以下介绍的几种安全加密机制在不同的场合下得到了不同的应用。读者可依据实际情况,结合安全传输机制的特点,选取一种最合适的机制。
PGP加密
1.概述
PGP(Pretty Good Privacy)是一个软件加密程序,用户可以使用它在不安全的通信链路上创建安全的消息和通信,例如电子邮件和网络新闻。PGP使用各种形式的加密方法,它用一种简单的包格式组合消息以提供简单、高效的安全机制。
2.功能
保护本地文件; 配置密钥对; 保护电子通信; 数字签名; 钥匙管理。
3.特点
PGP是一个面向应用的事后加密程序,而不是一个实时、在线的加密程序。通常是对文件在本地加密后再通过适当的方式传给对方,接收方收到加密文件后解开即可。它的明文是通过128位的IDEA算法模块加密的,就目前的解码能力而言,是绝对安全的。会话密钥是通过512~7068位的RSA算法模块加密的,这也是安全的。PGP使用时需要用户提供口令,毫无疑问,一个好的口令对安全非常关键。
SSL协议
1.概述
SSL(Secure Socket Layer)协议是由Netscape公司开发出来的一种安全协议。它位于应用层和传输层之间。由于SSL具有较好的安全特性,所以被广泛使用在WWW服务的客户端和服务端,用来加密数据和认证身份。目前,出现了一种新的安全协议标准TLS(Transfer Layer Secure),是由IETF提出来的,它是基于SSL的。SSL向上层应用提供了安全服务。SSL3.0通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全会话了。
2.格式
SSL协议包含两个部分:SSL Handshake协议和SSL Record协议。前者是负责通信前的一些参数协商,后者则是定义SSL的内部数据格式。
3.流程
SSL协议流程如图1所示。
图1 SSL协议流程图
4.特点
通道是保密的:一个简单的握手确定密钥之后,所有的消息被加密。通道是被认证的:通话的服务器端总是被认证,客户端可选认证。通道是可靠的:用MAC对传送的消息进行完整性检查。它是一个实时的联机协议,发送者与接收者必须同时在线。它是面向协议的,对上层传来的数据全部进行加密。由于这些特性,它被广泛地应用于电子商务领域,如网上交易等。
SET协议
1.概述
SET(Secure Electronic Trade)是目前已经标准化,且被业界广泛接受的一种国际网络信用卡付款机制。它是由Visa与MasterCard两家信用卡组织所共同推出,并且与众多信息产业公司,如Microsoft、Netscape、RSA等共同发展而成的。它提供了一套安全又方便使用的交易模式,并采用开放式结构以支持各种信用卡交易。
2.组成成员
SET的运作是通过数个软件组件来完成,包括电子钱包、商店服务器、付款转接站和认证中心软件。这四个软件分别存储在持卡人、网络商店、银行以及认证中心的计算机中,相互运作来完成整个SET交易服务。持卡人主要指持有信用卡的消费者;电子商家主要职能是支持为网络购物的电子商店等提供电子交易服务的企业组织; 收单银行主要使用支付系统的专用网关提供各商家的因特网在线借款服务;发卡银行负责处理信用卡的发放、账目管理、付款清算等。
3.特点
SET是一种基于消息流的协议,制定了在线银行卡支付的安全交易规范。它提供了对交易中涉及的各方面认证,降低了金融风险。然而,SET协议是一个非常复杂的协议,在具体的应用中存在实现困难、操作麻烦的问题。SET要求在银行网络、商家服务器、客户计算机上安装相应的软件,但商家不愿因复杂的安全系统所导致的烦琐操作而失去用户,这成了SET被广泛接受的障碍。到现在为止,SSL在电子商务领域内的使用率高达80%,而SET仅仅占20%不到。但SET是电子商务安全协议发展的趋势,最终将取代SSL。
IPSec协议
1.概述
1998年,IAB和IEFT公布了新的IP安全协议文档,对一些重要方面进行了研究改进,它试图为IP安全加密封装(ESP)协议和IP鉴别报头(AH)协议建立完整的安全框架和内容。
2.格式
IPSec定义了两种类型的安全协议:AH协议和ESP协议。AH协议主要用于提供数据源鉴别、数据的完整性保护以及数据的防重传保护等安全服务。ESP协议的工作机制包括加密机制和鉴别机制。为了管理密钥,IPSec中还实现了标准的密钥管理协议,即IKEP。
IPSec的保护有两种模式:一种是传输模式,用于保护IP转荷中的上层协议。第二种是隧道模式,用于保护整个IP分组。
3.特点
IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。IPSec在IP层上的实现,可以保护IP之上的任何协议,这就是IPSec的突出优点。IPSec还有一个重要的特性,它是实现虚拟专用网(VPN)的基础。实现VPN的技术基础是“隧道技术”,这是IPSec所具备的。
SSL协议和SET协议的分析比较
1. 认证机制方面:SET的安全需求较高,因此所有参与SET交易的成员(持卡人、商家、付款转接站等)都必须先申请数字证书来识别身份。而在SSL中只有商店端的服务器需要认证,客户端认证则是有选择性的。
2. 设置成本:持卡者希望申请SET交易,除了必须先申请数字证书之外,也必须在计算机上安装符合SET规格的电子钱包软件。而SSL交易则不需要另外安装软件。
3. 安全性:一般公认SET的安全性较SSL高,主要是因为整个交易过程中,包括持卡人到商店端、商店到付款转接站再到银行网络,都受到严密的保护。而SSL的安全范围只限于持卡人到商店端的信息交换。
4. 目前采用比率:由于SET的设置成本较SSL高许多,且导入国内的时间尚短,因此目前是以SSL的普及率高。但是由于网上交易的安全性需求不断升高,因此可预期SET将会快速占有市场。
5. SSL主要和Web应用一起工作:SET是为信用卡交易提供安全性,从EC(电子商业)立场来看,SET要更通用一些。然而,如果EC应用只通过Web或是电子邮件,则可能不再需要SET。
