Ⅰ 浠涔堟槸SSL瀹夊叏鍗忚
SSL瀹夊叏鍗忚 锲介檯涓婇氲岀殑阈惰屽崱瀵嗙爜镙¢獙鎶链鍜屾爣鍑嗕箣涓 鍙堢О涓衡滃畨鍏ㄥ楁帴灞傗濓纸Secure Sockets Layer锛夊岗璁锛屾槸Netscape Communication鍏鍙1996骞磋捐″紑鍙戠殑锛屼富瑕佺敤浜庢彁楂桦簲鐢ㄧ▼搴忎箣闂寸殑鏁版嵁瀹夊叏绯绘暟銆係SL瀹夊叏鍗忚涓昏佹彁渚涗笁鏂归溃镄勬湇锷★细涓鏄鐢ㄦ埛鍜屾湇锷″櫒镄勫悎娉曟цよ瘉锛屼簩鏄锷犲瘑鏁版嵁浠ラ殣钄借浼犻佺殑鏁版嵁锛屼笁鏄淇濇姢鏁版嵁镄勫畬鏁存с係SL鍗忚娑夊强镓链涂CP/IP搴旂敤绋嫔簭锛屾槸涓涓淇濊瘉浠讳綍瀹夎呬简瀹夊叏濂楁帴灞傜殑瀹㈡埛鍜屾湇锷″櫒涔嬮棿瀹夊叏镄勫岗璁銆备絾鏄闅忕潃鐢靛瓙鍟嗗姟鍙备笌镄勫満涓婅繀阃熷炲姞锛屽瑰巶鍟呜よ瘉镄勯梾棰樿秺𨱒ヨ秺绐佸嚭锛屽洜姝SSL瀹夊叏鍗忚阃愭笎琚玈ET鍗忚镓鍙栦唬銆
缁椤垎鍟 瀵圭殑锛屾斁蹇
Ⅱ 电子商务中的安全协议是什么意思
安全协议是以密码学为基础的消息交换协议,其目的是在网络环境中提供各种安全服务。密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法。安全协议是网络安全的一个重要组成部分,我们需要通过安全协议进行实体之间的认证、在实体之间安全地分配密钥或其它各种秘密、确认发送和接收的消息的非否认性等。
安全协议是建立在密码体制基础上的一种交互通信协议,它运用密码算法和协议逻辑来实现认证和密钥分配等目标。
安全协议可用于保障计算机网络信息系统中秘密信息的安全传递与处理,确保网络用户能够安全、方便、透明地使用系统中的密码资源。安全协议在金融系统、商务系统、政务系统、军事系统和社会生活中的应用日益普遍,而安全协议的安全性分析验证仍是一个悬而未决的问题。在实际社会中,有许多不安全的协议曾经被人们作为正确的协议长期使用,如果用于军事领域的密码装备中,则会直接危害到军事机密的安全性,会造成无可估量的损失。这就需要对安全协议进行充分的分析、验证,判断其是否达到预期的安全目标。
网络安全是实现电子商务的基础,而一个通用性强,安全可靠的网络协议则是实现电子商务安全交易的关键技术之一,它也会对电子商务的整体性能产生很大的影响。由美国Netscape公司开发和倡导的SSL协议(Secure Sockets Layer,安全套接层),它是目前安全电子商务交易中使用最多的协议之一,内容主要包括协议简介、记录协议、握手协议、协议安全性分析以及应用等。本文在简单介绍SSL协议特点和流程的基础上,详细介绍了SSL协议的应用和配置过程。
1 、SSL协议简介
SSL作为目前保护Web安全和基于HTTP的电子商务交易安全的事实上的,被许多世界知名厂商的Intranet和Internet网络产品所支持,其中包括Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客户机和服务器产品,如IE和Netscape浏览器,IIS、Domino Go WebServer、Netscape Enterprise Server和Appache等Web Server等。
SSL采用对称密码技术和公开密码技术相结合,提供了如下三种基本的安全服务:秘密性。SSL客户机和服务器之间通过密码算法和密钥的协商,建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。
完整性。SSL利用密码算法和hash函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息内容受到破坏。
认证性。利用证书技术和可信的第三方CA,可以让客户机和服务器相互识别的对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户),SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。
SSL协议的实现属于SOCKET层,处于应用层和传输层之间,由SSL记录协议(SSL RECORD PROTOCOL)和SSL握手协议(SSL HAND-SHAKE PROTOCOL)组成的,其结构如图1所示:
SSL可分为两层,一是握手层,二是记录层。SSL握手协议描述建立安全连接的过程,在客户和服务器传送应用层数据之前,完成诸如加密算法和会话密钥的确定,通信双方的身份验证等功能;SSL记录协议则定义了数据传送的格式,上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样,应用层通过SSL协议把数据传给传输层时,已是被加密后的数据,此时TCP/IP协议只需负责将其可靠地传送到目的地,弥补了 TCP/IP协议安全性较差的弱点。
