網(wǎng)絡安全中各種安全技術協(xié)議應用的對比
文章出處:http://www.luckydriving.com 作者:中國一卡通網(wǎng) 收編 人氣: 發(fā)表時間:2011年12月06日
一.PKI技術
為解決Internet的安全問題,世界各國對其進行了多年的研究,初步形成了一套完整的Internet安全解決方案,即目前被廣泛采用的PKI體系結構,PKI體系結構采用證書管理公鑰,通過第三方的可信機構CA,把用戶的公鑰和用戶的其他標識信息(如名稱、e-mail、身份證號等)捆綁在一起,在Internet網(wǎng)上驗證用戶的身份,PKI體系結構把公鑰密碼和對稱密碼結合起來,在Internet網(wǎng)上實現(xiàn)密鑰的自動管理,保證網(wǎng)上數(shù)據(jù)的機密性、完整性。
從廣義上講,所有提供公鑰加密和數(shù)字簽名服務的系統(tǒng),都可叫做PKI系統(tǒng),PKI的主要目的是通過自動管理密鑰和證書,可以為用戶建立起一個安全的網(wǎng)絡運行環(huán)境,使用戶可以在多種應用環(huán)境下方便的使用加密和數(shù)字簽名技術,從而保證網(wǎng)上數(shù)據(jù)的機密性、完整性、有效性,數(shù)據(jù)的機密性是指數(shù)據(jù)在傳輸過程中,不能被非授權者偷看,數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過程中不能被非法篡改,數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認。一個有效的PKI系統(tǒng)必須是安全的和透明的,用戶在獲得加密和數(shù)字簽名服務時,不需要詳細地了解PKI是怎樣管理證書和密鑰的,一個典型、完整、有效的PKI應用系統(tǒng)至少應具有以下部分:
公鑰密碼證書管理。
黑名單的發(fā)布和管理。
密鑰的備份和恢復。
自動更新密鑰。
自動管理歷史密鑰。
支持交叉認證。
由于PKI體系結構是目前比較成熟、完善的Internet網(wǎng)絡安全解決方案,國外的一些大的網(wǎng)絡安全公司紛紛推出一系列的基于PKI的網(wǎng)絡安全產(chǎn)品,如美國的Verisign, IBM ,Entrust等安全產(chǎn)品供應商為用戶提供了一系列的客戶端和服務器端的安全產(chǎn)品,為電子商務的發(fā)展提供了安全保證。為電子商務、政府辦公網(wǎng)、EDI等提供了完整的網(wǎng)絡安全解決方案。
PKI是一種新的安全技術,它由公開密鑰密碼技術、數(shù)字證書、證書發(fā)放機構(CA)和關于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術實現(xiàn)電子商務安全的一種體系,是一種基礎設施,網(wǎng)絡通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講,PKI包含了安全認證系統(tǒng),即安全認證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。
PKI(Public Key Infrastructure)公鑰基礎設施是提供公鑰加密和數(shù)字簽名服務的系統(tǒng)或平臺,目的是為了管理密鑰和證書。一個機構通過采用PKI框架管理密鑰和證書可以建立一個安全的網(wǎng)絡環(huán)境。 X.509格式的證書和證書廢除列表(CRL); CA/RA操作協(xié)議; CA管理協(xié)議; CA政策制定。
二.SET協(xié)議
電子商務在提供機遇和便利的同時,也面臨著一個最大的挑戰(zhàn),即交易的安全問題。在網(wǎng)上購物的環(huán)境中,持卡人希望在交易中保密自己的帳戶信息,使之不被人盜用;商家則希望客戶的定單不可抵賴,并且,在交易過程中,交易各方都希望驗明其他方的身份,以防止被欺騙。針對這種情況,由美國Visa和MasterCard兩大信用卡組織聯(lián)合國際上多家科技機構,共同制定了應用于Internet上的以銀行卡為基礎進行在線交易的安全標準,這就是"安全電子交易"(Secure Electronic Transaction,簡稱SET)。它采用公鑰密碼體制和X.509數(shù)字證書標準,主要應用于保障網(wǎng)上購物信息的安全性。
由于SET 提供了消費者、商家和銀行之間的認證,確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點,因此它成為了目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。
SET(Secure Electronic Transaction)安全電子交易協(xié)議是由美國Visa和MasterCard兩大信用卡組織提出的應用于Internet上的以信用卡為基礎的電子支付系統(tǒng)協(xié)議。它采用公鑰密碼體制和X.509數(shù)字證書標準,主要應用于B to C模式中保障支付信息的安全性。SET協(xié)議本身比較復雜,設計比較嚴格,安全性高,它能保證信息傳輸?shù)臋C密性、真實性、完整性和不可否認性。SET協(xié)議是PKI框架下的一個典型實現(xiàn),同時也在不斷升級和完善,如SET 2.0將支持借記卡電子交易。
三.SSL協(xié)議
SSL (Secure socket Layer)安全套接層協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術保護信息傳輸?shù)臋C密性和完整性,它不能保證信息的不可抵賴性,主要適用于點對點之間的信息傳輸,常用Web Server方式。
安全套接層協(xié)議(SSL,Security Socket Layer)是網(wǎng)景(Netscape)公司提出的基于WEB應用的安全協(xié)議,它包括:服務器認證、客戶認證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于電子商務應用來說,使用SSL可保證信息的真實性、完整性和保密性。但由于SSL不對應用層的消息進行數(shù)字簽名,因此不能提供交易的不可否認性,這是SSL在電子商務中使用的最大不足。有鑒于此,網(wǎng)景公司在從Communicator 4.04版開始的所有瀏覽器中引入了一種被稱作"表單簽名(Form Signing)"的功能,在電子商務中,可利用這一功能來對包含購買者的訂購信息和付款指令的表單進行數(shù)字簽名,從而保證交易信息的不可否認性。綜上所述,在電子商務中采用單一的SSL協(xié)議來保證交易的安全是不夠的,但采用"SSL+表單簽名"模式能夠為電子商務提供較好的安全性保證。