序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇ssl協議范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

ssl協議建議開啟，它能保證網上安全。

SSL（SecureSocketsLayer安全套接層）協議，及其繼任者TLS（TransportLayerSecurity傳輸層安全）協議，是為網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網絡連接進行加密，用于保障網絡數據傳輸安全，利用數據加密技術，確保數據在網絡傳輸過程中不會被截取及竊聽。SSL協議已成為全球化標準，所有主要的瀏覽器和WEB服務器程序都支持SSL協議，可通過安裝SSL證書激活SSL協議。

SSL證書就是遵守SSL協議的服務器數字證書，由受信任的證書頒發機構（CA機構），驗證服務器身份后頒發，部署在服務器上，具有網站身份驗證和加密傳輸雙重功能。

（來源：文章屋網 ）

篇(2)

SSL及其繼任者傳輸層安全是為網絡通信提供安全及數據完整性的一種安全協議。

TLS與SSL在傳輸層對網絡連接進行加密。

解決方法：

1、首先打開瀏覽器，找到工具，Internet選項。

篇(3)

[關鍵詞] 電子商務SSL瀏覽器客戶端服務器數字證書CA

一、 引言

隨著計算機網絡技術的飛速發展，電子商務開始蓬勃發展起來，通過Internet進行的網上購物、在線交易、網上銀行等業務雖然為人們的工作和生活提供了極大的便利。但是，由于Internet本身具有的開放性、靈活性、共享性等特點，也為信息安全帶來了巨大威脅。所以，電子商務的安全問題是事關能否正常開展電子商務的首要問題。

目前，世界上提出了很多加強網上交易安全性的協議,如SSL、SET等。由于SET協議非常復雜,實現比較困難,而且執行效率比較低，所以目前大部分網上交易都是采用SSL協議來實現。當前，網上銀行等大型電子商務交易系統一般都采用HTTP和SSL相結合的方式,即在服務器端采用支持SSL的WWW服務器，在客戶端采用支持SSL的瀏覽器,雙方共同協作來實現安全的網絡通信。

二、SSL協議的介紹

安全套接層協議(Secure Sock Layer Protocol，簡稱SSL)是在電子商務發展初期發展起來的，最早由Netscape公司設計開發，它是在TCP/IP上實現的一種安全協議，其采用了不對稱加密技術。它為C/S(客戶端/服務器)通信安全提供面向連接的機制，建立安全通道，通過在安全通道上傳輸信用卡卡號的方式，可以構建電子商務支付系統。SSL安全通道能使客戶端/服務器應用之間的通信不被第三者竊聽，并且始終對服務器進行身份認證，還可選擇對客戶端進行認證。目前，大部分Web瀏覽器(Netscape Navigator和Microsoft IE)和Web服務器都已內置了SSL協議，SSL已成為在電子商務中應用最廣泛的安全協議之一。

SSL協議要求建立在可靠的傳輸層協議(例如：TCP)之上。SSL協議的優勢在于它是與應用層協議獨立無關的。高層的應用層協議(例如：HTTP，FTP，TELNET)能透明地建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成了加密算法、通信密鑰的協商以及服務器認證工作。應用層協議所傳送的數據都會被加密，從而保證通信的機密性。

SSL協議主要由SSL記錄協議和SSL握手協議兩部分組成。

1.SSL記錄協議。SSL記錄協議位于SSL協議的底層，用于封裝上層的協議。其規定了會話中傳遞的所有數據項的基本格式，提供壓縮數據、生成數據的完整性校驗值(MAC)、對數據進行加密、標示數據長度、填充、流水作業號，并支持不同的加解密和雜湊算法。

2.SSL握手協議。SSL握手協議使得服務器和客戶端能夠相互認證對方的身份、傳送所需的數字證書、建立所需的會話密鑰。SSL握手協議是較SSL記錄協議更高層的協議，必須先執行握手協議后，才可能實現SSL記錄協議中的加密和完整性校驗。SSL協議通過在應用程序進行數據交換前交換SSL初始握手信息來實現有關安全特性的建立。SSL握手過程一般分為4個階段：

(1)建立安全能力:該階段是用來初始化邏輯連接，并建立與之相關的安全能力。交換在客戶端發起，客戶端發送Client_hello消息，并包含以下數據(SSL版本、初始隨機參數、會話ID、密碼組參數、壓縮方法)，在發送了Client_hello消息之后，客戶端將等待包含與Client_hello消息參數一樣的Server_hello消息。

(2)服務器身份認證和密碼交換：服務器發送自己的數字證書給客戶端，該證書帶有證書授權中心(CA)的數字簽名和服務器的公鑰以及其數字簽名，可以證明自己的合法性，然后開始密鑰交換。如果服務器要求認證客戶端，則要請求客戶端數字證書。該階段以Hello消息段結束，之后服務器等待客戶端的響應。

(3)客戶端認證和密鑰交換：在這一階段，客戶端認證服務器數字證書的合法性。如果服務器要求客戶端的數字證書，客戶端應提供其數字證書，供服務器認證客戶端的合法性。此外，還要發送交換密鑰。

(4)完成:該階段完成安全通道的建立，該消息并不被認為是握手協議的一部分，而是改變密碼規格協議發送的。至此，客戶端和服務器完成了握手協議，可以開始交換應用層的數據了。

三、SSL協議在服務器上的應用

實現SSL協議，首先要在服務器上加裝SSL，其步驟為先在“Internet服務管理器”的“識別碼管理器”上填入網站的相關信息，以它為內容產生一組公鑰，識別碼管理器還會將以上信息都寫入文件，接下來就可以用這份數據向證書授權中心(Certification Authority)申請SSL服務器數字證書了。CA是一個公開而且公正的組織單位，其專門負責受理數字證書的核準，發放，注銷等管理工作(例如：VeriSign)。不同的CA有不同的申請方法。當申請好數字證書后，選擇識別碼管理器下的安裝識別碼認證，輸人密碼和數字證書文件的位置，就把數字證書安裝好了。然后就是指定哪些頁面需要用到SSL功能，打開Internet服務管理器，單擊所要設置的頁面目錄后按右鍵，單擊“屬性”，再選擇“目錄安全設定”下“安全通信”，按下編輯按鍵后在“當存取這個資源必須使用安全通道”選項上打上勾，表示當客戶端存取這個目錄時就會激活SSL功能。

