銀行卡的防失密技術(shù)及SSLSET的改進

1、摘 要昂熬走進新世紀俺，白科學技術(shù)發(fā)展日藹新月異柏，巴人們迎來一個知安識爆炸的信息時扮代搬巴信息數(shù)據(jù)的傳輸凹速度更快更便捷癌，胺信息數(shù)據(jù)傳輸量半也隨之增加爸，扒過程更易出現(xiàn)安藹全隱患。因此岸，半信息數(shù)據(jù)安全與跋加密對澳銀行卡暗安全愈加重要板，哀也越來越多的得奧到人們的重視。案銀行卡業(yè)的信息暗安全，對于國家白安全、社會穩(wěn)定敗、人民生命財產(chǎn)哎的保護等都具有哎舉足輕重的地位吧，絕非銀行一方岸之責，需要舉全哎社會系統(tǒng)之力。巴本文壩主要介紹和分析拜了把SSL與SET盎加密協(xié)議以及銀挨行卡防失密笆方法俺。八關(guān)鍵班字芭:扳 挨銀行卡防失密技吧術(shù)阿，岸SSL岸，白 芭SET協(xié)議礙 愛A稗BSTRA壩CT案In

2、to th跋e 礙new cen辦tury, r叭apid de霸velopme擺nt of s隘cience 拜and tec背hnology白, usher安ed in a扒n era o笆f infor哎mation 盎explosi耙on info瓣rmation白 把耙 inform礙ation d版ata tra翱nsmissi壩on spee案d is fa礙ster an絆d more 瓣conveni案ent, th敗e infor癌mation 疤also in熬creases唉 the am八ount of佰 data t白ransfer扮red, pr霸ocess e板

3、as笆ier to 柏present板 a secu八rity ri胺sk. The罷refore,壩 data s百ecurity骯 and en伴cryptio版n of in稗formati安on are 傲becomin敖g more 矮importa扮nt to b壩ank car翱d secur骯ity, mo跋re and 柏more at捌tention板 from t俺he peop叭le.俺Informa白tion se班curity 叭of bank按 card i敗ndustry笆, natio拜nal sec傲urity, 盎social 版stabili疤ty an

4、d 捌people傲s life 哎and pro辦perty p絆rotecti暗on has 扮a key p疤osition背, is by礙 no mea壩ns the 敖Bank re扒sponsib佰ility, 熬society耙 as a s藹ystem o爸f force爸 requir埃ed.胺This pa安per int背roduces八 and an拔alyses 矮the SET埃 and SS骯L encry辦ption p啊rotocol班 and an啊ti-bank半 cards 跋had bee頒n compr胺omised.敖KeyWor岸ds:盎Ant

5、i-c礙ompromi敗sedban藹kcard敗technol扮ogySSL八,SETag爸reement芭 目 錄TOC o 1-3 h z u HYPERLINK l _Toc353135680 瓣第辦1巴章邦 叭引言把 PAGEREF _Toc353135680 h 癌1 HYPERLINK l _Toc353135681 1.1概述 PAGEREF _Toc353135681 h 1 HYPERLINK l _Toc353135682 骯1.1.1案選題的背景白 PAGEREF _Toc353135682 h 柏1 HYPERLINK l _Toc353135683 澳1.1.2哎目

6、的和意義艾 PAGEREF _Toc353135683 h 絆3 HYPERLINK l _Toc353135684 拜1.2SSL敗協(xié)議吧 PAGEREF _Toc353135684 h 礙3 HYPERLINK l _Toc353135685 稗1.2.芭1SSL案協(xié)議介紹拜 PAGEREF _Toc353135685 h 版3 HYPERLINK l _Toc353135686 扒1.2.2斑握手協(xié)議暗 PAGEREF _Toc353135686 h 扳6 HYPERLINK l _Toc353135687 拌1.2.3SS澳L 2.0擺和靶SSL 3.0懊比較癌 PAGEREF _To

7、c353135687 h 愛7 HYPERLINK l _Toc353135688 靶1.2.4SS把L巴協(xié)議的電子交易挨過程搬 PAGEREF _Toc353135688 h 凹8 HYPERLINK l _Toc353135689 百1.2.5SS礙L背的缺點八 PAGEREF _Toc353135689 h 案8 HYPERLINK l _Toc353135690 辦1.3SET案協(xié)議般 PAGEREF _Toc353135690 h 翱9 HYPERLINK l _Toc353135691 跋1.3.1SE襖T拔協(xié)議介紹襖 PAGEREF _Toc353135691 h 俺9 HYPE

8、RLINK l _Toc353135692 骯1.3.2SE礙T百支付模式艾 PAGEREF _Toc353135692 h 班10 HYPERLINK l _Toc353135693 頒1.3.3SE拔T笆協(xié)議中的角色澳 PAGEREF _Toc353135693 h 愛11 HYPERLINK l _Toc353135694 凹1.3.4SE皚T艾協(xié)議的電子交易柏過程俺 PAGEREF _Toc353135694 h 百12 HYPERLINK l _Toc353135695 拜1.3.5SE芭T岸協(xié)議工作流程及艾原理鞍 PAGEREF _Toc353135695 h 捌13 HYPERL

9、INK l _Toc353135696 辦1.3.6SE板T藹的缺點耙 PAGEREF _Toc353135696 h 捌15 HYPERLINK l _Toc353135697 挨1.3.7ET版支持的交易類型安 PAGEREF _Toc353135697 h 隘15 HYPERLINK l _Toc353135698 鞍1.3.8皚購買請求的交互板過程盎 PAGEREF _Toc353135698 h 阿17 HYPERLINK l _Toc353135699 澳1.4暗本章小結(jié)版 PAGEREF _Toc353135699 h 癌20 HYPERLINK l _Toc353135700

10、氨第白2白章捌 SET懊與艾SSL辦協(xié)議比較稗 PAGEREF _Toc353135700 h 礙21 HYPERLINK l _Toc3531爸35701挨 藹2.1SSL藹與奧SET鞍比較敗 PAGEREF _Toc353135701 h 把21 HYPERLINK l _Toc353135702 骯2.2SSL暗與氨 SET懊優(yōu)缺點挨 PAGEREF _Toc353135702 h 哀22 HYPERLINK l _Toc353135703 扮2.3白本章小結(jié)班 PAGEREF _Toc353135703 h 柏23 HYPERLINK l _Toc353135704 柏第半3跋章俺 扮

11、加密技術(shù)哎 PAGEREF _Toc353135704 h 扳24 HYPERLINK l _Toc353135705 鞍3.1昂支付協(xié)議中的加班密技術(shù)白 PAGEREF _Toc353135705 h 癌24 HYPERLINK l _Toc353135706 邦3.1.1暗數(shù)字信封愛 PAGEREF _Toc353135706 h 壩24 HYPERLINK l _Toc353135707 靶3.1.2般數(shù)字簽名藹 PAGEREF _Toc353135707 h 把24 HYPERLINK l _Toc353135708 笆3.1.3哎消息摘要佰 PAGEREF _Toc353135708

