PKI_SSL与SET的分析比较

2008 年3 月第1 期

河北工程技术高等专科学校学报

JOU RNAL O F H EBE I EN G I N EER I N G AND T ECHN ICA L COLL EGE

M a r. 2008

N o. 1

文章编号: 1008- 3782 (2008) 01- 0059- 03

PK I, SSL 与SET 的分析比较

张安华

(辽宁机电职业技术学院, 辽宁丹东118009)

摘要: SSL 和SET 是电子商务中最为流行的两种安全电子交易协议, 在网上交易中有着广泛地应用。PK I 是目前电子商务中的通用安全平台, 是电子商务安全的基石; 通过对PK I, SSL , SET 技术原理探讨, 论述了它们各自的作用、技术实现、工作流程等。并对它们之间的联系、区别、应用范围进行了深入的分析。

关键词: 数字签名; 数字证书; PK I; SSL ; SET

中图分类号: T P 393. 08 文献标识码: A

伴随着电子商务的发展, 电子商务的安全问题也越来越严重, 近期在国内流行的“熊猫烧香病毒”事件, 也是以对电子商务的攻击为主要目的。应该说, 电子商务安全的主要问题就是交易的安全性问题, 这也是企业应用电子商务最担心的问题, 要构筑一个安全的电子交易模式, 应满足以下五个方面。

1) 数据有效性。保证数据的有效性是开展电子商务的前提。

2) 数据保密性。防止信息被截获或非法存取而泄密。

3) 数据完整性。阻止非法用户对传输数据的修改、插入、删除以及防止数据丢失。

4) 个体识别ƒ不可抵赖性。通信双方对各自通信对象的合法性、真实性进行确认, 以防第三者假冒和交易后的抵赖。

5) 访问控制性。防止非授权用户非法使用系统资源[ 1 ]。

迄今为止, 已经出现了多种In ternet 安全解决方案及在线支付协议, PK I, SSL , SET 就是其中被广泛采用的、比较成熟和实用的安全技术协议[ 2 ]。

1PK I(Pub lic Key Inf r astructu re) 技术

为解决In ternet 的安全问题, 世界各国对其进行了多年的研究, 初步形成了一套完整的In ternet 安全解决方案, 即目前被广泛采用的PK I(公钥密码) 体系结构。PK I 体系结构采用证书管理公钥, 通过CA (证书授权) 中心, 把用户的公钥和用户的其他标识信息(如名称、E2m ail、身份证号等) 捆绑在一起, 并把公钥加密和对称加密结合起来, 在In ternet 上实现密钥的自动管理, 保证网上数据的机密性、完整性。

所有提供公钥加密和数字签名服务的系统, 都可叫做PK I 系统, P K I 可以为用户建立起一个安全的网络运行环境, 使用户可以在多种应用环境下方便地使用加密和数字签名技术, 从而保证传输数据的安全。一个典型、完整、有效的PK I 系统必须是安全和透明的, 这个应用系统至少应具有以下几部分: 公钥密码证书管理; 黑名单的发布和管理; 密钥的备份和恢复; 自动更新密钥; 自动管理历史密钥; 支持交叉认证。C A 中心通过采用PK I 框架管理密钥和证书可以建立一个安全的网络环境。在PK I 的证书中应包含: X. 509 格式的证书和证书废除列表、C A ƒRA 操作协议、C A 管理协议、C A 政策制定[ 3 ]。

由于PK I 体系结构是目前比较成熟、完善的In ternet 网络安全解决方案, 国外一些大公司如V eris ign, IB M , En t ru st 等纷纷推出一系列的基于PK I 的网络安全产品, 为电子商务的发展提供了安全保证, 为电子政务、E D I 等提供了完整的网络安全解决方案。

收稿日期: 2007208202

作者简介: 张安华(19632) , 男, 辽宁丹东人, 多年从事设备管理工作。

60 河北工程技术高等专科学校学报2008

2SSL (Secu re socket L ayer) 协议

SS I(安全套接字) 协议是由N etscape Comm un ica t i o n 公司推出的, 在网络传输层之上提供一种基于公钥加密的, 用于浏览器和W eb 服务器之问的安全连接技术。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡、借记卡支付协议。

SSL 采用了公开密钥和对称密钥两种加密体制和X. 509 数字

证书技术, 对W eb 服务器和客户机的通信提供保密性、数据完整

性和认证。SSL 主要提供三方面的服务: 认证用户和服务器, 确保

数据发送到正确的客户机和服务器; 加密数据以防止数据中途被窃

取; 维护数据的完整性, 确保数据在传输过程中不被改变。SSL 在

TCP ƒIP 协议簇中, 位于TCP 层之上, 应用层之下, 这使它可以独

立于应用层,

从而使应用层协议可以直接建立在SSL 上。SSL 协议包括SSL 记录和SSL 握手两个子协议; SSL 记录协议建立在TCP 协议之上, 用来封装高层的协议; SSL 握手协议准许服务器端与客户端在开始传输数据前, 能够通过特定的加密算法相互鉴别。SSL 协议与TCP ƒIP 协议间的关系如图1 所示。

到目前为止初步形成了以PK I 为基础的完整的SSL 安全解决方案, 对普通客户而言, SSL 已经解决了信息传输的安全问题。但是, 对电子商务而言问题并没有完全解决, 因为SSL 只做能到资料保密, 厂商无法确定是谁填下了这份资料, 也就是说SSL 还无法完成个体识别性和不可抵赖性。有鉴于此, N etscape Comm un i ca t i o n公司在从Comm un ica t o r4. 04 版开始的所有浏览器中引入了一种被称作“表单签名(Fo rm Sign ing) ”的功能, 在电子商务中, 可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名, 从而保证交易信息的不可否认性。综上所述, 在电子商务中采用单一的SSL 协议来保证交易的安全是不够的, 但采用“SSL+ 表单签名”模式能够为电子商务提供较好的安全性保证[ 4 ]。

3SET (Secu re E lecton ic T ran scat io n) 协议

SET (即安全电子交易) 协议是美国V isa 和M as terCard两大信用卡组织联合推出的用于电子商务的行业规范, 其实质是一种应用在In ternet 上、以信用卡为基础的电子付款系统规范, 目的是为了保证网上交易的安全。SET 协议采用公钥密码体制和X. 509 数字证书标准, 妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。

3. 1 SET 协议采用的技术

1) 加密技术。SET 采用两种加密算法进行加密、解密处理, 其中对称加密是基础、公钥加密是应用的核心。

2) 数字签名。网上交易要求发送报文数据的同时发送签名数据作为查证, 这种数字签名是一组加密的数字。SET 要求用户在进行交易前首先进行数字签名, 然后进行数据发送。

3) 安全认证。网上交易过程中必须确认用户、商家及所进行的交易本身是否合法可靠。一般要求建立专门的安全认证中心以核实用户和商家的真实身份以及交易请求的合法性。认证中心将给客户、商家、银行等进行网络商务活动的个人或企业发放数字证书。

4) 数字信封。网上交易所使用的密钥必须经常更换, SET 使用数字信封来传递更换密钥。

3. 2 SET 协议的数据交换过程

SET 协议的购物系统由客户、商家、支付网关、收单银行和发卡银行五个部分组成, 其数据交换的过程如下。

首先, 客户在网上商店的W eb 主页上查看在线商品目录, 浏览商品; 选择要购买的商品; 填写定单; 当客户选择付款方式为“网上支付”时, SET 开始介入工作。

客户发送给商家一个完整的定单及要求付款的指令。在SET 中, 定单和付款指令由客户进行数字签名,