服務器通過SSL服務器數字證書的兩個必要功能來建立電子商務信任體系。SSL服務器數字證書的兩個必要功能是：

1.SSL服務器認證：服務器數字證書允許用戶確認Web服務器的身份。Web瀏覽器自動檢查服務器數字證書和公共ID是有效的并已經被CA(如：VeriSign)所，包括在可信任的內嵌于瀏覽器中的CA列表。SSL服務器認證對安全的電子商務交易是至關重要的。例如，用戶通過網絡發送信用卡號并想校驗接收服務器的身份。

2.SSL加密:SSL服務器數字證書建立了一個安全通道，在用戶瀏覽器和Web服務器之間傳送的所有信息由發送軟件加密、接收軟件解密，從而保護私有信息不被第三方所竊取。

四、SSL協議在客戶端的應用

1.客戶連接一個站點和訪問一個安全的URL，即受服務器ID所保護的網頁。

2.客戶的瀏覽器自動向服務器發送瀏覽器的SSL版本號、密碼設置、產生的隨機數和服務器需要和客戶用SSL通信的其他信息。

3.服務器做出反應，自動向瀏覽器發送站點的數字證書，包括服務器的SSL版本號、密碼設置等等。

4.客戶的瀏覽器檢查包含在服務器數字證書中的信息并校驗。

(1)服務器數字證書是否有效，日期是否有效。

(2)服務器數字證書的CA是否被可信任的CA所簽名，可信任的CA證書已嵌入瀏覽器中。

(3)嵌入瀏覽器中的CA的公鑰是否使者的數字簽名有效。

(4)服務器數字證書所指定的域名與服務器的真實域名是否匹配。

如果服務器不能通過認證，那么用戶就會接收到警告信息，從而不能建立SSL安全通道。

5.如果服務器通過認證，客戶瀏覽器就會產生一個唯一的“會話密鑰”來加密所有與服務器的通信內容。

6.客戶的瀏覽器用服務器數字證書中的公鑰加密“會話密鑰”發送給服務器。這樣就可以確保只有服務器才能讀出“會話密鑰”。

7.服務器用自己的私鑰解密“會話密鑰”。

8.瀏覽器向服務器發送信息，表明以后從客戶端發送的信息都將用“會話密鑰”加密。

9.服務器向瀏覽器發送信息，表明以后從服務器發送的信息也將用“會話密鑰”加密。

10.這樣，在客戶端與服務器就建立了一個SSL安全通道。之后，所有通信內容就在SSL安全通道內用“會話密鑰”來加密和解密信息。

11.一旦本次會話結束，“會話密鑰”也就隨之失效。

上述過程只要花費幾秒鐘的時間，且不需要客戶的干涉。

另外，用戶還可以通過以下情況來確認是否已經和正在訪問的服務器建立了SSL安全通道：

> 在瀏覽器窗口的URL中以HTTPS：//開頭

> 在Netscape中，在窗口左下角的掛鎖是關閉的，而不是打開的。

> 在IE中，掛鎖出現在窗口狀態條的右下角。

五、SSL在現實中的應用

以中國工商銀行“個人網上銀行”為例。首先訪問工商銀行首頁(省略/)。單擊“個人網上銀行登錄”圖標。然后填入必要的信息，之后單擊同意按鈕就可以打開“個人網上銀行”。

首次使用時，會彈出一個要求安裝SSL數字證書的對話框，單擊“是”按鈕即可。在安裝好SSL數字證書之后，在IE瀏覽器的右下方就會出現一把閉合的黃色小鎖，其代表瀏覽器正在使用SSL加密傳輸的資料，從而避免敏感信息在傳輸的過程中被竊取或者篡改。用戶可以通過雙擊這把小鎖來查看服務器SSL數字證書的詳細內容。

值得一提的是個別瀏覽器只支持40位以下的加密算法。這對于傳輸重要信息是遠遠不夠的。在IE瀏覽器中，只要將鼠標指向瀏覽器右下方的黃色小鎖，就可以看到SSL加密的位數。假如不是128位的話，可以通過單擊瀏覽器“幫助”菜單下的“關于Internet Explorer”。如果顯示的密鑰長度小于128位，則可以單擊“工具”菜單上的“Windows Update”，然后依據提示將瀏覽器更新為最新版本，使其支持128位的SSL加密算法。

六、SSL的功能及SSL的局限性

1.信息加密。SSL所采用的加密技術既有對稱加密技術，如DES；也有不對稱加密技術，如RSA。具體來說，客戶端與服務器在進行數據交換之前，先交換SSL握手信息，在SSL握手信息中采用了各種加密技術對其加密，以保證其機密性和數據的完整性，并且用數字證書進行認證。

2.信息完整。SSL提供了信息完整服務，以建立客戶端與服務器之間的安全通道，使所有經過SSL協議處理的業務能全部準確無誤地到達其目的地。

3.身份認證。客戶端和服務器都有各自的識別號，這些識別號由公開密鑰進行編號。為了驗證用戶是否合法，SSL協議要求在握手交換數據前進行認證，以此來確保用戶的合法性。 SSL堅持對服務器進行身份認證，還可選擇性的對客戶端進行認證。