12、 h 氨24 HYPERLINK l _Toc353135709 俺3.1.4搬雙重簽名般 PAGEREF _Toc353135709 h 阿24 HYPERLINK l _Toc353135710 佰3.2盎加密、簽名和消暗息摘要的過程捌 PAGEREF _Toc353135710 h 拌25 HYPERLINK l _Toc353135711 骯3.3壩本章小結(jié)板 PAGEREF _Toc353135711 h 拔25 HYPERLINK l _Toc353135712 俺第奧4阿章擺 暗銀行卡防密愛 PAGEREF _Toc353135712 h 熬26 HYPERLINK l _Toc

13、353135713 半4.1 岸銀行卡的種類、襖功能和作用扮 PAGEREF _Toc353135713 h 凹26 HYPERLINK l _Toc353135哀714爸 皚4.2絆風險點分析及措拔施白 PAGEREF _Toc353135714 h 胺27 HYPERLINK l _Toc353135715 藹4.2.1敗針對持卡人的防氨范措施熬 PAGEREF _Toc353135715 h 背27 HYPERLINK l _Toc353135716 背4.2.2疤防止銀行卡被盜安用氨 PAGEREF _Toc353135716 h 芭28 HYPERLINK l _Toc3531357

14、17 爸4.2.3耙防范銀行卡網(wǎng)上骯交易風險哎 PAGEREF _Toc353135717 h 澳30 HYPERLINK l _Toc353135718 鞍4.3版保護銀行卡密碼拔措施辦 PAGEREF _Toc353135718 h 俺30 HYPERLINK l _Toc353135719 矮4.4隘本章小結(jié)扳 PAGEREF _Toc353135719 h 昂33 HYPERLINK l _Toc353135720 敖第爸5稗章耙 胺總結(jié)疤 PAGEREF _Toc353135720 h 澳34 HYPERLINK l _Toc353135721 壩參考文獻稗 扮 PAGEREF _T

15、oc353135721 h 霸35 HYPERLINK l _Toc353135722 矮致謝奧 礙 PAGEREF _Toc353135722 h 瓣35 HYPERLINK l _Toc353135723 爸附錄鞍 搬 PAGEREF _Toc353135723 h 暗36第1章 引言1.1概述盎1.1.1澳選題凹的背景拜銀行卡業(yè)的信息扒安全，對于國家安安全、社會穩(wěn)定翱、人民生命財產(chǎn)耙的保護等都具有澳舉足輕重的地位靶，絕非銀行一方骯之責，需要舉全絆社會系統(tǒng)之力。藹消費者自身：哀自我保護需補課佰。盡量不使用吉芭祥數(shù)字、出生年阿月、電話號碼等傲易猜數(shù)字作密碼懊，并在密碼中適邦當增添23個哎英文

16、字母，使密昂碼難以破譯。要阿區(qū)別設置登錄密邦碼和支付密碼拔以防止在登錄密癌碼被竊后，將賬爸戶資金轉(zhuǎn)到他人扳賬戶。網(wǎng)上銀行艾使用完畢后，千藹萬要注意點擊“熬退出登錄”選項耙。不要隨手丟棄懊ATM提款、查八詢和POS消費哀的回單，一定要佰取回。不要在網(wǎng)背吧及公司公用電笆腦上進行網(wǎng)上消礙費，如果確有必斑要在一些公用的耙計算機上進行消版費操作時，請記澳住操作完成后一跋定退出系統(tǒng)。要愛注意為家用電腦拔安裝防火墻程序案，并隨時升級，哀防止個人賬戶信鞍息遭到黑客竊取愛。埃政府部門：治辦本作用不可弱化半。中國科學院互艾聯(lián)網(wǎng)研究中心的罷呂本富教授認為艾，從硬、軟兩方瓣面的技術(shù)來看，埃我國目前使用的癌信息核心技術(shù)

17、都凹掌握在西方發(fā)達熬國家手中，這在艾客觀上為我國相八關(guān)的商業(yè)機密、版保密安全問題留傲下了隱患。為此背，國家應在諸如啊互聯(lián)網(wǎng)軟硬件建八設等方面加強政吧策扶持，加速發(fā)敗展自主知識產(chǎn)權(quán)凹產(chǎn)品，如下一代霸互聯(lián)網(wǎng)等等。要搬從金融是現(xiàn)代經(jīng)藹濟核心的高度，巴借鑒政府網(wǎng)站有鞍專用域名做法，背由銀行向?qū)ｉT負鞍責域名申請的部襖門提出，為網(wǎng)上敖銀行設置專用域阿名，由某權(quán)威機壩構(gòu)比如銀監(jiān)會負藹責審批，以最大跋限度打擊假冒網(wǎng)辦銀網(wǎng)站。同時，皚要借鑒發(fā)達國家熬打擊網(wǎng)上金融犯板罪的經(jīng)驗，不斷骯補充我國刑法懊上金融計算機隘犯罪的種類或制霸定單獨的中國百互聯(lián)網(wǎng)金融犯罪班條例，通過建敗立健全對新型金俺融犯罪的法制體哀系，做到有法

18、可巴依，違法必究。奧監(jiān)管部門：重八在防范和化解大頒規(guī)模信息泄密事岸件。人民銀行作熬為政府的銀行，暗銀監(jiān)會作為銀行爸監(jiān)管部門要切實岸履行職責，與時絆俱進制定和修改哎銀行業(yè)的游戲規(guī)唉則，堵塞漏洞，爸并有針對性地對熬銀行卡業(yè)實行全頒面有效的風險監(jiān)稗控，以防患于未瓣然。對突發(fā)性、奧全球化、全國性骯、全行業(yè)性的金唉融事件，尤其是邦客戶信息失密事耙件要在第一時間罷進行預警，并有版效組織商業(yè)銀行巴加以化解。通過伴這次對美國銀行爸卡信息泄露事件熬的反應來看，我懊國的銀行監(jiān)督管熬理部門完全有能胺力在這方面發(fā)揮般其應有的作用。叭商業(yè)銀行：千昂方百計做好對自壩身客戶信息的保皚護工作。在進一矮步改善用卡環(huán)境芭，切實從

19、外在環(huán)吧境上保護客戶隱耙私的基礎上，加板強對終端設施的隘技術(shù)防范。骯首先，要加強癌銀行卡磁道的技敗術(shù)防范。據(jù)業(yè)內(nèi)癌人士介紹，現(xiàn)在昂銀行卡賬戶資金斑信息基本上都是辦通過磁道讀寫的岸，只有確保磁道巴信息的安全才能案不被隨便盜取，版因此，要注重開安發(fā)先進的磁道加叭密技術(shù)，確保通百過加密只有通過挨發(fā)卡銀行才能有敖權(quán)修改和復制磁敗道信息，從而為捌確?？蛻糍Y金安罷全建好第一條防昂線。鞍其次，要改善奧身份認證手段。八據(jù)了解，我國目伴前的銀行卡，幾靶乎無一例外只提按供了密碼保護這案一種“單面墻”俺式的身份認證制骯度。業(yè)內(nèi)專家認把為，這對于無須頒配合信用證使用阿的借記銀行卡來笆說盜取風險往往凹很大。因此，建埃議

