网上支付与安全0.ppt

中原工学院信息商务学院 * ――警告协议：警告消息传达消息的严重性并描述警告。一个致命的警告将立即终止连接。与其他消息一样。警告消息在当前状态下被加密和压缩。警告消息有以下几种： 关闭通知消息，意外消息，错误记录MAC消息，解压失败消息，握手失败消息，无证书消息，错误证书消息，不支持的证书消息，证书撤回消息，证收过期消息，证书未知和参数非法消息等等。 ――应用数据协议：将应用数据直接传递给记录协议。  中原工学院信息商务学院 * SSL握手协议 SSL握手协议是用来在客户端和服务和服务器端传输应用数据而建立的 安全通信机制 ――算法协商：首次通信时，双方通过握手协议协商密钥加密算法。数据加密算法和文摘算法。 ――身份验证：在密钥协商完成后，客户端与服务器端通过证书互相验证对方的身份。 ――确定密钥：最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户端和服务器各自根据这个秘密信息确定数据加密算法的参数（一般是密钥） 由此可见，SSL协议是端对端的通信安全协议。 中原工学院信息商务学院 * （3）SSL的基本功能 SSL结合私有密钥加密法、公开密钥加密法以及数字摘要技术等提供的3种基本安全服务: 机密性 SSL客户机和服务器之间通过私有密钥加密算法和私有密钥的交换，建立安全通道。 完整性 SSL利用公开密钥加密算法算法和Hash函数，通过对传输信息特征值得提取，保证信息的完整性，确保要传输的信息全部到达目的地 认证性 利用数字证书和可信的第三方CA，可让客户机和服务器相互识别对方的身份。为了验证数字证书持有者是其合法用户，SSL要求数字证书持有者在握手时双方通过相互交换数字证书来验证和保证对方身份的合法性 中原工学院信息商务学院 * SSL协议具体到网络支付应用，如信用卡的SSL网络支付方式时，原则上涉及商务的交易各方，即客户浏览器（持卡人）、商家服务器、认证机构CA、银行服务器，可能的话还有专门的第三方支付平台。 严格讲，SSL其实只涉及信息报文交互的通信双方和间接的CA机构，它起的是建立一个安全通道的作用，认证商家数字证书。对客户的身份的验证（也可不验证）。 （5）SSL安全支付参与方及应用系统框架 中原工学院信息商务学院 * 中原工学院信息商务学院 * 如图所示，其中CA的作用是间接的，主要是为银行与商家服务器等颁发证书。当用信用卡支付时，在输入信用卡帐号与密码之前，为保证帐号与密码的安全，防止商家知晓，客户与银行之间可以直接建立SSL保密通道，进行保密信息传送，而不通过商家中转。 有些网站把支付单与订货单绑在一起，通过商家中转的（如图所示）。 一般来说，都由客户浏览器与银行服务直接建立SSL连接，并不通过商家，相对安全。 中原工学院信息商务学院 * 综合用到了对称密钥加密法、公开密钥加密法、数字签名和数字证书等安全保障手段。目前几乎所有操作平台上的Web浏览器以及流行的Web服务器都支持SSL协议。因此使得使用该协议既便宜，开发成本也很小,应用简单（无需客户端专门软件）. 许多知名企业的Intranet和Internet网络产品均支持SSL协议。其中包括Netscape，Microsoft，IBM，OpenMarket等公司提供的支持SSL的客户机和服务器产品，如IE和Netscape浏览器，IIS，Domino Go Web Server，Netscape Enterprise Server和Appache等。 目前，中国的招商银行，工商银行等信用卡网络支付均采用了SSL协议机制。 （6）SSL协议的特点 下图显示的是IE浏览器中安全设置项中SSL标识。 中原工学院信息商务学院 * 中原工学院信息商务学院 * （7）SSL协议在实际应用中的几个问题 不能提供交易的不可否认性 SSL协议是基于Web应用的安全协议，它只能提供安全认证，SSL链路上的数据完整性和保密性。对于电子商务的交易应用层的信息不进行数据签名，因此，不能提供交易的不可否认性，这是SSL在电子商务中使用的最大缺欠。为此，各公司纷纷推出“安全代理软件”，“安全应用控制”或“表单签名软件”等等，以弥补SSL不足。 服务器的处理速度问题 由于在网上交易时，一定要使用SSL加/解密用户数据，这样服务器就占用了大量CPU的处理时间，增大了系统的开销，使SSL登陆和传输数据的速度变慢。为此，有的公司研发出硬件SSL加/解密方案，即通称的SSL加速器，它可以转移大量占用CPU的SSL协商处理，提高SSL流量和改善We