然而，SSL當初并不是為支持電子商務而設計的，所以其在電子商務系統的應用中還存在很多弊端。它只是簡單地在雙方之間建立了一條安全通道，在涉及多方的電子交易中，只能提供交易中客戶端與服務器之間的雙方認證。而電子商務往往是用戶、網站、銀行三方協作完成，SSL協議并不能協調各方之間的安全傳輸和信任關系；另外還有購物時用戶要輸入通信地址，這樣將有可能使得用戶收到大量的垃圾信件。 此外，SSL協議不能防止心術不正的商家的欺詐，因為該商家掌握了客戶的信用卡號。商家欺詐是信用卡業發展所面臨的最嚴重的問題之一。但是，SSL除了傳輸過程以外不能提供任何安全保證，它并不能使客戶確信此公司接受信用卡支付是得到授權的。再者，SSL協議的最大不足之處在于，其不對應用層的消息進行數字簽名，因此SSL不能提供交易的不可否認性。

篇(4)

關鍵詞:IPSec VPN;AH;ESP;SSL VPN;IKE

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6652-03

Security Research of VPN Based on IPSec

GUO Xu-zhan

(Computer and Information Technology College, Xinyang Normal University, Xinyang 464000, China)

Abstract: SSL VPN and IPSec VPN security technology principles are introducedin this paper. Andcarried out a detailedstudy and research on the encryption, authentication, key management of IPSec, research the security of IPSec VPN.

Key words: IPSec VPN; AH; ESP; SSL VPN; IKE

隨著經濟的不斷發展,企業的信息化進程也在逐漸加快,為了保證企業機密信息在遠距離傳輸過程中的安全,可以采用專線式廣域網絡傳輸數據,但是這樣的方案耗資巨大,不符合成本-效益原理。因此VPN (虛擬專用網絡)技術應運而生。VPN是以Internet為平臺,建立起在安全技術保護下的虛擬專用網絡,并且此虛擬網絡提供與專用網絡相同的功能、安全性、易于管理等特點,是原有專用網絡的替代方案,更為符合成本-效益原理。通過VPN可以幫助遠程用戶、公司分支機構、商業伙伴及供應商等外部用戶透過公用網與公司的內部網建立可信的安全連接,并保證數據的安全傳輸。將企業專用網上的數據加密封裝后,透過虛擬專用網絡進行傳輸,可以防止敏感數據被竊。VPN技術發展非常迅速,目前組建技術多種多樣,比較常見的有SSL、IPSec、L2TP等。只有在充分了解這些協議的基礎上,才能根據需求組建不同保護功能地VPN。

1 SSL安全協議

SSL[1-2]協議工作在傳輸層,它分為兩層:SSL握手協議和SSL記錄協議。使用SSL協議組建的VPN稱為SSL VPN。

1.1 SSL握手協議

SSL握手協議[3]用于在通信雙方建立安全傳輸通道,可以實現以下功能:

1) 在客戶端驗證服務器,SSL協議采用公鑰方式進行身份認證;

2) 在服務器端驗證客戶(可選);

3) 客戶端和服務器之間協商雙方都支持的加密算法和壓縮算法,可選用的加密算法包括:IDEA、RC4、DES、3DES、RSA、DSS、MD5等;

4) 產生對稱加密算法的會話密鑰;

5) 建立加密SSL連接。

1.2 SSL記錄協議

SSL記錄協議[4]從高層接收到數據后要經過分段、壓縮和加密處理,再發送出去。在SSL協議中,所有的傳輸數據都被封裝在記錄中,SSL記錄協議規定了記錄頭和記錄數據的格式。每個SSL記錄包含以下信息:1) 內容類型:指SSL的高層協議;2) 協議版本號:指所用的SSL協議版本號;3) 長度:指記錄數據的長度,最大長度為16383字節;4) 數據有效載荷:將數據進行壓縮和加密處理后的結果;5)MAC:MAC在有效數據被加密之前計算出來并放入SSL記錄中,用于進行數據完整性檢查。

SSL VPN 最大的好處就是不需要安裝客戶端程序,由于只通過 443 端口作為唯一的傳輸通道,因此管理員不需要在防火墻上作任何修改,從而最大限度的減少了分發和管理客戶端軟件的麻煩,降低了系統部署成本和 IT 部門日常性的管理支持工作費用。SSL VPN 能保證在任何地方訪問基于 TCP 應用程序的安全,包括 Web 和 C/S 應用,傳統的應用程序,網絡文件傳輸和共享,終端服務,電子郵件服務以及 PDA 等手持無線設備。

然而SSL VPN也有其缺點:它不適用做點對點的 VPN,后者通常是使用 IPsec 技術,SSL VPN 需要開放網絡防火墻中的 HTTPS 連接端口,以使 SSL VPN 網關流量通過,SSL VPN 通常需要其他安全配置,例如用第三方技術驗證“非信任”設備的安全性(包括其他信息站或家用計算機)。

2 IPsec 協議與隧道技術

2.1 隧道技術簡介

隧道[5]是網絡通信常用的一種模式,在公用網絡中,通信兩端之間建立的虛擬專用網絡,就是一種隧道技術的運用。隧道技術包括封裝、傳輸及解除封裝等幾個方面。目前常見的隧道技術有IPsec 隧道模式、IPX 隧 道、點對點隧道協議PPTP和第二層隧道協議L2TP等。其中效果最好,應用最廣泛的就是IPsec。

隧道由用戶終端及服務器端構成,兩端必須使用相同的隧道協議(tunnel protocol)。隧道傳輸協議用來傳送數據,隧道維護協議用于管理隧道。隧道工作于OSI 參考模型的第二層或第三層,第二層對應到數據鏈路層,以幀為單元交換信息。PPTP、 L2TP都是第二層的隧道協議,數據被封裝在點對點通訊協議 (PPP)幀中,再以隧道協議封裝,繼而通過網絡傳送。第二層隧道協議可以實現如下功能:用戶驗證、動態地址指派、數據壓縮、數據加密等。第三層對應到網絡層,以信息分組為信息交換單位,包括IPX及 IPsec 隧道模式,IP 信息分組被處理(如壓縮、加密)后,封裝上額外的 IP標頭,然后再通過 IP網絡傳送。

