发信人: rhine (有雨无风), 信区: E_Commerce
标 题: [转载] 安全通道SSL协议
发信站: 哈工大紫丁香 (Sun Aug 27 17:25:58 2000), 转信
发信人: kea (多多), 信区: E_commerce
发信站: BBS 水木清华站 (Wed Dec 15 23:59:00 1999)
安全通道SSL协议
陆首群
SET协议虽然也是一种PKI(公钥基础结构,Public Key
Infrastructure),即SET协议也是以PKI架构作为其基础的,但SET是一种卡支付的应用
协议,对别的安全协议,如SSL、IPsec/VPN、S/MIME等不兼容,所以,SET协议不但不
支持除了卡支付以外的其他支付方式,更不能支持电子商务中另一种增长较快、交易额较
大的网上交易方式,即商
家之间的电子商务。
安全套接层协议SSL(Secure Socket Layer)早年是由Netscape公司开发,基于开放
性网络环境OSI中第5层(会话层)上的协议,用以在Internet上服务器与客户间架设安全
通道,提供三种服务:
·客户与服务器之间互相确认(利用X.509生成电子证书进行身份认证);
·消息传送的可靠性(消息加密保密);
·消息的完整性。
SSL协议:加了多把安全锁
在Web服务器中,配置SSL安全加密模块(即软件,配置不同强度如40、56或128位的
对称加密算法)。早期SSL协议配置的加密算法为40位或56位,由于对称加密算法的位数
较低,若干秒、若干分或若干小时之内便可破译;配置112位或128位对称加密算法的SSL
协议问世以后,大大提高
了加密算法的强度,破译就很困难了。
表1 ssl协议交易过程统计表
传递(次数)
验证(次数)
消费者
[1](消费者证书)
1(商户证书)
商户
1[1](商户证书)
[1](消费者证书)
1(网关证书)
网关
1(网关证书)
[1](商户证书)
加密(次数)
解密(次数)
对称
非对称
对称
非对称
消费者
1(商户)
1(商户)
1(商户)
1(商户)
商户
1(消费者)
1(网关)
1(消费者)
1(网关)
1(消费者)
1(网关)
1(消费者)
1(网关)
网关
1(商户)
1(商户)
1(商户)
1(商户)
注:[1]表示可选,若不要求客户认证,则不进行该操作。
由这些统计数据可以看出,相对于SET协议,使用SSL协议要简单的多。
传统的SET协议,即在银行与商户间,商户与持卡消费者间均采用SET协议,我们称其
为完全SET协议。SET协议只适用于客户拥有电子钱包的场合,因而要在用户浏览器中配置
电子钱包软件,或使用IC卡。
然而,SSL协议则不同,它支持没有电子钱包的交易。所以在没有电子钱包的场合,
也可以方便地使用SSL协议。在美国,磁条卡式的信用卡应用十分普遍,磁条卡与IC卡不
同,本身不具有电子钱包的功能,美国人常将磁条卡的信息用SSL协议来加密传送。因此
即使在使用SET的场合,美
国较多的是采用“面向商户的SET协议”,即在银行与商户间采用SET协议,商户与客户间
采用SSL协议,用SSL来对客户的卡号(用户账号PAN)、身份证号(PIN)和有效期等信息
进行加密。当然也有全部采用SSL协议的(这时一般采用高强度的SSL-128)。
商家之间的在线支付的方式中,主要的支付工具有:
·电子支票遵循金融服务技术联盟所提出的BIP(Bank Internet Payment)标准;
·电子资金转账或网上银行服务目前大约80%的电子商务仍属于贸易上的转账业务。
采用转账方式,也可缓解域间未及完成交叉认证而又需开展跨国电子商务时的困难;
·信用卡或智能卡适用于小额交易,可采用现金转卡或采用Mondex卡转卡的方式。
有一点是毋庸置疑的,就是电子商务需要在线支付方式,特别是商家之间在网上交易
时更是如此。国内对现代电子支付工具应该抓紧开发,现有的电子支付系统的规模应该扩
大,支票账户应该可以在全国范围内使用,持卡消费者可使用借记卡购物。
PKI:数字签名服务的平台
为解决在Internet上开展电子商务(包括交易主体之间的身份认证、交易和通信等)
