chap6.电子商务与安全技术.ppt

6.4.4 安全认证协议 SSL的缺点 只能确定双方身份，若有多方参与，无法提供多方的信任关系 无法避免交易抵赖 无法避免信息被截获 无法避免商家的恶意泄露 因此VISA MASTER CARD 两大信用卡组织以及其他一些业界厂商指定了SET协议，为网上信用卡支付提供了全球性标准 6.4.4 安全认证协议 安全电子交易（SET）协议 1、SET协议简介 SET协议由一套17个部分组成的庞大协议系统，其中支付部分有5个子协议组成 持卡人注册：持卡人通过该协议向CA发出注册申请，CA通过申请验证后，向持卡人发放一个包含有签名密钥的公钥证书 商家注册：与持卡人注册类似，不同的是CA除了要发放一个签名密钥给商家，还要发放一个加密密钥 购买请求：持卡人通过协议向商家发送购买商品或服务的订单 支付授权：紧跟在购买请求之后，商家可以将持卡人的支付信息在支付网关处进行验证 支付请求：商家唉通过使用该协议完成资金的实际转账 6.4.4 安全认证协议 整个SET协议过程的参与者众多 持卡者 商家 发卡行 收单行 支付网关 认证中心 持卡人 在线商家 支付网关 收单行 发卡行 认证中心 协商 订单 确认 确认 确认 审核 审核 批准 请求 认证 认证 认证 6.4.4 安全认证协议 SET的认证 证书 持卡人证书：通过卡号、截止日期、用户密码单向计算出来的一个数值 商家证书：商家所使用的银行给商家发放一对证书 支付网关证书、银行证书、发卡机构证书 CA 接受注册申请，发放证书，是客户、银行、商家都信任的第三方 证书的树形验证结构 对证书不信任？找证书的发放CA 对CA不信任？验证CA的信息，找CA的授权方（上级CA） 对上级CA不信任？继续找他的上级CA 依此类推，直到找到大家都信任的CA（有时候会找到根CA） 6.4.4 安全认证协议 安全电子交易协议SET 该协议主要是由多家大型银行卡机构提出的。针对信用卡网上交易的安全性进行的交易协议设置。 适用范围广 与SSL相比 SET的最大优点就是除了顾客和发卡行，没有第三方知道顾客的信用卡信息 SET支付流程 P198 图6.27 6.4.4 安全认证协议 SSL与SET协议的比较 认证机制不同：SET的所有参与者需要通过数字证书进行身份识别。SSL只对商家进行强制认证，客户认证却是可选的 设置成本：SET需要用户事先申请数字证书，并在客户端安装相应软件，SSL无需 安全性：SET安全级别更高，整个交易过程都是加密状态。SSL只有对持卡人到商店的信息报名 目前采用比率：由于SET引入时间较晚，所以SSL普及率较高 SSL主要和WEB应用一起工作，SET是为信用卡交易提供安全，更为通用 6.4.5 公钥基础设施 PKI（Public Key Infrastructure）公钥基础设施，是一种遵循既定标准的密钥管理平台，能够为网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系 公钥基础结构概述 PKI的核心技术 公钥加密技术：提供信息的保密性和进行访问控制 数字签名技术：提供了在网络通信之前相互认证的有效方法 6.4.5 公钥基础设施 要建立一个有实际应用价值的PKI网络安全环境，必须满足一下几个基本条件 能够签发基于公钥密码体制的数字证书 具有数字证书的存取环境和途径 能够进行证书做废处理 实现密钥备份和恢复 支持不可否认的数字签名 公开密钥对和数字证书的自动更新 公开密钥对的归档管理 支持数字证书的交叉认证 6.4.5 公钥基础设施 完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。 认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征； 数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥； 密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。 6.4.5 公钥基础设施 证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。 应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境