2.2 IPSec的基本概念

IPSec 協議定義了通過公共網絡時實現安全通信的規范,通過在 IP 數據包中增加字段來保證 IP 數據包的完整性、私有性和真實性以及采用的加密方法。IPsec協議集合了多種安全技術,從而能確保建立一個安全的通信隧道。

IPSec 提供以下幾個方面的網絡安全服務:

(1) 私有性:IPSec 通過加密數據包,保證數據的安全性。

(2) 完整性:IPSec 能在目的地驗證數據包,保證數據包沒有被替換。

(3) 真實性:IPSec 端驗證所有加密數據包,保證加密正確。

(4) 反重復:IPSec 通過序列號防止數據包被捕捉。

IPSec協議實現過程如圖1所示。

IPsec實施方案主要包括以下幾個組件:

1) IPSec 基本協議:包括ESP 和AH,用于處理數據包頭,通過與SPD和SADB交互,決定為數據包提供的安全措施。

2) SPD:SPD決定了對數據包是否采用安全措施以及外來數據包的安全措施是否符合策略配置。

3) SADB:SADB 為數據包的出入處理維持一個活動列表。以確保數據包的安全受到IPSec的保障。SADB由各個SA 聚集構成,通常由IKE 等自動密鑰管理系統來進行。

4) IKE: IKE 代表IPSec 對SA 進行協商,并對SADB 數據庫進行填充。

5) 策略和SA 管理:對策略和SA 進行管理。

2.3 IPSec 組件功能

IPsec 安全體系結構中包括了三個最基本的協議:AH協議,為 IP 包提供信息源驗證和完整性保證;ESP協議,提供加密保證;密鑰管理協議ISAKMP,提供雙方交流時的共享安全信息。ESP和 AH 協議具備相關的一系列支持文件,規定了加密和認證的算法。信息分組通過這兩種轉換協議得以加密保護。其實現方式分為隧道模式(Tunnel Mode)和傳輸模式(Transport Mode)兩 種 。IPSec的組件構成如圖2所示。

2.3.1 AH 與 ESP

確認性標頭AH [6](Authentication Header)用來保證IP包的信息的完整性和準確性。AH 既可以單獨使用,也可在隧道模式下和 ESP聯用。AH支持傳輸模式(Transport Mode)和隧道模式(Tunnel Mode)。AH利用在 Header 和信息分組之間添加驗證鏈接,來驗證該信息分組的發送用戶身份。AH協議不加密所保護的數據包,它只為IP數據流提供高強度的密碼認證,以確保被修改的數據包可以被檢查出來。為此AH必須包含對 HMAC的支持(Keyed-Hashing for Message Authentication)。

植入安全載荷ESP[7] (Encapsulating Security Payload)主要用來處理對 IP 信息分組的加密,同時也可進行認證。為了保證通信中的互操作性, ESP規范規定要強制實現56位的DES 加密算法,同時ESP與具體的加密算法是相互獨立的,幾乎可以支持各種對稱密鑰加密算法,例如DES,Triple DES,RC5 等。ESP在隧道模式和傳輸模式中的作用是不同的,在隧道模式中,整個IP數據包都被ESP封裝和加密。真正的IP源地址和目的地址被隱藏為Internet發送的普通數據。而在傳輸模式中,只有更高層協議幀(TCP、UDP、ICMP等)被放到加密后的IP數據報的ESP負載部分,在這種模式中,源和目的IP地址以及所有的IP包頭域都是不加密發送的。

ESP 協議數據單元格式由三部分組成:頭部、加密數據、可選尾部。頭部有兩個域:安全策略索引(SPI)和序列號SN (Sequence Number)。使用 ESP 進行安全通信之前,通信雙方需要先協商加密策略,包括使用的算法、密鑰以及密鑰的有效期等。安全策略索引用來標識發送方的加密策略,接收方可采用相應策略對收到的 IP 信息分組處理。“序列號”用來區分不同信息分組。加密數據部分除了包含原 IP 信息分組的有效負載, 填充域 (用來保證加密數據部分滿足塊加密的長度要求),其余部分在傳輸時都是加密過的。ESP結構如圖3所示。

2.3.2 IKE

自動密鑰交換IKE[8](IPsec Key Exchange)用于動態驗證IPSec通信雙方的身份、協商安全服務以及生成安全密鑰。有了IKE ,密鑰在使用一段時間后可以作廢,并重新生成密鑰。這樣,限制了每個密鑰所保護的數據量,增強了IPSec 的安全性。IKE協商的參數同協議本身是分隔開的,在IPsec協議中IKE協商的參數被歸于一個單獨的IKE參數文檔內。

IKE 定義了兩個階段的協議:第一階段生成 IKE 自身的加密和驗證標頭,第二階段 IKE 快速生成和刷新IPsec 的加密和驗證標頭。 IPsec 和 IKE 通過接口層進行交互,IPsec 通過接口層向 IKE 發出生成或刷新 IPsec 的加密和驗證標頭的請求,IKE通過接口層向 IPsec 傳送加密和驗證標頭。

2.3.3 密鑰管理協議 ISAKMP

IPSec采用ISAKMP[9](Internet Security Association and Key Management Protocol)作為管理協議的框架。ISAKMP 是一個應用層協議,它不僅可管理 IPSec協議所轄的安全聯結和密鑰,而且也適應于其他網絡安全協議。ISAKMP 協議定義了通信雙方的認證過程,安全聯結的建立、修改和刪除過程及相應的報文格式。一次 ISAKMP 會話分為兩個階段:

第一階段,會話雙方協商建立一個ISAKMP 的安全聯結,用來保護它們自身的通信。會話雙方通過基于公鑰加密算法的數字簽名完成相互認證。具體的認證步驟由相應的認證協議來規定,ISAKMP定義了一個認證時應遵循的報文格式。

