网络安全协议之比较（SSH、 PKI、SET、SSL）

一、SSH介绍

什么是SSH？
传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据， 别有居心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方法也是有其弱点的， 就是很容易受到“中间人”（man-in-the-middle）这种方法的攻击。所谓“中间人”的攻击方法， 就是“中间人”冒充真正的服务器吸收你的传给服务器的数据，然后再冒充你把数据传给真正的服务器。 服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会涌现很严重的问题。

SSH的英文全称是Secure
SHell。通过利用SSH，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方法就不可能实现了， 而且也能够防止DNS和IP诱骗。还有一个额外的利益就是传输的数据是经过压缩的，所以可以加快传输的速度。 SSH有很多功效，它既可以代替telnet，又可认为ftp、pop、甚至ppp供给一个安全的“通道”。

最初SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制，现在很多人都转而利用OpenSSH。 OpenSSH是SSH的替代软件，而且是免费的，可以预计将来会有越 来越多的人利用它而不是SSH。

SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分辨是：1.x和2.x。 用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支撑SSH 1.x和2.x。

SSH的安全验证是如何工作的
从客户端来看，SSH供给两种级别的安全验证。

第一种级别（基于口令的安全验证）只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密， 但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器， 也就是受到“中间人”这种方法的攻击。

第二种级别（基于密匙的安全验证）需要依附密匙，也就是你必须为自己创立一对密匙，并把公用密匙放在需要访问的服务器上。 如果你要连接到SSH服务器上，客户端****就会向服务器发出恳求，恳求用你的密匙进行安全验证。服务器收到恳求之后， 先在你在该服务器的家目录下寻找你的公用密匙，然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致， 服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端****。 客户端****收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。

用这种方法，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。

第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方法也是不可能的（因为他没有你的私人密匙）。 但是全部登录的过程可能需要10秒。
二、SSL介绍（Secure socket Layer & Security Socket Layer）

　　一个利用程序的安全需求在很大程度上依附于将如何利用该利用程序和该利用程序将要掩护什么。不过，用现有技术实现壮大的、 一般用处的安全通常是可能的。认证就是一个很好的示例。

　　当顾客想从 Web 站点购置某个产品时，顾客和 Web 站点都要进行认证。顾客通常是以供给名字和密码的方法来认证他自己。 另一方面，Web 站点通过交换一块签名数据和一个有效的 X.509 证书（作为 SSL 握手的一部分）来认证它自己。 顾客的浏览器验证该证书并用所附的公用密钥验证签名数据。一旦双方都认证了，则交易就可以开始了。

　　SSL 能用雷同的机制处理服务器认证（就如在上面的示例中）和客户机认证。 Web 站点范例地对客户机认证不依附 SSL — 恳求用户供给密码是较容易的。而 SSL 客户机和服务器认证对于透明认证是完善的， 对等机 — 如 p2p 利用程序中的对等机之间必定会产生透明认证。

　　安全套接字层（Secure Sockets Layer（SSL）） ，SSL 是一种安全协议，它为网络（例如因特网）的通信供给私密性。SSL 使利用程序在通信时不用担心被****和修正。 SSL 实际上是共同工作的两个协议：“SSL 记载协议”（SSL Record Protocol）和“SSL 握手协议” （SSL Handshake Protocol）。“SSL 记载协议”是两个协议中较低级别的协议，它为较高级别的协议， 例如 SSL 握手协议对数据的变长的记载进行加密和解密。SSL 握手协议处理利用程序凭证的交换和验证。

　　当一个利用程序（客户机）想和另一个利用程序（服务器）通信时，客户机打开一个与服务器相连接的套接字连接。然后， 客户机和服务器对安全连接进行协商。作为协商的一部分，服务器向客户机作自我认证。客户机可以选择向服务器作或不作自我认证。 一旦完成了认证并且建立了安全连接，则两个利用程序就可以安全地进行通信。按照惯例，我将把发起该通信的对等机看作客户机， 另一个对等机则看作服务器，不管连接之后它们充当什么角色。

此主题相干图片如下：

名为 A 和 B 的两台对等机想安全地进行通信。在我们简略的 p2p 利用程序的环境中，对等机 A 想查询对等机 B 上的一个资源。 每个对等机都有包含其专用密钥的一个数据库（名为 keystore）和包含其公用密钥的证书。密码掩护数据库的内容。 该数据库还包含一个或多个来自被信任的对等机的自签名证书。 对等机 A 发起这项事务，每台对等机相互认证，两台对等机协商采用的密码及其长度并建立一个安全通道。完成这些操作之后， 每个对等机都知道它正在跟谁交谈并且知道通道是安全的。 SSL (Secure socket Layer)安全套接层协议重要是利用公开密钥体制和X.509数字证书技术掩护信息传输的机密性和完整性， 它不能保证信息的不可抵赖性，重要实用于点对点之间的信息传输，常用Web Server方法。

