第7章电子商务安全协议.ppt

网络安全技术 第7章 电子商务安全协议 电子商务的SSL、SET协议 基于SSL协议Web服务器构建 7.1 SSL——提供网上购物安全的协议 安全套接层(Secure Sockets Layer，SSL)是一种传输层技术，可以实现兼容浏览器和服务器之间的安全通信。SSL协议是目前网上购物网站中常使用的一种安全协议。 所谓SSL就是在和另一方通信前先讲好的一套方法，这个方法能够在它们之间建立一个电子商务的安全性秘密信道，确保电子商务的安全性，凡是不希望被别人看到的机密数据，都可通过这个秘密信道传送给对方，即使通过公共线路传输，也不必担心别人的偷窥。 SSL标准主要提供了3种服务：数据加密服务、认证服务与数据完整性服务。 1.数据加密服务：采用的是对称加密技术与公开密钥加密技术。 2.认证服务：SSL客户机与服务器都有各自的识别号，这些识别号使用公开密钥进行加密。 3.数据完整性服务：采用哈希函数和机密共享的方法提供完整信息性的服务，在客户机与服务器之间建立安全通道，以保证数据在传输中完整地到达目的地。 SSL标准的工作流程主要包括以下几步： 1.SSL客户机向SSL服务器发出连接建立请求，SSL服务器响应SSL客户机的请求； 2.SSL客户机与SSL服务器交换双方认可的密码，一般采用的加密算法是RSA算法； 3.检验SSL服务器得到的密码是否正确，并验证SSL客户机的可信程度；SSL客户机与SSL服务器交换结束的信息。 SSL安全协议也有它的缺点，主要有：不能自动更新证书；认证机构编码困难；浏览器的口令具有随意性；不能自动检测证书撤销表；用户的密钥信息在服务器上是以明文方式存储的。客户的数据都完全暴露在商家的面前。 但因操作容易，成本低，而且又在不断改进，所以在欧美的商业网站上的应用是较广泛的。 7.2 SET——提供安全的电子商务数据交换 对安全有非常高的要求敏感的部门，SSL安全协议有缺点，不足以担此重任。 提出了有重大实用价值和深远影响的安全电子交易 (Secure Electronic Transaction，SET) 。SET协议得到了许多大公司的支持，已成为事实上的工业标准。 SET是一种以信用卡为基础的、在因特网上交易的付款协议书，是授权业务信息传输安全的标准，它采用RSA密码算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用散列函数来鉴别信息的完整性。 在SET的交易环境中，比现实社会中多一个电子商务的安全性认证中心——电子商务的安全性CA参与其中，在SET交易中认证是很关键的。 1. SET的主要目标 (1) 信息传输的安全性：信息在因特网上安全传输，保证不被外部或内部窃取。 (2) 信息的相互隔离：订单信息和个人账号信息的隔离。 (3) 多方认证的解决：①要对消费者的信用卡认证；②要对网上商店进行认证；③消费者、商店与银行之间的认证。 (4) 效仿EDI贸易形式，要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能。 (5) 交易的实时性：所有的支付过程都是在线的。 2. SET的交易成员 (1) 持卡人——消费者：持信用卡购买商品的人，包括个人消费者和团体消费者，按照网上商店的表单填写，通过由发卡银行发行的信用卡进行付费。 (2) 网上商家：在网上的符合SET规格的电子商店，提供商品或服务，它必须是具备相应电子货币使用的条件，从事商业交易的公司组织。 (3) 收单银行：通过支付网关处理持卡人和商店之间的交易付款问题事务。接受来自商店端送来的交易付款数据，向发卡银行验证无误后，取得信用卡付款授权以供商店清算。 (4) 支付网关：这是由支付者或指定的第三方完成的功能。为了实现授权或支付功能，支付网关将SET和现有的银行卡支付的网络系统作为接口。 (5) 发卡银行——在交易过程开始前，发卡银行负责查验持卡人的数据，如果查验有效，整个交易才能成立。在交易过程中负责处理电子货币的审核和支付工作。 (6) 认证中心CA——可信赖、公正的组织：接受持卡人、商店、银行以及支付网关的数字认证申请书，并管理数字证书的相关事宜。 3. SET的技术范围 SET的技术范围包括以下几方面。 (1) 加密算法。 (2) 证书信息和对象格式。 (3) 购买信息和对象格式。 (4) 认可信息和对象格式。 (5) 划账信息和对象格式。 (6) 对话实体之间消息的传输协议。 4. SET软件的组件 SET系统的动作是通过4个软件来完成的，包括电子钱包、商店服务器、支付网关和认证中心软件. 5. SET的认证过程 基于SET协议电子商务系统的业务过程可分为注册登记申请数字证书，动态认证和商业机构的处理。 SET认证之一——注册登记 一