⽹络安全协议⽐较(PKISSHSSLSET)
⼀、SSH介绍
  什么是SSH?
  传统的⽹络服务程序,如:ftp、pop和telnet在本质上都是不 安全的,因为它们在⽹络上⽤明⽂传送⼝令和数据, 别有⽤⼼的⼈⾮常容易就可以截获这些⼝令和数据。⽽且,这些服务程序的安全验证⽅式也是有其弱点的, 就是很容易受到“中间⼈”(man-in-the-middle)这种⽅式的攻击。所谓“中间⼈”的攻击⽅式, 就是“中间⼈”冒充真正的服务器接收你的传给服务器的数据,然后再冒充你把数据传给真正的服务器。 服务器和你之间的数据传送被“中间⼈”⼀转⼿做了⼿脚之后,就会出现很严重的问题。
  SSH的英⽂全称是Secure
   SHell。通过使⽤SSH,你可以把所有传输的数据进⾏加密,这样“中间⼈”这种攻击⽅式就不可能实现了, ⽽且也能够防⽌DNS和IP欺骗。还有⼀个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。 SSH有很多功能,它既可以代替telnet,⼜可以为ftp、pop、甚⾄ppp提供⼀个安全的“通道”。
  最初SSH是由芬兰的⼀家公司开发的。但是因为受版权和加密算法的限制,现在很多⼈都转⽽使⽤OpenSSH。 OpenSSH是SSH的替代软件,⽽且是免费的,可以预计将来会有越 来越多的⼈使⽤它⽽不
是SSH。
  SSH是由客户端和服务端的软件组成的,有两个不兼容的版本分别是:1.x和2.x。 ⽤SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时⽀持SSH 1.x和2.x。
  SSH的安全验证是如何⼯作的
  从客户端来看,SSH提供两种级别的安全验证。
  第⼀种级别(基于⼝令的安全验证)只要你知道⾃⼰帐号和⼝令,就可以登录到远程主机。所有传输的数据都会被加密, 但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器, 也就是受到“中间⼈”这种⽅式的攻击。
   第⼆种级别(基于密匙的安全验证)需要依靠密匙,也就是你必须为⾃⼰创建⼀对密匙,并把公⽤密匙放在需要访问的服务器上。 如果你要连接到SSH服务器上,客户端软件就会向服务器发出请求,请求⽤你的密匙进⾏安全验证。服务器收到请求之后, 先在你在该服务器的家⽬录下寻你的公⽤密匙,然后把它和你发送过来的公⽤密匙进⾏⽐较。如果两个密匙⼀致, 服务器就⽤公⽤密匙加密“质ssl协议全称
询”(challenge)并把它发送给客户端软件。 客户端软件收到“质询”之后就可以⽤你的私⼈密匙解密再把它发送给服务器。
  ⽤这种⽅式,你必须知道⾃⼰密匙的⼝令。但是,与第⼀种级别相⽐,第⼆种级别不需要在⽹络上传送⼝令。
  第⼆种级别不仅加密所有传送的数据,⽽且“中间⼈”这种攻击⽅式也是不可能的(因为他没有你的私⼈密匙)。 但是整个登录的过程可能需要10秒。
  ⼆、SSL介绍(Secure socket Layer & Security Socket Layer)
  ⼀个应⽤程序的安全需求在很⼤程度上依赖于将如何使⽤该应⽤程序和该应⽤程序将要保护什么。不过,⽤现有技术实现强⼤的、 ⼀般⽤途的安全通常是可能的。认证就是⼀个很好的⽰例。
   当顾客想从 Web 站点购买某个产品时,顾客和 Web 站点都要进⾏认证。顾客通常是以提供名字和密码的⽅式来认证他⾃⼰。 另⼀⽅⾯,Web 站点通过交换⼀块签名数据和⼀个有效的 X.509 证书(作为 SSL 握⼿的⼀部分)来认证它⾃⼰。 顾客的浏览器验证该证书并⽤所附的公⽤密钥验证签名数据。⼀旦双⽅都认证了,则交易就可以开始了。