20、逐步探索推廣艾包括指紋、印鑒百、氣味、聲音等罷多種身份認證手跋段，抬高不法分把子盜取客戶資金藹的技術(shù)門檻。目霸前，國際上公認耙最安全、最值得稗推廣的身份識別霸技術(shù)是電子簽名安(CA)。據(jù)了昂解，采用電子簽笆名可以有效地防叭范“網(wǎng)絡釣魚”襖和“網(wǎng)銀大盜”敗的破壞。據(jù)不完隘全統(tǒng)計，我國已哎有100多個電安子認證中心，自爸2000年6月斑投放第一張網(wǎng)上辦銀行數(shù)字證書至斑今，中國金融認懊證中心共發(fā)出證藹書40余萬張，澳為國內(nèi)20余家按商業(yè)銀行提供認凹證。推廣這一技百術(shù)，無疑是一個壩大方向。安再次，要積極暗開發(fā)和運用最先哀進的密碼保護技艾術(shù)。據(jù)了解，美昂國花旗銀行日前挨推出了一項新的白服務，能確保持盎卡

21、人在網(wǎng)上用信拜用卡購物的絕對搬安全。據(jù)悉，花哀旗銀行向其信用拜卡持有人提供一笆個名為“虛擬信扳用卡賬戶”的軟藹件，供免費下載白，持卡人在下載哀該軟件后再上網(wǎng)板購物時，電腦會霸自動地隨機生成扮一個虛擬信用卡懊號，從而隱藏了跋真正的信用卡號搬，每次網(wǎng)上購物襖后該虛擬卡號就氨自動作廢，非持皚卡人因而無法通吧過網(wǎng)絡竊取信用唉卡資料。癌最后，要高度耙關(guān)注第三方的信八息安全。據(jù)報道邦，黑客正是進入敖了為萬事達、維壩薩和美國運通卡拌等信用卡組織提澳供服務的機構(gòu)的昂信用卡客戶資料昂庫，才造成資料芭外泄的。有鑒于扒此我國銀行業(yè)皚要吸取美國銀行挨卡信息泄密案的芭教訓，加強對保氨險公司、商戶客俺戶信息安全的監(jiān)擺督和

22、檢查，發(fā)現(xiàn)耙隱患，及時消除哀。爸此外，要建立佰健全應對突發(fā)性埃金融事件的應急翱機制，以應對金罷融國際化的挑戰(zhàn)凹。據(jù)了解，美國懊信用卡數(shù)據(jù)遭黑敖客侵入事件發(fā)生巴后，中行等銀行哀便在第一時間從拜維薩、萬事達卡啊國際組織獲得可傲能受侵的客戶名擺單，并迅速通過耙手機、電話、信爸函等方式，在第靶一時間聯(lián)系到持八卡人，通報有關(guān)叭情況，為其免費扮更換新卡，通過斑最近一期的對賬熬單，就有關(guān)情況敗進行說明，提醒礙近期在美國用過芭卡的持卡人注意把防范；積極與有盎關(guān)國際信用卡組爸織溝通情況，跟哎蹤事態(tài)進展，隨奧時準備采取進一骯步的應對措施。扒有的還利用欺詐拜偵測系統(tǒng)，加強案對所有近期在美挨國地區(qū)使用過信擺用卡的客戶

23、的卡唉片交易監(jiān)控。這俺無疑是一個良好板地開端，但更艱壩巨、更復雜的情伴況還在今后的每岸一天，隨時考驗凹著我國銀行業(yè)的敖智慧和應變能力巴。另據(jù)最新消息骯，由中國政府倡哎議建立的應對經(jīng)拜濟和金融突發(fā)事捌件的緊急對話機熬制，在日前召開頒的亞歐財長會議罷上得到普遍認同擺，這無疑是我國般銀行業(yè)應對突發(fā)扳性金融事件挑戰(zhàn)百的一個積極信號捌。哀1.1.2笆目的和意義擺銀行卡作為重要敗的非現(xiàn)金支付工扮具，確保其安全昂、高效地使用，癌對維護國家支付襖體系的穩(wěn)定、促壩進經(jīng)濟金融發(fā)展盎有十分重要的意矮義。但隨著近年埃來銀行卡的長足捌發(fā)展，各類銀行邦卡犯罪也日趨嚴把重，并呈現(xiàn)出集傲團化、國際化、頒高科技化特征。澳而時下

24、愈演愈烈奧的竊取信用卡信斑息資料，用于非昂法目的高危犯罪懊現(xiàn)象，更值得引凹起我們高度關(guān)注俺! HYPERLINK /network/ 敖網(wǎng)絡愛和信息技術(shù)的不鞍斷 HYPERLINK /fazhan/ 岸發(fā)展班和滲透，使得電岸子商務得到了飛柏速的發(fā)展。然而阿，電子商務在提藹供機遇和便利的唉同時，也面臨著辦一個最大的挑戰(zhàn)背，即交易的安全俺問題。其中，安白全協(xié)議是保證電板子商務安全的核俺心所在。辦1.2案SSL般協(xié)議敖1.2.1艾SSL協(xié)議介紹拔1SSL的體捌系結(jié)構(gòu)壩SSL敗位于昂TCP/IP安協(xié)議和應用協(xié)議襖之間扮。2.SSL簡介安全套接層協(xié)議艾SSL (se板cure so俺ckets l氨ay

25、er)胺是由靶Netscap胺e 斑公司是由設計開叭發(fā)的，其目的是懊通過在收發(fā)雙方疤建立安全通道來耙提高應用程序間巴交換數(shù)據(jù)的安全藹性，從而實現(xiàn)瀏吧覽器和服務器（昂通常是耙Web凹服務器）之間的壩安全通信。捌（1）昂SSL耙是一種利用公共稗密鑰技術(shù)的工業(yè)扳標準，已經(jīng)廣泛班用于胺Interne敗t敖，它使用的是把RSA瓣數(shù)字簽名算法，阿可以支持暗X.509挨證書和多種保密捌密鑰加密算法。頒（2）胺其運行機制是：佰在建立連接過程靶中采用公共密鑰唉；在回話過程中敗采用專有密鑰；扒加密的類型和強壩度則在兩端之間凹建立連接的過程翱中判斷決定。唉一、敖SSL提供的基芭本服務功能敖（1）艾信息保密。使用百公

26、共密鑰和對稱白密鑰技術(shù)實現(xiàn)信盎息保密。SSL熬客戶機和SSL跋服務器之間的所胺有業(yè)務都使用在隘SSL握手過程凹中建立的密鑰和愛算法進行加密，白這樣就防止了某案些用戶進行非法版竊聽。瓣（2）氨信息完整性。S搬SL利用機密共芭享和Hash函板數(shù)組提供信息完罷整性服務。相互百認證。是客戶機搬和服務器相互識岸別的過程。癌二、佰SSL巴協(xié)議的工作流程愛(1)接通階段邦：客戶通過網(wǎng)絡骯向服務商發(fā)送連板接信息，服務商唉回應；啊(2)密碼交換扮階段：客戶與服埃務器之間交換雙澳方認可的密碼，奧一般選用RSA罷密碼算法，也有藹的選用Diff背ie-Hell版manf和Fo案rtezza-按KEA密碼算法捌；巴(3

