浅析三加密方法SSL、SET和PGP

  SSL、SET和PGP是当前Internet 上比较常用的加密方法,它们在各自的应用范围内都拥有很大的用户群。本文将对这三种流行的加密方法做一比较介绍。

  SSL(Secure Socket Layer)

  SSL协议是由Netscape首先发表的网络资料安全传输协定,其首要目的是在两个通信间提供秘密而可靠的连接。该协议由两层组成,底层是建立在可靠的传输协议(例如:TCP)上的是SSL的记录层,用来封装高层的协议。SSL握手协议准许服务器端与客户端在开始传输数据前,能够通过特定的加密算法相互鉴别。SSL的先进之处在于它是一个独立的应用协议,其它更高层协议能够建立在SSL协议上。

  目前大部分的Web Server及Browser大多支持SSL的资料加密传输协定。因此,可以利用这个功能,将部分具有机密性质的网页设定在加密的传输模式,如此即可避免资料在网络上传送时被其他人窃听。

  SSL是利用公开密钥的加密技术(RSA)来作为用户端与主机端在传送机密资料时的加密通讯协定。目前,大部分的Web Server及Browser都广泛使用SSL 技术。

  对消费者而言,SSL已经解决了大部分的问题。但是,对电子商务而言问题并没有完全解决,因为SSL只做能到资料保密,厂商无法确定是谁填下了这份资料,即使这一点做到了,还有和银行清算的问题。

  SET(Secure Electronic Transaction)

  SET是IBM、信用卡国际组织(VISA/MasterCard)以及相关厂商针对网络电子交易共同制定的安全协议,它运用了RSA安全的公钥加密技术,具有资料保密性、资料完整性、资料来源可辨识性及不可否认性,是用来保护消费者在Internet持卡付款交易安全中的标准。SET 1.0版于1997年6月正式问世。现在,SET已成为国际上所公认的在Internet电子商业交易中的安全标准。

  SET协议用在安全电子银行卡的支付系统中,使用客户端的浏览器,应用于从商业站点到商业银行中。网上银行使用已经存在的程序和设备通过确认信用卡,清算客户银行户头完成交易。SET协议则通过隐藏信用卡号来保证整个支付过程的安全。所以,SET必须保证信用卡持有者与银行在现存系统和网络上,能够保持持续的联系。SET协议为在不同的系统中使用信用卡创建了一套完整的解决办法。可靠的身份验证使SET成为一个非常好的在线支付系统。它使交易中每个合法参与者能够拥有一个合理的身份,而对持卡者的身份验证是由银行来进行的。当然这其中还包括其它服务,比如:身份认证、客户服务等。这是建立另外一个可靠的用户连接的方法。同时可以方便在发生纠纷时进行仲裁。

  SET与SSL都是做消费者的认证工作的,也就是说不仅全球数据网购物站需要在认证单位进行认证,消费者也必须从认证机构获取认证。

  SET是由Electronic Wallet(电子钱包)、Merchant Server(商店端服务机)、Payment Gateway(付款转接站)和Certification Authority(认证中心)组成的,它们构成了Internet 上符合SET标准的信用卡授权交易。

  一般来说,在开放式网络上进行金融交易以SSL及SET交易协定为主,其中又以 SET被国际公认为最安全的。有鉴于此,VISA/MASTER在1997年6月提出了名为电子交易(SET:Secure Electronic Transaction)的网络交易安全规格,这个规格基本上也是利用与SSL同样的大数值编码技术,来保证资料保密与使用者认证的工作。

  目前信用卡的安全交易标准SET仍在进行前期建设。在该系统尚未正式运作前,消费者在网络上利用信用卡进行购物时,仍须承担信用卡资料被盗用的风险。

  敏感性资料在传递过程中被窃听,交易资料在传递过程中被篡改,交易的双方身份被假冒,完全相同的订单重复送出,这些问题即使对于目前SET安全交易标准来说仍旧有一定困难。利用WWW给用户提供机密性的资料时更多的会使用User Profile、SSL或CA,以避免资料在网络上传送时被其他人窃听。

  PGP(Pretty Good Privacy)

  目前,还有一种非常好的连接网络与桌面的安全方法,PGP(Pretty Good Privacy)。

  PGP是一个公钥加密程序,与以前的加密方法不同的是PGP公钥加密的信息只能用私钥解密。在传统的加密方法中,通常一个密钥既能加密也能解密。那么在开始传输数据前,如何通过一个不安全的信道传输密钥呢?使用PGP公钥加密法,你可以广泛传播公钥,同时安全地保存好私钥。由于只有你可拥有私钥,所以,任何人都可以用你的公钥加密写给你的信息,而不用担心信息被窃听。

  使用PGP的另一个好处是可以在文档中使用数字签名。一个使用私钥加密的密钥只能用公钥解密。这样,如果人们阅读用你的公钥解密后的文件,他们就会确定只有你才能写出这个文件。

  PGP是一个软件加密程序,用户可以使用它在不安全的通信链路上创建安全的消息和通信。PGP协议已经成为公钥加密技术和全球范围消息安全性的事实标准。因为所有人都能看到它的源代码,从而查找出故障和安全性漏洞,所有的故障和漏洞都在发现后被改正了。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

Time limit is exhausted. Please reload CAPTCHA.