  SSL 能⽤相同的机制处理服务器认证(就如在上⾯的⽰例中)和客户机认证。 Web 站点典型地对客户机认证不依赖 SSL — 要求⽤户提供密码是较容易的。⽽ SSL 客户机和服务器认证对于透明认证是完美的, 对等机 — 如 p2p 应⽤程序中的对等机之间⼀定会发⽣透明认证。
  安全套接字层(Secure Sockets Layer(SSL)) ,SSL 是⼀种安全协议,它为⽹络(例如因特⽹)的通信提供私密性。SSL 使应⽤程序在通信时不⽤担⼼被窃听和篡改。 SSL 实际上是共同⼯作的两个协议:“SSL 记录协议”(SSL Record Protocol)和“SSL 握⼿协议” (SSL Handshake Protocol)。“SSL 记录协议”是两个协议中较低级别的协议,它为较⾼级别的协议, 例如 SSL 握⼿协议
对数据的变长的记录进⾏加密和解密。SSL 握⼿协议处理应⽤程序凭证的交换和验证。
  当⼀个应⽤程序(客户机)想和另 ⼀个应⽤程序(服务器)通信时,客户机打开⼀个与服务器相连接的套接字连接。然后, 客户机和服务器对安全连接进⾏协商。作为协商的⼀部分,服务器向客户机作⾃我认证。客户机可以选择向服务器作或不作⾃我认证。 ⼀旦完成了认证并且建⽴了安全连接,则两个应⽤程序就可以安全地进⾏通信。按照惯例,我将把发起该通信的对等机看作客户机, 另⼀个对等机则看作服务器,不管连接之后它们充当什么⾓⾊。
  名为 A 和 B 的两台对等机想安全地进⾏通信。在我们简单的 p2p 应⽤程序的环境中,对等机 A 想查询对等机 B 上的⼀个资源。 每个对等机都有包含其专⽤密钥的⼀个数据库(名为 keystore)和包含其公⽤密钥的证书。密码保护数据库的内容。 该数据库还包含⼀个或多个来⾃被信任的对等机的⾃签名证书。 对等机 A 发起这项事务,每台对等机相互认证,两台对等机协商采⽤的密码及其长度并建⽴⼀个安全通道。完成这些操作之后, 每个对等机都知道它正在跟谁交谈并且知道通道是安全的。 SSL (Secure
socket Layer)安全套接层协议主要是使⽤公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性, 它不能保证信息的不可抵赖性,主要适⽤于点对点之间的信息传输,常⽤Web Server⽅式。
  安全套接层协议(SSL,Security Socket Layer)是⽹景(Netscape)公司提出的基于WEB应⽤的安全协议,它包括:服务器认证、 客户认证(可选)、SSL链路上的数据
   完整性和SSL链路上的数据保密性。对于电⼦商务应⽤来说,使⽤SSL可保证信息的真实性、 完整性和保密性。但由于SSL不对应⽤层的消息进⾏数字签名,因此不能提供交易的不可否认性,这是SSL在电⼦商务中使⽤的最⼤不⾜。 有鉴于此,⽹景公司在从Communicator 4.04版开始的所有浏览器中引⼊了⼀种被称作“表单签名(Form Signing)”的功能, 在电⼦商务中,可利⽤这⼀功能来对包含购买者的订购信息和付款指令的表单进⾏数字签名,从⽽保证交易信息的不可否认性。综上所述, 在电⼦商务中采⽤单⼀的SSL 协议来保证交易的安全是不够的,但采⽤"SSL+表单签名"模式能够为电⼦商务提供较好的安全性保证。
  三、PKI介绍
   为解决Internet的安全问题,世界各国对其进⾏了多年的研究,初步形成了⼀套完整的Internet安全解决⽅案, 即⽬前被⼴泛采⽤的PKI体系结构,PKI体系结构采⽤证书管理公钥,通过第三⽅的可信机构CA, 把⽤户的公钥和⽤户的其他标识信息(如名称、e-mail、⾝份证号等)捆绑在⼀起,在Internet⽹
上验证⽤户的⾝份, PKI体系结构把公钥密码和对称密码结合起来,在Internet⽹上实现密钥的⾃动管理,保证⽹上数据的机密性、完整性。
