论文部分内容阅读
[摘 要] 电子商务是新兴商务形式, 信息安全的保障是电子商务实施的前提。本文分析SSL协议的安全性,相关概念及其在电子商务中的应用。
[关键词] SSL协议 安全服务 电子商务
随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务就是借助于公共网络进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。 但是出于各种目的的网络入侵和攻击也越来越频繁,信息安全问题是保障电子商务的生命线。SSL协议是国际上最早应用于电子商务的一种网络安全协议,目前一些主浏览器都提供了对SSL协议的支持。本文提出一种基于SSL协议的电子商务系统。
一、安全套接层协议及原理分析
1.SSL协议的组成与结构
安全套接层SSL协议是由美国Netscape公司提出的一种在socket层上实现数据认证和加密的方法,比起以往的HTTP协议而言,其安全性能更强。由于Netscape和IE两大浏览器都支持SSL,目前SSL已广泛用于在Internet上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。许多电子商务服务器利用SSL能够提供会话级别的安全,即一旦建立安全会话,所有通过Internet的通信将被加密。SSL是一种点对点之间构造的安全通道中传输数据的协议,它运行在TCP/IP层之上、应用层之下、是一种利用公开密钥技术的工业标准,用TCP/IP代表高级协议。在通信过程中,允许一个支持SSL协议的服务器在支持SSL协议的客户端使协议本身获得信任,使客户端得到服务器的信任,从而在两台机器间建立一个可靠的传输连接。
SSL协议主要由SSL记录协议和SSL握手协议两部分组成。
(1)SSL记录层协议
用于传输SSL握手层的控制数据,以及基于SSL通道传输的应用数据。上层数据被分割成若干数据块,还可以对原始数据进行压缩,并产生一个消息认证代码(MAC),然后将结果加密并传输。接收方接收数据并对其解密,校验MAC,解压并重新组合,把结果提供给相应的应用程序协议。
(2)SSL握手层协议
握手协议负责传送用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时,它们首先需要协商若干协议参数,以使加密解密过程顺利进行,如选择加密算法和认证方式,使用公钥技术来生成共享密钥等。握手层协议还包括三个具体协议:
①SSLChange Cipher Spec 协议:具体协商新的密码算法。
②SSL警告协议:用于在传输发生错误或两个主机之间的会话即将终止时,相互交换警告信息。
③SSL 握手协议:负责全局客户端和服务器端会话的建立
2.SSL提供的安全服务
SSL提供了如下三种基本的安全服务:
(1)保密性
SSL客户机和服务器之间通过密码r法和密钥的协商,建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。
(2)完整性
SSL利用密码算法和hash函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息内容受到破坏。
(3)认证
利用证书技术和可信的第三方CA(CertificationAuth
ority),可以让客户机和服务器相互识别对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户),SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。
二、基于SSL协议的电子商务系统
本系统基于SSL协议,采用CA证书鉴别技术,借助现有的Internet网络环境,在公共网络信道上建立专用网络加密信道,实现在不安全的信道上的安全信息传输,保证电子商务信息在Internet上传输时的机密性和完整性。该加密信道主要由安全网关和安全代理来实现。
1.系统结构