27、)會談密碼伴階段：客戶根據(jù)盎收到的服務器響百應信息，產(chǎn)生一把個主密鑰，并用稗服務器的公開密半鑰加密后傳給服阿務器；藹(4)檢驗階段敖：服務器恢復該罷主密鑰，并返回暗給客戶一個用主扮密鑰認證的信息靶，以此讓客戶認鞍證服務器。奧(5)客戶認證癌階段：服務器通按過數(shù)字簽名驗證奧客戶的可信度；芭(6)結(jié)束階段安，客戶與服務商礙之間相互交換結(jié)襖束的信息胺。拌SSL唉協(xié)議運行的基點跋是商家對客戶信昂息保密的承諾。搬從哀SSL 唉協(xié)議所提供的服扳務及其工作流程白可以看出，該協(xié)罷議有利于商家而暗不利于消費者。搬客戶的信息首先癌傳到商家，商家凹閱讀后再傳給銀隘行，這樣，客戶邦資料的安全性便扮受到威脅。商家版認證

28、客戶是必要敗的，但整個過程敗中，缺少了客戶芭對商家的認證。扒在電子商務的初澳級階段，由于運芭作電子商務的 HYPERLINK /company/ 盎企業(yè)芭大多是信譽較高愛的大公司，因此辦這問題還沒有充吧分暴露出來。但安隨著電子商務的挨發(fā)展，各中小型俺公司也參與進來敗，這樣在電子支骯付過程中的單一擺認證問題就越來頒越突出。雖然在把SSL3.0靶中通過數(shù)字簽名把和數(shù)字證書可實盎現(xiàn)瀏覽器和愛Web俺服務器雙方的身啊份驗證，但是耙SSL安協(xié)議仍存在一些挨問題，比如，只凹能提供交易中客版戶與服務器間的絆雙方認證，在涉傲及多方的電子交翱易中，八SSL凹協(xié)議并不能協(xié)調(diào)叭各方間的安全傳絆輸和信任關(guān)系。耙在這種

29、情況下，伴Visa氨和瓣 Master懊Card奧兩大信用卡公組按織制定了哎SET白協(xié)議，為網(wǎng)上信胺用卡支付提供了捌全球性的標準頒。SSL的功能佰客戶對服務器的霸身份認證愛SSL拜服務器允許客戶柏的瀏覽器使用標扮準的公鑰加密技柏術(shù)和一些可靠的阿認證中心（拌CA愛）的證書，來確扒認服務器的合法癌性。稗服務器對客戶的吧身份認證熬也可通過公鑰技罷術(shù)和證書進行認壩證，也可通過用百戶名，擺pa拔ssword奧來認證。邦建立服務器與客半戶之間安全的數(shù)氨據(jù)通道翱SSL板要求客戶與服務啊器之間的所有發(fā)霸送的數(shù)據(jù)都被發(fā)哀送端加密、接收扮端解密，同時還爸檢查八 翱數(shù)據(jù)的完整性班SSL的三種安跋全服務襖圖1-1 S

30、S霸L的三種安全服啊務唉SSL協(xié)議通信擺過程癌接通階段：客戶安機呼叫服務器，壩服務器回應客戶愛。耙認證階段：服務皚器向客戶機發(fā)送矮服務器證書和公斑鑰；如果服務器澳需要雙方笆 襖認證，還要向?qū)Π敕教岢稣J證請求靶；客戶機用服務哀器公鑰加密向服吧務器發(fā)送自己的壩公鑰，并根據(jù)服挨務器是否需要認愛證客戶身份，向扒服務器發(fā)送客戶扒端證書。按確立會話密鑰階把段：客戶和服務矮器之間協(xié)議確立安會話密鑰。伴會話階段：客戶斑機與服務器使用扮會話密鑰加密交柏換會話信息。盎結(jié)束階段：客戶瓣機與服務器交換奧結(jié)束信息，通信絆結(jié)束。邦凡是支持送SS伴L協(xié)議的網(wǎng)頁，襖都會以http巴s:/作為U拔RL的開頭?？桶磻粼谂c服務器進

31、壩行SSL會話中敖，如果使用的是扮微軟的IE瀏覽扒器，可以在右下般方狀態(tài)欄中看到背一只金黃色的鎖佰形安全標志，用叭鼠標雙擊該標志巴，就會彈出服務背器證書信息。氨SSL的安全性敖服務對終端用戶唉盡可能透明。絆與標準的HTT埃P連接申請不同埃，支持SSL的頒典型網(wǎng)絡主機接皚收SSL連接的案默認端口是44吧3。靶1.2.2傲握手協(xié)議握手協(xié)議過程哀第一階段暗 柏安全能力的建立壩辦(1) 澳客戶斑 拌服務器翱 把：敗client_跋hello安。般班(2) 絆服務器案 爸客戶埃 扮：跋server_岸hello氨。埃第二階段傲 氨服務器認證和密把鑰交換阿疤(3) 癌服務器鞍 扮客戶懊 阿：柏server

32、_芭certifi百cate扮。扳皚(4) 版服務器暗 拌客戶胺 哀：八server_斑key_exc搬hange背。愛阿(5) 芭服務器傲 扮客戶耙 癌：案certifi背cate_re艾quest暗。埃礙(6) 啊服務器佰 吧客戶懊 哀：懊server_罷hello_d百one百。叭第三階段頒 挨客戶認證和密鑰板交換百百(7)昂 澳客戶唉 瓣服務器笆 半：柏client_巴certifi擺cate奧。霸版(8) 唉客戶皚 搬服務器啊 皚：白client_案key_exc暗hange昂。把懊(9) 半客戶胺 安服務器罷 哀：艾certifi佰cate_ve芭rify氨。頒第四階段愛 氨結(jié)束階

33、段捌鞍(10) 百客戶熬 癌服務器氨 霸：稗change_霸cipher_唉spec拜。凹唉(11) 疤客戶懊 拜服務器俺 頒：半finishe芭d柏。哎百(12) 岸服務器拜 挨客戶俺 傲：頒change_翱cipher_氨spec按。扳八(13) 罷服務器奧 昂客戶愛 半：昂finishe般d矮。叭當客戶機連接該皚端口時，首先初霸始化握手協(xié)議，愛建立一個SSL爸對話時段。握手百結(jié)束后，將對通奧信加密，并檢查胺信息完整性，直鞍到這個對話時段翱結(jié)束為止。每個罷SSL對話時段疤只發(fā)生一次握手佰。瓣1.2.3暗SSL 2.0板和SSL 3.吧0比較拔第一代Nets奧cape產(chǎn)品采扒用了SSL 2懊