第二階段,雙方協商建立其他安全聯結。IPSec 使用因特網密鑰交換協議 IKE(Internet Key Exchange)來完成會話密鑰的生成。IKE 規定了自動驗證 IPSec 對等實體、協商安全服務和產生共享密鑰的標準。IKE 采用 ISAKMP 報文格式,并綜合了 Oakley 和 SKEME 密鑰交換協議的優點,使用 Diffie-Hellman 算法來生成會話密鑰。

3 IPSec 安全特點

IPsec 產生于 IPv6 的制定過程中,用于提供 IP 層的安全性。由于所有支持TCP/IP 協議的主機進行通信時,都要經過 IP 層的處理,所以提供了 IP 層的安全性就相當于為整個網絡提供了安全通信的基礎。在IPSec 協議中,一旦IPSec 通道建立,所有在網絡層之上的協議在通信雙方都經過加密,如TCP、UDP、SNMP、HTTP、POP 等,而不管這些協議構建時所采用的安全和加密方法如何。IPsec 協議彌補了 IP 層的安全缺陷,定義了針對 IP 分組(信息分組)的加密標頭和驗證標頭,以及如何添加和拆分這些標頭。同時IPSec支持各種對稱密鑰加密算法,這就使得數據傳輸的加密保護靈活多樣,提高了數據的安全性。

4 結束語

通過以上分析,可以看出IPSec因其安全性和靈活性,已經成為構建VPN的首選。IPSec能對IP數據包的安全提供足夠的保護,大大加強了Internet傳輸信息的安全性,為VPN的建立提供了堅實的基礎,同時大大降低了網絡費用。未來的VPN技術將在IPSec的基礎上得到更大的發展。

參考文獻:

[1] 李塑京.SSL的原理和應用[J].微型機與應用,2000,11:34-35.

[2] 馮登國.計算機通信網絡安全[M].北京:清華大學出版社,2001.

[3] 金侖,謝俊元.基于SSL協議的可信應用及實現[J].計算機應用研究,2006,(1):103-105.

[4] 馬英杰,肖麗萍,何文才,李彥兵.SSL協議分析及其在Web服務應用中的改進[J].微處理機,2005,12:31-33.

[5] 劉鐵民,孫偉.VPN網絡隧道技術的研究[J].電信工程技術與標準化,2003(12):55-57.

[6] S. Kent, R. Atkinson. IP Authentication Header. RFC2402 IETF[S].1998,11:1-68.

[7] S. Kent, R. Atkinson, IP Encapsulating Security Payload. RFC2406 IETF[S].1998,11:1-57.

篇(5)

隨著Internet的普及和應用的擴展，越來越多的政府、企業希望在網上開展工作。然而Internet原先是建立在可信的基礎上，從原理上不能保證通信的安全性。如何既能充分利用Internet的便利資源又可以保障通信的安全，成為人們最為關注的問題，虛擬專用網絡(VPN)也就應運而生。

VPN是一種充分利用隧道、認證、加密等技術手段，使用戶可以利用現有的Internet公共網絡，安全地遠程訪問內部網絡資源的網絡系統。同傳統的私有網絡相比，VPN技術大大降低了成本，提高了靈活性。正是由于其具有的優點，近年來VPN已成為網絡安全領域的一個熱點。

作為一種加密協議，IPSec為數據通過公用網絡(如因特網)在網絡層進行傳輸時提供安全保障。通信雙方要建立IPSec通道，首先要采用一定的方式建立通信連接。

因為IPSec協議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，這包括如加密運算法則和身份驗證方法類型等。一旦IPSec通道建立，則通信雙方的所有通信協議(如TCP、UDP、HTTP等)都要經過加密。IPSec VPN工作在OSI網絡模型的網絡層，從而使用戶訪問內部資源時,就像采用專線方式與公司網絡直接物理連接一樣。

基于SSL的VPN

SSL是網景(Netscape)公司提出的基于Web應用的安全協議。SSL協議指定了一種在應用程序協議(如HTTP TELENET、SMTP和FTP等)和TCP／IP協議之間提供數據安全性分層的機制，它為TCP／IP連接提供數據加密服務器認證、消息完整性以及可選的客戶機認證。

SSL提供的加密和身份驗證的安全方法與IPSec非常類似。但SSL協議只對通信雙方所進行的應用通道進行加密，而不是對從一個主機到另一個主機的整個通道進行加密。

SSL VPN的技術特點面對IPSec VPN在市場上的強勢地位，SSL VPN憑借其技術優勢越來越受到人們的關注，應用正逐漸呈上升趨勢。SSL安全通道則可以在客戶到所訪問的資源之間建立。確保端到端的真正安全。無論在內部網絡還是在因特網上。數據都不是透明的。如圖1所示。

圖1 SSL VPN支持端到端的安全

SSL與IPSec安全協議一樣，也可提供加密和身份驗證安全方法。

但是不管怎樣，SSL協議只對通信雙方所進行的應用通道進行加密，而不是對從一個主機到另一主機的整個通道進行加密。因為絕大多數客戶應用，是不必加密從一個系統到另一個系統的整個通道的，僅加密應用數據這一方案更顯恰當。

“加密”和“安全”協議都是屬于傳輸協議，它們是用來確保重要數據的安全傳輸。加密是任何安全協議的核心技術，它相對采用明文密碼加密或者不經過加密數據有三方面的優勢:

數據的私密性:在傳輸過程中可以使數據保持隱藏，不被非法查看;

數據的真實性和完整性: 因為在有關數字加密、安全協議有關的技術可以確保數據在傳輸過程中不被修改或者損壞;

連接的可靠性:數據加密的另一個數學特征是可以證明事件的發生。

在使用SSL協議的通信中，每一個應用是一個安全的獨立體，而不像IPSec那樣，操作與應用脫節。

要使用SSL協議進行VPN通信，則所進行的遠程通信應用必須能識別SSL技術，不過現在常見的應用一般都能識別SSL技術的，如IE、Netscape瀏覽器，OutLook、Eudora郵件應用等。

