第14的章 支付安全协议.pptVIP

第八章 电子支付安全协议 学习目录： SSL协议流程 SET协议流程与应用 SSL协议与SET协议的优缺点 计算机系统的安全措施从层次和内容上可分为安全立法、安全管理和安全技术三个层次。 为了保证电子商务活动的安全性，必须有一套有效的安全机制作为保证，这就要求建立电子商务的安全体系基础结构。 电子商务的安全控制体系结构是保证电子商务中数据安全的一个完整的逻辑结构。由五个部分组成。具体如图所示。 1.1 安全协议概述 在早期的电子交易中，曾采用过一些简易的安全措施，如“部分告知” 和“另行确认”，均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。 近年来，针对电子交易安全的要求，IT业界与金融行业一起，推出不少有效的安全交易标准，主要有： 安全超文本传输协议（S—HTTP）、 “安全套接层”协议（SSL：Secure Sockets Layer）、安全交易技术协议、 安全电子交易协议（SET：Secure Electronic Transaction）等。 其中SSL协议和SET协议是两个典型协议。 由于Web上有时要传输重要或敏感的数据，因此Netscape公司在推出Web浏览器首版的同时，提出了安全通信协议SSL（Secure Socket Layer）。 SSL协议是建立在TCP/IP协议之上的开发协议，它可以为应用层协议（如HTTP、Telnet、FTP）和TCP/IP之间提供数据安全性。SSL协议层包括两个协议子层：SSL记录协议与SSL握手协议。 1.2 安全套接层协议SSL 1.2.1 SSL协议概述 HTTP IMAP FTP SMTP SSL层 TCP/IP 应用层 网络层 1.21 SSL协议简介 SSL协议(Secure Socket Layer，安全套接层协议) 是一种在持有数字证书的浏览器和远程的WWW服务器(如Netscape Enterprise Server、IIS等等，这里具体为电子商务服务器或银行的网上支付结算服务器)之间，构造安全通道并且传输数据的协议。 SSL协议的协议层次 网络层为TCP/IP的Internet层或IP层。IP地址是一个32位的地址，可以在TCP/IP网络中惟一地指明一台主机。而TCP只负责将信息切割成封包，若遗失封包TCP再重送，所以TCP/IP根本没有安全性可言。 为了确保在任何IP网络上拥有安全的私密通信，也为了整合不同标准及不同厂商产品，必须订定一套开放标准网络安全协议IPSec（IP Security）。将密码技术应用在网络层，以提供传送、接收端做数据的认证（Authentication）、完整性（Integrity）、存取控制（Access Control）、以及机密性（Confidentiality）等安全服务。 （1）SSL协议的内容 SSL协议的构成： SSL修改密文协议 SSL报警协议 SSL握手协议 SSL记录协议 （1）SSL协议的内容 SSL协议包括两个子协议： SSL记录协议 定制了传输数据的格式 SSL握手协议 第一阶段利用前者在支持SSL的客户端和服务器端之间建立安全传输通道建立加密SSL连接，第二阶段在客户端验证服务器。 SSL协议主要用于提高应用程序之间数据的安全性。SSL采用TCP作为传输协议提供数据的可靠传送和接收。SSL工作在SOCKET层上。 SSL提供的安全业务和TCP层一样，采用了公开密钥和私人密钥两种加密机制对WEB服务器和客户机的通信提供保密性、数据完整性和认证。 SSL中的握手协议，是在客户机和服务器之间交换消息强化安全性的协议，SSL握手协议包含两个阶段，第一个阶段用于建立私密性通信信道，第二个阶段用于客户认证。 第一阶段是通信的初始化阶段，首先SSL要求服务器向浏览器出示证书。 第二阶段的主要任务是对客户进行认证，此时服务器已经被认证了。 实际上SSL协议本身也是个分层的协议，它由消息子层以及承载消息的记录子层组成。 SSL记录协议首先按照一定的原则如性能最优原则把消息数据分成一定长度的片断；接着分别对这些片断进行消息摘要和MAC计算，得到MAC值；然后再对这些片断进行加密计算；最后把加密后的片断和MAC值连接起来，计算其长度，并打上记录头后发送到传输层。这是一般的消息数据到达后，记录层所做的工作。 （2）SSL提供的3种基本安全服务: 传送 数据的秘密性 SSL客户机和服务器之间通过密码算法和密钥的协商，建立安全通道 维护数据的完整性 利用密码算法和Hash函数，确保要传输的信息全部到达目的地 用户和服务器的合法认证 SSL要求数字证书持有者在握手时双方通过相互交换数字证书来验证和保证对方身份的合法性 （1）SSL安全