  从⼴ 义上讲,所有提供公钥加密和数字签名服务的系统,都可叫做PKI系统,PKI的主要⽬的是通过⾃动管理密钥和证书, 可以为⽤户建⽴起⼀个安全的⽹络运⾏环境,使⽤户可以在多种应⽤环境下⽅便的使⽤加密和数字签名技术, 从⽽保证⽹上数据的机密性、完整性、有效性,数据的机密性是指数据在传输过程中,不能被⾮授权者偷看, 数据的完整性是指数据在传输过程中不能被⾮法篡改,数据的有效性是指数据不能被否认。⼀个有效的PKI系统必须是安全的和透明的, ⽤户在获得加密和数字签名服务时,不需要详细地了解PKI是怎样管理证书和密钥的,⼀个典型、完整、 有效的PKI应⽤系统⾄少应具有以下部分:
公钥密码证书管理。
⿊名单的发布和管理。
密钥的备份和恢复。
⾃动更新密钥。
⾃动管理历史密钥。
⽀持交*认证。
   由于PKI体系结构是⽬前⽐较成熟、完善的Internet⽹络安全解决⽅案, 国外的⼀些⼤的⽹络安全公司纷纷推出⼀系列的基于PKI的⽹络安全产品,如美国的Verisign, IBM , Entrust等安全产品供应商为⽤户提供了⼀系列的客户端和服务器端的安全产品,为电⼦商务的发展提供了安全保证。 为电⼦商务、政府办公⽹、EDI等提供了完整的⽹络安全解决⽅案。
  PKI是⼀种新的安全技术,它由公开密钥密码技术、数 字证书、 证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。PKI是利⽤公钥技术实现电⼦商务安全的⼀种体系, 是⼀种基础设施,⽹络通讯、⽹上交易是利⽤它来保证安全的。从某种意义上
讲,PKI包含了安全认证系统, 即安全认证系统-CA/RA系统是PKI不可缺的组成部分。
  PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台, ⽬的是为了管理密钥和证书。⼀个机构通过采⽤PKI框架管理密钥和证书可以建⽴⼀个安全的⽹络环境。 X.509格式的证书和证书废除列表(CRL); CA/RA操作协议; CA管理协议; CA政策制定。
  四、SET协议介绍
  电⼦商务在提供机遇和便利的同 时,也⾯临着⼀个最⼤的挑战,即交易的安全问题。在⽹上购物的环
境中, 持卡⼈希望在交易中保密⾃⼰的帐户信息,使之不被⼈盗⽤;商家则希望客户的定单不可抵赖,并且,在交易过程中, 交易各⽅都希望验明其他⽅的⾝份,以防⽌被欺骗。针对这种情况, 由美国Visa和MasterCard两⼤信⽤卡组织联合国际上多家科技机构, 共同制定了应⽤于Internet上的以银⾏卡为基础进⾏在线交易的安全标准, “这就是“安全电⼦交易”(Secure Electronic Transaction,简称SET)。它采⽤公钥密码体制和X.509数字证书标准, 主要应⽤于保障⽹上购物信息的安全性。
  由于SET 提供了消费者、商家和银⾏之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性, 特别是保证不将消费者银⾏卡号暴露给商家等优点,因此它成为了⽬前公认的信⽤卡/借记卡的⽹上交易的国际安全标准。
   SET(Secure Electronic Transaction)安全电⼦交易协议是由美国Visa和MasterCard两⼤信⽤卡组织提出的应⽤于 Internet上的以信⽤卡为基础的电⼦⽀付系统协议。它采⽤公钥密码体制和X.509数字证书标准, 主要应⽤于B to C模式中保障⽀付信息的安全性。SET 协议本⾝⽐较复杂,设计⽐较严格,安全性⾼, 它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的⼀个典型实现,同时也在不断升级和完善, 如SET 2.0将⽀持借记卡电⼦交易。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。