根据SS L协议层次结构模型,系统结构也是分层结构;同是按功能划分,系统分为不同的功能模块。系统分为两个相互独立又能搭配使用的子系统:SSL安全代理和SSL安全网关。系统介于应用层和TCP层之间,同时系统本身亦为分层结构:底层是记录层处理模块,负责数据的分块压缩、加密、信息完整性检验等,此层直接建立在TCP层之上;高层包括身份认证模块、握手消息处理模块、界面管理控制模块。
2.系统主要功能模块
本系统主要包括身份验证模块、握手消息处理模块、记录层处理模块,以及管理配置模块。下面将详细介绍各主要功能模块。
(1)证书管理模块
由于本系统实现原客户方浏览器与远端Web服务器之间的SSL会话,因此浏览器原有的证书管理模块己变为无效,有关CA证书、用户证书、服务器证书的管理和维护以及身份认证的过程应由本系统来完成。在建立SSL连接时,客户方安全代理和服务器方安全网关需要分别从各自的证书库中读取证书。服务器方的证书库中必须有两类证书,分别是服务器可信任的CA证书和被CA签名的服务器站点证书。同样,客户方的证书库中通常也有两类证书。分别是客户方可信任的CA证书和被CA签名的客户方站点证书。如果不需要对客户方进行认证,则客户方的证书库只需要有客户方可信任的CA证书即可。
(2)握手连接处理模块
客户端的握手过程和服务器端的握手过程是相互交叉的,二者需要经过多次消息的交互,才能完成整个握手过程。首先,客户端向服务器发送一个ClientHelo消息以建立连接,服务器必须响应一个相应的ServerHello消息,否则产生错误并导致此次连接失败。客户端发送的消息和服务器响应的消息、不仅用于建立连接,还用于建立客户端和服务器之间安全通信的协议版本、会话ID、密码组和压缩算法。Hello消息交换完成后,若服务器需要被认证,它将发送服务器证书。若服务器需要认证客户身份,它可以请求客户方发送它的证书。到此,服务器将发送服务器方问候结束消息,指明握手握手的问候消息己经完成,服务器进入等
待客户响应状态。如果服务器发送了请求证书消息,则客户端必须向服务器发送其证书。
若无证书,则需要发送noc ertificate警报消息。然后客户端可以发送密钥交换消息,交换密钥,完成握手,交换应用层数据。
(3)记录层处理模块
记录层处理模块主要完成数据的分段或组装、填充或恢复,以及数据的完整性检查,在SSL中,所有来自上层的数据(包括握手消息、改变密码参数消息、报警消息、应用数据等)都首先被分段和填充,每一数据段作为一个记录,对每个记录计算其MAC值并附加在该记录的末尾,然后将整个一记录进行加密,在加密后的记录首部再添加一个记录头,记录头包括数据类型、数据长度和协议版本信息。因此,每一个SSL记录都包括记录头、实际数据、填充数据和MAC这几部分。
(4)管理配置模块
本安全传输系统可以根据不同的需要选择不同的加密算法和其他的会话参数,以及对证书进行管理,而通过管理配置模块,进一步简化了管理和配置的过程,并且通过界面显示,用户只需要了解自己的需求,而不必关心系统如何处理,就可以建立安全的会话,使该系统对用户完全透明。管理配置块负责整个系统的配置和管理,主要由两部分组成:客户端管理
配置模块负责系统的初始配置,以及信息的显示:服务器端管理配置模块根据系统的初始配置信息和参数监听客户端的连接请求。同时每部分模块都为分层结构:上层管理界面子模块负责界面的生成显示,下层管理配置子模块负责从管理界面解析用户设置的参数并与其他模块进行通信。
三、结束语
如何保障数据在Intenret上的安全传输是当今网络技术发展的热点问题之一,针对这一问题,不同的网络层次具有不同的解决方案。SSL协议就是位于传输层与应用层之间,防止数据在传输过程中被窃听、篡改、伪造的安全措施。本文在对SSL协议技术进行深入研究和分析的基础上,按照协议规范实现了基于SSL安全的电子商务系统。该系统可为基于WWW的电子商务系统的客户机和服务器的应用层通信在通信双方建立起一个防窃听、防篡改、防信息伪造的安全通道。
参考文献:
[1]罗新星等:电子支付系统的安全性研究及其设计[J].武汉理工大学学报,2003,25(1)
[2]代晓红:基于SSL协议的电子商务安全性分析[J].工业技术经济,2004,23(6)
[3]黄劲潮:SSL安全通信在电子商务中的应用[J].中国科技信息,2007(12)
