SSL協(xié)議、SET協(xié)議、HTTPS簡介.doc

SSL協(xié)議、SET協(xié)議、HTTPS簡介朱先忠 整理一、SSL協(xié)議簡介SSL是Secure Socket Layer的縮寫，中文名為安全套接層協(xié)議層。使用該協(xié)議后，您提交的所有數(shù)據(jù)會首先加密后，再提交到網(wǎng)易郵箱，從而可以有效防止黑客盜取您的用戶名、密碼和通訊內容，保證了您個人內容的安全。具體地說，SSL (Secure Socket Layer)為Netscape所研發(fā)，用以保障在Internet上數(shù)據(jù)傳輸之安全，利用數(shù)據(jù)加密(Encryption)技術，可確保數(shù)據(jù)在網(wǎng)絡上之傳輸過程中不會被截取及竊聽。目前一般通用之規(guī)格為40 bit之安全標準，美國則已推出128 bit之更高安全標準，但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。當前版本為3.0。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸。 SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議可分為兩層： SSL記錄協(xié)議（SSL Record Protocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。 SSL握手協(xié)議（SSL Handshake Protocol）：它建立在SSL記錄協(xié)議之上，用于在實際的數(shù)據(jù)傳輸開始前，通訊雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。SSL協(xié)議提供的服務主要有：1）認證用戶和服務器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器；2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??；3）維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。SSL協(xié)議的工作流程： 服務器認證階段：1）客戶端向服務器發(fā)送一個開始信息“Hello”以便開始一個新的會話連接；2）服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰， 如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；3）客戶根據(jù)收到的服務器響應信息，產(chǎn)生一個主密鑰，并用服務器的公開密鑰 加密后傳給服務器；4）服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。用戶認證階段：在此之前，服務器已經(jīng)通過了客戶認證，這一階段主要完成對客戶的認證。經(jīng)認證的服務器發(fā)送一個提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務器提供認證。從SSL 協(xié)議所提供的服務及其工作流程可以看出，SSL協(xié)議運行的基礎是商家對消費者信息保密的承諾，這就有利于商家而不利于消費者。在電子商務初級階段，由于運作電子商務的企業(yè)大 多是信譽較高的大公司，因此這問題還沒有充分暴露出來。但隨著電子商務的發(fā)展，各中小型公司也參與進來，這樣在電子支付過程中的單一認證問題就越來越突 出。雖然在SSL3.0中通過數(shù)字簽名和數(shù)字證書可實現(xiàn)瀏覽器和Web服務器雙方的身份驗證，但是SSL協(xié)議仍存在一些問題，比如，只能提供交易中客戶與 服務器間的雙方認證，在涉及多方的電子交易中，SSL協(xié)議并不能協(xié)調各方間的安全傳輸和信任關系。在這種情況下，Visa和 MasterCard兩大信用卡公組織制定了SET協(xié)議，為網(wǎng)上信用卡支付提供了全球性的標準。二、與SET協(xié)議相比，SSL協(xié)議的優(yōu)點兩種都是應用于電子商務用的網(wǎng)絡安全協(xié)議。