34、.0協(xié)議，如今把的Netsca唉pe產(chǎn)品采用了邦新的SSL 3按.0協(xié)議。八SSL 2.0扮和SSL 3.阿0在一些基本的澳SSL服務器上哎是相同的，例如伴信息完整性、私把密性、相互認證耙性。叭SSL3.0增笆加了的功能有：芭為提高握手速度百而減少握手信息罷；把支持更多的密鑰半交換和加密算法氨；傲支持forte八zza插卡，這靶是走向智能加密挨卡的第一步；凹改進了客戶機證埃明申請協(xié)議拌1.2.4唉SSL協(xié)議的電搬子交易過程愛圖1-2 SS翱L協(xié)議交易過程交易過程的步驟安捌客戶購買的信息爸首先發(fā)往商家；按哎商家再將信息轉(zhuǎn)案發(fā)銀行；罷叭銀行驗證客戶信罷息的合法性后，拔再通知客戶和商班家付款成功；敗

35、礙商家再通知客戶俺購買成功。邦網(wǎng)上支付流程時疤的缺點澳首先，客戶的銀埃行資料信息先送埃到商家，讓商家芭閱讀，這樣，客疤戶銀行資料的安氨全性就得不到保阿證。案 其次，唉SSL協(xié)議雖然氨提供了資料傳遞般過程的安全通道哎，但SSL協(xié)議礙安全方面有缺少般數(shù)字簽名功能、班沒有授權(quán)和存取岸控制、多方互相八認證困難、不能啊抗抵賴、用戶身辦份可能被冒充等般弱點巴。靶1.2.5鞍SSL的缺點扒對于電子商務應霸用來說，使用S熬SL可保證信息敖的真實性、完整翱性和保密性。但癌由于SSL不對胺應用層的消息進壩行數(shù)字簽名，因罷此不能提供交易捌的不可否認性愛SSL在全球的吧大規(guī)模使用還有罷一定的難度 。頒SSL產(chǎn)品的出案

36、口受到美國國家岸安全局（NSA俺）的限制，美國癌政府只允許加密芭密鑰為40位以霸下的算法出口，阿而美國的商家一壩般都可以使用1艾28位的SSL伴，致使美國以外敖的國家很難真正板在電子商務中充斑分利用SSL 熬。疤1.3昂SET協(xié)議爸1.3.1扒SET協(xié)議介紹挨SET （Se拔cure El柏ectroni艾c Trans斑action）邦是由Visa和阿MasterC扮ard兩大信用哎卡組織聯(lián)合開發(fā)敖的電子商務安全拔協(xié)議。它是一種扒基于消息流的協(xié)隘議，用來保證公盎共網(wǎng)絡上銀行卡敗支付交易的安全襖性，因而成為I班nternet唉上進行在線交易靶的電子付款系統(tǒng)扳規(guī)范 白它采用公鑰密碼扮體制和X.5

37、0佰9數(shù)字證書標準癌，主要應用于B胺 to C模式暗中保障支付信息辦的安全性。SE柏T協(xié)議本身比較背復雜，設計比較癌嚴格，安全性高哎，它能保證信息隘傳輸?shù)臋C密性、板真實性、完整性澳和不可否認性。奧SET協(xié)議是P盎KI框架下的一翱個典型實現(xiàn)，也俺是一個基于可信扒的第三方認證中佰心的方案 壩。絆1.SET支付捌系統(tǒng)的組成擺SET支付哎系統(tǒng)主要由持卡鞍人（CardH哎older）、暗商家（Merc笆hant）、發(fā)案卡行（Issu骯ing Ban版k）、收單行（盎Acquiri哎ng Bank奧）、支付網(wǎng)關(guān)（般Payment藹 Gatewa皚y）、認證中心埃（Certif懊icate A邦uthori

38、t耙y）等六個部分埃組成。對應地，百基于SET協(xié)議爸的網(wǎng)上購物系統(tǒng)般至少包括電子錢傲包軟件、商家軟安件、支付網(wǎng)關(guān)軟版件和簽發(fā)證書軟八件。埃2.SET協(xié)議吧的工作流程如下礙在SET協(xié)稗議介入之前，消拔費者通過因特網(wǎng)瓣進行選貨、下訂愛單并與商家聯(lián)系敖最終確定訂單的辦相關(guān)情況、付款拜方式和簽發(fā)付款愛指令。此時SE敖T協(xié)議開始介入白，進入以下幾個辦階段鞍(1)支付辦初始化請求和響稗應階段。當客戶氨決定要購買商家礙的商品并使用電把子錢包支付時，阿商家服務器上P爸OS軟件發(fā)報文礙給客戶的瀏覽器班電子錢包，電子疤錢包要求客戶輸爸入口令然后與商白家服務器交換“懊握手”信息，使艾客戶和商家相互板確認，即客戶確罷

39、認商家被授權(quán)可疤以接受信用卡，矮同時商家也確認懊客戶是一個合法艾的持卡人。吧(2)支付矮請求階段。客戶哀發(fā)出一個報文，艾包括訂單和支付礙命令。在訂單和癌支付命令中必須敗有客戶的數(shù)字簽矮名，同時利用按雙重簽名技術(shù)捌保證商家看不到礙客戶的賬號信息昂。而位于商家開板戶行的被稱為支哀付網(wǎng)關(guān)的另外一案個服務器可以處罷理支付命令中的背信息。般(3)授權(quán)請求拜階段。商家收到礙訂單后，POS辦組織一個授權(quán)請搬求報文，其中包班括客戶的支付命擺令，發(fā)送給支付啊網(wǎng)關(guān)。支付網(wǎng)關(guān)佰是一個Inte半rnet服務器皚，是連接阿Interne疤t和銀行內(nèi)部 HYPERLINK /network/ 矮網(wǎng)絡岸的接口凹。授權(quán)請求報

40、文唉通過支付網(wǎng)關(guān)到跋達收單銀行后，隘收單銀行再到發(fā)八卡銀行確認。疤(4)授權(quán)懊響應階段。收單辦銀行得到發(fā)卡銀邦行的批準后，通八過支付網(wǎng)關(guān)發(fā)給斑商家授權(quán)響應報捌文。襖(5)支付霸響應階段。商家藹發(fā)送購買響應報熬文給客戶，記錄靶客戶交易日志，罷以備查詢。之后霸進行發(fā)貨或提供扒服務，并通知收瓣單銀行將錢從消笆費者的賬號轉(zhuǎn)移背到商店賬號，或柏通知發(fā)卡銀行請班求支付。笆1.3.2礙SET支付模式佰圖安1-3俺 SET支付般模式傲SET按協(xié)議的目標昂（1）背信息在互聯(lián)網(wǎng)上鞍安全傳輸，不能胺被竊聽或篡改辦。拌（2）癌用戶資料要妥善靶保護，商家只能壩看到訂貨信息，敗看不到用戶的賬埃戶 信息案。巴（3）阿持卡人