的安全问题,世界各国在多年研究后,初步形成了一套完整的解决方案,即目前被广泛应
用的公钥基础结构(Public Key Infrastructure),即PKI体系结构。
PKI体系结构采用证书管理公钥,通过CA把用户的公钥和用户的身份或其标识信息(
如名称、E-mail、身份证号等)捆绑在一起,在Internet上验证用户的身份。在网上数
据传输过程中,PKI体系结构把公钥密码和对称密码结合起来,在Internet上实行密钥的
自动管理,保证网上数据
的保密性和完整性。
PKI是提供公钥加密和数字签名服务的平台,从广义上说,所有提供公钥加密和数字
签名服务的系统都可叫PKI系统。通过采用PKI框架管理密钥和证书可以建立一个安全的网
络环境。PKI支持SET、IPsec/VPN、S/MIME等协议。SSL原来是不能实现数字签名的,但
是利用PKI体系提供的平
台,目前已发展到能进行表单签名。
基于PKI的框架结构或技术基础以及在其上开发的PKI应用,如为建立CA提供强大的证
书和密钥的管理能力,提供X509格式证书的自动生成,自动证书报销清单(CRL)检查,
密钥的备份和恢复,自动更新密钥,自动管理历史密钥,CA/RA操作协议,CA管理协议,
支持交叉认证,以及在
证书生命周期内的其他管理服务功能。另外,依靠制定相应的安全政策,PKI体系可以增
加网上交易各方的信任度,为它们之间的可靠通信创造条件,还可为商家之间及直接面向
最终消费者两种电子商务模式提供兼容性服务。
很重要的一点是,一个有效的PKI系统必须是安全的和透明的。
对国内认证体系建设的考虑
国内支付型认证体系应该由金融部门牵头来建设,非金融部门或国内某一地方均难以
担当此重任,并且这些部门也不具备建设其根认证中心的能力。与国外进行交叉认证的问
题,目前在政策上、技术上、国际结算上均存在一系列困难,有待于研究解决。
今天,我们建设一个支付型认证体系,应考虑以PKI作为基础架构,建设能够使商家
之间以及商家直接面对最终消费者两种电子商务模式兼容,并支持各种现代支付方式(含
卡支付方式)的方案,决不可拘泥于早年Visa和MasterCard建设SETCA时只适应于商家直
接面对最终消费者这种电
子商务模式卡支付方式的历史局限,也不应该花费巨额投资来分别建设商家之间以及商家
直接面对最终消费者两种电子商务模式的CA认证体系或CA中心。
128位对称加密算法是用于高级别加密的,其进口是受限制的,我国主管部门规定不
能随意引进应用,要求采用由国内定点自主开发、生产的产品。对于支持数字签名的非对
称加密算法,其进口是不受限制的,自主开发、生产也已经能够实现。相比之下,128位
对称加密算法更为关键,
而且在采用PKI协议时,应用的不光是一种算法,需要开发相应的一批算法。
电子商务各种不同业务类型示意图
表2 不同位数对称加密算法破译时间 攻击型式
攻击费用
(预算)
解开des-40位
的时间
解开des-56位
的时间
解开3des-112位
的时间
解开idea-128位
的时间
计算机专家或
黑客(个体)
hacker
400美元
5小时
38年
1.4×10(18)年
1.4×10(13)年
小公司(集体)
small company
1万美元
12分
556日
5.5×10(16)年
5.5×10(11)年
中等公司(集体)
medium company
30万美元
18秒
3小时
1.2×10(13)年
1.2×10(8)年
大公司(集体)
big company
1000万美元
0.005秒
6分
4.1×10(11)年
4.1×10(6)年
情报机构
intelligence
agency
3000万美元
0.0002秒
12秒
1.4×10(10)年
1.4×10(5)年
--
使 生 如 夏 花 之 绚 烂,死 如 秋 叶 之 静 美。
--
☆ 来源:.哈工大紫丁香 bbs.hit.edu.cn.[FROM: rhine.bbs@smth.org]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:3.883毫秒