都能保證交易數(shù)據(jù)的安全性、保密性和完整性。SSL叫安全套接層協(xié)議，是國際上最早用的，已成工業(yè)標準，但它的基點是商家對客戶信息保密的承諾，因此有利于商家而不利于客戶。SET叫安全電子交易協(xié)議，是為了在互聯(lián)網(wǎng)上進行在線交易時保證信用卡支付的安全而設立的一個開放的規(guī)范。因它的對象包括消費者、商家、發(fā)卡銀行、收單銀行、支付網(wǎng)關、認證中心，所以對消費者與商家同樣有利。它越來越得到眾人認同，將會成為未來電子商務的規(guī)范近年來，IT業(yè)界與金融行業(yè)一起，推出不少更有效的安全交易標準。主要有：(1) 安全超文本傳輸協(xié)議（S-HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸?shù)陌踩浴?2) 安全套接層協(xié)議（SSL協(xié)議：Secure Socket Layer)是由網(wǎng)景（Netscape）公司推出的一種安全通信協(xié)議，是對計算機之間整個會話進行加密的協(xié)議，提供了加密、認證服務和報文完整性。它能夠對信用卡和個人信息提供較強的保護。SSL被用于Netscape Communicator和Microsoft IE瀏覽器，用以完成需要的安全交易操作。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。(3) 安全交易技術協(xié)議(STT：Secure Transaction Technology)：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft將在Internet Explorer中采用這一技術。(4) 安全電子交易協(xié)議（SET：Secure Electronic Transaction）：SET協(xié)議是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。目前公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協(xié)定、信息保密、資料完整及數(shù)字認證、數(shù)字簽名等。這一標準被公認為全球網(wǎng)際網(wǎng)絡的標準，其交易形態(tài)將成為未來“電子商務”的規(guī)范。支付系統(tǒng)是電子商務的關鍵，但支持支付系統(tǒng)的關鍵技術的未來走向尚未確定。安全套接層（SSL）和安全電子交易（SET）是兩種重要的通信協(xié)議，每一種都提供了通過Internet進行支付的手段。但是，兩者之中誰將領導未來呢？SET將立刻替換SSL嗎？SET會因其復雜性而消亡嗎？SSL真的能完全滿足電子商務的需要嗎？我們可以從以下幾點對比作管中一窺：SSL提供了兩臺機器間的安全連接。支付系統(tǒng)經(jīng)常通過在SSL連接上傳輸信用卡卡號的方式來構建，在線銀行和其他金融系統(tǒng)也常常構建在SSL之上。雖然基于SSL的信用卡支付方式促進了電子商務的發(fā)展，但如果想要電子商務得以成功地廣泛開展的話，必須采用更先進的支付系統(tǒng)。SSL被廣泛應用的原因在于它被大部分Web瀏覽器和Web服務器所內置，比較容易被應用。SET和SSL除了都采用RSA公鑰算法以外，二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現(xiàn)不同的安全目標。SET是一種基于消息流的協(xié)議，它主要由MasterCard和Visa以及其他一些業(yè)界主流廠商設計發(fā)布，用來保證公共網(wǎng)絡上銀行卡支付交易的安全性。SET已經(jīng)在國際上被大量實驗性地使用并經(jīng)受了考驗，但大多數(shù)在Internet上購的消費者并沒有真正使用SET。SET是一個非常復雜的協(xié)議，因為它非常詳細而準確地反映了卡交易各方之間存在的各種關系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規(guī)則。