《电子商务安全与实训》--9章.pptVIP

* 第九章电子商务的安全管理协议 * * 【案例导入】 买卖通——网上网下、双管齐下 被访人：施女士，佛山市顺德区柯尼印刷机械有限公司。 公司背景：佛山市顺德区柯尼印刷机械有限公司专业生产各类型平面丝印机械设备及其辅助设备，同时根据国内外用户个性化需求，提供非标产品的设计与制造。公司是集研发、生产、销售为一体的企业，拥有一支由设计、制造到销售的专业队伍。 * * 公司最初接触买卖通是在2004年10月份。当时，公司收到一份慧聪寄来的邮件，从邮件中得知已经成为慧聪网交易市场的普通会员。随即，就开始尝试了解使用买卖通。现在我们已经有了全面的销售网络，正想通过网络增加新的销售渠道，体验一下网络营销低成本带来的好处。 《真情体验》 * * 对于企业上网的重要性，施女士说：Internet在90年代初进入商业领域后，在全球范围内得到广泛应用。而且，其涵盖领域、经营业绩及应用技术都得到了迅速发展。这一趋势说明，电子商务在信息技术的强有力推动下已经向传统的商业模式提出挑战。 《企业上网的重要性》 * * 《最看重的是以下四个优点 》 ▲主动与互动 ▲无限延伸 ▲低成本 ▲多功能 可见，买卖通能实现网上网下、双管齐下，保证了电子商务交易的安全可靠！ * * 9.1 安全套接层协议SSL 电子商务安全管理的基本趋势似乎可用“谁经营、谁负责”六个字来概括，也可以说是谁管理谁负责，这就强调业界要自律，要对安全问题承担责任。网络技术可以从技术上体现安全的需求，电子商务的安全管理协议就起到了重要的作用。 * * 9.1.1 SSL协议概述 SSL（Secure Sockets Layer）安全套接层协议是Netscape公司于1994年推出的一种安全通信协议。在SSL 中，采用了公开密钥和私有密钥两种加密方式，它对计算机之间整个会话进行加密，从而保证了安全传输。SSL 的安全服务位于TCP和应用层之间，可为应用层（如：HTTP、FTP、SMTP）提供安全业务，服务对象主要是Web 应用，即客户浏览器和服务器。它现已成为保密通信的工业标准。 * * SSL服务器认证允许用户确认服务器身份。支持SSL协议的客户机软件能使用公钥密码标准技术（如用RSA和DSS等）检查服务器证书、公用ID是否有效和是否由在客户信任的认证机构CA列表内的认证机构发放。 SSL客户机认证允许服务器确认用户身份。使用应用于服务器认证同样的技术，支持SSL协议的服务器软件能检查客户证书、公用ID是否有效和是否由在服务器信任的认证机构列表内的认证机构发放。 * * SSL主要工作流程包括：网络连接建立；与该连接相关的加密方式和压缩方式选择；双方的身份识别；本次传输密钥的确定；加密的数据传输；网络连接的关闭。 * * SSL是一个两层协议，包括SSL握手层协议和SSL记录层协议。SSL握手层有SSL握手协议（SSL Handshake Protocol）、SSL 更改密码说明协议（SSL Change Cipher Spec Protocol）、SSL报警协议（SSL Alert Protocol）；SSL记录层有SSL记录协议（SSL Record Protocol），它为更高层提供基于客户/服务器模式的安全传输服务。 * * SSL协议提供的服务可以归纳为如下三个方面： （1）用户和服务器的合法性认证 （2）加密数据以隐藏被传送的数据 （3）维护数据的完整性 * * 9.1.2 SSL握手和记录协议 1．SSL握手协议 SSL握手协议被封装在记录协议中，该协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时服务器与客户机交换一系列消息。 * * 2．SSL记录协议 SSL记录协议为SSL连接提供两种服务：机密性和报文完整性。 在SSL协议中，所有的传输数据都被封装在记录中。记录是由记录头和长度不为0的记录数据组成的。所有的SSL通信都使用SSL记录层，记录协议封装上层的握手协议、警告协议、改变密码格式协议和应用数据协议。SSL记录协议包括了记录头和记录数据格式的规定。 * * 9.1.3 SSL协议安全性分析 1．安全机制分析 SSL协议可以被用来建立一个在客户和服务器之间安全的TCP连接。它可以鉴别服务器（有选择地鉴别客户）、执行密钥交换、提供消息鉴别、提供在TCP协议上的任意应用协议数据的完整性和机密性服务，其安全机制包括以下几个方面： * * 2．脆弱性分析 SSL协议是为解决数据传输的安全问题而设计的，实践也证明了它针对窃听和其他的被动攻击相当有效，但是由于协议本身的一些缺陷以及在使用过程中的不规范行为，SSL协议仍然存在不可忽略的安全脆弱性。 * *