改進SSL VPN的新技術

SSL的一個運算法則是RSA，用來在客戶端和服務器端傳遞密鑰。

SSL加速技術

舉例來說．一個Modem撥號的Web服務器，大約每秒可以接受75個新的SSL連接。每一個新的連接RSA都必須完成翻譯和檢驗工作。如果系統每秒所有接受超過75個，CPU的利用率就會超過可接受極限而停止對新的網絡連接請求進行響應。

為了提高服務器的接受能力，SSL VPN可以采用SSL加速器技術。一個SSL加速器就像一個核心處理器。用來完成RSA的解密功能以及密碼交換和生成的過程。

其大致可分為三種類型:其一，使用協處理器，即使用專門的處理器來處理網絡相關的操作，任何加密報文被收到后，直接交給協處理器處理，從而加速整個過程;其二，采用內置的安全處理器大幅度加速處理過程，這種方法速度很快，但是安全處理器的功能和網絡處理器有重復;其三，是在網絡處理器中直接集成加密等安全功能，這種方法可以最大限度地降低成本，并獲得線性加速性能。

對于電子商務而言，SSL加速器可以有效提高交易的速度，所有的交易信息都是以符合安全機制的加密方式進行傳遞。通過加速后，一部智能完成接受75個SSL連接的服務器，就可打到接受每秒800個以上連接的性能。

SSL技術

SSL分為客戶端和服務器端兩種，對于SSL VPN而言，起作用的是服務器端的SSL。SSL客戶端與Web服務器建立連接時，實際上先與SSL建立連接，SSL在客戶端和Web服務器之間提供信息轉發服務，同時進行加解密操作。

在公共網絡上，SSL客戶端與SSL之間建立安全的SSL連接，傳遞密文信息，在私有網絡上，SSL與Web服務器可以建立SSL連接，也可以直接傳遞明文信息，這取決于用戶對安全性的要求。對于SSL客戶端來講，SSL是SSL服務器，對于Web服務器來講，SSL又是客戶端。

SSL技術在通信中可提高VPN服務器通信的安全性能和身份驗證能力，主要表現在以下兩個方面:

提高安全性能 從原理上來說，SSL在外部訪問者和內部服務器之間提供了一個緩沖地帶，遠程訪問的連接實際上只能到達SSL VPN網關，從而實現了保護內部網絡資源的目的。通過對連接請求的統計信息進行分析，制定并執行適當的安全策略，SSL在公共的因特網和私有的局域網之間建立了一道安全崗哨。SSL還可以通過查詢外部認證服務器或者策略服務器，或者通過用戶提供的證書，賦予不同的用戶以不同的訪問權限。

增加身份驗證強度 SSL協議自身的驗證方法包括在服務器端和客戶端進行的密碼身份驗證，但這種安全基于一個前提:客戶端的私鑰密碼被安全地保管。如果這個密鑰遭到破壞或者丟失，客戶端就不可能再得到信任。

許多Web服務器自身并不支持比SSL更加強大的身份驗證方法，這就需要SSL提供更加強大的身份驗證，如Radius第三方認證，USB key加PIN碼的雙因素認證等。

SSL虛擬通道技術 虛擬通道技術是利用對用戶透明的SSL VPN客戶端，把遠程客戶端和內部網絡連接成一個虛擬網絡的技術。在這個虛擬通道上，可以讓受信任的用戶登錄到整個內部網絡，支持任意基于IP的應用，如圖2所示。

虛擬網卡驅動程序對于操作系統而言就像一塊真正的物理網卡，操作系統可以對其進行所有真正物理網卡可以進行的控制，如收發數據包，禁用、啟用、掛起、查詢狀態和綁定TCP/IP、IPX協議等。將虛擬網卡技術與SSL加密技術結合起來，建立SSL虛擬通道，用戶可以通過操作系統在該通道上正常使用HTTP、FTP、Telnet等Internet服務和網絡鄰居等局域網應用。

圖2 虛擬通道技術結構示意圖

客戶端可做成Applet或者ActiveX的形式，當用戶通過認證后，自動從VPN網關下載，在整個安裝和配置過程中，不需要用戶干預。客戶端安裝成功之后，用戶點擊建立虛擬通道即可，無需輸入任何配置信息。

篇(6)

簡便易行的SSL協議

安全套接層SSL協議是一種對計算機之間整個會話進行加密的協議，最初是由Netscape推出的一種安全通信協議，它通過密鑰技術能夠為信用卡和個人信息提供較強的安全防護。在SSL協議中采用了公開密鑰和私有密鑰兩種加密方式。Web信息通過協議傳輸時，先在傳送端被加密，然后在接收端被解密，從而為機器之間提供安全連接。

SSL協議是兩層協議，建立在TCP傳輸控制協議之上、應用層之下，并且與上層應用協議無關，可為應用層協議如HTTP、FTP、SMTP等提供安全傳輸，通過將HTTP與SSL相結合，Web服務器就可實現客戶瀏覽器與服務器間的安全通信。

通過用戶和服務器的合法性認證、加密數據、保護數據完整性三個方面的服務，SSL協議為電子商務連接提供這樣的交易流程：當顧客想從Web站點購買某個產品時，顧客和Web站點都要進行認證。顧客通常是以提供名字和密碼的方式來認證其本人；Web站點通過交換一塊簽名數據和一個有效的X.509證書來認證它自己。顧客通過瀏覽器驗證該證書并用所附的公用密鑰驗證簽名數據，一旦雙方都認證了，交易就可以開始了。