事實上，SET遠遠不止是一個技術方面的協(xié)議，它還說明了每一方所持有的數(shù)字證書的合法含義，希望得到數(shù)字證書以及響應信息的各方應有的動作，與一筆交易緊密相關的責任分擔。.SSL安全協(xié)議SSL安全協(xié)議最初是由Netscape Communication公司設計開發(fā)的，又叫“安全套接層（Secure Sockets Layer）協(xié)議”，主要用于提高應用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的整個概念可以被總結為：一個保證任何安裝了安全套接字的客戶和服務器間事務安全的協(xié)議，它涉及所有TC/IP應用程序。SSL安全協(xié)議主要提供三方面的服務：1.用戶和服務器的合法性認證認證用戶和服務器的合法性，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務器上?？蛻魴C和服務器都是有各自的識別號，這些識別號由公開密鑰進行編號，為了驗證用戶是否合法，安全套接層協(xié)議要求在握手交換數(shù)據(jù)進行數(shù)字認證，以此來確保用戶的合法性。2.加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)安全套接層協(xié)議所采用的加密技術既有對稱密鑰技術，也有公開密鑰技術。在客戶機與服務器進行數(shù)據(jù)交換之前，交換SSL初始握手信息，在SSL握手情息中采用了各種加密技術對其加密，以保證其機密性和數(shù)據(jù)的完整性，并且用數(shù)字證書進行鑒別。這樣就可以防止非法用戶進行破譯。3.保護數(shù)據(jù)的完整性安全套接層協(xié)議采用Hash函數(shù)和機密共享的方法來提供信息的完整性服務，建立客戶機與服務器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務在傳輸過程中能全部完整準確無誤地到達目的地。要說明的是，安全套接層協(xié)議是一個保證計算機通信安全的協(xié)議，對通信對話過程進行安全保護。例如，一臺客戶機與一臺主機連接上了，首先是要初始化握手協(xié)議，然后就建立了一個SSL。對話進段。直到對話結束，安全套接層協(xié)議都會對整個通信過程加密，并且檢查其完整性。這樣一個對話時段算一次握手。而HTTP協(xié)議中的每一次連接就是一次握手，因此，與HTTP相比。安全套接層協(xié)議的通信效率會高一些。（1）接通階段：客戶通過網(wǎng)絡向服務商打招呼，服務商回應；（2）密碼交換階段：客戶與服務器之間交換雙方認可的密碼，一般選用RSA密碼算法，也有的選用Diffie-Hellmanf和Fortezza-KEA密碼算法；（3）會談密碼階段：客戶與服務商間產(chǎn)生彼此交談的會談密碼；（4）檢驗階段：檢驗服務商取得的密碼；（5）客戶認證階段：驗證客戶的可信度；（6）結束階段，客戶與服務商之間相互交換結束的信息。當上述動作完成之后，兩者間的資料傳送就會加密，另外一方收到資料后，再將編碼資料還原。即使盜竊者在網(wǎng)絡上取得編碼后的資料，如果沒有原先編制的密碼算法，也不能獲得可讀的有用資料。發(fā)送時信息用對稱密鑰加密，對稱密鑰用非對稱算法加密，再把兩個包綁在一起傳送過去。接收的過程與發(fā)送正好相反，先打開有對稱密鑰的加密包，再用對稱密鑰解密。在電子商務交易過程中，由于有銀行參與，按照SSL協(xié)議，客戶的購買信息首先發(fā)往商家，商家再將信息轉發(fā)銀行，銀行驗證客戶信息的合法性后，通知商家付款成功，商家再通知客戶購買成功，并將商品寄送客戶。SSL安全協(xié)議是國際上最早應用于電子商務的一種網(wǎng)絡安全協(xié)議，至今仍然有很多網(wǎng)上商店使用。在傳統(tǒng)的郵購活動中，客戶首先尋找商品信息，然后匯款給商家，商家將商品寄給客戶。這里，商家是可以信賴的，所以客戶先付款給商家。在電子商務的開始階段，商家也是擔心客戶購買后不付款，或使用過期的信用卡，因而希望銀行給予認證。SSL安全協(xié)議正是在這種背景下產(chǎn)生的。SSL協(xié)議運行的基點是商家對客戶信息保密的承諾。但在上述流程中我們也可以注意到，SSL協(xié)議有利于商家而不利于客戶?？蛻舻男畔⑹紫葌鞯缴碳?，商家閱讀后再傳至（銀行，這樣，客戶資料的安全性便受到威脅。商家認證客戶是必要的，但整個過程中，缺少了客戶對商家的認證。