[4]姜庆娜:基于Internet的电子商务安全支付系统的研究[D].山东师范大学,2005
[关键词] SSL协议 安全服务 电子商务
随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务就是借助于公共网络进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。 但是出于各种目的的网络入侵和攻击也越来越频繁,信息安全问题是保障电子商务的生命线。SSL协议是国际上最早应用于电子商务的一种网络安全协议,目前一些主浏览器都提供了对SSL协议的支持。本文提出一种基于SSL协议的电子商务系统。
一、安全套接层协议及原理分析
1.SSL协议的组成与结构
安全套接层SSL协议是由美国Netscape公司提出的一种在socket层上实现数据认证和加密的方法,比起以往的HTTP协议而言,其安全性能更强。由于Netscape和IE两大浏览器都支持SSL,目前SSL已广泛用于在Internet上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。许多电子商务服务器利用SSL能够提供会话级别的安全,即一旦建立安全会话,所有通过Internet的通信将被加密。SSL是一种点对点之间构造的安全通道中传输数据的协议,它运行在TCP/IP层之上、应用层之下、是一种利用公开密钥技术的工业标准,用TCP/IP代表高级协议。在通信过程中,允许一个支持SSL协议的服务器在支持SSL协议的客户端使协议本身获得信任,使客户端得到服务器的信任,从而在两台机器间建立一个可靠的传输连接。
SSL协议主要由SSL记录协议和SSL握手协议两部分组成。
(1)SSL记录层协议
用于传输SSL握手层的控制数据,以及基于SSL通道传输的应用数据。上层数据被分割成若干数据块,还可以对原始数据进行压缩,并产生一个消息认证代码(MAC),然后将结果加密并传输。接收方接收数据并对其解密,校验MAC,解压并重新组合,把结果提供给相应的应用程序协议。
(2)SSL握手层协议
握手协议负责传送用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时,它们首先需要协商若干协议参数,以使加密解密过程顺利进行,如选择加密算法和认证方式,使用公钥技术来生成共享密钥等。握手层协议还包括三个具体协议:
①SSLChange Cipher Spec 协议:具体协商新的密码算法。
②SSL警告协议:用于在传输发生错误或两个主机之间的会话即将终止时,相互交换警告信息。
③SSL 握手协议:负责全局客户端和服务器端会话的建立
2.SSL提供的安全服务
SSL提供了如下三种基本的安全服务:
(1)保密性
SSL客户机和服务器之间通过密码r法和密钥的协商,建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。
(2)完整性
SSL利用密码算法和hash函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息内容受到破坏。
(3)认证
利用证书技术和可信的第三方CA(CertificationAuth
ority),可以让客户机和服务器相互识别对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户),SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。
二、基于SSL协议的电子商务系统
本系统基于SSL协议,采用CA证书鉴别技术,借助现有的Internet网络环境,在公共网络信道上建立专用网络加密信道,实现在不安全的信道上的安全信息传输,保证电子商务信息在Internet上传输时的机密性和完整性。该加密信道主要由安全网关和安全代理来实现。
1.系统结构
根据SS L协议层次结构模型,系统结构也是分层结构;同是按功能划分,系统分为不同的功能模块。系统分为两个相互独立又能搭配使用的子系统:SSL安全代理和SSL安全网关。系统介于应用层和TCP层之间,同时系统本身亦为分层结构:底层是记录层处理模块,负责数据的分块压缩、加密、信息完整性检验等,此层直接建立在TCP层之上;高层包括身份认证模块、握手消息处理模块、界面管理控制模块。
