版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
第7章電子商務安全交易主編:彭波第7章電子商務安全交易 知識教學目標: 理解SSL的工作過程 了解SET協(xié)議、熟悉認證過程 了解SSL和SET協(xié)議的優(yōu)缺點 技能培養(yǎng)目標: 能夠掌握證書服務的安裝與管理 能夠掌握瀏覽器數(shù)字證書管理7.1電子商務安全交易概述電子商務交易安全是建立在網(wǎng)絡安全的基礎上主要是為了保障電子商務交易的順利進行,實現(xiàn)電子商務交易的私有性、完整性、可鑒別性和不可否認性等。7.1.1.電子商務安全交易需求1.信息的保密性保密性服務是為防止被攻擊而對網(wǎng)絡中傳輸?shù)男畔⑦M行保護。2.交易者身份的確定性能方便而可靠地確認對方的身份是交易的前提。鑒別包括源點鑒別和實體鑒別,即要能準確鑒別信息的來源,鑒別彼此通信的對等實體的身份。3.信息的不可否認性指保證發(fā)方不能否認自己發(fā)送了信息,同時收方也不能否認自己接收到信息。4.信息的不可修改性電子交易文件要能做到不可修改,以保障交易的嚴肅和公正。5.信息的完整性 要求數(shù)據(jù)在傳輸或存儲過程中不會受到非法的修改、刪除或重放,要確保信息的順序完整性和內(nèi)容完整性。電子商務應用的核心和關鍵問題是交易的安全性。7.2SSL—提供網(wǎng)上購物安全的協(xié)議1.SSL簡述安全套接層(SecureSocketsLayer,SSL)是一種傳輸層技術,它在和另一方通信前先講好的一套方法,這個方法能夠在它們之間建立一個電子商務的安全性秘密信道,確保電子商務的安全性,凡是不希望被別人看到的機密數(shù)據(jù),都可通過這個秘密信道傳送給對方2.SSL提供的服務 (1)數(shù)據(jù)加密服務 采用的是對稱加密技術與公開密鑰加密技術。 (2)認證服務 SSL客戶機與服務器都有各自的識別號,這些識別號使用公開密鑰進行加密。 (3)數(shù)據(jù)完整性服務
采用哈希函數(shù)和機密共享的方法提供完整信息性的服務
3.SSL標準的工作流程 (1)SSL客戶機向SSL服務器發(fā)出連接建立請求,SSL服務器響應SSL客戶機的請求; (2)SSL客戶機與SSL服務器交換雙方認可的密碼,一般采用的加密算法是RSA算法; (3)檢驗SSL服務器得到的密碼是否正確,并驗證SSL客戶機的可信程度; (4)SSL客戶機與SSL服務器交換結束的信息。4.SSL特點(1)不能自動更新證書;(2)認證機構編碼困難;(3)瀏覽器的口令具有隨意性;(4)不能自動檢測證書撤銷表;(5)用戶的密鑰信息在服務器上是以明文方式存儲的。(6)客戶數(shù)據(jù)可能外泄。7.3SET—提供安全的電子商務數(shù)據(jù)交換在電子商務的交易過程中,首先是交流信息和需求,進行磋商;接著是交換單證;最后是電子支付。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證7.3.1SET的主要目標1.信息傳輸?shù)陌踩?.信息的相互隔離3.多方認證的解決4.解決兼容問題5.交易的實時性7.3.2SET的交易成員1.持卡人—消費者2.網(wǎng)上商家3.收單銀行4.支付網(wǎng)關5.發(fā)卡銀行6.認證中心CA7.3.3SET的技術范圍 1.加密算法; 2.證書信息和對象格式; 3.購買信息和對象格式; 4.認可信息和對象格式; 5.劃賬信息和對象格式; 6.對話實體之間消息的傳輸協(xié)議。7.3.4SET軟件的組件包括電子錢包、商店服務器、支付網(wǎng)關和認證中心軟件,這4個軟件分別存儲在持卡人、網(wǎng)上商店、銀行以及認證中心的計算機中,相互運作來完成整個SET交易服務,如圖7-2所示。