摘 要:SSL协议是TCP/IP的套接层安全协议,在网上银行、电子商务中得到了广泛的应用,为电子商务的传输数据提供了安全性、保密性。本文介绍了SSL协议的原理,并对其安全性进行了分析。
关键词:SSL;电子商务;数据安全
1 引言
随着计算机技术和Internet的飞速发展,商业活动实现了电子化,从而发展成为电子商务。电子商务借助互联网、企业内部网和增值网等计算机与网络和现代通信技术,按照一定的标准,利用电子化工具,将传统的商业活动的各个环节电子化、网络化,从而以数字化方式来进行交易活动和相关服务活动。
电子商务包括电子货币交换、供应链管理、电子交易市场、网络营销、在线事务处理、电子数据交换(EDI)、存货管理和自动数据收集系统。电子商务完全不同于传统的商务活动,它是一种以网络为载体的新的商务运作方式。
(1)SSL不能提供交易的不可否认性。SSL协议是基于Web应用的安全协议,它只能提供安全认证,保证SSL链路上的数据完整性和保密性。却不能对电子商务的交易应用层的信息进行数字签名,因此,SSL不能提供交易的不可否认性,这可以说是SSL在电子商务中最大的缺陷。
(2)SSL只能提供客户机到服务器之间的两方认证,无法适应电子商务中的多方交易业务。
(3)SSL易遭受Change Cipher Spec消息丢弃攻击。由于SSL握手协议中存在一个漏洞:在finished消息中没有对变换加密的说明消息进行认证处理,在接收到该消息前,所有的密码族都不做任何加密处理和MAC保护,只有在接收到Change Cipher Spec消息之后,记录层才开始对通信数据进行加密和完整性保护。这种处理机制使得SSL易遭受Change Cipher Spec消息丢弃攻击。
(4)SSL无法避免通信业务流分析攻击。由于SSL位于TCP/IP的协议层之上,因此,无法对TCP/IP协议头部进行保护,导致潜在的隐患。攻击者通过获取IP地址、URL请求的长度以及返回的Web页面的长度等信息,可以分析出用户访问的目标,再加上SSL协议只支持对
块密码的随机填充,没有提供对流式密码算法的支持,使得SSL无法阻止这类攻击。
4 总结
电子商务正飞速地发展。用于保障电子商务活动的安全协议主要有S-HTTP、STT、IKP、SET和SSL。其中SSL协议是目前电子商务采用的主要的网上交易协议。SSL协议采用了加密、认证等安全措施,结合了Hash算法,较好地保证了数据在传输过程中的保密性、可靠性和完整性,在一定程度上放置了欺骗、篡改、重放等攻击。本文在介绍SSL协议栈及其工作原理和机制的基础上,对基于SSL的电子商务的安全性进行了分析。
参考文献:
[1] 邢双慧.浅谈电子商务与SSL协议[J].硅谷,2010(01):37
[2] 胡建伟,马建峰.网络安全与保密[M].西安:西安电子科技大学出版社,2006,07:142
[3] 张海燕.电子商务中SSL协议的安全分析[J].中国商界,2009(10):201-202