淺談網路交易安全

 

目前廣泛應用在線上信用卡交易的網路交易安全機制有SSL(Secure Socket Layer)與SET(Secure Electronic Transaction) 兩種。兩者的特性與運作方式為何?差別又在哪裡？首先介紹目前在臺灣最常被使用的SSL。

何謂SSL？
SSL(Secure Socket Layer)協定是由Netscape公司所提出架構於TCP/IP傳輸協定與HTTP應用協定之間的通訊安全協定，提供了加密、驗證及數位簽章等功能，以保護機密資料，如信用卡號碼在網路上傳送。SSL也是目前在臺灣最常被使用的網際網路通訊安全標準。

上面這句話說明了SSL的三個主要功能：加密、驗證及電子簽章。簡單說明如下：
當線上購物者在傳送訂單資料之前，SSL 協定會產生一把對稱金鑰(Session Key)將訂單資料 "加密" 成亂碼。當電子商店在接收亂碼後，也是使用相同的一把對稱金鑰 "解密" 出訂單資料。
為了避免資料在傳輸的過程中遭到惡意攔截及竄改，SSL使用Hash對原始資料產生一份訊息摘要。訊息摘要的每一個位元都與原始資料的每個位元息息相關。即使修改了原始資料的一個逗號，所得到的訊息摘要就會不同，因此只要訊息摘要不變，便可確認原始資料未遭竄改。這種確保資料的完整性的方式稱為數位簽章。

有了加密及數位簽章，可保證資料是安全的而且不失真。除此之外，還需要考慮一個非常基本的問題。那就是如何相信這家電子商店是登記有案，合法經營而且就是他所宣稱的那一家電子商店，而不是網路蟑螂？套句行話來說，就是如何對電子商店進行認證？首先電子商店必須在具有公信力的發證機構(Certificate Authority,CA)註冊，例如網際威信HiTRUST。一旦通過查證屬實，便會核發數位憑證(Digital Certificate)給電子商店，以作為身分確認之用。除此之外，數位憑證也包含了一把公開金鑰對資料加/解密用的對稱金鑰進行加密。既然資料需要加密，解密的金鑰當然也需要加密不是嗎？

SSL是否成功取決於使用者是否信任認證中心核發的數位憑證。基於這個理由，認證必須由具有公信力得第三者認證中心來核發。認證中心有責任確認認證資料是否正確有效。

SSL的運作流程
接下來我們來看看SSL的整個運作的流程，與前面說明的概念做個應驗。

1.線上購物者使用 https 通訊協定與電子商店建立連線。

2.電子商店傳送包括伺服器公開金鑰的伺服器認證給線上購物者。

3.線上購物者的瀏覽器產生一把加解密資料用的對稱金鑰(Session Key)，使用伺服器的公開金鑰(Public Key)將對稱金鑰 "加密" 成亂碼，傳送給網站伺服器。

4.電子商店使用伺服器的私密金鑰(Private Key) "解密" 出瀏覽器所產生的對稱金鑰。

5.電子商店與線上購物者的瀏覽器使用這一把對稱金鑰，將資料作加解密以相互傳送機密資料。

如果線上交易的成員除了線上購物者和電子商店，還包括了收單銀行的三方交易，那麼SSL這種點對點通訊協定便無法做到三方(線上購物者、電子商店及收單銀行)的身分確認。此時便需要考慮另一種網路交易安全機制—SET。SET是如何做到三方甚至四方的身份確認，以及它的特性有哪些，這裡先賣一個關子，我們下一次見 :)

转自:http://www.ithome.com.tw/plog/index.php?op=ViewArticle&articleId=5419&blogId=620

转载此文仅为自己收集资料学习之用.