第5章电子商务安全技术.ppt

* * 数字证书是一个经证书授权中心数字签名的、包含公钥拥有者信息以及公钥的文件。其格式一般由CCITT X.509国际标准所规定，包括申请证书个体的信息和证书发行机构的信息。 证书的版本信息 证书序列号 证书所使用的签名算法 证书的发行机构名称 证书的有效期限 证书主题名称 证书所有人的公钥信息 证书发行者对证书的签名 数字证书—内容 * * 个人证书：用来表明和验证个人在网络上身份的证书，用以帮助个人在网上进行安全交易操作，通常安装在个人用户的浏览器内。 企业证书：用来表明和验证企业在网络上身份的证书，用以确保企业在网上交易和作业的安全性和可靠性。 服务器证书：主要用于网站交易服务器或其他需要安全鉴别的服务器，需要和网站的IP地址、域名绑定，以保证网站的真实性和不被他人仿造。 数字证书—类型 * 认证中心 认证中心就是承担网上安全电子交易认证服务、签发并管理数字证书、为交易各方提供身份认证服务的专门机构。 认证中心通常是企业性的服务机构。 认证中心的作用 证书颁发、更新、查询、验证、作废、归档 密钥托管、密钥恢复 核心功能是发放和管理数字证书 认证中心为每个使用公开密钥的用户发放一个数字证书，用以证明用户合法拥有证书中列出的公开密钥； CA机构的数字签名使攻击者不能伪造和篡改证书。 * 认证体系的结构 认证体系具有一定的层次结构。通过这种层次结构，用户可以逐级向上验证认证中心的可靠性。 … 根CA 品牌CA 地域CA 支付网关CA 商户CA 持卡人CA 支付网关 证书 支付网关 证书 商户 证书 商户 证书 持卡人 证书 持卡人 证书 … … CA认证体系示意图 * * 信息安全传输图例 （4） （3） （2） （1） 非对称加密 对称加密 非对称加密 发送 明文 数字摘要 数字签名 密文 会话密钥 数字信封 发送方数字证书 明文 发送方： （7） （5） 非对称解密 （9） （8） 比较 对称解密 非对称解密 密文 数字签名 发送方数字证书 明文 数字摘要 数字摘要 正确 不正确 （6） 会话密钥 数字信封 接收方： 接收 * * 安全套接层协议 SSL协议是由美国网景公司开发，是介于传输层协议TCP和应用层协议之间的协议。SSL主要适用于点对点之间的信息传输，通过在浏览器软件和WWW服务器之间建立一条安全通道，从而实现在Internet中传输保密文件。 IP协议 TCP传输控制协议 SSL记录协议 SSL握手协议 HTTPS、FTPS、TELNETS、IMAPS等 规定了数据组成的格式，传输的数据都封装在记录中。 规定了双方进行通信时产生加密算法和密钥的协商过程。 * * SSL连接特点 连接是保密的。对于每个连接都有一个唯一的会话密钥，采用对称密码体制来加密数据。 连接是可靠的。消息的传输采用信息验证算法进行完整性检验。 对端实体的鉴别采用非对称密码体制进行认证。 * * SSL握手协议的工作过程 （1）浏览器请求与服务器建立安全会话。 （2）浏览器与Web服务器交换密钥证书以便双方相互确认。 （3）Web服务器与浏览器协商密钥位数（40位或128位）；客户机提供自己支持的所有算法清单，服务器选择它认为最有效的密钥生成算法。 （4）浏览器将产生的会话密钥用Web服务器的公钥加密传给Web服务器。 （5）Web服务器用自己的私钥解密。 （6）Web服务器和浏览器用会话密钥加密和解密，实现加密传输。 * * SSL记录协议 SSL记录协议从高层接收到数据后要经过分段、压缩和加密处理，最后由传输层发送出去。 在SSL协议中，所有的传输数据都被封装在记录中，SSL记录协议规定了记录头和记录数据的格式。 内容类型 协议版本号 长度 数据有效载荷 信息验证码 * * 安全电子交易协议 SET协议是以信用卡为支付基础的网上电子支付系统规范，由Visa和Mastercard两大信用卡组织联合开发。它采用RSA公钥密码体系实现对通信双方进行认证，利用包括DES在内的各种对称密码技术进行信息加密传输。 SET协议的主要目标： 安全传输，确保信息在传输过程中不会泄露和被篡改； 不同参与者信息隔离，不允许商家看到客户账号信息，不允许银行看到客户订单信息； 多方认证，通过客户、商家和银行间的相互认证，确定彼此身份； 要求软件遵循相同协议和报文格式，从而使不同厂家开发的软件产品具有较好的互操作性和兼容性。 * * SET协议的工作原理 网 上 商 家 支 付 网 关 收 单 银 行 CA 消 费 者 定单 协商 确认 确认 审核 确认 审核 审核 批准 认证 认证 认证 发 卡 银 行 * * SET交易的参与方 持卡人：必须是银行卡的持卡人，安装电子钱包软件；向SETCA申请数字证书； 商户：必须在收单银行开设账户，集成SET交易商