网上支付的安全使用数据机密技术、抗抵赖技术、身份认证技术.ppt

五、 网上支付的SSL与SET协议机制 安全套接层协议SSL是由网景（Netscape）公司于1994年推出的一套基于Web应用的Internet安全协议，提供浏览器和服务器之间的鉴别和安全通信。 1、SSL协议 Internet上对应的七层网络模型的每一层都已经提出了相应的加密协议。SSL是工作于网络会话层（Socket Layer）的网络安全协议。 SSL协议的构成 SSL协议分为两层：SSL握手协议和SSL记录协议 HTTPS、FTPS、TELNETS、IMAPS SSL握手协议 SSL记录协议 TCP IP 应用层 网络层 SSL记录协议用于加密传输数据和对数据完整性的保证。 SSL握手协议用于通信双方的身份认证和密钥协商； 握手过程一般是由五个阶段构成的： 1.接通阶段（Hello阶段）:客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接； 2.密钥交换阶段 :服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息 3.会话密钥（会话-钥匙）生成阶段:客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器； 4.认证阶段:服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。 5.结束阶段 （1）身份认证：在浏览器和服务器进行通信之前，必须先验证对方的身份。SSL利用数字证书和可信的第三方CA，让客户机和服务器相互识别对方的身份并进行密钥交换。 SSL解决的问题（功能） ?客户对服务器的身份认证 SSL服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心（CA）的证书，来确认服务器的合法性。 ?服务器对客户的身份认证 也可通过公钥技术和证书进行认证，也可通过用户名，password来认证。 ?建立服务器与客户之间安全的数据通道 SSL要求客户与服务器之间的所有发送的数据都被发送端加密、接收端解密，同时还检查 数据的完整性 （2）秘密性：SSL客户机和服务器之间通过密码算法和密钥的协商，建立起一个安全通道，以后在安全通道中传输的所有信息都将经过加密处理。 （3）完整性：SSL利用密码算法和散列函数，通过对传输信息提取散列值的方法来保证传输信息的完整性 SSL协议实现的六个阶段 ⑴接通阶段：客户机通过网络向服务器打招呼，服务器回应，向客户机发送数字证书或发出危险警告； ⑵密码交换阶段：客户机与服务器之间交换双方认可的密码，一般选用RSA密码算法；(Diffie-Hellman和Fortezza-KEA) ⑶会谈密码阶段：客户机器与服务器间产生彼此交谈的会谈密码； 建立SSL安全连接的过程 ⑷检验阶段：客户机检验服务器取得的密码； ⑸客户认证阶段：服务器验证客户机的可信度； ⑹结束阶段：客户机与服务器之间相互交换结束的信息。 ＳＳＬ协议特点 SSL协议可用于保护正常运行于TCP之上的任何应用 协议，如HTTP、FTP、SMTP或Telnet的通信，最常 见的是用SSL来保护HTTP的通信。 它是与应用层协议无关的 在应用层协议之前就已经完成加密算法、通信密钥的协商以及服务器的认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的安全性 优点： 只能实现客户与服务器间的双方认证，不能 实现多方认证 确保数据传输的过程的安全，无法保证 传递是否有人截取 系统的安全性差 不足 2、安全电子交易（ SET ）协议概述 SET协议是目前广泛使用的一种网络银行卡付款机制，是进行在线交易时保证银行卡安全支付的一个开放协议。它是保证在开放网络上进行安全支付的技术标准，是专为保护持卡人、商家、发卡银行和收单银行之间，在Internet上进行信用卡支付的安全交易协议。 SET协议的目的：保证网络交易的安全 SET协议的主要目标 （1）保证信息在Internet上安全传输，SET能确保网络上传输信息的机密性及完整性； （2）解决多方身份认证的问题，SET提供对交易各方（包括持卡人、商家、收单银行）的身份认证； （3）保证电子商务各方参与者信息的隔离，客户的资料加密或打包后经过商家到达银行，但商家看不到客户的帐号和口令信息，保证了客户账户的安全和个人隐私。 （4）保证网上交易的实时性，使所有的支付过程都是在线的。 （5）规范协议和消息格式，使不同厂家基于SET协议开发的软件具有兼容性和互操作性。允许在任何软、硬件平台上运行，这些规范保证了SET协议能够被广泛应用。 （6）实现可推广性。 SET系统的参与者 持卡人 网上商店 支付网关 认证中心CA 发卡银行 ISO 8583 银行网络 收单银行 Internet SET协议的购物