在電子商務的開始階段，由于參與電子商務的公司大都是一些大公司，信譽較高，這個問題沒有引起人們的重視。隨著電子商務參與的廠商迅速增加，對廠商的認證問題越來越突出，SSL協(xié)議的缺點完全暴露出來。SSL協(xié)議將逐漸被新的電子商務協(xié)議（例如SET）所取代。11. SET安全協(xié)議在開放的因特網(wǎng)上處理電子商務，保證買賣雙方傳輸數(shù)據(jù)的安全成為電子商務的重要的問題。為了克服SSL安全協(xié)議的缺點，滿足電子交易持續(xù)不斷地增加的安全要求，為了達到交易安全及合乎成本效益的市場要求，VISA國際組織及其它公司如Master Card、Micro Soft、IBM等共同制定了安全電子交易（SET：Secure Electronic Transactions）公告。這是一個為在線交易而設立的一個開放的、以電子貨幣為基礎的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證，這對于需要支付貨幣的交易來講是至關重要的。由于設計合理，SET協(xié)議得到了許多大公司和消費者的支持，己成為全球網(wǎng)絡的工業(yè)標準，其交易形態(tài)將成為未來“電子商務”的規(guī)范。安全電子交易規(guī)范，為在因特網(wǎng)上進行安全的電子商務提供了一個開放的標準。SET主要使用電子認證技術，其認證過程使用RS三、請問哪位知道SSL協(xié)議和SET協(xié)議有什么區(qū)別？摘要：在電子商務中，SSL協(xié)議得到了廣泛的協(xié)議，而SET協(xié)議則是今后的發(fā)展趨勢，本文在分析這兩種協(xié)議原理的基礎上，對兩者的特點進行了比較。關鍵詞：電子商務；SSL協(xié)議；SET協(xié)議1 SSL協(xié)議1.1 SSL協(xié)議概述SSL(Secure Sockets Layer)安全套接層協(xié)議是Netscape公司1995年推出的一種安全通信協(xié)議。SSL提供了兩臺計算機之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸。SSL協(xié)議建立在可靠的TCP傳輸控制協(xié)議之上，并且與上層協(xié)議無關，各種應用層協(xié)議(如：HTTP，F(xiàn)TP，TELNET等)能通過SSL協(xié)議進行透明傳輸。SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議。SSL協(xié)議與TCP/IP協(xié)議間的關系如圖一所示：HTTPSFTPSTELNETSIMAPS等SSL握手協(xié)議SSL記錄協(xié)議TCP傳輸控制協(xié)議IP因特網(wǎng)協(xié)議圖一SSL協(xié)議與TCP/IP協(xié)議間的關系SSL協(xié)議提供的安全連接具有以下三個基本特點：(1)連接是保密的：對于每個連接都有一個唯一的會話密鑰，采用對稱密碼體制（如DES、RC4等）來加密數(shù)據(jù)；(2)連接是可靠的：消息的傳輸采用MAC算法（如MD5、SHA等）進行完整性檢驗；(3)對端實體的鑒別采用非對稱密碼體制（如RSA、DSS等）進行認證。1.2 SSL握手協(xié)議SSL握手協(xié)議用于在通信雙方建立安全傳輸通道，具體實現(xiàn)以下功能：（1）在客戶端驗證服務器，SSL協(xié)議采用公鑰方式進行身份認證；（2）在服務器端驗證客戶（可選的）；（3）客戶端和服務器之間協(xié)商雙方都支持的加密算法和壓縮算法，可選用的加密算法包括：IDEA、RC4、DES、3DES、RSA、DSS、Diffie_hellman、Fortezza、MD5、SHA等；（4）產(chǎn)生對稱加密算法的會話密鑰；（5）建立加密SSL連接。一般的握手過程如圖二所示：圖二SSL協(xié)議的握手過程握手過程分為4個階段：（1）初始化邏輯連接，客戶方先發(fā)出ClientHello消息，服務器方也應返回一個ServerHello消息，這兩個消息用來協(xié)商雙方的安全能力，包括協(xié)議版本、隨機參數(shù)、會話ID、交換密鑰算法、對稱加密算法、壓縮算法等。（2）服務器方應發(fā)送服務器證書（包含了服務器的公鑰等）和會話密鑰，如果服務器要求驗證客戶方，則要發(fā)送CertificateRequest消息。