助理电子商务师培训第九章_电子商务安全管理.ppt

5、认证中心 电子商务授权机构（CA）也称为电子商务认证中心（Certificate Authority）。 认证中心（CA）就是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。在实际运作中，CA可由大家都信任的一方担当。 认证机构的核心职能是发放和管理用户的数字证书。认证机构在整个电子商务环境中处于至关重要的位置，它是整个信任链的起点。认证机构是开展电子商务的基础，如果认证机构不安全或发放的证书不具权威性，那么网上电子交易就根本无从谈起。 CA认证中心的四大职能： 证书发放、 证书更新、 证书撤消 证书验证。 D认证的分级体系 三、电子支付中的安全交易协议 1.安全套接层协议(SSL协议) 2.安全电子交易协议（SET） 1、安全套接层协议(SSL协议) 1）安全套接层协议是由Netscape公司1994年设计开发的安全协议，它采用公开密钥和对称密钥相结合的技术，通过浏览器软件和WWW服务器建立一条安全、可信任的通信通道，在这一通道中，所有点对点的信息都将被加密，从而实现了在Internet中传输保密文件。 SSL(Secure Socket Layer，安全套接层协议）运行在传输层之上、应用层之下，为应用层提供了安全的传输通道，高层的应用层协议（如HTTP、FTP等）可以透明地建立于SSL协议之上，应用层协议所传送的数据都会被加密，从而保证了通信的机密性。 SSL是一个用来保证安全传输文件的协议。它包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。 SSL用对称密钥加密信息 由于客户机和服务器需要在互联网上传输信用卡号、发票和验证代码等，所以双方都同意对所交换的信息进行安全保护。 SSL用公开密钥（非对称）加密和对称密钥加密来实现信息的保密。虽然公开密钥非常方便，但速度较慢。这就是SSL对几乎所有的安全通讯都使用对称密钥加密的原因。 2）在SSL协议中主要提供三方面的服务： 用户和服务器的身份认证、 保证数据的保密性、 维护数据的完整性 SSL中对称密钥的共享 那么客户机和服务器如何能够共享一个对称密钥而不会让窃听者得到呢？ 答案是： 在浏览器为双方生成对称密钥，然后由浏览器用服务器的公开密钥对此对称密钥进行加密。公开密钥存储在服务器在认证时发给浏览器的数字证书上。 对对称密钥加密后，浏览器把它发给服务器。服务器用其私钥对它解密,得到双方公用的对称密钥。从现在开始就不再使用公开密钥了，只需用对称密钥加密。 SSL会话 在客户机和服务器之间传输的所有消息都用共享的对称密钥进行加密，此密钥也叫会话密钥。会话结束后，此密钥就被丢弃。 客户机和安全服务器重新建立连接时，从浏览器和服务器的握手开始的整个过程将重复一遍。 根据客户机和服务器间的协议，可使用40位或128位的加密，算法会是DES、Triple DES或RSA加密算法。不论用哪种算法，客户机和服务器都在事先就将用的加密语言达成协议。 3）SSL协议的特点 SSL的使用对用户基本透明，当浏览器端启动SSL时，请求的URL中的HTTP被改为HTTPS，浏览器底部会出现一个锁图标。提示用户已经进入安全状态，可以发出需要保护的信息。 要使用SSL，服务器端需要通过配置把服务器的认证证书与服务器上的一个端口（通常是443）绑定(BIND)。 SSL协议实现简单，独立于应用层协议，且被大部分的浏览器和Web服务器所内置（Navigator和Internet Exp1orer浏览器都支持SSL），便于在电子交易中应用。 国际著名的CyberCash信用卡支付系统就支持这种简单加密模式，IBM等公司也提供这种简单加密模式的支付系统。所以其应用在当前是比较广泛的。 4）SSL协议的评价 1）不符合国务院最新颁布的《商用密码管理条例》 2）系统安全性差 3）运行的基点是商家对客户信息保密的承诺，有利于商家不利于客户。 SSL存在着一些安全上的弱点： 首先，客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证。SSL是一个面向连接的协议，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和认证服务。 其次，SSL只能保证资料传递过程的安全，而传递过程是否有人截取就无法保证了。 所以，SSL并没有实现电子支付所要求的保密性、完整性、不可抵赖性，而且实现多方互相认证也是很困难的。 2.安全电子交易协议（SET） 1）为了避免SSL协议在应用中存在的一些安全风险，保护商家和用户等电子支付参与方