第12章Web电子商务安全辩析.ppt

第十二章 第十二章 WEB电子商务安全 12.1 电子商务概述 12.2 安全电子商务的体系结构 12.3 安全电子交易SET 12.4 安全套接字层SSL 12.5 数字现金协议 12.6 网上银行 B2C是从企业到终端客户（包括个人消费者和组织消费者）的业务模式。 B2B是企业与企业之间的业务模式。 （1）冒名偷窥。 （2）篡改数据。 （3）信息丢失。 （4）信息传递过程中的破坏。 12.2 安全电子商务的体系结构 12.3 安全电子交易SET 背景： VISA与MASTER CARD两大信用卡国际组织共同发起制定保障在因特网上进行安全电子交易的SET(Secure Electronic Transaction)协议 由众多信息产业公司，如Microsoft、Netscape、RSA等共同协作发展而成 用途： 围绕客户、商家等交易各方相互之间身份的确认，采用了电子证书等技术，以保障交易安全 12.3.1 SET协议概述 SET协议主要内容 加密算法（RSA和DES）的应用 证书消息和对象格式 购买消息和对象格式 付款消息和对象格式 参与者之间的消息协议 12.3.1 SET协议概述 SET支付系统中的相关成员： 12.3.2 SET协议工作原理 1.SET协议消息传输过程 SET协议消息发送过程: 数字信封：将对称密钥通过非对称公钥加密的结果分发对称密钥的方法 1.SET协议消息传输过程 SET协议消息接收过程： (1)消费者互联网购买的物品并形成订货单。订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息 (2)消费者选择付款方式、确认订单、签发付款指令。SET开始介入 (3)在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息 (4)在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到持卡人的发卡银行请求支付认可。批准交易后，返回确认信息给电商 (5)电商发送订单确认信息给消费者 (6)电商发送货物或提供服务，支付网关通知发卡银行请求支付 (7)消费者确认收货后，支付网关支付给收款银行 12.3.2 SET协议工作原理 3.双重签名 产生背景：消费者不想让银行看到订单细节，同时也不想让商家看到银行支付信息 例如消息A是订单信息，消息B是支付信息，或者互换一下 Netscape公司开发的一个网络安全协议 已成为事实上的安全网上交易标准协议 三个版本： SSL 1.0 SSL 2.0 SSL 3.0 IETF发布了TLS(Transport Layer Security),TLS 1.0 通常被称作SSL 3.1 TLS 1.1 TLS 1.2 SSL与SET 最大不同在于SSL是一个双方协议，仅提供通信双方的安全保证，而SET协议则提供通信多方的安全保证 SSL比SET简单得多，目前在Web服务中已广泛使用 12.4.1 SSL概述 SSL功能： 客户认证服务器身份 服务器认证客户身份 客户与服务器自动协商生成密钥 加密客户与服务器间的数据，并可抵御重放攻击 检测客户与服务器间数据的完整性 12.4.2 SSL工作原理 1. SSL协议体系结构 SSL仅被广泛用于HTTP连接 SSL位于TCP和应用层协议(如HTTP)之间 理论上，SSL可以运行于任何TCP/IP应用程序之上，而不用对其做任何修改 12.4.2 SSL工作原理 SSL记录协议在客户机和服务器之间传输应用数据和SSL控制数据 12.4.2 SSL工作原理 2.SSL记录协议 SSL记录协议报文格式： 12.4.2 SSL工作原理 3.SSL改变密码规范协议和告警协议 12.4.2 SSL工作原理 5.SSL握手协议： 该协议允许客户和服务器相互验证、协商加密和MAC算法以及密钥，用来保护SSL记录发送的数据。 网络钓鱼流程图 12.6 网上银行 网络钓鱼(Spear Phishing) 极光行动（Aurora） 2009年12月中旬可能源自中国“精心策划且目标明确”的一场网络攻击，其名称“Aurora”（意为极光、欧若拉）来自攻击者电脑上恶意文件所在路径的一部分。遭受攻击的除了Google外，还有20多家公司：其中包括Adobe Systems、Juniper Networks、Rackspace、雅虎、赛门铁克、诺斯洛普·格鲁门和陶氏化工 Google表示有部分知识产权遭到盗窃。它认为，黑客的主要兴趣在于访问中国持不同政见者的Gmail帐户 美国国务卿希拉里·克林顿发表了一则简短声明谴责此次攻击事件，并要求中国作出回应[12]。中国政府当时并未做出正式回应 美国国