最后服務器方發(fā)送ServerHelloDone消息，表示hello階段結束，服務器等待客戶方的響應。（3）如果服務器要求驗證客戶方，則客戶方先發(fā)送Certificate消息，然后產(chǎn)生會話密鑰，并用服務器的公鑰加密，封裝在ClientKeyExchange消息中，如果客戶方發(fā)送了自己的證書，則再發(fā)送一個數(shù)字簽名CertificateVerify來對證書進行校驗。（4）客戶方發(fā)送一個ChangeCipherSpec消息，通知服務器以后發(fā)送的消息將采用先前協(xié)商好的安全參數(shù)加密，最后再發(fā)送一個加密后的Finished消息。服務器在收到上述兩個消息后，也發(fā)送自己的ChangeCipherSpec消息和Finished消息。至此，握手全部完成，雙方可以開始傳輸應用數(shù)據(jù)。SSL握手協(xié)議在通信雙方建立起合適的會話狀態(tài)信息要素，如下表所示：會話狀態(tài)信息要素 描述對話標識 服務器選擇的用于標識一個活躍的、重新開始的對話標識對等證書 對等實體的X509證書壓縮方法 所采用的數(shù)據(jù)壓縮算法加密說明 所采用的數(shù)據(jù)加密算法和MAC算法會話密鑰 客戶端和服務器所共享的會話密鑰可重開始 標識此對話是否可以用來初始化新的標志1.3 SSL記錄協(xié)議SSL記錄協(xié)議從高層接收到數(shù)據(jù)后要經(jīng)過分段、壓縮和加密處理，最后由傳輸層發(fā)送出去。在SSL協(xié)議中，所有的傳輸數(shù)據(jù)都被封裝在記錄中，SSL記錄協(xié)議規(guī)定了記錄頭和記錄數(shù)據(jù)的格式。每個SSL記錄包含以下信息：（1）內容類型：指SSL的高層協(xié)議；（2）協(xié)議版本號：指所用的SSL協(xié)議版本號，目前已有2.0和3.0版本；（3）長度：指記錄數(shù)據(jù)的長度，記錄數(shù)據(jù)的最大長度為16383個字節(jié)；（4）數(shù)據(jù)有效載荷：將數(shù)據(jù)用SSL握手階段所定義的壓縮方法和加密方法進行處理后得到的結果；（5）MAC：MAC在有效數(shù)據(jù)被加密之前計算出來并放入SSL記錄中，用于進行數(shù)據(jù)完整性檢查，若使用MD5算法，則MAC數(shù)據(jù)長度是16個字節(jié)。SSL記錄協(xié)議采用了RFC2104中關于HMAC結構的修正版，在HASH函數(shù)作用之前將一個序號放入消息中，以抵抗各種形式的重傳攻擊，序號是一個32位的遞增計數(shù)器。2 SET協(xié)議2.1 SET協(xié)議概述SET（Secure Electronic Transaction）安全電子交易協(xié)議是1996年由MasterCard(維薩)與Visa(萬事達)兩大國際信用卡公司聯(lián)合制訂的安全電子交易規(guī)范。它提供了消費者、商家和銀行之間的認證，確保交易的保密性、可靠性和不可否認性，保證在開放網(wǎng)絡環(huán)境下使用信用卡進行在線購物的安全。2.2 SET協(xié)議中采用的數(shù)據(jù)加密模型SET協(xié)議采用的數(shù)據(jù)加密模型如圖三所示。圖三SET協(xié)議采用的數(shù)據(jù)加密模型該模型具有以下特點：（1）交易參與者的身份鑒別采用數(shù)字證書的方式來完成，數(shù)字證書的格式一般采用X.509國際標準；（2）交易的不可否認性用數(shù)字簽名的方式來實現(xiàn)。由于數(shù)字簽名是由發(fā)送方的私鑰產(chǎn)生，而發(fā)送方的私鑰只有他本人知道，所以發(fā)送方便不能對其發(fā)送過的交易數(shù)據(jù)進行抵賴；（3）用報文摘要算法來保證數(shù)據(jù)的完整性；（4）由于非對稱加密算法的運算速度慢，所以要和對稱加密算法聯(lián)合使用，用對稱加密算法來加密數(shù)據(jù)，用數(shù)字信封來交換對稱密鑰。2.3 SET協(xié)議的數(shù)據(jù)交換過程SET協(xié)議的購物系統(tǒng)由持卡人、商家、支付網(wǎng)關、收單銀行和發(fā)卡銀行五個部分組成，這五大部分之間的數(shù)據(jù)交換過程如圖四所示。