学习情境4安全交易协议.PPT

学习情境3-4 安全交易协议 工作任务 SSL协议 SET协议 SSL协议（安全套接层协议） SSL协议概述 SSL提供的基本安全服务功能 SSL协议通信过程 SSL2.0与SSL3.0比较 采用SSL协议的电子交易过程 SSL协议概述 SSL协议，英文Secure Socket Layer Protoclo，中文称为安全套接层协议。 SSL协议最初由Internet的应用先驱Netscape公司1995年设计开发，该协议是一种利用公共密钥技术的工业标准 ，目前已广泛应用于互联网，成为事实上的工业标准，主流浏览器及许多服务器都支持SSL协议。 SSL协议概述（续） SSL协议目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是Web服务器）之间的安全通信。 SSL提供的基本安全服务功能 信息保密 信息完整性 相互认证 SSL协议的通信过程 ① 接通阶段：客户机呼叫服务器，服务器回应客户。 ② 认证阶段：服务器向客户机发送服务器证书和公钥，如果服务器需要双方认证，还要向对方提出认证请求；客户机用服务器公钥加密向服务器发送自己的公钥，并根据服务器是否需要认证客户身份，向服务器发送客户端证书。 SSL协议的通信过程（续） SSL2.0和SSL3.0比较 SSL2.0和SSL3.0比较（续） SSL3.0新增功能 ①为提高握手速度而减少握手信息； ②支持更多的密钥交换和加密算法； ③支持fortezza插卡，这是走向智能加密卡的第一步； ④改进了客户机证明申请协议。 采用SSL协议的电子交易过程 SSL协议的优缺点 SET协议（安全电子交易协议） SET协议的概念 SET协议的概念（续） SET协议所涉及的角色 SET协议的规范及功能 SET协议的规范及功能（续） SSL协议与SET协议的比较 支持技术 速度 成本 应用 ③确立会话密钥阶段：客户和服务器之间协议确立会话密钥。 ④会话阶段：客户机与服务器使用会话密钥加密交换会话信息。 ⑤结束阶段：客户机与服务器交换结束信息，通信结束。 凡是支持送SSL协议的网页，都会以https://作为URL的开头。客户在与服务器进行SSL会话中，如果使用的是微软的IE浏览器，可以在右下方状态栏中看到一只金黄色的锁形安全标志，用鼠标双击该标志，就会弹出服务器证书信息。一台支持SSL的典型网络主机接收SSL连接的 默认端口是443。 SSL协议的通信过程（续） SSL 3.0综合了SSL 2.0的大量反馈信息开发而成。 SSL 2.0和SSL 3.0在一些基本的SSL服务器上是相同的，例如信息完整性、私密性、相互认证性。 在SSL2的基础上，SSL3增加了新的功能。 综合运用各种信息安全技术 便宜、开发成本小、应用简单 SSL提供的保密连接有很大的漏洞 SET协议的概念 SET协议涉及的角色 SET协议的规范及功能 SET协议的应用与局限性 SET协议，英文Secure Electronic Transaction Protocol，中文称为安全电子交易协议。 SET协议是由VISA和MasterCard两大信用卡公司发起，会同IBM、Microsoft等信息产业巨头于1997年6月正式制定发布的。 SET协议是信用卡在因特网上进行支付的一种开放式标准，也是银行卡安全支付的具体规范。该标准采用RSA公开密钥体制对通信双方进行认证，采用DES、RC4等对称加密体制加密要传输的信息，并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性，包括了信用卡在电子商务中的交易协定和信息保密、信息完整、身份认证、数字签名等技术，目前已经被广为认可而成了事实上的国际通用的网上支付标准，其交易形态将成为未来电子商务的规范。 持卡人 网上商店 发卡银行 收单银行 支付网关 CA认证中心 SET规范涉及的主要内容 ①加密算法的应用（例如RSA和DES）； ②证书信息和对象格式； ③购买信息和对象格式； ④认可信息和对象格式； ⑤划账信息和对象格式； ⑥对话实体之间信息的传输协议。 SET为电子商务支付系统提供 ①信息保密性。 ②数据的完整性。 ③提供交易者的身份认证和担保。 ④互操作性。