41、和商家相頒互認證，以確定昂對方身份擺。扳（4）澳軟件遵循相同的鞍協(xié)議和消息格式哎，具有兼容性和敖互操作性 按 啊。半SET爸安全電子商務的熬構(gòu)成叭 安圖敗1-4骯 SET安全半電子商務構(gòu)成班利用傲SET頒協(xié)議的典型交易矮事件序列鞍 申領信用卡。 把持卡用戶獲得證笆書。把商家獲得證書。鞍 辦持卡用戶訂購商伴品。佰用戶對商家的身阿份認證。拜 罷用戶發(fā)送訂購和般支付信息。罷 氨商家請求支付認罷可。扳 版商家確認訂購。扒 供貨。 敗商家請求支付。凹 耙1半.3.3叭SET協(xié)議中的敖角色般 艾持卡人：在電子佰商務環(huán)境中，消哎費者和團體購買襖者通過計算機與挨商家交流，持卡安人通過由發(fā)卡機澳構(gòu)頒發(fā)的付款卡芭

42、(例如信用卡、跋借記卡)進行結(jié)百算。在持卡人和扮商家的會話中，頒SET可以保證盎持卡人的個人帳班號信息不被泄漏哀。八發(fā)卡機構(gòu)：它是壩一個金融機構(gòu)，藹為每一個建立了胺帳戶的顧客頒發(fā)扳付款卡，發(fā)卡機柏構(gòu)根據(jù)不同品牌敗卡的規(guī)定和政策搬，保證對每一筆爸認證交易的付款按。罷商家：提供商品?；蚍?，使用S懊ET，就可以保拔證持卡人個人信癌息的安全。接受斑卡支付的商家必骯須和銀行有關(guān)系擺。伴銀行：在線交易把的商家在銀行開癌立帳號，并且處笆理支付卡的認證拔和支付。矮支付網(wǎng)關(guān)：是由懊銀行操作的，將班Interne耙t上的傳輸數(shù)據(jù)靶轉(zhuǎn)換為金融機構(gòu)安內(nèi)部數(shù)據(jù)的設備熬，或由指派的第哀三方處理商家支埃付信息和顧客的矮支

43、付指令。礙1.3.4叭SET協(xié)議的電鞍子交易過程班圖斑1-5俺 佰 SET協(xié)議電八子交易過程礙SET骯交易分三個階段白進行爸:稗（1）版在購買請求階段敖，用戶與商家確班定所用支付方式傲的細節(jié)拜（2）耙在支付確認階段埃，商家會與銀行氨核實扒,佰隨著交易的進展啊他們將得到付款笆（3）哎在收款階段，商芭家向銀行出示所耙有交易的細節(jié)，擺然后銀行以適當白方式轉(zhuǎn)移貨款啊如果不是使用借胺記卡，而直接支耙付現(xiàn)金，商家在絆第二階段完成以靶后的任何時間即伴可以供貨支付。奧第三階段將緊接擺著第二階段進行稗，用戶只和第一奧階段交易有關(guān)，胺銀行與第二三階拌段有關(guān)，而商家傲與三個階段都要靶發(fā)生關(guān)系。每個跋階段都涉及到愛R

44、SA案對數(shù)據(jù)加密以及佰RSA阿數(shù)字簽名。把1.3.5搬SET協(xié)議工作凹流程及原理工作流程?。?） 用戶向頒商家發(fā)送購貨單翱和一份經(jīng)過簽名板、加密的信托書礙。書中的信用卡瓣號是經(jīng)過加密的辦，商家無從得知唉；拔（2） 商家把爸信托書傳送到收礙單銀行，收單銀佰行可以解密信用昂卡號，并通過認靶證驗證簽名；?。?） 收單銀氨行向發(fā)卡銀行查俺問，確認用戶信板用卡是否屬實；百（4） 發(fā)卡銀版行認可并簽證該芭筆交易；扒（6） 商家向柏用戶傳送貨物和骯收據(jù)；愛（7） 交易成百功，商家向收單把銀行索款；凹（8） 收單銀癌行按合同將貨款擺劃給商家；襖（9） 發(fā)卡銀柏行向用戶定期寄百去信用卡消費賬澳單。按圖凹1-6罷

45、支付流程圖工作原理挨圖埃1-7佰 SET協(xié)議工奧作原理圖雙向簽名 岸持卡用戶需要將邦訂購信息（OI芭）和支付信息（搬PI）一起發(fā)送胺給商家。暗但是實際上訂購敗信息是發(fā)送給商拌家的，而支付信瓣息是需要發(fā)送給版銀行系統(tǒng)的。為按了向持卡用戶提唉供更好的隱私保翱護，SET將O皚I和PI分離開埃來，由不同的機按構(gòu)處理。 版簡單地將OI和暗PI分離是不行拌的。這兩個方面藹的信息也必須采安用某種必要的方礙式連接起來，以疤解決可能出現(xiàn)的懊爭端。 笆雙向簽名可以連拌接兩個發(fā)送給不胺同接收者的消息芭報文 ，可以滿埃足這種需求。雙聯(lián)簽名阿圖斑1-8背 雙聯(lián)簽名懊1.3.6扳S懊ET的缺點瓣SET班的復雜性和認證拔機

46、制決定了完全板采用班SET哀實施的應用系統(tǒng)伴寥寥無幾，其困扒難不在于技術(shù)實拜施，而在于建立扳一個為商家、銀鞍行、發(fā)卡機構(gòu)和胺消費者普便認可擺的證書權(quán)威認證耙機構(gòu)矮CA芭及其認證體系，盎這是一個敏感的吧商業(yè)問題，牽涉按多方利益，很難叭協(xié)調(diào)。爸SET絆的另一個弱點，愛是作為一種卡支叭付協(xié)議，對別的哀安全協(xié)議，如白SSL氨、瓣IP sec/啊VPN暗、芭S/MIME皚等不兼容，所以澳，俺SET胺協(xié)議不但不支持襖除了卡支付以外拔的其它支付方式藹，更不能支持電辦子商務搬中另一種增長較辦快、交易額較大拔的網(wǎng)上交易方式巴B2B的電子翱商務。斑1.3.7白ET支持的交易鞍類型澳卡用戶注冊罷持卡用戶在安CA鞍中

47、注冊，以便能稗夠與商家進行癌SET啊報文的交互俺商家注冊疤商家在矮CA般中注冊，以便能礙夠支持與持卡用矮戶和支付網(wǎng)關(guān)之板間的捌SET鞍報文交互暗購買請求俺持卡用戶向商家拔發(fā)送報文，其中礙包含提交給給商藹家的訂購信息捌OI捌和提交給的銀行伴系統(tǒng)的支付信息隘PI挨支付認可澳支付認可是商家辦和支付網(wǎng)關(guān)之間伴的交換，用來核罷準用戶的信用卡襖賬號足以支付購巴買哀支付獲取邦商家向支付網(wǎng)關(guān)般請求支付拌證書調(diào)查和狀態(tài)盎持卡用戶或商家拔向笆CA傲發(fā)出證書請求后搬，如果奧CA霸不能立刻處理，絆它將給持卡用戶安或商家發(fā)送回答板，指示請求者以奧后再查看。持卡矮用戶或商家通過啊發(fā)送叭“頒證書調(diào)查案”背報文來確定該證叭書

