这需要解决网络上所有节点的时间同步问题。总的来讲,SSL协议的安全性能是好的,而且随着SSL协议的不断改
8、进,更多的安全性能、好的加密算法被采用,逻辑上的缺陷被弥补,SSL协议的安全性能会不断加强。3WindoinoGoWebServer、NetscapeEnterpriseServer、Appache等Web服务器都提供了对SSL的支持。要实现浏览器(或其他客户端应用)和Web服务器(或其他服务器)之间的安全SSL信息传输,必须在Web服务器端安装支持SSL的Web服务器证书,在浏览器端安装支持SSL的客户端证书(可选),然后把URL中的“”更换为“https://”。SSL安全协议要求基于客户机/服务
9、器模型的安全通信对服务器进行认证,所以,必须对服务器(如Web服务器)配置证书。下面以Windows2000种提供的Inter信息服务器IIS5.0(以后简称IIS)为例来谈一下在Web服务器中请求和安装服务器证书的基本步骤与技巧,并给出配置安全通信(如SSL)的一般方法。在一个基于客户机/服务器(更为普遍的是浏览器/Web服务器)模型的安全应用中,要求服务器端必须配备安全证书,以在网络通信中代表Web服务器的身份,客户端也可以使用Web服务器证书所提供
此文档下载收益归作者所有