安全电子交易中的SET协议
安全电子交易是基于因特网的卡基支付,是授权业务信息传输的安全标准,它采用RSA公开密钥体系对通信双方进行认证。
SSL协议是Netscape公司在推出Web浏览器首版的同时,提出的安全通信协议。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。
1. SSL协议概述
SSL协议是在Internet基础上提供的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护,其目标是保证两个用户间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。目前,利用公开密钥技术的SSL协议,已成为Intemet上保密通信的工业标准。现行Web浏览器普遍将HTTP和SSL相结合,从面实现安全通信。
SSL是对计算机之间整个会话进行加密的协议,在SSL中,采用了公开密钥和私有密钥两种加密方式,提供了两台机器间的安全连接。Web 信息在传送端被加密,在接收端被解密,支付系统通过在SSL连接上传输信用卡号的方式来构建,并且SSL始终对服务器进行认证,还可选择对客户进行认证。在线银行和其他金融系统,也可以构建在SSL之上。SSL被广泛应用的原因,在于它被大部分Web浏览器和Web服务器所内置,比较容易被应用。
SSL协议要求建立在可靠的传输层协议TCP之上,其优势在于它是与应用层协议独立无关的。高层的应用层协议( 例如HTTP、FTP、TELNET 等)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。因而,其后的应用层协议所传送的数据都会被加密,从而保证通信的安全性。SSL的安全服务对象主要是Web应用,即客户浏览器和服务器。
SSL协议提供的安全服务可以归纳为如下三个方面:①认证用户和服务器,确保数据发送到正确的客户机和服务器;②加密数据以防止数据中途被窃取;③维护数据的完整性,确保数据在传输过程中不被改变。
2. SSL协议的层次结构
SSL协议主要用于在网络上两个通信实体之间提供通信的机密性、完整性和认证性,它建立在应用层和传输层之间,独立于应用层协议。SSL 分为两层:记录层和握手层,每层使用下层的服务,并为上层提供服务。SSL协议由SSL记录协议和SSL握手协议两部分组成。
SSL握手协议( SSL handshake protocol): SSL 握手协议描述了安全协议的建立过程,在客户机和服务器之间进行相互的身份认证;并在传输应用层数据之前,协商确定加密算法和会话密钥。
SSL记录协议( SSL record protocol): 用于对不同的高层协议进行封装,它定义了数据传输的格式。上层数据包括SSL握手协议建立安全连接时所需传输的数据都通过SSL记录协议向下层传输。
应用层数据通过SSL协议层后传至TCP层时,数据已被加密,TCP只需进行可靠的传送,从而弥补了TCP/IP协议安全性差的缺点。
SSL在传输数据前,把从上层接收到的数据分成便于处理的若干块,然后有选择地对数据进行压缩、MAC (消息认证码,即message authentication code)计算、加密,然后传送处理的结果;接收时,对数据进行解密、校验、解压、重组后再传送给高层用户。
SSL协议中有两个重要的概念是SSL会话和SSL连接。SSL会话是指在客户机和服务器之间的关联。会话由握手协议创建,定义了一组可以被多个连接共用的密码安全参数。对于每个连接,可以利用会话来避免对新的安全参数进行代价昂贵的协商。SSL连接是能提供合适服务类型的传输( 在OSI分层模型中的定义)。
对SsL,这样的连接是对等关系,连接是暂时的,每个连接都和一个会话相关。一个SSL会话可以包括多个安全的连接,而每个参与者也可同时参与多个会话。
3. SSL协议规范
(1) SSL记录协议。SSL 记录协议建立在可靠的传输协议( 如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。在SSL协议中,所有的传输数据都被封装在SsL记录中。所有的SSL通信包括握手消息、安全空白记录和应用数据都使用SSL记录层。SSL 记录协议包括了记录头和记录数据格式的规定。
SSL记录协议要进行如下操作:
第一步是分片,将从上层接收到的数据块分成小于等于214字节的记录段。
第二步是可选地应用压缩,必须不丢失信息,且增加的内容长度不能超过1 024字节(对于非常短的数据块可能压缩算法的输出长于输人),记录协议使用当前会话状态所定义的压缩算法进行压缩。
个人POS机专业办理,费率低至0.38%!不做最低费率,只做最合理的费率,良心企业,良心支付!IPSec协议是IETF制定的网络层安全标准
IPSec是IETF制定的网络层安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,通过对数据加密、认证、完整性检查,可保证IP和IP层以上数据传输的可靠性、私有性和保密性。
第三步是计算MAC,同样使用当前会话状态定义MAC的算法。
第四步是用对称加密算法给添加了MAC的压缩消息加密,而且加密不能增加1 024字节以上的内容长度。