簡便易行是SSL協議的最大優點，但與此同時其缺點也是顯而易見的。首先，在交易過程中，客戶的信息先到達商家那里，這就導致客戶資料安全性無法保證；其次，SSL只能保證資料傳遞過程的安全性，而傳遞過程是否有人截取則無法保證；再次，由于SSL協議的數據安全性是建立在RSA等算法上，因此其系統安全性較差。

除這些缺點外，由于SSL協議不對應用層的消息進行數字簽名，因此不能提供交易的不可否認性，這就造成了SSL協議在電子銀行應用中的最大不足。

安全可靠的SET協議

安全電子交易SET協議是1997年由美國Visa和MasterCard兩大信用卡組織提出、應用于Internet上、以信用卡為基礎的電子支付系統協議。它采用公鑰密碼體制和X.509數字證書標準，主要應用于B to C模式中保障支付信息的安全性。

SET協議主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份以及可操作性。可以說，SET協議是PKI框架下的一個典型實現，其核心技術主要有公開密鑰加密、數字簽名、電子信封、電子安全證書等。通過這些手段，SET協議在電子交易環節上為用戶提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。

由于SET提供了消費者、商家和銀行之間的認證，確保了交易數據的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優點，因此它成為目前公認的信用卡/借記卡的網上交易的國際安全標準。

在整個交易過程中，數字認證（CA）扮演了系統中很重要的角色。SET協議重點就在于利用CA實現交易安全及隱秘性，數字證書為其核心，它提供了簡單的方法來確保進行電子交易的人們能夠互相信任。在交易中，信用卡組織提供數字證書給發卡銀行，然后發卡行再提供證書給持卡人；同時，信用卡組織也提供數字證書給收單銀行，然后收單銀行再將證書發給特約商店。在進行交易的時候，持卡人和特約商店兩邊利用符合SET協議規格的軟件，在資料交換前分別確認雙方的身份，也就是檢查由授權的第三者所發給的證書。

在整個交易過程中，SET協議的安全保障主要來自于：將所有報文文本用非對稱的方式加密；增加兩類保密鍵（公鑰和單鑰）的字長；采用聯機動態的授權和認證檢查，以確保交易過程的安全可靠性。

安全可靠是SET協議最大的優點，但在實際應用中，SET協議依然存在以下不足：

1.協議沒有說明收單銀行給商家付款前，是否必須收到客戶的貨物接受證書。一旦客戶對貨物的質量標準提出疑義，而收單銀行已把貨款付給了商家，誰承擔責任將無法定義。

2.協議沒有擔保“非拒絕行為”，這意味著在線商店沒有辦法證明訂購是不是由簽署證書的客戶發出的。

3.SET技術規范沒有提及在事務處理完成后如何安全地保存或銷毀此類數據；

4.利用SET協議實施電子支付，交易過程復雜，使用成本高。

兩種協議比較

SET是一個多方的消息報文協議，它定義了銀行、商家、持卡人之間必需的報文規范，而SSL只是簡單地在兩方之間建立了一條安全連接。SSL是面向連接的，而SET允許各方之間的報文交換不是實時的。SET報文能夠在銀行內部網絡或者其他網絡上傳輸，而基于SSL協議之上的支付卡系統只能與Web瀏覽器捆綁在一起。兩者間的差別主要表現在以下幾個方面。

用戶接口不同

在應用中，SSL協議已被瀏覽器與Web服務器內置，無須安裝專門軟件，用戶通過網絡就可直接應用；而SET協議中客戶端須安裝專門的電子錢包類軟件，并且在商家服務器和銀行網絡上也須安裝相應的軟件，不同銀行間系統間的兼容性尚不夠完善。

處理速度不同

SET協議非常復雜、龐大，處理速度慢。一個典型的SET交易過程須驗證電子證書9次，驗證數字簽名6次，傳遞證書7次，進行5次簽名，4次對稱加密和4次非對稱加密，整個交易過程可能需花費1.5～2min；而SSL協議則簡單得多，處理速度比SET協議快。

認證要求各異

早期的SSL協議并沒有提供身份認證機制，雖然在SSL 3.0中可以通過數字簽名和數字證書實現瀏覽器和Web服務器之間的身份驗證，但仍不能實現多方認證，而且在SSL協議中商家服務器的認證是必需的，客戶端的認證則是可選的。相比之下，SET協議的認證要求較高，所有參與SET交易的成員都必須申請數字證書。SET協議還解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認證問題。

安全性能差別大

安全性是網上交易中最關鍵的問題。SET協議由于采用了公鑰加密、信息摘要和數字簽名，可以確保信息的保密性、可鑒別性、完整性和不可否認性，且SET協議采用了雙重簽名來保證各參與方信息的相互隔離，使商家只能看到持卡人的訂購數據，而銀行只能取得持卡人的信用卡信息。

SSL協議雖也采用了公鑰加密、信息摘要和MAC檢測，可以提供保密性、完整性和一定程度的身份鑒別功能，但缺乏一套完整的認證體系，不能提供完備的防抵賴功能。因此，SET的安全性遠比SSL高。

協議層次和功能各異

SSL屬于傳輸層的安全技術規范，不具備電子商務的商務性、協調性和集成。而SET協議位于應用層，不僅規范了整個商務活動的流程，而且制定了嚴格的加密和認證標準，具備商務性、協調性和集成。

相比之下，SET協議從技術上和流程上都要相對優于SSL協議，功能上也更強，但這并不代表SET協議就會超過SSL協議的應用。

因為雖然SET通過制定標準和采用各種技術手段，解決了一直困擾電子商務發展的安全問題，但是SET協議要求在銀行網絡、商家服務器、顧客的PC機上安裝相應的軟件；SET協議要求必須向各方發放證書，使得應用SET協議要比SSL協議昂貴得多。這些都成了大面積推廣使用SET協議的障礙。

篇(7)