圖7-2SET軟件系統(tǒng)的組成7.3.5SET的認證過程1.SET認證之一—注冊登記每個在認證中心進行了注冊登記的用戶都會得到雙鑰密碼體制的一對密鑰、一個公鑰和一個私鑰。公鑰用于提供對方解密和加密回饋的信息內(nèi)容。私鑰用于解密對方的信息和加密發(fā)出的信息。這一對密鑰作用: (1)對持卡人購買者的作用 1)用私鑰解密回函; 2)用商家公鑰填發(fā)訂單; 3)用銀行公鑰填發(fā)付款單和數(shù)字簽名等。 (2)對銀行的作用 1)用私鑰解密付款及金融數(shù)據(jù); 2)用商家公鑰加密購買者付款通知。 (3)對商家供應商的作用 1)用私鑰解密訂單和付款通知; 2)用購買者公鑰發(fā)出付款通知和代理銀行公鑰。圖7-3SET數(shù)字證書申請工作具體步驟2.SET認證之二—動態(tài)認證圖7-4SET系統(tǒng)的動態(tài)認證工作步驟3.SET認證之三—商業(yè)機構處理流程圖7-5SET系統(tǒng)的商業(yè)機構工作步驟7.3.6SET協(xié)議的安全技術 目前的主要安全保障來自以下3個方面:
1.將所有消息文本用雙鑰密碼體制加密; 2.將上述密鑰的公鑰和私鑰的字長增加到512B~2048B; 3.采用聯(lián)機動態(tài)的授權(Authority)和認證檢查(Certificate),以確保交易過程的安全可靠。技術基礎: 1.通過加密方式確保信息機密性; 2.通過數(shù)字化簽名確保數(shù)據(jù)的完整性; 3.通過數(shù)字化簽名和商家認證確保交易各方身份的真實性; 4.通過特殊的協(xié)議和消息形式確保動態(tài)交互式系統(tǒng)的可操作性。7.4 SSL和SET協(xié)議比較SSL與SET采用的都是公開密鑰加密法。SET是一個多方的報文協(xié)議,它定義了銀行、商家、持卡人之間必需的報文規(guī)范,與此同時SSL只是簡單地在兩方之間建立了安全連接。SSL是面向連接的,而SET允許各方之間的報文交換不是實時的。SET報文能夠在銀行內(nèi)部網(wǎng)或者其他網(wǎng)絡上傳輸,而SSL之上的卡支付系統(tǒng)只能與Web瀏覽器捆綁在一起。SET與SSL相比具有如下優(yōu)點: 1.SET為商家提供了保護自己的手段,使商家免受欺詐的困擾,使其運營成本降低。 2.對消費者而言,SET保證了商家的合法性,并且用戶的信用卡號不會被竊取。 3.對于銀行和發(fā)卡機構以及各種信用卡組織來說,SET可以幫助它們將業(yè)務擴展到Internet上,使信用卡網(wǎng)上支付具有更低的欺騙概率,比其他支付方式具有更大的競爭力。 4.SET對于參與交易的各方定義了互操作接口,一個系統(tǒng)可以由不同廠商的產(chǎn)品構筑。實訓:證書服務的安裝與管理【實訓條件】1.硬件條件 CPU:至少550MHz,內(nèi)存:至少256MB; 硬盤空間:150MB以上,不含緩存使用的磁盤空間。2.軟件條件 Web服務器:IIS6.0,IP地址為24,計算機名為SZY; 證書服務器:SZY的獨立根CA,與Web服務器在同一臺物理計算機上; 瀏覽器:IE6.0,與Web服務器在同一物理計算機上。3.網(wǎng)絡環(huán)境 工作站連入局域網(wǎng)?!緦嵱杻?nèi)容】 1.證書服務的安裝與管理 2.瀏覽器數(shù)字證書管理【實訓步驟】1.證書服務的安裝與管理 (1)打開控制面板,單擊“添加/刪除程序”按鈕,再單擊“添加/刪除Windows組件”按鈕,彈出圖7-6所示的“Windows組件向導”對話框,選中“證書服務”復選框。 (2)彈出圖7-7所示的提示信息對話框,提示安裝證書服務后,計算機名稱和域成員身份將不可再改變,單擊“是”按鈕。
