SSL、SET和PGP是當(dāng)前Internet 上比較常用的加密方法,它們在各自的應(yīng)用范圍內(nèi)都擁有很大的用戶群。本文將對(duì)這三種流行的加密方法做一比較介紹。
SSL(Secure Socket Layer)
SSL協(xié)議是由Netscape首先發(fā)表的網(wǎng)絡(luò)資料安全傳輸協(xié)定,其首要目的是在兩個(gè)通信間提供秘密而可靠的連接。該協(xié)議由兩層組成,底層是建立在可靠的傳輸協(xié)議(例如:TCP)上的是SSL的記錄層,用來封裝高層的協(xié)議。SSL握手協(xié)議準(zhǔn)許服務(wù)器端與客戶端在開始傳輸數(shù)據(jù)前,能夠通過特定的加密算法相互鑒別。SSL的先進(jìn)之處在于它是一個(gè)獨(dú)立的應(yīng)用協(xié)議,其它更高層協(xié)議能夠建立在SSL協(xié)議上。
目前大部分的Web Server及Browser大多支持SSL的資料加密傳輸協(xié)定。因此,可以利用這個(gè)功能,將部分具有機(jī)密性質(zhì)的網(wǎng)頁設(shè)定在加密的傳輸模式,如此即可避免資料在網(wǎng)絡(luò)上傳送時(shí)被其他人竊聽。
SSL是利用公開密鑰的加密技術(shù)(RSA)來作為用戶端與主機(jī)端在傳送機(jī)密資料時(shí)的加密通訊協(xié)定。目前,大部分的Web Server及Browser都廣泛使用SSL 技術(shù)。
對(duì)消費(fèi)者而言,SSL已經(jīng)解決了大部分的問題。但是,對(duì)電子商務(wù)而言問題并沒有完全解決,因?yàn)镾SL只做能到資料保密,廠商無法確定是誰填下了這份資料,即使這一點(diǎn)做到了,還有和銀行清算的問題。
SET(Secure Electronic Transaction)
SET是IBM、信用卡國際組織(VISA/MasterCard)以及相關(guān)廠商針對(duì)網(wǎng)絡(luò)電子交易共同制定的安全協(xié)議,它運(yùn)用了RSA安全的公鑰加密技術(shù),具有資料保密性、資料完整性、資料來源可辨識(shí)性及不可否認(rèn)性,是用來保護(hù)消費(fèi)者在Internet持卡付款交易安全中的標(biāo)準(zhǔn)。SET 1.0版于1997年6月正式問世,F(xiàn)在,SET已成為國際上所公認(rèn)的在Internet電子商業(yè)交易中的安全標(biāo)準(zhǔn)。
SET協(xié)議用在安全電子銀行卡的支付系統(tǒng)中,使用客戶端的瀏覽器,應(yīng)用于從商業(yè)站點(diǎn)到商業(yè)銀行中。網(wǎng)上銀行使用已經(jīng)存在的程序和設(shè)備通過確認(rèn)信用卡,清算客戶銀行戶頭完成交易。SET協(xié)議則通過隱藏信用卡號(hào)來保證整個(gè)支付過程的安全。所以,SET必須保證信用卡持有者與銀行在現(xiàn)存系統(tǒng)和網(wǎng)絡(luò)上,能夠保持持續(xù)的聯(lián)系。SET協(xié)議為在不同的系統(tǒng)中使用信用卡創(chuàng)建了一套完整的解決辦法?煽康纳矸蒡(yàn)證使SET成為一個(gè)非常好的在線支付系統(tǒng)。它使交易中每個(gè)合法參與者能夠擁有一個(gè)合理的身份,而對(duì)持卡者的身份驗(yàn)證是由銀行來進(jìn)行的。當(dāng)然這其中還包括其它服務(wù),比如:身份認(rèn)證、客戶服務(wù)等。這是建立另外一個(gè)可靠的用戶連接的方法。同時(shí)可以方便在發(fā)生糾紛時(shí)進(jìn)行仲裁。
SET與SSL都是做消費(fèi)者的認(rèn)證工作的,也就是說不僅全球數(shù)據(jù)網(wǎng)購物站需要在認(rèn)證單位進(jìn)行認(rèn)證,消費(fèi)者也必須從認(rèn)證機(jī)構(gòu)獲取認(rèn)證。
SET是由Electronic Wallet(電子錢包)、Merchant Server(商店端服務(wù)機(jī))、Payment Gateway(付款轉(zhuǎn)接站)和Certification Authority(認(rèn)證中心)組成的,它們構(gòu)成了Internet 上符合SET標(biāo)準(zhǔn)的信用卡授權(quán)交易。
一般來說,在開放式網(wǎng)絡(luò)上進(jìn)行金融交易以SSL及SET交易協(xié)定為主,其中又以 SET被國際公認(rèn)為最安全的。有鑒于此,VISA/MASTER在1997年6月提出了名為電子交易(SET:Secure Electronic Transaction)的網(wǎng)絡(luò)交易安全規(guī)格,這個(gè)規(guī)格基本上也是利用與SSL同樣的大數(shù)值編碼技術(shù),來保證資料保密與使用者認(rèn)證的工作。
目前信用卡的安全交易標(biāo)準(zhǔn)SET仍在進(jìn)行前期建設(shè)。在該系統(tǒng)尚未正式運(yùn)作前,消費(fèi)者在網(wǎng)絡(luò)上利用信用卡進(jìn)行購物時(shí),仍須承擔(dān)信用卡資料被盜用的風(fēng)險(xiǎn)。
敏感性資料在傳遞過程中被竊聽,交易資料在傳遞過程中被篡改,交易的雙方身份被假冒,完全相同的訂單重復(fù)送出,這些問題即使對(duì)于目前SET安全交易標(biāo)準(zhǔn)來說仍舊有一定困難。利用WWW給用戶提供機(jī)密性的資料時(shí)更多的會(huì)使用User Profile、SSL或CA,以避免資料在網(wǎng)絡(luò)上傳送時(shí)被其他人竊聽。
PGP(Pretty Good Privacy)
目前,還有一種非常好的連接網(wǎng)絡(luò)與桌面的安全方法,PGP(Pretty Good Privacy)。
PGP是一個(gè)公鑰加密程序,與以前的加密方法不同的是PGP公鑰加密的信息只能用私鑰解密。在傳統(tǒng)的加密方法中,通常一個(gè)密鑰既能加密也能解密。那么在開始傳輸數(shù)據(jù)前,如何通過一個(gè)不安全的信道傳輸密鑰呢?使用PGP公鑰加密法,你可以廣泛傳播公鑰,同時(shí)安全地保存好私鑰。由于只有你可擁有私鑰,所以,任何人都可以用你的公鑰加密寫給你的信息,而不用擔(dān)心信息被竊聽。
使用PGP的另一個(gè)好處是可以在文檔中使用數(shù)字簽名。一個(gè)使用私鑰加密的密鑰只能用公鑰解密。這樣,如果人們閱讀用你的公鑰解密后的文件,他們就會(huì)確定只有你才能寫出這個(gè)文件。
PGP是一個(gè)軟件加密程序,用戶可以使用它在不安全的通信鏈路上創(chuàng)建安全的消息和通信。PGP協(xié)議已經(jīng)成為公鑰加密技術(shù)和全球范圍消息安全性的事實(shí)標(biāo)準(zhǔn)。因?yàn)樗腥硕寄芸吹剿脑创a,從而查找出故障和安全性漏洞,所有的故障和漏洞都在發(fā)現(xiàn)后被改正了。