基于SSL协议的方案全解.pptVIP

基于ＳＳＬ的电子商务安全技术研究 (作者：于丁杰) 　　　 电子商务安全技术体系 ＳＳＬ协议的三个特点 保密性：在客户机和服务器之间传输的数据经过加密,只有通信双方可以解密。 认证性：可以验证客户机及服务器证书的有效性,使得信息将会从正确信息源发送到合法的接收端。 完整性：(保证传输过程中的数据没有被篡改,即接收方收到的数据和传送方发出的数据是一样的。 应用层协议 SSL握手协议 SSL更改密码规格协议 SSL警报协议 HTTP协议 SSL记录协议 TCP/IP协议 ＳＳＬ协议的层次结构图： 握手协议的步骤： Step1: B 你好,S！我想和你进行安全对话，我的对称加密算法有DES,RC5，我的密钥交换算法有RSA和DH，摘要算法有MD5和SHA。 Step2: B s S 你好,B！那我们就使用DES－RSA－SHA这对组合进行通讯，为了证明我确实是S，现在发送我的数字证书给你，你可以验证我的身份。 （发起对话，协商传送加密算法） （发送服务器数字证书） Step3: B Step4: B s S ??? B, 我已经获取了密钥。我们可以开始通信了。 ?? S, 我已经确认了你的身份，现在将我们本次通讯中使用的对称加密算法的密钥发送给你。 （传送本次对话的密钥） （检查S的数字证书是否正确，通过CA机构颁发的证书验证了S证书的真实有效性后。生成了利用S的公钥加密的本次对话的密钥发送给S） （获取密钥） ?（S用自己的私钥解密获取本次通讯的密钥）。 Step5: B s S——B（进行通讯） 基于ＳＳＬ协议的电子商务交易流程： 持卡顾客 商户 银行支付网关 提供服务 信用卡、购买请求 验证成功 验证、结算 (l)持有银行卡的顾客登录商品销售网站,验证商户服务器的身份; (2)顾客决定购买,便开始下订单,向商户发出购买请求; (3)商户返回同意支付等信息,并引导顾客进入银行支付页面; (4)顾客先验证支付网关身份,填写支付信息,将订购信息和支付信息利用SSL协议传给商户; 详细流程： (5)商户用支付网关的公开密钥加密支付信息等,传给支付网关,要求支付; (6)支付网关解密商户传来的信息,通过传统的银行网络到发卡行验证持卡顾客的支付信息是否有效,并即时划账; (7)支付网关签名操作结果,并把结果返回给商户; (8)商户用支付网关的公钥验证后返回信息给顾客,并开始配送,交易结束。 详细流程： 3个方面分析SSL协议的安全性: (1)SsL能够防止监听及MrrM攻击 SSL使用的加密算法和主密钥是经过握手协议协商的,不同的安全等级使用的加密算法不同。SSL连接不但做到一次一密,而且在一次连接的两个传输方向上使用的密钥也不同。对监听和MITM攻击而言,具有较高的防范性。 (2)截取再拼接式攻击 对于需要较强加密的连接,要考虑此种攻击。不过由于SSLV3.0做了安全修改,可以抵抗这种攻击。 (3)报文重发式攻击 这种攻击利用了加密连接信息可能重复的漏洞,SSL在MAC数据中设置了“序列号”,每次连接的“序列号”会不同,所以可以防止该类攻击。 基于ＳＳＬ的电子商务交易流程的不足： 缺乏防抵赖功能 缺乏有限的身份认证 基于ＳＳＬ协议的加密/签名模块 具有防抵赖功能的改进方案： （1）顾客通过web浏览器进入商店网站，注册成为合法用户。 （2）顾客选择货到付款或在线划账的支付方式。当客户选择在线划账方式时,商户为客户开通预存款服务,即顾客可以通过转账或现金支付等手段预存一部分消费款在商户那里。商户将余额显示在顾客的网站账户中。 （3）顾客通过web浏览器进入商户网站,选择要购买的商品; 基于SSL协议电子商务交易系统改进后的交易流程：