　　安全套接层协议（SSL，Security Socket Layer）是网景（Netscape）公司提出的基于WEB利用的安全协议，它包含：服务器认证、 客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务利用来说，利用SSL可保证信息的真实性、 完整性和保密性。但由于SSL不对利用层的消息进行数字签名，因此不能供给交易的不可否定性，这是SSL在电子商务中利用的最大不足。 有鉴于此，网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作“表单签名（Form Signing）”的功效， 在电子商务中，可利用这一功效来对包含购置者的订购信息和付款指令的表单进行数字签名，从而保证交易信息的不可否定性。综上所述， 在电子商务中采用单一的SSL协议来保证交易的安全是不够的，但采用"SSL+表单签名"模式能够为电子商务供给较好的安全性保证。
 
三、PKI介绍

　　为解决Internet的安全问题，世界各国对其进行了多年的研究，初步形成了一套完整的Internet安全解决方案， 即目前被广泛采用的PKI系统结构，PKI系统结构采用证书管理公钥，通过第三方的可信机构CA， 把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份， PKI系统结构把公钥密码和对称密码联合起来，在Internet网上实现密钥的主动管理，保证网上数据的机密性、完整性。

　　从广义上讲，所有供给公钥加密和数字签名服务的系统，都可叫做PKI系统，PKI的重要目标是通过主动管理密钥和证书， 可认为用户建立起一个安全的网络运行环境，利用户可以在多种利用环境下方便的利用加密和数字签名技术， 从而保证网上数据的机密性、完整性、有效性，数据的机密性是指数据在传输过程中，不能被非授权者偷看， 数据的完整性是指数据在传输过程中不能被非法修正，数据的有效性是指数据不能被否定。一个有效的PKI系统必须是安全的和透明的， 用户在获得加密和数字签名服务时，不需要详细地懂得PKI是怎样管理证书和密钥的，一个范例、完整、 有效的PKI利用系统至少应具有以下部分：

公钥密码证书管理。

黑名单的发布和管理。

密钥的备份和恢复。

主动更新密钥。

主动管理历史密钥。

支撑交*认证。
　　由于PKI系统结构是目前比较成熟、完善的Internet网络安全解决方案， 国外的一些大的网络安全公司纷纷推出一系列的基于PKI的网络安全产品，如美国的Verisign, IBM , Entrust等安全产品供给商为用户供给了一系列的客户端和服务器端的安全产品，为电子商务的发展供给了安全保证。 为电子商务、政府办公网、EDI等供给了完整的网络安全解决方案。
 

　　PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、 证书发放机构（CA）和关于公开密钥的安全策略等基础成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种系统， 是一种基础设施，网络通信、网上交易是利用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统， 即安全认证系统-CA/RA系统是PKI不可缺的组成部分。

　　PKI（Public Key Infrastructure）公钥基础设施是供给公钥加密和数字签名服务的系统或平台， 目标是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。 X.509格式的证书和证书破除列表(CRL)； CA/RA操作协议； CA管理协议； CA政策制定。

四、SET协议介绍

　　电子商务在供给机会和方便的同时，也面临着一个最大的寻衅，即交易的安全问题。在网上购物的环境中， 持卡人渴望在交易中保密自己的帐户信息，使之不被人盗用；商家则渴望客户的定单不可抵赖，并且，在交易过程中， 交易各方都渴望验明其他方的身份，以防止被诱骗。针对这种情况， 由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构， 共同制定了利用于Internet上的以银行卡为基础进行在线交易的安全标准， “这就是“安全电子交易”（Secure Electronic Transaction，简称SET）。它采用公钥密码体制和X.509数字证书标准， 重要利用于保障网上购物信息的安全性。

　　由于SET 供给了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否定性， 特别是保证不将消费者银行卡号裸露给商家等优点，因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。

　　SET(Secure Electronic Transaction)安全电子交易协议是由美国Visa和MasterCard两大信用卡组织提出的利用于 Internet上的以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X.509数字证书标准， 重要利用于B to C模式中保障支付信息的安全性。SET协议本身比较复杂，设计比较严格，安全性高， 它能保证信息传输的机密性、真实性、完整性和不可否定性。SET协议是PKI框架下的一个范例实现，同时也在不断升级和完善， 如SET 2.0将支撑借记卡电子交易。