【關鍵詞】電子支付;密碼技術;安全體系;數字證書

隨著金融業務以及金融支付系統的電子化不斷發展，為金融交易提了更為靈活簡便的交易方式。電子支付系統正好可以完成電子商務交易過程。截止到目前，幾乎每一種傳統支付機制都己開發出相應的互聯網版本，如電子現金、電子支票；IT技術公司也開發出多種完全基于互聯網的創新支付機制，并在全球范圍內己經對傳統金融支付系統發起了挑戰。

1.電子支付安全現狀分析

隨著互聯網的快速發展，電子支付已成為網絡交易中最常用的方式，但也存在信息泄露等安全問題。如：信息泄漏。在交易過程中，消費者是弱勢群體。商家可以選擇支付方式，而消費者在填完一大串信息后不知道這些信息將流向何方，很難杜絕信息的泄漏。再者電子支付業務大多通過網絡進行，沒有了以往的簽字、蓋章及紙質憑證。因此，對于各種交易信息可以隨意修改，監管部門無法看到真實的賬務情況，這是電子支付簽字的安全隱患。

2.電子支付安全協議

Internet中的七層網絡模型都有各自對應的協議，其中對話層的SSL(安全套接層)協議和應用層的SET(安全電子交易)協議與電子商務有著最密切的關系。

2.1 SSL安全協議

通常情況下，中間的計算機不會監聽在源-宿之間傳遞的信息，但有時會監聽信用卡以及網上銀行的交易信息，很可能會泄露個人隱私，而且這些隱私信息很可能被一些人獲取并更改。如何保證信息在傳遞過程中的安全問題，既能保密又能鑒別彼此身份，可以通過SSL協議來實現。以下為實現過程：服務器接受來自瀏覽器的SSL版本號、與Session有關的數據、加密參數以及其他信息；瀏覽器接收來自服務器的證書、瀏覽器SSL版本號、與Session有關的數據、加密參數以及其他信息；若服務器證書經客戶端檢查失敗，則SSL連接無法建立。如果檢查成功，則可以繼續；用服務器公鑰對瀏覽器生成的pre-master secret進行加密，并發送到服務器；假如需要客戶身份鑒別，客戶端需簽名后與證書一同發到服務器；對于客戶身份的鑒別，如果通過檢查證明簽署客戶證書的CA可信，則服務器用私鑰將收到的pre-master secret進行解密，如果不可信，則結束本次通話；服務器所使用的會話密鑰與客戶端相同，在服務器與客戶端SSL握手結束后都要通過這個會話密鑰來傳遞信息；客戶端將使用會話密鑰加密發送信息以及本次SSL成功握手的消息通知給服務器；服務器將使用會話密鑰加密發送信息以及本次SSL成功握手的消息通知給客戶端；SSL握手結束并建立會話后，服務器和客戶端使用通過一個會話密鑰對對信息進行加密和解密。

2.2 SSL協議使用的安全技術

系統的安全主要通過SSL協議來保障，具體包括壓縮、消息摘要加密和解密等技術。SSL協議主要包括SSL握手協議和SSL記錄協議。SSL記錄協議為各種高層協議提供基本的數據安全服務，對高層協議傳送來的數據進行分段/組合、壓縮、附加消息摘要、加密等處理，然后把數據傳送給低層的傳輸層協議發送。SSL記錄協議為最底層協議，此外還有SSL警告協議、更改密碼規則協議和握手協議三個高層協議，它們都是建立在SSL記錄協議上的。SSL的會話和連接由這三個高層協議來進行管理。

2.3 SET安全協議

作為一個開放的協議，SET協議主要是為了保證信用卡交易的安全性，主要是為信用卡交易所設計的，SET協議已慢慢成為工業標準，被Microsoft、IBM、HP等大公司所認可，也得到了IETF（因特網工程任務組）的支持。

2.3.1 STE協議的支付系統

在SET協議支付系統的網絡模型中持卡人和發卡行之間的虛線表示持卡人在發卡行開設有帳戶，商家和收單行之間的虛線表示商家在收單行開設帳戶。持卡人通過Internet與商家進行交易，為了保證持卡人和商家時合法主體，需要認證中心CA來對雙方進行認證，通過認證可以維護電子商務交易雙方所提供的信息具有完整性和真實性。

2.3.2 SET協議的安全體系結構

在SET協議中，身份認證通過雙重簽名、數字簽名等技術來實現，封字簽名通過RAS算法和SHA-1算法來實現，數據的加密通過RSA、DES加密算法來實現。

2.3.3 SET安全技術

SET通過使用加密解密和認證等技術實現傳輸的完整性、機密性以及不可否認性，主要包括數字信封、混合密鑰加密技術、對稱密鑰加密技術以及非對稱加密技術。

（1）數字信封：主要是通過數據接收者的公鑰來加密，確保只有指定的收信人才能閱讀信的內容。

（2）混合密鑰加密技術：主要是指通過專用密鑰技術和公共密鑰相結合的加密技術，保證電子商務中的電子支付安全。

（3）對稱密鑰加密技術：之所以稱為對稱密鑰加密，主要是因為在此種方法中使用相同的密鑰對信息加密和解密。RC4、AES、DES是常用的幾種對稱加密算法。

（4）非對稱密鑰加密技術：與對稱密鑰加密技術最明顯的區別就是采用不同的密鑰對信息進行加密和解密，每個用戶同時擁有私有密鑰SK和公開密鑰PK兩給密鑰，且必須配對使用。概率加密、橢圓曲線密碼、Rabin密碼、RSA是常用的非對稱加密算法。

3.結束語

作為電子商務系統的重要組成部分，電子商務支付系統的安全問題得到廣泛關注，人們將研究安全方便的電子支付系統作為電子商務發展的首要任務。然而，電子安全支付系統是一個復雜的系統工程，我們必須通過實踐不斷總結，探究完善的措施。

參考文獻

[1] 張賢;;電子商務安全問題[J];中國科技信息;2006年03期.

[2] 馬波;中國電子商務信用體系模型及應用研究[D];北京交通大學;2008年.