用信息安全工程理论规范信息安全建设
在互联网发展的短短几年中,人们对安全的理解一从早期的安全就是杀毒防毒,到后来的安全就是安装防火墙,再到现在的购买系统性安全产品,在一步步地加深。
电子支付安全协议是电子支付顺畅进行的基础。目前电子商务中常用的安全协议为SSL安全协议。SSL安全协议是由网景公司设计开发的,又叫安全套接层( Secure Sockets Layer) 协议,主要目的是提供互联网上的安全通信服务,提高应用程序之间的数据安全系数。SSL协议的整个概念可以被总结为: -个保证任何安装了安全套接层的客户和服务器间事务安全的协议,它涉及所有TCP/IP应用程序。
该协议对所有基于 TCP/IP的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性以及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、 MD5等加密技术来实现机密性和数据完整性,并采用X 509的数字证书实现鉴别。SSL 安全协议也是国际上最早应用于电子商务的种网络安全协议。
一、SSL安全协议的基本概念
SSL安全协议主要提供三方面的服务。
1、认证用户和服务器,使得它们能够确信数据会被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号,这些识别号由公开密钥进行编号。为了验证用户是否合法,安全套接层协议要求握手交换数据以进行数字认证,以此来确保用户的合法性。
2、加密数据以隐藏被传送的数据。安全套接层协议所采用的加密技术既有对称密钥技术,也有公开密钥技术。在客户机与服务器进行数据交换之前,交换SSL初始握手信息,在SSL握手信息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别,这样就可以防止非法用户进行破译。
3、维护数据的完整性,确保数据在传输过程中不被改变。安全套接层协议采用哈希函数和机密共享的方法来提供信息的完整性服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整且准确无误地到达目的地。
需要说明的是,安全套接层协议是一个保证计算机通信安全的协议,是为了安全保护通信对话过程。例如,当一台客户机与台主机连接上时,首先要初始化握手协议,然后建立一个SSL对话时段。直到对话结束,安全套接层协议都会对整个通信过程加密,并且检查其完整性。这样一个对话时段算一次握手。而HTTP协议中的每次连接就是一次握手,因此,与HTTP相比,安全套接层协议的通信效率较高。
SSL协议是保护Web通信的一种工业标准,是基于强公钥加密技术以及RSA的专用密钥序列密码,能够对信用卡和个人信息、电子商务提供较强的加密保护。SSL在建立连接过程中采用公开密钥,在会话过程中使用专有密钥。在每个SSL会话(其中客户机和服务器都被证实身份)中,要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。SSL 提供数据加密、服务器认证、报文完整以及应用TCP/IP协议的客户认证等,对计算机之间的整个会话过程进行加密。采用SSL协议,可确保信息在传输过程中不被修改,实现数据的保密与完整性,在互联网上广泛用于处理财务上敏感的信息。在信用卡交易方面,商家可以通过SSL在Web上实现对信用卡订单的加密。由于SSL适合各类主流浏览器以及Web服务器,因此只要安装-一个数字证书就可以使用SSL。
SSL的缺陷是,只能保证传输过程的安全,无法知道在传输过程中是否受到窃听,黑客可以以此破译SSL的加密数据,破坏和盗窃Web信息。此外,在全球大规模使用SSL还有一定的难度。SSL产品的出口受到美国国家安全局( NSA )的限制,美国政府只允许加密密钥为40位以下的算法出口,而美国的商家一般都可以使用128位的SSL,致使美国以外的国家很难真正在电子商务中充分利用SSL。
新的SSL协议被命名为TLS (Transport Layer Security ),安全可靠性有所提高,但仍不能消除原有技术上的基本缺陷。
POS机办理中心全网最靠谱的选择,专业一清机办理,带给你最安全的支付体验网络系统的安全风险分析与评估
一个完整的安全体系和安全解决方案要根据网络体系结构和网络安全形势的具体情况来确定,没有“以不变应万变”的通用的安全解决方案。
二、SSL的安全协议的运行步骤SSL的运行步骤包括六步。
1、接通阶段。客户可以通过网络向服务商打招呼,服务商回应。
2、密码交换阶段。客户与服务商之间交换双方认可的密码。一般选用 RSA密码算法,也可选用Difie-Hellman和Fortezza-KEA密码算法。
3、会谈密码阶段。客户与服务商间产生彼此交谈的会谈密码。
4、检验阶段。检验服务商取得的密码。
5、客户认证阶段。验证客户的可信度。
6、结束阶段。客户与服务商之间相互交换结束的信息。
当上述动作完成之后,两者间的资料传送就会加密,等到另外一端收到资料后,再将编码后的资料还原。即使盗窃者在网络上取得编码后的资料,如果没有原先编制的密码算法,也无法获得可读的有用资料。
在发送时,信息用对称密钥加密,对称密钥用非对称算法加密,再把两个包绑在-起传送出去。接收的过程与发送的过程正好相反,先打开有对称密钥的加密包,再用对称密钥解密。
三、SSL安全协议的应用
SSL安全协议也是国际上最早应用于电子商务的一种网络安全协议,至今仍然有许多网上商店在使用。当然,在使用时,SSL协议根据邮购的原理进行了部分改进。在传统的邮购活动中,客户首先寻找商品信息,然后汇款给商家,商家再把商品寄给客户。在这个过程中,商家是可以信赖的,所以,客户须先付款给商家。在电子商务的开始阶段,商家担心客户购买后不付款,或使用过期作废的信用卡.因而希望银行给予认证。SSL 安全协议正是在这种背景下应用于电子商务的。
SSL协议运行的基点是商家对客户信息保密的承诺。正如美国著名的亚马逊( Amazon)网上书店在其购买说明中明确表示的:“ 当你在亚马逊公司购书时,受到‘亚马逊公司安全购买保证’保护,所以,你永远不用为你的信用卡安全担心。”但在上述流程中我们会发现,SSL协议有利于商家而不利于客户,客户的信息首先传到商家,商家阅读后再传到银行。这样,客户资料的安全性便受到威胁。商家认证客户是必要的,但在整个过程中缺少了客户对商家的认证。在电子商务的开始阶段,由于参与电子商务的公司大都是一些大公司,信誉较高,这个问题没有引起人们的重视。随着电子商务参与商家的迅速增加,对商家的认证问题越来越突出,SSL 协议的缺点完全暴露出来,SSL协议逐渐被新的SET协议所取代。
本文由POS机办理中心整理,未经许可不允许任何形式的转载,本文唯一地址:https://www.cdkft.cn/xinwenzixun/5399.html,其他地址不完整的均为抄袭!POS机申请办理请添加客服微信号:shandianpos保护网络信息的安全策略
安全策略是为发布、管理和保护敏感的信息资源而制订的一组法律、法规和措施的总和,是对信息资源使用.管理规则的正式描述,是企业内所有成员都必须遵守的规则。