48、請求的狀態(tài)，半并且在請求被批挨準時接收證書般購買調(diào)查奧持卡用戶在收到笆了對購買請求的岸響應以后，可以巴使用暗“罷購買調(diào)查礙”疤報文來檢查訂購八處理的狀態(tài)。挨認可撤銷耙它允許商家更正愛以前的認可請求瓣。如果訂購將不白被完成，商家撤昂銷整個認可；若吧部分訂購不被完安成，商家可以部板分撤銷認可數(shù)量昂。把收款撤銷隘允許商人糾正收班款請求中的差錯澳，如錯誤地輸入艾了的交易數(shù)量。盎信用埃商家可向持卡用矮戶的賬號發(fā)出一叭個信用，用于退啊貨或者在運輸過奧程中損壞。巴信用撤銷哎商家對先前請求壩的信用進行更正暗。襖支付網(wǎng)關(guān)證書請吧求安用于商家請求驗胺證支付網(wǎng)關(guān)的，埃并且接收支付網(wǎng)盎關(guān)當前的密鑰交凹換和簽名證書。扒

49、批管理疤允許商家與支付翱網(wǎng)關(guān)之間的批量柏信息通信。敖差錯信息癌用于指示由于報艾文錯誤而導致的佰報文被拒絕。懊1.3.8伴購隘買請求的交互過懊程邦 發(fā)起請求消息哎向商家請求商家拌的證書和支付網(wǎng)耙關(guān)的證書。 發(fā)起響應消息笆包括商家的簽名疤證書以及支付網(wǎng)罷關(guān)的密鑰交換證瓣書； 絆持卡用戶對商家背提供的證書和支昂付網(wǎng)關(guān)證書進行挨驗證，驗證通過阿證書中CA簽名吧來進行。 購買請求消息罷與支付相關(guān)的信翱息； 罷與訂購有關(guān)的信埃息； 版持卡用戶的證書哀。 購買響應消息奧包含相應的交易擺號碼用于確認訂扮購。霸 購買請求消息藹與支付相關(guān)的信敗息：與支付相關(guān)拌的信息將被商家靶轉(zhuǎn)發(fā)給支付網(wǎng)關(guān)氨。 矮支付信息（PI礙

50、）；鞍雙向簽名（DS搬），是在PI和班OI上計算的散熬列值，并使用用安戶的私有簽名密艾鑰進行簽名；隘訂購信息（OI白）的報文摘要O熬IMD，支付網(wǎng)凹關(guān)需要OIMD昂來驗證雙向簽名襖； 搬數(shù)字信封，是用百支付網(wǎng)關(guān)的公開絆密鑰KUb對對頒稱密鑰Ks進行澳加密而形成的。唉 敖與訂購有關(guān)的信昂息 ：是商家處拜理交易所必需的阿信息。 八訂購信息OI，暗OI是明文發(fā)送骯的；班雙向簽名（DS?。?，是在PI和盎OI上計算的散頒列值，并使用用捌戶的私有簽名密拌鑰進行簽名；癌支付信息PI報拌文摘要（PIM版D），用于商家凹進行雙向簽名的襖驗證。 礙持卡用戶的證書耙。絆包含了持卡用戶叭的簽名公開密鑰擺，商家和支付網(wǎng)

51、盎關(guān)都需要使用該耙密鑰來進行簽名捌的驗證。巴 鞍持卡用戶生成耙“凹購買請求絆”霸的過程百 搬圖襖1-9癌 購買請求的過半程百商家對用戶拌“暗購買請求癌”伴的驗證斑 靶圖背1-10疤 購買請求疤商家對用戶隘“扳購買請求胺”拔的驗證過程按通過持卡用戶的疤CA簽名來驗證凹持卡用戶的證書佰。扳使用持卡用戶的案簽名公開密鑰來班驗證雙向簽名，耙以驗證訂購信息邦的完整性，即在矮傳輸過程中沒有八被篡改。百處理訂購信息，叭并將支付信息轉(zhuǎn)叭交給支付網(wǎng)關(guān)進按行支付認可。案向卡用戶發(fā)送“頒購買響應”消息巴報文。 支付認可 拌商家在處理來自笆持卡用戶的購買鞍請求期間，需要藹請求支付網(wǎng)關(guān)來哎認可和確認該項辦交易。 凹商家

52、向支付網(wǎng)關(guān)唉發(fā)送一個“認可敗請求”消息報文罷。 瓣與支付相關(guān)的信矮息； 版與認可有關(guān)的信爸息； 證書。 岸接收到“認可請靶求” 后，支付奧網(wǎng)關(guān)完成以下操捌作：柏驗證所有的證書霸。搬對認可數(shù)據(jù)塊的癌數(shù)字信封進行解礙密，獲得一次性般對稱密鑰，然后暗解密認可數(shù)據(jù)塊巴。霸驗證認可數(shù)據(jù)塊奧中商家的簽名。背對認支付數(shù)據(jù)塊百的數(shù)字信封進行埃解密，獲得一次胺性對稱密鑰，然哎后解密支付數(shù)據(jù)氨塊。矮驗證支付數(shù)據(jù)塊版中的雙向簽名。壩驗證從商家提交扳的交易ID是否疤與用戶PI中的懊交易ID匹配。把向發(fā)卡機構(gòu)請求版并接收一個認可叭。從發(fā)卡機構(gòu)獲耙得了認可之后，唉支付網(wǎng)關(guān)就可向稗商家返回“認可跋響應”報文。 支付貨款稗商

53、家同支付網(wǎng)關(guān)辦交互。扮商家發(fā)送收款請哀求消息。辦支付網(wǎng)關(guān)收到了氨收款請求報文時白，解密并驗證獲擺取請求數(shù)據(jù)塊和礙收款權(quán)標，并檢拌查它們的一致性懊。 唉支付網(wǎng)關(guān)通過專阿用支付網(wǎng)絡向發(fā)疤卡機構(gòu)發(fā)送清算啊請求，其執(zhí)行的扒結(jié)果是將貨款劃柏撥到商家的賬戶哀。啊操作完成后，支白付網(wǎng)關(guān)向商家發(fā)氨送收款響應報文皚。 1.4本章小結(jié)哎本章詳細介紹了背SSL協(xié)議以及盎SET協(xié)議。擺第2辦章敖 扒SET與SSL藹協(xié)議比較佰2.1哀SSL與SET柏比較靶事實上，凹SET伴和背SSL愛除了都采用安RSA哎公鑰算法以外，捌二者在其他技術(shù)襖方面沒有太多相翱似之處，而稗RSA疤在二者中也被扳 昂用來實現(xiàn)不同的絆安全目標。盎S

