第7章_电子商务交易的安全协议.pptx

第7章 电子商务安全协议;7.1 SSL协议;SSL主要工作流程：;应用数据的传送过程：;SSL协议与TCP/IP协议间的关系;SSL标准主要提供了3种服务：认证服务、数据加密服务与数据完整性服务。 1.认证用户和服务器 ：SSL客户机与服务器都有各自的识别号，这些识别号使用公开密钥进行加密。确保数据发送到正确的客户机和服务器； 2.加密数据以防止数据中途被窃取 ：采用的是对称加密技术与公开密钥加密技术。 3.维护数据的完整性：确保数据在传输过程中不被改变，采用哈希函数和机密共享的方法提供完整信息性的服务，在客户机与服务器之间建立安全通道，以保证数据在传输中完整地到达目的地。 ;1 SSL记录协议;SSL记录协议发送信息的过程;（1）分段 每个上层应用数据被分成214字节或更小的数据块。记录中包含类型、版本号、长度和数据字段。 （2）压缩 压缩是可选的，并且是无损压缩，压缩后内容长度的增加不能超过1024字节。 （3）在压缩数据上计算消息认证MAC。 （4）对压缩数据及MAC进行加密。 （5）增加SSL记录头。 ; 2、握手协议 SSL握手协议包含两个阶段，第一个阶段用于建立私密性通信信道，第二个阶段用于客户认证。;1)?第一阶段： 第一阶段是通信的初始化阶段，通信双方都发出HELLO消息。当双方都接收到HELLO消息时，就有足够的信息确定是否需要一个新的密钥。若不需要新的密钥，双方立即进入握手协议的第二阶段。否则，此时服务器方的SERVER－HELLO消息将包含足够的信息使客户方产生一个新的密钥。这些信息包括服务器所持有的证书、加密规约和连接标识。若密钥产生成功，客户方发出CLIENT－MASTER－KEY消息，否则发出错误消息。最终当密钥确定以后，服务器方向客户方发出SERVER－VERIFY消息。因为只有拥有合适的公钥的服务器才能解开密钥。下图为第一阶段的流程：需要注意的一点是每一通信方向上都需要一对密钥，所以一个连接需要四个密钥，分别为客户方的读密钥、客户方的写密钥、服务器方的读密钥、服务器方的写密钥。;2)?第二阶段： 第二阶段的主要任务是对客户进行认证，此时服务器已经被认证了。服务器方向客户发出认证请求消息：REQUEST－CERTIFICATE。当客户收到服务器方的认证请求消息，发出自己的证书，并且监听对方回送的认证结果。而当服务器收到客户的认证，认证成功返回SERVER－FINISH消息，否则返回错误消息。到此为止，握手协议全部结束。;三、SSL相关技术;;;四 对SSL协议安全机制的分析;(2)身份鉴定 公开密钥技术和数字证书可以实现客户端和服务器端的身份鉴别。ClientHello和ServerHello发过去自己的证书(里面包含了身份和自己的公钥)。 (3)完整性机制 定义了共享的、可以用来形成报文鉴别码MAC的密钥。数据进行分片压缩后，使用单向散列函数产生一个MAC，加密后置于数据包的后部，并且再一次和数据一起被加密,然后加上SSL首部进行网络传输。 这样，如果数据被修改，其散列值就无法和原来的MAC相匹配，从而保证了数据的完整性。 ;;五 SSL协议的电子交易过程;通过SSL协议进行网上交易可能遇到的风险：;2基于SSL的网上银行交易;第二节 SET 协议 ;SET是一种以信用卡为基础的、在因特网上交易的付款协议书，是授权业务信息传输安全的标准，它采用RSA密码算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用散列函数来鉴别信息的完整性。 在SET的交易环境中，比现实社会中多一个电子商务的安全性认证中心——电子商务的安全性CA参与其中，在SET交易中认证是很关键的。 ;SET规范主要包括三部分内容;二. SET的相关成员 (1) 持卡人——消费者：持信用卡购买商品的人，包括个人消费者和团体消费者，按照网上商店的表单填写，通过由发卡银行发行的信用卡进行付费。 (2) 网上商家：在网上的符合SET规格的电子商店，提供商品或服务，它必须是具备相应电子货币使用的条件，从事商业交易的公司组织。 (3) 收单银行：通过支付网关处理持卡人和商店之间的交易付款问题事务。接受来自商店端送来的交易付款数据，向发卡银行验证无误后，取得信用卡付款授权以供商店清算。 ;(4) 支付网关：这是由支付者或指定的第三方完成的功能。为了实现授权或支付功能，支付网关将SET和现有的银行卡支付的网络系统作为接口。 (5) 发卡银行——在交易过程开始前，发卡银行负责查验持卡人的数据，如果查验有效，整个交易才能成立。在交易过程中负责处理电子货币的审核和支付工作。 (6) 认证中心CA——可信赖、公正的组织：接受持卡人、商店