第五步是添加记录协议首部,得到SSL的PDU。
在SSL协议中,所有传送至传输层的数据都被封装在一个记录里。
(2) SSL 改变密码规格协议。协议由单个字节的消息组成,由SSL记录首部格式的内容类型字段所确定。
该协议的作用是用于从一种加密算法转变为另外一种加密算法。加密算法的改变时机通常在SSL握手协议结束时改变,也可以在任何时候波改变。
(3) SSL 告警协议。告警协议是SSL记录层协议内容类型中的一种,用来为对等实体传递SSL的相关警告。告警报文给出了告警的描述和报文的严重等级。当告警报文中的级别为致命错误时,将立即终止当前连接,同一会话的其他连接也许还能继续,但肯定不会再产生新的连接。告警报文有关闭警报和错误警报两类。关闭( close-notify警报可由参与会话的任何一方发起,在关闭警报后接收到的任何数据将被忽略。SSL 的错误警报有“不适当的消息( unexpected-message)”、“不正确的MAC ( bad-ecord-mac)”等11种。
(4)SSL握手协议。SSL握手协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密协议,用来保护在SSL记录中发送的数据,握手协议是在任何应用程序的数据传输之前使用的。
在SSL协议中,客户机和服务器之间建立逻辑连接的握手过程可以概括为以下四个阶段:
阶段1:建立安全能力。本阶段是用来初始化逻辑连接,并建立与之相关的安全能力。交换在客户机发起,客户机发送elient-hello消息,并包含以下数据:版本、随机数、会话ID、密码规约、压缩算法。在发送了elient-hello消息后,客户机将等待包含与elient-hello消息参数一样 的server-hello消息。其中密码规约的第一个元素 是密钥交换算法,支持的密钥交换算法有RSA、Dife-Hellman、 Fortezza。
阶段2:服务器身份验证和密钥交换。服务器可以发送证书、密钥交换和请求证书,以hello消息段结束。
阶段3:客户机验证和密钥交换。在这一阶段,客户机可以发送证书、发送交换密钥以及发送正书验证。
阶段4:完成。本阶段完成安全连接的建立,该消息并不被认为是握手协议的一部分,面是改变密码规格协议发送的。此时,客户机和服务器完成了握手协议,可以开始交换应用层的数据了。
握手协议的报文应该以它们规定的顺序发送,不按顺序发送握手报文会导致致命错误。握手协议是对SSL记录协议的补充,在记录协议中它们被封装在一个或多个SSL明文结构中,按当前活动的会话状态所定义的内容来进行处理和传输。
4.基于SSL的电子支付
由于SsL协议实现简单并且独立于应用层协议,同时它还被大部分的浏览器和Web服务器所内置,因此便于在电子支付中应用。国际著名的CyberCash信用卡支付系统就支持这种简单加密模式,IBM等公司也提供基于这种简单加密模式的支付系统。
在交易中,客户(消费者)将购买的信息首先发往商家,商家再将信息转发给银行,银行验证客户信息的合法性后,通知商家付款成功,商家再通知客户购买成功。
可见,基于SSL的购物流程比较简单,它只需先通过一次“握手”过程建立连接就可以在客户和服务器间建立--条安全通信的通道,保证相互间能在以后安全交换数据。Netscape与Microsoft等公司的浏览器都支持SSL,因此对客户端没有什么特殊要求,而且SSL提供的安全服务对终端用户也是透明的。
但是,由于SSL不是专为电子商务设计的,把它应用在电子支付上必然存在一些缺陷。从SSL协议所提供的服务及其交易过程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺。信息的保密性由商家决定,这就有利于商家面不利于消费者。在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这个问题还没有充分暴露出来。但随着电子商务的发展,许多中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。
虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL 协议并不能协调各方间的安全传输和信任关系。另外,客户可以声称没有进行购买,商家也可能会否认收到购买信息,SSL不能提供交易过程的证据。所以,SSL并没有保证实现电子支付所要求的保密性、不可否认性,而且多方相互认证也是很困难的。
在这种情况下,Visa 和MasterCard两大信用卡组织以及其他一些业界厂商制定了SET协议,为网上信用卡支付提供了全球性的标准。
本文由POS机办理中心整理,未经许可不允许任何形式的转载,本文唯一地址:https://www.cdkft.cn/xinwenzixun/5515.html,其他地址不完整的均为抄袭!POS机申请办理请添加客服微信号:shandianpos中国金融认证中心CFCA的建设
中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,专门负责为金融业的各种认证需求提供证书服务,包括电子商务、网上银行、支付系统等。