圖7-6“Windows組件向導”對話框圖7-7安裝證書服務的提示信息對話框(3)再單擊“詳細信息”按鈕,出現(xiàn)證書服務界面,單擊“下一步”按鈕,出現(xiàn)如圖7-8所示的“CA類型”對話框(4)選中“獨立根CA”單選按鈕,選中“用自定義設置生成密鑰對和CA證書”復選框表明自定義CA的密鑰生成算法,單擊“下一步”按鈕。圖7-8“CA類型”對話框(5)出現(xiàn)“公鑰/私鑰”對話框,可以進行的設置包括以下幾方面。 1)在CSP列表框中選擇加密服務提供程序(CSP),默認值為:MicrosoftStrongCryptographicProvider。 2)在“散列算法”列表框中選擇要使用的散列算法,默認值為SHA-1。(6)設置好后,單擊“下一步”按鈕,出現(xiàn)圖7-9所示的“CA識別信息”對話框,輸入識別CA的信息,完成設置后單擊“下一步”按鈕。圖7-9“CA識別信息”對話框 (7)出現(xiàn)圖7-10所示的“證書數(shù)據(jù)庫設置”對話框,用于配置服務器上的數(shù)字證書數(shù)據(jù)庫、數(shù)據(jù)庫日志和配置信息的存放位置,按照默認設置就可以。單擊“下一步”按鈕。 (8)出現(xiàn)圖7-11所示的提示信息安裝過程中必須暫時停止IIS服務,單擊“是”按鈕。 (9)成功安裝數(shù)字證書服務后出現(xiàn)完成界面,單擊“完成”按鈕,這樣一個獨立的要CA就構建完成。
圖7-10“證書數(shù)據(jù)庫設置”對話框圖7-11安裝中需要暫停IIS服務2.生成Web服務器數(shù)字證書申請文件 (1)在桌面上單擊“開始”按鈕,在彈出的菜單中執(zhí)行“程序”→“管理工具”→“Internet信息服務管理器”命令,選擇相應的站點后右擊它,在出現(xiàn)的快捷菜單中執(zhí)行“屬性”命令,彈出圖7-12所示的“默認網(wǎng)站屬性”對話框,打開“目錄安全性”選項卡,單擊“安全通信”區(qū)域中的“服務器證書”按鈕。圖7-12目錄安全性”選項卡 (2)出現(xiàn)Web服務器證書向導的歡迎界面,提示W(wǎng)eb服務器沒有安裝證書,單擊“下一步”按鈕。 (3)出現(xiàn)圖7-13所示的“服務器證書”對話框,有5種獲取服務器證書的方法。選中“新建證書”單選按鈕,單擊“下一步”按鈕。圖7-13“服務器證書”對話框 (4)出現(xiàn)圖7-14所示的“延遲或立即請求”對話框,用于選擇發(fā)送證書請求的方法。選中“現(xiàn)在準備證書請求,但稍后發(fā)送”單選按鈕,單擊“下一步”按鈕。 (5)出現(xiàn)圖7-15所示的“名稱和安全性設置”對話框,在“名稱”文本框中輸入Web服務器的數(shù)字證書名稱,在“位長”下拉列表框中選擇生成的公鑰和私鑰的位長,默認1024位,選中“選擇證書的加密服務提供程序(CSP)”復選框自行選擇CSP,單擊“下一步”按鈕。
圖7-14“延遲或立即請求”對話框圖7-15“名稱和安全性設置”對話(6)彈出圖7-16所示的“可用提供程序”對話框,在“選擇提供程序”列表框中選擇一個CSP程序。完成選擇后單擊“下一步”按鈕。(7)彈出圖7-17所示的“單位信息”對話框,在“單位”和“部門”文本框中按照需要設置,單擊“下一步”按鈕。
圖7-16“可用提供程序”對話框圖7-17“單位信息”對話框 (8)彈出圖7-18所示的“站點公用名稱”對話框。在“公用名稱”文本框中輸入有效的DNS域名或者NetBIOS名稱,該名稱與站點是唯一對應的,如果站點名稱發(fā)生變化,必須申請新的數(shù)字證書,完成設置后單擊“下一步”按鈕。 (9)彈出圖7-19所示的“地理信息”對話框,在“國家(地區(qū))”下拉列表框中選擇“CN(中國)”,在“省/自治區(qū)”和“市縣”文本框中按照需要設置,單擊“下一步”按鈕。
