第八章安全套接层协议.pptVIP

3、安全盲点 系统管理员没办法使用现有的安全漏洞扫描（vulnerability scanners）或网络入侵侦测系统（intrusion detection systems，IDS），来审查或监控网络上的SSL交易。 网络入侵侦测系统是通过监测网络传输来找寻没有经过认证的活动。任何符合已知的攻击模式或者并未经过政策上授权的网络活动都被标起来以供系统管理者检视。而要让IDS能够发生作用，IDS必须能够检视所有的网络流量信息，但是SSL的加密技术却使得通过http 传输的信息无法让IDS辨认。 再者，虽然我们可以用最新的安全扫描软件审查一般的网页服务器来寻找已知的安全盲点，这种扫描软件并不会检查经过SSL保护的服务器。受到SSL保护的网页服务器的确拥有与一般服务器同样的安全盲点，可是也许是因为建立SSL连结所需要的时间以及困难度，安全漏洞扫描软件并不会审查受到SSL 保护的网页服务器。没有网络监测系统再加上没有安全漏洞审查，使得最重要的服务器反而成为受到最少防护的服务器。 8.5SSL代理协议Proxy 为了增强SSL的安全性，目前在国内电子商务或网上银行的B2B应用模式普遍采用了SSL代理协议Proxy。这类代理协议产品繁多．功能各异。在此，我们重点介绍加拿大Entrust公司的Direct／Proxy软件，它功能齐全、技术先进。 对于TCP／IP协议的研制者们来说，由于当初的安全保密技术还没有发展到现在的程度，受当时的技术条件所限，他们没能在IP层与TCP层之间设置网络安全加密机制。同时，又受当初对技术发展的前瞻性认识的限制，没有预料到会由于TCP／IP的出现，造就了Internet而Internet的发明专家们绝对没有料到今天会在Internet上做电子商务。 8.5SSL代理协议Proxy 因此，就导致了在传统的浏览器与服务器之间的信息传递，没能提供高强度的加密机制，其安全性满足不了企业级和电子商务对数据处理的安全性要求。现归纳起来有以下几个方面。 (1)一般的浏览器和服务器的Web证书与SSL证书及其所支持的SSL协议，由于美国政府的出口限制，对一些国家只提供40位对称加密强度。用现在的技术手段．对只有40位密钥的DES算法，其破译时间只需几秒，交易风险太大，不能满足网上银行、网上购物的B2B应用模式的需求。 8.5SSL代理协议Proxy (2)Web证书和SSL证书及其SSL协议，没有提供数字签名的功能，因此，不具备抗否认性。 (3)不能在线进行CRL自动查询。这种透明的黑名单自动查询，对B toB电子商务应用是不可缺的。能保证网上交易的可靠性及安全性。 (4)不具备完善的证书管理功能，如证书有效期及密钥的管理等功能。 8.6SET协议与SSL协议的比较 支付系统是电子商务的关键，但支持支付系统的关健技术的未来走向尚未确定。安全套接层协议(SSL)和安全电子交易协议(SET)是两种重要的通信协议，每一种都提供了通过Internet进行支付的手段。但是，两者之中谁将领导未来潮流呢? SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展，但如果想要电子商务得以更成功地广泛开展的话，必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置，比较容易投入应用。 事实上，SET和SSL除了都采用RSA公钥算法以外．二者在其他技术方面没有任何相似之处，而RSA在二者中也被用来实现不同的安全目标。 8.6SET协议与SSL协议的比较 SET是一种基于信息流的协议，它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布，用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受住了考验，但大多数在Internet上采购的消费者并没有真正使用SET。 SET是一个非常复杂的协议，因为它详尽而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，SET远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义和希望得到数字证书以及响应信息的各方应有的动作，以及与一笔交易紧密相关的责任分担。 8.6SET协议与SSL协议的比较 6.8.1SET与SSL的特点 6.8.2SSL和SET性能及费用的比较 6.8.1SET与SSL的特点 我们知道SET是一个多方的消息报文协议，它定义了银行、商家、持卡人之间必须符合的报文规范。与此同时，SSL只是简单地在两方之间建立了一条安全连接。SSL是面向连接的，SET允许各方之间的报文交换不