它是網景公司在1995中推出的壹種安全通信協議。SSL提供兩臺計算機之間的安全連接,並對整個會話進行加密,從而確保安全傳輸。SSL協議基於可靠的TCP傳輸控制協議,與上層協議無關。各種應用層協議(如HTTP、FTP、TELNET等。)可以通過SSL協議透明傳輸。
SSL協議分為兩層:SSL握手協議和SSL記錄協議。SSL協議和TCP/IP協議之間的關系如圖1所示:
HTTPS FTPS遠程登錄IMAPS等。
SSL握手協議
SSL記錄協議
TCP傳輸控制協議
IP互聯網協議
圖SSL協議和TCP/IP協議之間的關系
SSL協議提供的安全連接有以下三個基本特征:
(1)連接是保密的:每個連接都有壹個唯壹的會話密鑰,使用對稱密碼(如DES和RC4)加密數據;
(2)連接可靠:消息傳輸采用MAC算法(如MD5、SHA等。)進行完整性檢查;
(3)對方實體的認證采用非對稱密碼技術(如RSA、DSS等。).
1.2 SSL握手協議
SSL握手協議用於在通信雙方之間建立安全的傳輸通道,具體實現以下功能:(1)在客戶端認證服務器中,SSL協議使用公鑰進行身份認證;(2)在服務器端驗證客戶(可選);(3)客戶端和服務器協商雙方支持的加密算法和壓縮算法。可以選擇的加密算法有:IDEA、RC4、DES、3DES、RSA、DSS、Diffie_hellman、Fortezza、MD5、SHA等。(4)生成對稱加密算法的會話密鑰;(5)建立加密的SSL連接。壹般的握手過程如圖2所示:
圖2 SSL協議的握手過程
握手過程分為四個階段:
(1)初始化邏輯連接。客戶端首先發送ClientHello消息,服務器也應該返回ServerHello消息。這兩條消息用於協商雙方的安全能力,包括協議版本、隨機參數、會話ID、密鑰交換算法、對稱加密算法、壓縮算法等。
(2)服務器應發送服務器證書(包括服務器的公鑰等。)和會話密鑰,如果服務器要求驗證客戶端,它應該發送CertificateRequest消息。最後,服務器發送壹條ServerHelloDone的消息,表示hello階段已經結束,服務器正在等待客戶端的響應。
(3)如果服務器請求驗證客戶端,客戶端先發送證書消息,然後生成會話密鑰,用服務器的公鑰加密,封裝在ClientKeyExchange消息中。如果客戶端發送自己的證書,它會發送壹個數字簽名證書來驗證證書。
(4)客戶端發送ChangeCipherSpec消息,通知服務器以後發送的消息將使用之前約定的安全參數進行加密,最後發送加密完成消息。服務器收到上述兩條消息後,還會發送自己的ChangeCipherSpec消息和Finished消息。至此,握手完成,雙方可以開始傳輸應用程序數據。
SSL握手協議在雙方中建立適當的會話狀態信息元素,如下表所示:
會話狀態信息元素的描述
由會話標識符服務器選擇的會話標識符,用於識別活動的和恢復的會話。
對等證書X509對等實體的證書
壓縮方法中使用的數據壓縮算法
加密描述了使用的數據加密算法和MAC算法。
會話密鑰客戶端和服務器共享的會話密鑰。
可以重新啟動以識別此對話是否可用於初始化新標誌。
1.3 SSL記錄協議
SSL記錄協議從高層接收數據,然後經過分段、壓縮和加密,最後由傳輸層發送出去。在SSL協議中,所有傳輸的數據都封裝在記錄中,SSL記錄協議規定了記錄頭和記錄數據的格式。
