第5章电子商务安全协议(免费阅读).ppt

第五章 电子商务安全协议与安全标准 5.1 安全协议概述 5.1.1 安全协议的概念 安全协议是指使用密码学技术的密码协议。协议就是两个或者两个以上的参与者为完成某项特定任务而采取的一系列步骤。它包含三层含义： （1）协议是一种顺序的执行过程， 执行顺序不可颠倒也不可省略。 （2）协议至少有两个参与者 （2）协议是为完成某项特定的任务而设计的。 密码协议就是网络通信中采用密码算法的的密码技术协议。 密码协议分类（按功能） （1）密钥交换协议：两个或多个实体之间建立共享的秘密， 通常用于建立一次通信中所使用的会话密钥。 （2）认证协议：包括实体认证协议、消息认证协议、数据源认证、数据目的认证， 用于防止假冒、篡改、否认等攻击。 （3）认证和密钥交换协议： 将认证和密钥交换结合在一起， 是网络中最普遍应用的安全协议。 5.1.2 协议的安全性 协议存在安全缺陷的原因 （1） 协议设计者误解或采用了不恰当的技术。 （2）协议设计者对环境要求的安全需求研究不足。 安全缺陷分类 基本协议缺陷 口令／密钥猜测缺陷 陈旧消息缺陷 并行会话缺陷 内部协议缺陷 密码系统缺陷 5.1.3 安全协议分析 攻击检验方法：搜集目前对协议有效的攻击方法， 逐一对安全协议进行攻击， 检验协议是否具有抵抗这些攻击的能力。 形式化分析方法：采用各种形式化的语言或模型， 为安全协议建立模型， 按照规定的假设、分析和验证方法证明协议的安全性。 形式化分析技术 （1） 使用通用的形式化描述语言和协议校验工具建立安全协议模型并进行校验。 （2）设计专门的专家系统制定校验方案， 检验协议的安全性， 并作出结论。 （3）基于知识和信念的逻辑建立所分析协议的安全需求模型。 （4）基于密码学系统的代数特性开发协议的形式化模型。 5.1.4 常见的安全协议 （1）电子支付协议 （2）安全HTTP协议（S-HTTP) （3）安全电子邮件协议 （4）用于公对公交易的 Internet EDI 其它：基于Interent 的虚拟专用网（VPN） 电子支付协议 与现实生活中的现金、支票及信用卡支付方式相对应， 电子支付协议分为以下三种： （1）基于卡的支付协议：Fiirst Virtual、 SSL、SET、iKP. （2）基于支票的支付协议： e-check, Netbill. （3）基于现金的支付协议： E-Cash, Mondex. 5.2 安全套接层协议(SSL) 由Netscape 开发，是一个保证任何安装了安全套接层的客户和服务器之间的事务安全的协议， 它涉及所有的TCP/IP 协议。 SSL已得到众多的Internet 和Intranet 网络产品及其厂商的支持。  1.引言 安全套接字层协议( Security Socket Layer,SSL)是用于Internet上进行保密通信的一个安全协议，它的主要目的是保证两台机器之间的通信安全，提供网络上可信赖的服务。该协议采用了多种加密算法，具备了信息的加密、完整性校验、数字签名、密钥交换的功能，保证服务器与客户端在通信时免遭窃听、篡改和伪造。 该协议最早是由网景通信公司（Netscape Communication）推出的，主要是针对Web、电子邮件及新闻组通信安全问题。版本1（SSLv1）仅在网景公司内部流传，从来没有公开实现和广泛部署，同时Netscape也没有真正交付过SSLv1的规范。SSLv2最初在1994年推出，但是它包含许多中等程度的安全缺陷。为此，在1995年末Netscape发布了SSLv3。在对SSLv2改进的基础上，微软在1995年10月发表了保密通信技术（Private Communication Technology ，PCT）。 从SSLv3着手，1996年末Internet工程任务组（Internet Engineering Task Force,IETF）的传输层安全工作组完成了传输层安全协议（Transport Layer Security，TLS）的标准化工作，该工作被广泛认为是对网景与微软公司方案的一种调和。 对安全保密性要求较高的是网络电子商务、事务处理等系统，在现实中运营的这些系统绝大多数是以SSL协议为基础建立的，就如同TCP/IP之于网络，SSL协议已成为Web安全方面的工业标准。目前广泛采用的是SSLv3。 2 SSL协议概述 Netscape Navigator和Internet Explorer都支持SSL，而且许多网站使用这种协议来从用户端接收信用卡编号等保密信息。要求SSL连接的网址以“https：”开头，而不是“http：”。SSL自提出标准草案，经多次的改进升级，目前已广泛被业界所接受，成为现实中的标准。 除 Netscape