54、ET骯協(xié)議比盎SSL埃協(xié)議復雜。凹 把因為安SET版不僅加密兩個端稗點間的單個會話隘，它還非常詳細礙而準確地反映了巴卡交易各方之間矮存在的各種關(guān)系扒。拌SET案還定義了加密信皚息的格式和完成澳一筆卡支付交易擺過程中各方傳輸氨信息的規(guī)則。事啊實上，熬SET罷遠遠不止是一個懊技術(shù)方面的協(xié)議敖，它還說明了每伴一方所持有的數(shù)骯字證書的合法含氨義，希望得到數(shù)八字證書以及響應啊信息的各方應有襖的動作，與一筆板交易緊密相關(guān)的白責任分擔。邦SET耙實現(xiàn)非常復雜，奧商家和銀行都需敗要改造系統(tǒng)以實罷現(xiàn)互操作。另外翱SET盎協(xié)議需要認證中矮心的支持。邦SET霸是一個多方的報安文協(xié)議，它定義氨了銀行、商家、百持卡人之

55、間的必藹須的報文規(guī)范。般與此同時艾SSL笆只是簡單地在兩澳方之間建立了一巴條安全連接。瓣SSL把是面向連接的，瓣而跋SET絆允許各方之間的暗報文交換不是實巴時的。搬SET案報文能夠在銀行佰內(nèi)部網(wǎng)或者其他岸網(wǎng)絡上傳輸，而頒SSL熬之上的卡支付系翱統(tǒng)只能與白Web艾瀏覽器捆綁在一盎起。案SSL案相對不安全，實班際上當初它并不瓣是為支持電子商跋務而設計的。很敗多銀行和電子商扳務解決方案提供佰商仍然在使用壩 SSL澳來構(gòu)建更多的安百全支付系統(tǒng)，但唉是如果沒有經(jīng)裁埃剪的客戶方軟件哎的話，基于爸SSL埃的系統(tǒng)是不能到凹像皚SET昂這種專用銀行卡拔支付協(xié)議所能達白到的安全性的。絆比較對象啊SET霸SSL把使

56、用目的和場合拔主要用于信用卡跋交易，傳送電子藹現(xiàn)金巴主要用于購買信拜息的交流：傳送版電子商貿(mào)信息敗安全性拜要求很高：整個唉交易過程中都要鞍保護霸要求很低：因為笆保護范圍只是持翱卡人到商家一端皚的信息交換版必須具有認證資百格對象霸安全需求高，因拌此所有參與者與隘SET熬交易的成員都必百須先申請數(shù)字證捌書來識別身份搬通常只是商家一搬端的服務器，而罷客戶端認證是可邦選擇的皚實施時所需的設翱置費用艾較高：持卡人必疤須先申請數(shù)字證矮書，然后安裝按SET稗電子錢包巴較低：不需要另擺外安裝軟件懊當前使用情況埃(扒比率拜)拔SET敗設置成本高于瓣SSL礙，目前普及率較佰低俺目前普及率較高扮2.2芭SSL與 S

57、E傲T背優(yōu)缺點把1.SSL協(xié)議八的優(yōu)缺點 奧SSL協(xié)議奧是兩層協(xié)議，建熬立在TCP傳輸板控制協(xié)議之上、埃應用層之下，并矮且與上層應用協(xié)暗議無關(guān)，可為應癌用層協(xié)議如HT白TP、FTP、凹SMTP等提供按安全傳輸，通過巴將HTTP與S扮SL相結(jié)合，W哎eb服務器就可埃實現(xiàn)客戶瀏覽器隘與服務器間的安扳全通信。因此簡巴便易行是SSL氨協(xié)議的最大優(yōu)點頒，但與此同時其礙缺點也是顯而易柏見的。首先，在白交易過程中，客敖戶的信息先到達傲商家那里，這就岸導致客戶資料安藹全性無法保證；熬其次，SSL只啊能保證資料傳遞襖過程的安全性，扮而傳遞過程是否啊有人截取則無法頒保證；再次，由板于SSL協(xié)議的拔數(shù)據(jù)安全性是建板

58、立在RSA等算伴法上，因此其系半統(tǒng)安全性較差；拌最后，雖然SS芭L協(xié)議中也使用扒了數(shù)字簽名來保擺證信息的安全，挨但是由于其不對胺應用層的消息進鞍行數(shù)字簽名，因礙此不能提供交易愛的不可否認性，邦這就造成了SS埃L協(xié)議在 HYPERLINK /dianzijixie/ 扒電子鞍銀行應用中的最斑大不足。拌2.SET協(xié)議版的優(yōu)缺點胺由于SET提供邦了消費者、商家吧和銀行之間的雙般重身份認證，確佰保了交易數(shù)據(jù)的藹安全性、完整可盎靠性和交易的不按可否認性，特別耙是保證不將消費巴者銀行卡號暴露凹給商家等優(yōu)點，靶因此它成為目前般公認的信用卡/佰借記卡的網(wǎng)上交拌易的國際安全標頒準。但在實際應罷用中，SET協(xié)捌議

59、依然存在以下班不足：耙(1)SE岸T協(xié)議中仍存在岸一些漏洞。如：邦不可信的用戶可疤能通過其它商家按的幫助欺騙可信背的商家在未支付癌的情況下得到商拌品；密鑰存在被柏泄露的危險；存八在冒充持卡人進敗行交易的隱患。跋(2)SE壩T協(xié)議的性能有敗待改進。如：單白純支持信用卡，版需要進一步適應耙借計卡的使用；八協(xié)議過于復雜，凹要求安裝的軟件佰包過多，處理速襖度慢，價格昂貴扳；由于該協(xié)議的背每一個階段都要鞍進行多次數(shù)據(jù)加熬密解密、簽名、柏證書驗證等安全阿操作，因此協(xié)議罷的交易時間過長昂，不能滿足實時按交易要求。捌(3)埃SET皚的復雜性和認證爸機制決定了完全伴采用翱SET半實施的應用系統(tǒng)哀寥寥無幾，其困盎

60、難不在于技術(shù)實頒施，而在于建立隘一個為商家、銀霸行、發(fā)卡機構(gòu)和板消費者普便認可疤的證書權(quán)威認證拔機構(gòu)癌CA敖及其認證體系，藹這是一個敏感的盎商業(yè)問題，牽涉巴多方利益，很難拌協(xié)調(diào)。疤(4)壩SET盎的另一個弱點，盎是作為一種卡支搬付協(xié)議，對別的矮安全協(xié)議，如拌SSL案、氨IP sec/伴VPN哎、敖S/MIME爸等不兼容，所以盎，班SET疤協(xié)議不但不支持癌除了卡支付以外扒的其它支付方式熬，更不能支持電敖子商務中另一種斑增長較快、交易敖額較大的網(wǎng)上交芭易方式背B2B骯的電子商務。2.3本章小結(jié)俺本章主要介紹跋SSL和SET暗協(xié)議優(yōu)缺點傲。疤第拜3阿章暗 加密技術(shù)捌3.1壩支付協(xié)議中的加按密技術(shù)拜