第12章电子商务安全技巧.pptVIP

第十二章 电子商务安全 12.1电子商务安全概述 12.2 SSL协议 12.3 SET协议 12.1 电子商务安全概述 电子商务（E-Commerce）是指买卖双方通过通信网络，在双方没有见面的情况下进行的各种商务活动总称。 电子商务依托于信息技术和计算机网络，做为一种商务活动必然不同于传统的商务活动。传统的商务活动是在实体市场中进行，而电子商务是在网络环境中的虚拟市场中进行的。 12.1 电子商务安全概述 电子商务的优势： （1）全球化的市场：凡是能够上网的用户都将包含在一个市场中，都将成为网上企业的客户。 （2）快捷的交易：电子商务中的交易过程都能通过网络快速的传递，并由计算机自动处理，不需要人员的干预，加快了交易的速度。 （3）低廉的成本：由于电子商务的所有活动都可以在网络上完成，可以实现足不出户，不需要中介代理的参与，不需要专门的店面，整个成本大大地降低了。 （4）透明、标准的交易：电子商务的所有交易都要求按照统一的标准来进行，整个交易的详细过程都是透明公开的。 （5）交易的连续化：通过网页的形式，电子商务可以实现24小时的咨询服务，企业的网址成为永不打烊的门店，让全球的用户在任何时候都能进行访问。 12.1 电子商务安全概述 电子商务的安全需求 （1）可靠性 （2）机密性 （3）完整性 （4）不可抵赖性 （5）身份认证能力 12.2 SSL协议 SSL(Secure Socket Layer)是 Netscape公司在推出Web浏览器的同时提出的一种安全通信协议,其目的是保护在Web上传输重要或敏感的数据信息，目前已推出2.0和3.0版本。 SSL采用对称密钥算法和公开密钥算法两种加密方式，并使用了X.509数字证书技术，可在服务器和客户端两端同时实现支持。 目前，利用公开密钥技术的SSL协议，已成为Internet上保密通讯的工业标准。现行Web浏览器普遍将HTTP和SSL相结合，从而实现安全通信。 12.2 SSL协议 SSL协议的优势在于它与应用层协议独立无关。 高层的应用层协议(如HTTP，FTP，TELNET等)能透明地建立于SSL协议之上。 SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。 12.2 SSL协议 SSL协议分为两层 底层是SSL记录协议，它为高层协议提供基本的安全服务，对HTTP协议进行了特别的设计，使得超文本传输能在SSL上运行。记录协议还封装了压缩解压缩、加密解密、计算和校验MAC等操作。 高层协议由三部分组成： 握手协议 加密规范修改协议 报警协议 这些上层协议用于管理SSL信息交换，允许应用协议传送数据之前相互验证，协商加密算法和生成密钥等。 12.2 SSL协议 SSL安全协议提供的安全服务： （1）认证用户和服务器，使得它们能够确保信息能被安全地发送到合法的通信对方。 （2）对数据进行加密，隐藏要传输的信息。 （3）维护数据的完整性，确保数据在传输过程中不被篡改。 SSL协议的特性 （1）机密性 （2）完整性 （3）可靠性 12.2 SSL协议 SSL记录协议 握手协议 加密规范修改协议 报警协议 SSL 记录协议 12.2 SSL协议 12.2 SSL协议 SSL握手协议是位于SSL记录协议之上的最重要的协议。 该协议能使得客户端和服务器相互认证，鉴别对方的身份，协商安全参数，包括加密算法、MAC算法以及加密密钥等。 SSL握手协议是在传送应用程序数据之前使用的。 12.2 SSL协议 加密规范修改协议 加密规范修改协议是一个位于SSL记录协议之上的协议。该协议由单个消息（change_cipher_spec）组成，消息中只包含一个值为1的字节，该消息的作用是改变连接所使用的加密规范。 在SSL中，通信双方都有各自独立的读状态（read_state）和写状态（write_state）。读状态包含了解压、解密、验证MAC的算法和解密密钥等；写状态中包含压缩、加密、计算MAC的算法和加密密钥等。 SSL中定义了两种状态：待定状态和当前操作状态。待定状态包含了当前协商好的压缩、加密、MAC算法及密钥等；当前操作状态包含了正在使用的压缩、加密、MAC算法及密钥等。 当通信中的一方收到加密规范修改协议的消息后，就将待定的读状态中的内容复制到当前读状态中；当通信中的一方发送了加密规范修改协议的消息后，就将待定的写状态中的内容复制到当前写状态中。 12.2 SSL协议 报警协议 报警协议用于为对方实体传递SSL的相关报警。 报警协议的消息报文与其他应用程序一样，根据当前的状态进行压缩和加密，封装在SSL记录协议中，由SSL记录协议发送。 报警协议的每条消息有两个字节。