电子商务中的安全协议(SSL协议)
SSL协议是Netscape公司在推出Web浏览器首版的同时,提出的安全通信协议。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。
1.数字证书与x.509
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间、发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITU-T X. 509国际标准。
(1)证书标准及格式。在Intemet网络中,应用程序使用的证书都来自不同的厂商或组织,为了实现可交互性,要求证书能够被不同的系统识别,符合一定的格式,并实现标准化。国际电信联盟(ITU-T) 制定的X.509为证书及其CRL格式提供了一个标准。它定义了一个开放的框架,并在一定的范围内可以进行扩展。
x.509规范是ITU-T关于目录标准的一个文献,它是ITU-T关于目录服务的x.509标准系列的一部分。不同实体的目录服务器访问入口处使用不同的方法来实现证书和证书吊销列表数据结构的访问,X. 509的意义在于标准化了该方法。无论支持X.509标准的目录服务由哪一个厂家提供,PKI实施机构都能在它需要时正确地收回证书和证书吊销列表。目录服务虽未获得超大规模的应用,但ITU-T标准化的出现,却使它成为了PKI配置的重要组成部分。因此,在PKI的发展过程中,X 509规范对PKI起到了特别重要的作用。出于对目录访问控制需要和某些环境下强迫认证的要求,导致对X509中证书和证书吊销列表格式以及其他的PKI概念作出详细规定。
当实体在很大程度上相互不了解的情况下,证书使公钥技术变得可行。于是,将PKI应用于跨国公司或上百万的Internet用户时,必须要有一个可用的证书格式。为在多种工具和应用软件中实现互操作,证书的格式应加以标准化并被广为接受。
x.509规范定义并标准化了一个通用的、灵活的证书格式。它被广泛采用的事实也证明了其技术适用于多种环境,作为国际标准的有效性是表现在被众多的生产商生产产品时采用了它。
X. 509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥:一把是用户的专用密钥,另一把是其他用户都可利用的公共密钥。公共密钥加密系统有两种主要用途:密钥的分配与身份认证。用户可用常规密钥( 如DES)为信息加密,然后再用接收者的公共密钥对DES进行加密并将之附于信息之上,这样接收者可用对应的专用密钥打开DES密锁,并对信息解密。该鉴别框架允许用户将其公开密钥存放在它的目录款项中。一个用户如果想与另一个用户交换秘密信息,就可以直接从对方的目录款项中获得相应的公开密钥,用于各种安全服务。
为进行身份认证,x. 509标准及公共密钥加密系统提供了数字签名的方案。用户可生成一段信息及其摘要(亦称做信息“指纹")。用户用专用密钥对摘要加密以形成签名,接收者用发送者的公共密钥对签名解密,并将之与收到的信息“指纹”进行比较,以确定其真实性。
X.509的实用性来源于它为证书版本3和版本2中证书吊销列表所定义的强有力的扩展机制。无论怎样定义及放置于证书或证书吊销列表中的扩展,这一机制都是很通用的。此外,一个重要的标志是指示了认证者是否必须了解并在认证过程中校验这些扩展。于是,证书和证书吊销列表内容可按照意愿被裁减来适用于特定的环境,或在其他特定的环境中不限制它的可用性。
一个标准的X.509数字证书包含以下一些内容:
●证书的版本信息。
●证书的序列号,每个证书都有一个唯一的证书序列号。
●证书所使用的签名算法。
●证书的发行机构名称,命名规则一般采用X.509格式。
●证书的有效期,现在通用的证书--般采用UTC时间格式,它的计时范围为1950 ~2049。
●证书所有人的名称,命名规则一般采用x.509格式。
●证书所有人的公开密钥。
●证书发行者对证书的签名。
(2) CRL格式。X.509 标准还提供了一种标准格式CRL。证书吊销列表CRL(cetificate revocation lists,又称证书黑名单)为应用程序和其他系统提供了一种检验证书有效性的方式。任何一个证书吊销以后,证书机构CA会通过发布CRL的方式来通知各个相关方。
(3)数字证书的存放。数字证书作为一种电子数据格式,可以直接从网上下载,也可以通过其他方式获得。如使用IC卡存放用户证书。即把用户的数字证书写到IC卡中,供用户随身携带,这样用户在所有能够读IC卡证书的电子商务终端上都可以享受安全电子商务服务;或者把用户证书直接存放在磁盘或自已的终端上,用户将申请来的证书下载或复制到磁盘或自己的PC机或智能终端上,当用户使用自己的终端享受电子商务服务时,直接从终端读人即可。而CRL一般通过网上下载的方式存储在用户端。
个人POS机专业办理,费率低至0.38%!不做最低费率,只做最合理的费率,良心企业,良心支付!安全电子交易中的SET协议
安全电子交易是基于因特网的卡基支付,是授权业务信息传输的安全标准,它采用RSA公开密钥体系对通信双方进行认证。
2.CA框架模型