圖7-18“站點公用名稱”對話框圖7-19“地理信息”對話框 (11)彈出圖7-20所示“證書請求文件名”對話框。在“文件名”文本框中輸入保存證書請求的文件路徑及名稱,完成設置后單擊“下一步”按鈕。 (12)彈出圖7-21所示的“請求文件摘要”對話框,列舉了證書的設置參數(shù),確認無誤后單擊“下一步”按鈕。
圖7-20“證書請求文件名”對話框圖7-21“請求文件摘要”對話框 (13)彈出圖7-22所示的證書請求完成對話框,單擊“完成”按鈕。 (14)打開證書請求文件,如圖7-23所示,圖中所示為加密后的信息。
圖7-22證書請求向導完成對話框圖7-23證書請求文件內(nèi)容3.申請Web服務器數(shù)字證書 (1)在瀏覽器中訪問24/certsrv,出現(xiàn)圖7-24所示的證書服務頁面,單擊“申請一個證書”超鏈接,再單擊“高級證書申請”超鏈接。 (2)出現(xiàn)圖7-25所示的“高級證書申請”頁面,有兩種高級證書申請方法。選擇第2種。
圖7-24證書服務頁面圖7-25“高級證書申請”頁面 (3)出現(xiàn)圖7-28所示的提交證書申請頁面,將圖所示的全部文本內(nèi)容復制到“保存的申請”文本框中,單擊“提交”按鈕。 (4)出現(xiàn)圖7-27所示的成功提交證書申請頁面。
圖7-26提交證書申請頁面圖7-27成功提交證書申請頁面4.頒發(fā)Web服務器數(shù)字證書 數(shù)字證書服務器的管理員可以按照實訓步驟“1.證書服務的安裝與管理”介紹的方法頒發(fā)Web服務器證書。實例中頒發(fā)后的證書如圖7-28所示。圖7-28頒發(fā)的Web服務器數(shù)字證書5.獲取Web服務器的數(shù)字證書訪問24/certsrv,在出現(xiàn)的頁面中單擊“下載CA證書、證書鏈或CRL”超鏈接,出現(xiàn)圖7-29所示的界面。在“CA證書”列表框中選中“Web服務器證書”,單擊“下載CA證書”超鏈接就可以將數(shù)字證書保存在本機上,默認的數(shù)字證書文件名為certnew.cer。圖7-29下載Web服務器數(shù)字證書6.安裝Web服務器數(shù)字證書 (1)在桌面上單擊“開始”按鈕,在彈出的菜單中執(zhí)行“程序”→“管理工具”→“Internet信息服務管理器”命令,選擇相應的站點后右擊,在出現(xiàn)的快捷菜單中執(zhí)行“屬性”命令,彈出圖7-30所示的“默認網(wǎng)站屬性”對話框,打開“目錄安全性”選項卡,單擊“安全通信”區(qū)域中的“服務器證書”按鈕。 (2)彈出圖7-31所示的Web服務器證書向導的歡迎界面,提示W(wǎng)eb服務器存在掛起的證書請求,單擊“下一步”按鈕。
圖7-30“默認網(wǎng)站屬性”對話框圖7-31歡迎界面 (3)彈出圖7-32所示的“掛起的證書請求”對話框,選中“處理掛起的證書請求并安裝證書”單選按鈕,單擊“下一步”按鈕。 (4)彈出圖7-33所示“處理掛起的請求”對話框,在“路徑和文件名”文本框中輸入Web服務器所在證書的完整的路徑,單擊“下一步”按鈕。
圖7-32“掛起的證書請求”對話框圖7-33“處理掛起的請求”對話框 (5)彈出圖7-34所示的“SSL端口”對話框,在“此網(wǎng)站應該使用的SSL端口”文本框中輸入SSL端口號,默認為443,一般無須更改。單擊“下一步”按鈕。 (6)彈出圖7-35所示的“證書摘要”對話框,顯示證書文件的詳細信息,確認無誤后單擊“下一步”按鈕。 (7)彈出圖7-36所示的證書向導完成界面,提示此服務器上已經(jīng)成功安裝證書,單擊“完成”按鈕。