每個SSL記錄包含以下信息:(1)內容類型:指SSL的高層協議;(2)協議版本號:指使用的SSL協議的版本號,目前有2.0和3.0兩個版本;(3)長度:指記錄數據的長度,記錄數據的最大長度為16383字節;(4)數據凈荷:用SSL握手階段定義的壓縮方法和加密方法處理數據得到的結果;(5) MAC:在有效數據被加密並放入SSL記錄進行數據完整性檢查之前,計算MAC。如果使用MD5算法,MAC數據的長度為16字節。SSL記錄協議采用RFC2104中HMAC結構的修改版本,在哈希函數動作之前在消息中放入壹個序列號,以抵抗各種重傳攻擊。序列號是壹個32位遞增計數器。
2套協議
2.1 SET協議概述
Set(安全電子交易)是由MasterCard和Visa在1996聯合制定的安全電子交易規範。它提供了消費者、商家和銀行之間的認證,保證了交易的保密性、可靠性和不可否認性,保證了在開放的網絡環境下使用信用卡進行網上購物的安全性。
2.2 set協議中采用的數據加密模型
SET協議采用的數據加密模型如圖3所示。
圖3 SET協議采用的數據加密模型
該模型具有以下特點:
(1)交易參與方的認證通過數字證書的方式完成,數字證書的格式壹般采用國際標準X.509
(2)通過數字簽名實現了交易的不可否認性。因為數字簽名是由發送方的私鑰生成的,而發送方的私鑰只有他自己知道,所以發送方便,不能否認其已發送的交易數據;
(3)使用消息摘要算法保證數據完整性;
(4)由於非對稱加密算法運算速度較慢,應與對稱加密算法相結合,對稱加密算法對數據進行加密,並與數字信封交換對稱密鑰。
2.3設定協議數據交換流程
SET協議購物系統由持卡人、商戶、支付網關、收單銀行和發卡行五部分組成。這五個部分之間的數據交換過程如圖4所示。
圖4 SET協議的數據交換過程
SSL協議與SET協議的比較
SSL協議和SET協議的區別主要表現在以下幾個方面:
(1)用戶界面:瀏覽器和WEB服務器內置了SSL協議,無需安裝特殊軟件;在SET協議中,客戶端需要安裝專門的電子錢包軟件,相應的軟件需要安裝在商戶服務器和銀行網絡上。
(2)處理速度:SET協議非常復雜龐大,處理速度慢。壹個典型的SET交易流程需要驗證電子證書9次,驗證數字簽名6次,傳輸證書7次,簽名5次,對稱加密4次,非對稱加密4次。整個交易過程可能需要1.5到2分鐘。SSL協議比SET協議簡單得多,也快得多。
(3)認證要求:早期的SSL協議沒有提供認證機制。雖然在SSL3.0中,瀏覽器和Web服務器之間的認證可以通過數字簽名和數字證書來實現,但仍然無法實現多方認證。而且SSL中只需要商家服務器的認證,客戶端的認證是可選的。相比之下,SET協議的認證要求更高,所有參與SET交易的成員都必須申請數字證書,解決了客戶與銀行、客戶與商戶、商戶與銀行的多方認證問題。
(4)安全性:安全性是網上交易中最關鍵的問題。SET協議由於采用了公鑰加密、信息摘要和數字簽名,可以保證信息的機密性、可識別性、完整性和不可否認性,SET協議采用雙重簽名保證所有參與者的信息相互隔離,使得商戶只能看到持卡人的訂購數據,而銀行只能獲取持卡人的信用卡信息。SSL協議雖然也使用了公鑰加密、消息摘要和MAC檢測,可以提供機密性、完整性和壹定程度的身份認證,但是缺乏完整的認證體系,不能提供完整的不可否認功能。所以SET的安全性遠高於SSL。
(5)協議層次和功能:SSL屬於傳輸層的安全技術規範,不具備電子商務的商業、協調和集成功能。SET協議位於應用層,不僅規範了整個業務流程,還制定了嚴格的加密和認證標準,具有商務、協調和集成的功能。
總結:
SSL協議因其成本低、速度快、使用簡單,且不需要對現有網絡系統進行大的修改而得到廣泛應用。然而,隨著電子商務的擴大,網絡欺詐的風險也在增加,SET協議將逐漸在未來的電子商務中占據主導地位。