2.系统主要功能模块
本系统主要包括身份验证模块、握手消息处理模块、记录层处理模块,以及管理配置模块。下面将详细介绍各主要功能模块。
(1)证书管理模块
由于本系统实现原客户方浏览器与远端Web服务器之间的SSL会话,因此浏览器原有的证书管理模块己变为无效,有关CA证书、用户证书、服务器证书的管理和维护以及身份认证的过程应由本系统来完成。在建立SSL连接时,客户方安全代理和服务器方安全网关需要分别从各自的证书库中读取证书。服务器方的证书库中必须有两类证书,分别是服务器可信任的CA证书和被CA签名的服务器站点证书。同样,客户方的证书库中通常也有两类证书。分别是客户方可信任的CA证书和被CA签名的客户方站点证书。如果不需要对客户方进行认证,则客户方的证书库只需要有客户方可信任的CA证书即可。
(2)握手连接处理模块
客户端的握手过程和服务器端的握手过程是相互交叉的,二者需要经过多次消息的交互,才能完成整个握手过程。首先,客户端向服务器发送一个ClientHelo消息以建立连接,服务器必须响应一个相应的ServerHello消息,否则产生错误并导致此次连接失败。客户端发送的消息和服务器响应的消息、不仅用于建立连接,还用于建立客户端和服务器之间安全通信的协议版本、会话ID、密码组和压缩算法。Hello消息交换完成后,若服务器需要被认证,它将发送服务器证书。若服务器需要认证客户身份,它可以请求客户方发送它的证书。到此,服务器将发送服务器方问候结束消息,指明握手握手的问候消息己经完成,服务器进入等
待客户响应状态。如果服务器发送了请求证书消息,则客户端必须向服务器发送其证书。
若无证书,则需要发送noc ertificate警报消息。然后客户端可以发送密钥交换消息,交换密钥,完成握手,交换应用层数据。
(3)记录层处理模块
记录层处理模块主要完成数据的分段或组装、填充或恢复,以及数据的完整性检查,在SSL中,所有来自上层的数据(包括握手消息、改变密码参数消息、报警消息、应用数据等)都首先被分段和填充,每一数据段作为一个记录,对每个记录计算其MAC值并附加在该记录的末尾,然后将整个一记录进行加密,在加密后的记录首部再添加一个记录头,记录头包括数据类型、数据长度和协议版本信息。因此,每一个SSL记录都包括记录头、实际数据、填充数据和MAC这几部分。
(4)管理配置模块
本安全传输系统可以根据不同的需要选择不同的加密算法和其他的会话参数,以及对证书进行管理,而通过管理配置模块,进一步简化了管理和配置的过程,并且通过界面显示,用户只需要了解自己的需求,而不必关心系统如何处理,就可以建立安全的会话,使该系统对用户完全透明。管理配置块负责整个系统的配置和管理,主要由两部分组成:客户端管理
配置模块负责系统的初始配置,以及信息的显示:服务器端管理配置模块根据系统的初始配置信息和参数监听客户端的连接请求。同时每部分模块都为分层结构:上层管理界面子模块负责界面的生成显示,下层管理配置子模块负责从管理界面解析用户设置的参数并与其他模块进行通信。
三、结束语
如何保障数据在Intenret上的安全传输是当今网络技术发展的热点问题之一,针对这一问题,不同的网络层次具有不同的解决方案。SSL协议就是位于传输层与应用层之间,防止数据在传输过程中被窃听、篡改、伪造的安全措施。本文在对SSL协议技术进行深入研究和分析的基础上,按照协议规范实现了基于SSL安全的电子商务系统。该系统可为基于WWW的电子商务系统的客户机和服务器的应用层通信在通信双方建立起一个防窃听、防篡改、防信息伪造的安全通道。
参考文献:
[1]罗新星等:电子支付系统的安全性研究及其设计[J].武汉理工大学学报,2003,25(1)
[2]代晓红:基于SSL协议的电子商务安全性分析[J].工业技术经济,2004,23(6)
[3]黄劲潮:SSL安全通信在电子商务中的应用[J].中国科技信息,2007(12)
[4]姜庆娜:基于Internet的电子商务安全支付系统的研究[D].山东师范大学,2005