網(wǎng)絡(luò)安全中各種安全技術(shù)協(xié)議應(yīng)用的對(duì)比

文章出處：http://www.xianjuhong.com 作者：中國(guó)一卡通網(wǎng) 收編   人氣： 發(fā)表時(shí)間：2011年12月06日

    一.PKI技術(shù) 

    為解決Internet的安全問(wèn)題，世界各國(guó)對(duì)其進(jìn)行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI體系結(jié)構(gòu)，PKI體系結(jié)構(gòu)采用證書(shū)管理公鑰，通過(guò)第三方的可信機(jī)構(gòu)CA，把用戶(hù)的公鑰和用戶(hù)的其他標(biāo)識(shí)信息(如名稱(chēng)、e-mail、身份證號(hào)等)捆綁在一起，在Internet網(wǎng)上驗(yàn)證用戶(hù)的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對(duì)稱(chēng)密碼結(jié)合起來(lái)，在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理，保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。

    從廣義上講，所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，都可叫做PKI系統(tǒng)，PKI的主要目的是通過(guò)自動(dòng)管理密鑰和證書(shū)，可以為用戶(hù)建立起一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶(hù)可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性、有效性，數(shù)據(jù)的機(jī)密性是指數(shù)據(jù)在傳輸過(guò)程中，不能被非授權(quán)者偷看，數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過(guò)程中不能被非法篡改，數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認(rèn)。一個(gè)有效的PKI系統(tǒng)必須是安全的和透明的，用戶(hù)在獲得加密和數(shù)字簽名服務(wù)時(shí)，不需要詳細(xì)地了解PKI是怎樣管理證書(shū)和密鑰的，一個(gè)典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分：

    公鑰密碼證書(shū)管理。

    黑名單的發(fā)布和管理。 　

    密鑰的備份和恢復(fù)。

    自動(dòng)更新密鑰。

    自動(dòng)管理歷史密鑰。 　
 
    支持交叉認(rèn)證。

    由于PKI體系結(jié)構(gòu)是目前比較成熟、完善的Internet網(wǎng)絡(luò)安全解決方案，國(guó)外的一些大的網(wǎng)絡(luò)安全公司紛紛推出一系列的基于PKI的網(wǎng)絡(luò)安全產(chǎn)品，如美國(guó)的Verisign, IBM ,Entrust等安全產(chǎn)品供應(yīng)商為用戶(hù)提供了一系列的客戶(hù)端和服務(wù)器端的安全產(chǎn)品，為電子商務(wù)的發(fā)展提供了安全保證。為電子商務(wù)、政府辦公網(wǎng)、EDI等提供了完整的網(wǎng)絡(luò)安全解決方案。

    PKI是一種新的安全技術(shù)，它由公開(kāi)密鑰密碼技術(shù)、數(shù)字證書(shū)、證書(shū)發(fā)放機(jī)構(gòu)(CA)和關(guān)于公開(kāi)密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來(lái)保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。

    PKI(Public Key Infrastructure)公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)，目的是為了管理密鑰和證書(shū)。一個(gè)機(jī)構(gòu)通過(guò)采用PKI框架管理密鑰和證書(shū)可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。 X.509格式的證書(shū)和證書(shū)廢除列表(CRL); CA/RA操作協(xié)議; CA管理協(xié)議; CA政策制定。

    二.SET協(xié)議

    電子商務(wù)在提供機(jī)遇和便利的同時(shí)，也面臨著一個(gè)最大的挑戰(zhàn)，即交易的安全問(wèn)題。在網(wǎng)上購(gòu)物的環(huán)境中，持卡人希望在交易中保密自己的帳戶(hù)信息，使之不被人盜用;商家則希望客戶(hù)的定單不可抵賴(lài)，并且，在交易過(guò)程中，交易各方都希望驗(yàn)明其他方的身份，以防止被欺騙。針對(duì)這種情況，由美國(guó)Visa和MasterCard兩大信用卡組織聯(lián)合國(guó)際上多家科技機(jī)構(gòu)，共同制定了應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進(jìn)行在線(xiàn)交易的安全標(biāo)準(zhǔn)，這就是"安全電子交易"(Secure Electronic Transaction，簡(jiǎn)稱(chēng)SET)。它采用公鑰密碼體制和X.509數(shù)字證書(shū)標(biāo)準(zhǔn)，主要應(yīng)用于保障網(wǎng)上購(gòu)物信息的安全性。

    由于SET 提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn)，因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。

    SET(Secure Electronic Transaction)安全電子交易協(xié)議是由美國(guó)Visa和MasterCard兩大信用卡組織提出的應(yīng)用于Internet上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。它采用公鑰密碼體制和X.509數(shù)字證書(shū)標(biāo)準(zhǔn)，主要應(yīng)用于B to C模式中保障支付信息的安全性。SET協(xié)議本身比較復(fù)雜，設(shè)計(jì)比較嚴(yán)格，安全性高，它能保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。SET協(xié)議是PKI框架下的一個(gè)典型實(shí)現(xiàn)，同時(shí)也在不斷升級(jí)和完善，如SET 2.0將支持借記卡電子交易。 　

    三.SSL協(xié)議

    SSL (Secure socket Layer)安全套接層協(xié)議主要是使用公開(kāi)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴(lài)性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用Web Server方式。

    安全套接層協(xié)議(SSL，Security Socket Layer)是網(wǎng)景(Netscape)公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶(hù)認(rèn)證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于電子商務(wù)應(yīng)用來(lái)說(shuō)，使用SSL可保證信息的真實(shí)性、完整性和保密性。但由于SSL不對(duì)應(yīng)用層的消息進(jìn)行數(shù)字簽名，因此不能提供交易的不可否認(rèn)性，這是SSL在電子商務(wù)中使用的最大不足。有鑒于此，網(wǎng)景公司在從Communicator 4.04版開(kāi)始的所有瀏覽器中引入了一種被稱(chēng)作"表單簽名(Form Signing)"的功能，在電子商務(wù)中，可利用這一功能來(lái)對(duì)包含購(gòu)買(mǎi)者的訂購(gòu)信息和付款指令的表單進(jìn)行數(shù)字簽名，從而保證交易信息的不可否認(rèn)性。綜上所述，在電子商務(wù)中采用單一的SSL協(xié)議來(lái)保證交易的安全是不夠的，但采用"SSL+表單簽名"模式能夠?yàn)殡娮由虅?wù)提供較好的安全性保證。