圖7-34“SSL端口”對話框圖7-35“證書摘要”對話框圖7-36成功安裝Web服務器證書7.在Web服務器上設置SSL (1)正常情況下,SSL已經(jīng)被成功地設置到Web服務器。圖7-37所示為啟用SSL后的“默認網(wǎng)站屬性”對話框的“目錄安全性”選項卡,單擊“安全通信”區(qū)域的“查看證書”按鈕可以查看安裝在Web服務器上的服務器證書。如果沒有安裝證書,該按鈕不能被激活。圖7-37“目錄安全性”選項卡 (2)圖7-38所示為啟用SSL后的“默認網(wǎng)站屬性”對話框“網(wǎng)站”選項卡,在“SSL端口”文本框中可以修改SSL端口設置。 (3)在圖7-30所示對話框中單擊“安全通信”區(qū)域的“編輯”按鈕,彈出圖7-39所示的“安全通信”對話框,可以對Web服務器和瀏覽器之間的通信進行進一步的設置。
圖7-38啟用SSL的“網(wǎng)站”選項卡圖7-39設置Web服務器的“安全通信”對話框8.瀏覽器的SSL配置 Web服務器證書讓客戶機可以鑒別服務器的身份,如果服務器也需要鑒別客戶機的身份,那么需要在瀏覽器申請并安裝數(shù)字證書。9.申請瀏覽器數(shù)字證書 (1)在瀏覽器中訪問24/certsrv,出現(xiàn)證書服務頁面,單擊“申請一個證書”超鏈接,出現(xiàn)圖7-40所示的頁面,單擊“Web瀏覽器證書”超鏈接。 (2)出現(xiàn)圖7-41所示的識別信息頁面,在“姓名”、“電子郵件”、“公司”、“部門”、“市/縣”、“省”和“國家”文本框中按照自己的實際情況設置,單擊“提交”按鈕。 (3)成功提交瀏覽器數(shù)字證書申請后的頁面如圖7-42所示。
圖7-40選擇申請瀏覽器證書頁面圖7-41申請瀏覽器證書的識別信息頁面10.頒發(fā)瀏覽器數(shù)字證書 實例中管理員頒發(fā)的瀏覽器數(shù)字證書如圖7-43所示。
圖7-42成功提交瀏覽器證書申請頁面 圖7-43頒發(fā)的瀏覽器證書頁面11.獲取及安裝瀏覽器數(shù)字證書 (1)訪問24/certsrv,在出現(xiàn)的頁面中單擊“查看掛起的證書申請的狀態(tài)”超鏈接,出現(xiàn)圖7-44所示的頁面,單擊“Web瀏覽器證書”超鏈接。 (2)出現(xiàn)圖7-45所示的界面,單擊“安裝此證書”超鏈接將在瀏覽器上安裝數(shù)字證書。
圖7-44已經(jīng)頒發(fā)的瀏覽器證書頁面圖7-45安裝已經(jīng)頒發(fā)的瀏覽器證書頁面12.瀏覽器數(shù)字證書的管理 (1)在IE瀏覽器的菜單欄執(zhí)行“工具”→“Internet”命令,彈出“Internet選項”對話框,打開“內(nèi)容”選項卡,單擊“證書”按鈕,如圖7-47所示。 (2)出現(xiàn)如圖7-48所示
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 網(wǎng)絡安全知識培訓課件
- 二年級數(shù)學(上)計算題專項練習
- 團隊建設與管理技巧培訓課件
- 班主任工作經(jīng)驗交流36
- 二零二五年度國際農(nóng)業(yè)合作與農(nóng)產(chǎn)品貿(mào)易合同參考模板6篇
- 收費站業(yè)務知識培訓課件
- 生產(chǎn)經(jīng)營單位生產(chǎn)安全事故應急處置卡編制指南
- 二零二五年度房屋信托代理銷售合同范本3篇
- 鄉(xiāng)村振興戰(zhàn)略下農(nóng)村醫(yī)養(yǎng)結合型養(yǎng)老服務體系研究
- 倉庫年終工作總結
- GA 172-2014金屬手銬
- 醫(yī)學醫(yī)學文獻檢索與論文寫作培訓課件
- SQL Server 2000在醫(yī)院收費審計的運用
- 北師大版小學三年級數(shù)學下冊課件(全冊)
- 工程臨時用工確認單
- 簡約清新大氣餐飲行業(yè)企業(yè)介紹模板課件
- 氮氣窒息事故案例經(jīng)驗分享
- 某公司年度生產(chǎn)經(jīng)營計劃書
- 廠房租賃合同標準版(通用10篇)
- 《教育心理學》教材
- 易制毒化學品安全管理制度(3篇)
評論
0/150
提交評論