Netscape公司已经向公众推出了SSL的参考实现(称为SSLref)。另一免费的SSL实现叫做SSLeay。SSLref和SSLeay均可给任何TCP/IP应用提供SSL功能,并且提供部分或全部源代码。Internet号码分配当局(IANA)已经为具备SSL功能的应用分配了固定端口号,例如,带SSL的HTTP(https)被分配以端口号443,带SSL的SMTP(ssmtp)被分配以端口号465,带SSL的NNTP (snntp)被分配以端口号563。
微软推出了SSL版本2的改进版本,叫做PCT(私人通信技术)。SSL和PCT非常类似。它们的主要差别是它们在版本号字段的最显着位(The Most Significant Bit)上的取值有所不同:SSL该位取0,PCT该位取1。这样区分之后,就可以对这两个协议都给予支持。
1996年4月,IETF授权一个传输层安全(TLS)工作组着手制订一个传输层安全协议(TLSP),以便作为标准提案向IESG正式提交。TLSP将会在许多地方酷似SSL。
2 、SSL安全性
目前,几乎所有操作平台上的WEB浏览器(IE、Netscatp)以及流行的Web服务器(IIS、Netscape Enterprise Server等)都支持SSL协议。因此使得使用该协议便宜且开发成本小。但应用SSL协议存在着不容忽视的缺点:
1. 系统不符合国务院最新颁布的《商用密码管理条例》中对商用密码产品不得使用国外密码算法的规定,要通过国家密码管理委员会的审批会遇到相当困难。
2. 系统安全性差。SSL协议的数据安全性其实就是建立在RSA等算法的安全性上,因此从本质上来讲,攻破RSA等算法就等同于攻破此协议。由于美国政府的出口限制,使得进入我国的实现了SSL的产品(Web浏览器和服务器)均只能提供512比特RSA公钥、40比特对称密钥的加密。目前已有攻破此协议的例子:1995年8月,一个法国学生用上百台工作站和二台小型机攻破了Netscape对外出口版本;另外美国加州两个大学生找到了一个“陷门”,只用了一台工作站几分钟就攻破了Netscape对外出口版本。
但是,一个安全协议除了基于其所采用的加密算法安全性以外,更为关键的是其逻辑严密性、完整性、正确性,这也是研究协议安全性的一个重要方面,如果一个安全协议在逻辑上有问题,那么它的安全性其实是比它所采用的加密算法的安全性低,很容易被攻破。从目前来看,SSL比较好地解决了这一问题。不过SSL协议的逻辑体现在SSL握手协议上,SSL握手协议本身是一个很复杂的过程,情况也比较多,因此我们并不能保证SSL握手协议在所有的情况下逻辑上都是正确的,所以研究SSL协议的逻辑正确性是一个很有价值的问题。
另外,SSL协议在“重传攻击”上,有它独到的解决办法。SSL协议为每一次安全连接产生了一个128位长的随机数——“连接序号”。理论上,攻击者提前无法预测此连接序号,因此不能对服务器的请求做出正确的应答。但是计算机产生的随机数是伪随机数,它的实际周期要远比2128小,更为危险的是有规律性,所以说SSL协议并没有从根本上解决“信息重传”这种攻击方法,有效的解决方法是采用“时间戳”。但是这需要解决网络上所有节点的时间同步问题。
总的来讲,SSL协议的安全性能是好的,而且随着SSL协议的不断改进,更多的安全性能、好的加密算法被采用,逻辑上的缺陷被弥补,SSL协议的安全性能会不断加强。
3、 windows 2000中SSL的配置与应用SSL的典型应用主要有两个方面,一是客户端,如浏览器等;另外一个就是服务器端,如Web服务器和应用服务器等。目前,一些主流浏览器(如IE和 Netscape等)和IIS、Domino Go WebServer、Netscape Enterprise Server、Appache等Web服务器都提供了对SSL的支持。要实现浏览器(或其他客户端应用)和Web服务器(或其他服务器)之间的安全SSL 信息传输,必须在Web服务器端安装支持SSL的Web服务器证书,在浏览器端安装支持SSL的客户端证书(可选),然后把URL中的“http://” 更换。
Ⅲ http的安全协议是什么
安全协议是https是,说明您在访问此网站时的交互数据都是进行加密传输的,数据不会别窃取或者遭篡改。http的协议是明文传输的。
安全协议可用于保障计算机网络信息系统中秘密信息的安全传递与处理,确保网络用户能够安全、方便、透明地使用系统中的密码资源。安全协议在金融系统、商务系统、政务系统、军事系统和社会生活中的应用日益普遍。
而安全协议的安全性分析验证仍是一个悬而未决的问题。在实际社会中,有许多不安全的协议曾经被人们作为正确的协议长期使用。
如果用于军事领域的密码装备中,则会直接危害到军事机密的安全性,会造成无可估量的损失。这就需要对安全协议进行充分的分析、验证,判断其是否达到预期的安全目标。