SSL技术在电子商务网站中应用.docVIP

SSL技术在电子商务网站中应用 　　【摘要】文章介绍了目前广泛应用于电子商务网站的SSL安全技术的工作原理，以及在SSL技术在整个电子商务安全体系中的作用。最后，通过建立一个基于SSL的安全网站为例，介绍了SSL技术在电子商务网站的部署过程。 　　【关键词】电子商务；安全协议；SSL；TLS 　　 　　随着信息化的浪潮席卷全球，传统的商务模式越来越受到巨大的冲击。越来越多的企业和个人消费者，在Internet 开放的网络环境下，基于浏览器/服务器应用方式，实现消费者网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式――电子商务。在互联网上，信息在源-宿的传递过程中会经过其它的计算机。一般情况下，中间的计算机不会监听路过的信息。但在使用网上银行或者进行信用卡交易的时候有可能被监视，从而导致个人隐私的泄露。随着网上支付的不断发展，人们对电子商务网站中的信息安全要求越来越高，为了保护敏感数据在传送过程中的安全，全球许多知名企业采用SSL（Security Socket Layer）加密机制。SSL是Netscape公司所提出的安全保密协议，在网络传输层之上提供的一种基于非对称密钥和对称密钥技术的用于浏览器和Web服务器之间的安全连接技术，实现在浏览器（如Internet Explorer、Netscape Navigator）和Web服务器（如Netscape的Netscape Enterprise Server、ColdFusion Server等等）之间构造安全通道来进行数据传输。SSL运行在TCP/IP层之上、应用层之下，为应用程序提供加密数据通道，它采用了RC4、MD5以及RSA等加密算法，适用于商业信息的加密。这种协议在WEB上获得了广泛的应用。之后IETF（）对SSL作了标准化，即RFC2246，并将其称为TLS（Transport Layer Security），从技术上讲，TLS1.0与SSL3.0的差别非常微小。 　　 　　一、SSL工作原理 　　 　　SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性，并且会话双方能鉴别对方身份。不同于常用的http协议，我们在与网站建立SSL安全连接时使用https协议，即采用https://ip:port/的方式来访问。 　　当我们与一个网站建立https连接时，我们的浏览器与Web Server之间要经过一个握手的过程来完成身份鉴定与密钥交换，从而建立安全连接。具体过程如下： 　　1．用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送到服务器。 　　2．服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送给浏览器，同时发给浏览器的还有服务器的证书。如果配置服务器的SSL需要验证用户身份，还要发出请求要求浏览器提供用户证书。 　　3．客户端检查服务器证书，如果检查失败，提示不能建立SSL连接。如果成功，那么继续。 　　4．客户端浏览器为本次会话生成pre-master secret，并将其用服务器公钥加密后发送给服务器。 　　5．如果服务器要求鉴别客户身份，客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。 　　6．如果服务器要求鉴别客户身份，则检查签署客户证书的CA是否可信。如果不在信任列表中，结束本次会话。如果检查通过，服务器用自己的私钥解密收到的pre-master secret，并用它通过某些算法生成本次会话的master secret。 　　7．客户端与服务器均使用此master secret生成本次会话的会话密钥（对称密钥）。在双方SSL握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上，能够显著提高双方会话时的运算速度。 　　8．客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端已经完成本次SSL握手。 　　9．服务器通知客户端此后发送的消息都使用这个会话密钥进行加密。并通知客户端服务器已经完成本次SSL握手。 　　10．本次握手过程结束，会话已经建立。双方使用同一个会话密钥分别对发送以及接受的信息进行加、解密。 　　 　　二、SSL技术在电子商务网站的应用 　　 　　一个完整的电子商务的安全体系结构由网络基础结构层、PKI体系结构层、安全协议层、应用系统层组成。其中，下层是上层的基础，为上层提供技术支持；上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。通过不同的安全控制技术，实现各层的安全策略，保证电子商务系统的安全。 　　网络基础结构层包括多厂商的网络服务及网络系