圖四SET協(xié)議的數(shù)據(jù)交換過程3 SSL協(xié)議和SET協(xié)議的對比SSL協(xié)議和SET協(xié)議的差別主要表現(xiàn)在以下幾個方面：（1）用戶接口：SSL協(xié)議已被瀏覽器和WEB服務器內置，無需安裝專門軟件；而SET協(xié)議中客戶端需安裝專門的電子錢包軟件，在商家服務器和銀行網(wǎng)絡上也需安裝相應的軟件。（2）處理速度：SET協(xié)議非常復雜、龐大，處理速度慢。一個典型的SET交易過程需驗證電子證書9次、驗證數(shù)字簽名6次、傳遞證書7次、進行5次簽名、4次對稱加密和4次非對稱加密，整個交易過程可能需花費1.5至2分鐘；而SSL協(xié)議則簡單得多，處理速度比SET協(xié)議快。（3）認證要求：早期的SSL協(xié)議并沒有提供身份認證機制，雖然在SSL3.0中可以通過數(shù)字簽名和數(shù)字證書實現(xiàn)瀏覽器和Web服務器之間的身份驗證，但仍不能實現(xiàn)多方認證，而且SSL中只有商家服務器的認證是必須的，客戶端認證則是可選的。相比之下，SET協(xié)議的認證要求較高，所有參與SET交易的成員都必須申請數(shù)字證書，并且解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認證問題。（4）安全性：安全性是網(wǎng)上交易中最關鍵的問題。SET協(xié)議由于采用了公鑰加密、信息摘要和數(shù)字簽名可以確保信息的保密性、可鑒別性、完整性和不可否認性，且SET協(xié)議采用了雙重簽名來保證各參與方信息的相互隔離，使商家只能看到持卡人的訂購數(shù)據(jù)，而銀行只能取得持卡人的信用卡信息。SSL協(xié)議雖也采用了公鑰加密、信息摘要和MAC檢測，可以提供保密性、完整性和一定程度的身份鑒別功能，但缺乏一套完整的認證體系，不能提供完備的防抵賴功能。因此，SET的安全性遠比SSL高。（5）協(xié)議層次和功能：SSL屬于傳輸層的安全技術規(guī)范，它不具備電子商務的商務性、協(xié)調性和集成性功能。而SET協(xié)議位于應用層，它不僅規(guī)范了整個商務活動的流程，而且制定了嚴格的加密和認證標準，具備商務性、協(xié)調性和集成性功能?？偨Y：由于SSL協(xié)議的成本低、速度快、使用簡單，對現(xiàn)有網(wǎng)絡系統(tǒng)不需進行大的修改，因而目前取得了廣泛的應用。但隨著電子商務規(guī)模的擴大，網(wǎng)絡欺詐的風險性也在提高，在未來的電子商務中SET協(xié)議將會逐步占據(jù)主導地位。四、https介紹HTTPS（Secure Hypertext Transfer Protocol）安全超文本傳輸協(xié)議它是由Netscape開發(fā)并內置于其瀏覽器中，用于對數(shù)據(jù)進行壓縮和解 壓操作，并返回網(wǎng)絡上傳送回的結果。HTTPS實際上應用了Netscape 的完全套接字層（SSL）作為HTTP應用層的子層。（HTTPS使用端口443，而不是象HTTP那樣使用端口80來和TCP/IP進行通信。）SSL 使用40 位關鍵字作為RC4流加密算法，這對于商業(yè)信息的加密是合適的。HTTPS和SSL支持使用X.509數(shù)字認證，如果需要的話用戶可以確認發(fā)送者是誰。https是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，https的安全基礎是SSL，因此加密的詳細內容請看SSL。它是一個URI scheme(抽象標識符體系)，句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同 于HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統(tǒng)的最初研發(fā)由網(wǎng)景公司進行，提供了身份驗證與加密通訊方法，現(xiàn)在它被廣 泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付方面。限制它的安全保護依賴瀏覽器的正確實現(xiàn)以及服務器軟件、實際加密算法的支持.