证书机构CA用于创建和发布证书,它通常为一个称为安全域( secunity domain)的有限群体发放证书。CA还负责维护和发布证书吊销列表CRL,当一个证书,特别是其中的公钥因为其他原因无效时(不是因为到期),CRL提供了一种通知用户和其他应用中心的管理方式。
一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP 目录服务器和数据库服务器等。
安全服务器:安全服务器面向普通用户,用于提供证书申请、浏览、证书吊销列表以及证书下载等安全服务。安全服务器与用户的通信采取安全信道方式(如SSL的方式,不需要对用户进行身份认证),用户与服务器之间的所有通信,包括用户填写的申请信息以及浏览器生成的公钥均以安全服务器的密钥进行加密传输,只有安全服务器利用自己的私钥解密才能得到明文,这样可以防止其他人通过窃听得到明文,从而保证了证书申请和传输过程中的信息安全性。
CA服务器: CA服务器是整个证书机构的核心,负责证书的签发。CA首先产生自身的私钥和公钥(密钥长度至少为1024位),然后生成数字证书,并且将数字证书传输给安全服务器。CA还负责为操作员、安全服务器以及注册机构服务器生成数字证书。安全服务器的数字证书和私钥也需要传输给安全服务器。
CA服务器是整个结构中最为重要的部分,存有CA的私钥以及发行证书的脚本文件,出于安全的考虑,应将CA服务器与其他服务器隔离,任何通信采用人工干预的方式,确保认证中心的安全。
注册机构RA:登记中心服务器面向登记中心操作员,在CA体系结构中起承上启下的作用,--方面向CA转发安全服务器传输过来的证书申请请求,另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书吊销列表。
LDAP服务器:LDAP是轻量级目录访问协议的缩写,LDAP服务器提供目录浏览服务,负责将注册机构服务器传输过来的用户信息以及数字证书加入到服务器上,用户通过访问LDAP服务器能够查询其他用户的公钥数字证书。
数据库服务器:数据库服务器是认证机构中的核心部分,用于认证机构中数据(如密钥和用户信息等)、日志和统计信息的存储和管理。实际的数据库系统应采用多种措施,如磁盘阵列、双机备份和多处理器等方式,以维护数据库系统的安全性、稳定性、可伸缩性和高性能。
3.证书的申请
证书的申请有两种方式,一是在线申请,另外一个是离线申请。在线申请就是通过浏览器或其他应用系统通过在线的方式来申请证书,这种方式一般用于申请普通用户证书或测试证书。离线方式一般通过人工的方式直接到证书机构受理点去办理证书申请手续,通过审核后获取证书,这种方式-般用于比较重要的场合,如服务器证书和商家证书等。
4.密钥管理
密钥管理,也是PKI中的一个核心问题,主要是指密钥对的安全管理,包括密钥产生、密钥备份、密钥恢复和密钥更新等。
(I)密钥产生。密钥对的产生是证书申请过程中重要的一步,其中产生的私钥由用户保留,公钥和其他信息则交于CA中心进行签名,从而产生证书。根据证书类型和应用的不同,密钥对的产生也有不同的形式和方法。对普通证书和测试证书,一般由浏览器或固定的终端应用来产生,这样产生的密钥强度较小,不适合应用于比较重要的安全网络交易。面对于比较重要的证书,如商家证书和服务器证书等,密钥对-般由专用应用程序或CA中心直接产生,这样产生的密钥强度大,适合于重要的应用场合。另外,根据密钥的应用不同,也可能会有不同的产生方式。比如签名密钥可能在客户端或RA中心产生,而加密密钥则需要在CA中心直接产生。
(2) 密钥备份和恢复。在一个PKI系统中,维护密钥对的备份至关重要,如果没有这种措施,当密钥丢失后,将意味着加密数据的完全丢失,对于一-些 重要数据,这将是灾难性的。所以,密钥的备份和恢复也是PKI密钥管理中的重要一环。
使用PKI的企业和组织必须能够得到确认:即使密钥丢失,要加密保护的重要信息也必须能够恢复,并且不能让一个独立的个人完全控制最重要的主密钥,否则将引起严重后果。
(3)密钥更新。每一个由CA颁发的证书都会有有效期,密钥对生命周期的长短由签发证书的CA中心来确定,各CA系统的证书有效期限有所不同,一般大约为2~3年。 当用户的私钥被泄漏或证书的有效期快到时,用户应该更新私钥。这时用户可以废除证书,产生新的密钥对,申请新的证书。
5.证书的使用
在实际应用中,为了验证信息的数字签名,用户首先必须获取信息发送者的公钥证书,以及一些额外需要的证书( 如CA证书等,用于验证发送者证书的有效性)。证书的获取可以有多种方式,如发送者发送签名信息时附加发送自己的证书,或以另外的单独信息发送证书,或者可以通过访问证书发布的目录服务器来获得,或者直接从证书相关的实体处获得。在一个PKI体系中,可以采取某种或某几种上述方式获得证书。
本文由POS机办理中心整理,未经许可不允许任何形式的转载,本文唯一地址:https://www.cdkft.cn/xinwenzixun/5514.html,其他地址不完整的均为抄袭!POS机申请办理请添加客服微信号:shandianposIPSec协议是IETF制定的网络层安全标准
IPSec是IETF制定的网络层安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,通过对数据加密、认证、完整性检查,可保证IP和IP层以上数据传输的可靠性、私有性和保密性。
