电子商务安全技术 知识第6章 电子商务安全协议.pptxVIP

第六章 电子商务安全协议6.1 TCP/IP体系结构与安全问题6.2 几种主要的网络安全协议6.3 SSL安全协议6.4 SET安全协议6.1 TCP/IP体系结构与安全协议6.1.2 TCP/IP协议的安全隐患TCP/IP协议首先考虑网络互连缺乏对安全方面的考虑TCP/IP协议组没有一个协议是为网络安全而设计的，并且都存在不同程度的安全漏洞。IP协议和TCP协议遭到攻击的可能性最大：（1）IP协议的安全隐患IP路由IP包时，对IP头中提供的源地址不作任何检查，并且认为IP头中的源地址即为发送该包的机器的IP地址。（2）TCP协议的安全隐患TCP使用三次握手机制来建立一条连接，攻击者只要改变这种规则便达到了破坏连接的作用，若攻击者再趁机插入有害数据包，则后果更严重。6.1.3 TCP/IP的安全协议6.2 几种主要的网络安全协议6.2.1 IPsec协议1. IPsec的概念为了实现安全IP，因特网工程任务组IETF于1994年开始了一项IP安全工程。IPsec（Internet Protocol Security）定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。IPsec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet的攻击。表7.1 PGP的功能功能使用的算法解释说明保密性IDEA、CAST或三重DES，Diffie-Hellman或RSA发送者产生一次性会话密钥，用会话密钥以IDEA或CAST或三重DES加密消息，并用接收者的公钥Diffie-Hellman或RSA加密会话密钥签名RSA或DSS，MD5或SHA用MD5或SHA对消息散列并用发送者的私钥加密消息摘要压缩ZIP使用ZIP压缩消息，以便于存储和传输E-mail兼容性Radix64交换对E-mail应用提供透明性，将加密消息用Radix64变换成ASCII字符串分段功能——为适应最大消息长度限制，PGP实行分段并重组6.2.3 Kerberos协议网络认证协议Kerberos是美国麻省理工学院开发的基于私钥加密算法并需可信任第三方作为认证服务器的网络认证协议。Kerberos可提供防旁听、防重放及通信数据的保密性和完整性等安全服务，但最重要的是：认证、授权、记账与审计。Kerberos用DES进行加密和认证。优点：安全性较高、用户透明性好、扩展性较好。缺点：密钥管理较复杂、旧认证码很有可能被存储和重用、对猜测口令攻击很脆弱。6.2.4 S-HTTP协议安全超文本传输协议（Secure HyperText Transfer Protocol，S-HTTP）是EIT公司结合HTTP而设计的一种消息安全通信协议。S-HTTP协议处于应用层，它是HTTP协议的扩展。支持端对端安全传输S-HTTP可提供通信保密、身份识 别、可信赖的信息传输服务及数字签名等。优点：为HTTP客户机和服务器提供多种安全机制，适用于万维网上各类潜在用户。缺点：实现和使用较为困难。6.3 安全套接层协议6.3.1 安全套接层协议概述1. SSL的概念安全套接层协议SSL（Security Socket Layer）就是设计来保护网络传输信息的,它工作在传输层之上、应用层之下，其底层是基于传输层可靠的流传输协议（如TCP）。SSL协议是一种国际标准的加密及身份认证通信协议，提供了两台机器间的安全连接。最早由Netscape公司于1994年11月提出并率先实现（SSLv2）的，之后经过多次修改，最终被IETF所采纳，并制定为传输层安全TLS标准。当前版本为v3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。2. SSL提供的服务（1）认证用户和服务器，确保数据发送到正确的客户机和服务器；（2）加密数据以防止数据中途被窃取；（3）维护数据的完整性，确保数据在传输过程中不被改变。6.3.2 SSL的工作原理与流程6.3.3 SSL体系结构（1）SSL的握手协议SSL握手协议用于鉴别初始化和传输密钥，它使得服务器和客户能相互鉴别对方的身份，并保护在SSL记录中发送的数据。（2）SSL的记录协议SSL从应用层取得的数据需要重定格式（分片、可选的压缩、应用MAC、加密等）后才能传给传输层进行发送。图6-6 SSL数据单元的形成过程6.4 安全电子交易协议6.4.1 安全电子交易协议简介1．SET的概念安全电子交易协议SET（Secure Electronic Transaction）是由Master Card和Visa联合Netscape、Microsoft等公司，于1997年6月1日推出的一种新的电子支付模型。SET协议是B2C上基于信用卡支付模式而设计的，