一種常見的誤解是“銀行用戶在線使用https:就能充分徹底保障他們的 銀行卡號不被偷竊?！睂嶋H上，與服務器的加密連接中能保護銀行卡號的部分，只有用戶到服務器之間的連接及服務器自身。并不能絕對確保服務器自己是安全的， 這點甚至已被攻擊者利用，常見例子是模仿銀行域名的釣魚攻擊。少數(shù)罕見攻擊在網(wǎng)站傳輸客戶數(shù)據(jù)時發(fā)生，攻擊者嘗試竊聽數(shù)據(jù)于傳輸中。商業(yè)網(wǎng)站被人們期望迅速盡早引入新的特殊處理程序到金融網(wǎng)關，僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個數(shù)據(jù)庫里。那些數(shù)據(jù)庫和服務器少數(shù)情況有可能被未授權用戶攻擊和損害。五、以銀行卡在SSL協(xié)議支持下進行網(wǎng)上支付為例，說明利用銀行卡進行B2C網(wǎng)上支付的過程。以銀行卡在SSL協(xié)議支持下進行網(wǎng)上支付為例，說明利用銀行卡進行B2C網(wǎng)上支付的過程：SSL協(xié)議是 Netscape Communication公司推出在網(wǎng)絡傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。是對計算機之間整個 會話進行加密的協(xié)議，提供了加密、認證服務和報文完整性。它是國際上最早應用于電子商務的一種由消費者和商家雙方參加的信用卡/借記卡支付協(xié)議。1.SSL協(xié)議提供的服務主要有(1)用戶和服務器的合法性認證；(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；(3)維護數(shù)據(jù)的完整性，確保數(shù)據(jù)能完整準確地傳輸?shù)侥康牡?。該協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術保護信息傳輸?shù)臋C密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用Web Server方式,它包括：服務器認證、客戶認證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于電子商務應用來說，使用SSL可保證信息的真實性、完整性和保密性。2.SSL協(xié)議的工作流程(1)接通階段：客戶通過網(wǎng)絡向服務商發(fā)送連接信息，服務商回應；(2)密碼交換階段：客戶與服務器之間交換雙方認可的密碼，一般選用RSA密碼算法，也有的選用Diffie-Hellmanf和Fortezza-KEA密碼算法；(3)會談密碼階段：客戶根據(jù)收到的服務器響應信息，產(chǎn)生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；(4)檢驗階段：服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。(5)客戶認證階段：服務器通過數(shù)字簽名驗證客戶的可信度； (6)結束階段，客戶與服務商之間相互交換結束的信息。SSL協(xié)議運行的基點是商家對客戶信息保密的承諾。從SSL 協(xié)議所提供的服務及其工作流程可以看出，該協(xié)議有利于商家而不利于消費者?？蛻舻男畔⑹紫葌鞯缴碳?，商家閱讀后再傳給銀行，這樣，客戶資料的安全性便受到 威脅。商家認證客戶是必要的，但整個過程中，缺少了客戶對商家的認證。在電子商務的初級階段，由于運作電子商務的企業(yè)大多是信譽較高的大公司，因此這問題 還沒有充分暴露出來。但隨著電子商務的發(fā)展，各中小型公司也參與進來，這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數(shù)字簽 名和數(shù)字證書可實現(xiàn)瀏覽器和Web服務器雙方的身份驗證，但是SSL協(xié)議仍存在一些問題，比如，只能提供交易中客戶與服務器間的雙方認證，在涉及多方的電 子交易中，SSL協(xié)議并不能協(xié)調各方間的安全傳輸和信任關系。在這種情況下，Visa和 MasterCard兩大信用卡公組織制定了SET協(xié)議，為網(wǎng)上信用卡支付提供了全球性的標準。S