電子商務(wù)安全(第2版) 課件 第8章-電子商務(wù)安全協(xié)議-1

8.1電子商務(wù)安全協(xié)議概述8.2安全電子交易協(xié)議SET8.3安全套階層協(xié)議SSL8.4

HTTPS協(xié)議第8章電子商務(wù)安全協(xié)議安全協(xié)議：安全協(xié)議也稱為安全密碼，是以密碼學(xué)為基礎(chǔ)的網(wǎng)絡(luò)信息交換協(xié)議。電子商務(wù)安全協(xié)議由買方、賣方、第三方以及它們之間約定的電子交易條款組成，是完成信息安全交換的共同約定的邏輯操作規(guī)則，是保證網(wǎng)上交易的機密性、數(shù)據(jù)完整性、身份的合法性和不可否認(rèn)性的重要技術(shù)。8.1電子商務(wù)安全協(xié)議概論常見的安全協(xié)議常見的電子商務(wù)安全協(xié)議：SET（SecureElectronicTransaction，安全電子交易）協(xié)議、SSL（SecuritySocketLayer，安全套接層協(xié)議）協(xié)議、STT協(xié)議（SecureTransactionTechnology，安全交易技術(shù)協(xié)議）、HTTPS（安全超文本傳輸）協(xié)議、EDI（ElectronicDataInterchange，電子數(shù)據(jù)交換）協(xié)議和IPSec（IPSecurity，IP安全）協(xié)議等。網(wǎng)絡(luò)不是絕對安全的常見的安全協(xié)議/標(biāo)準(zhǔn)（1）協(xié)議/標(biāo)準(zhǔn)說明HTTPS安全超文本傳輸協(xié)議，保障Web站點間的交易信息傳輸?shù)陌踩?。SET應(yīng)用層安全協(xié)議，安全的信用卡交易。SSL傳輸層安全協(xié)議，保證Web上信息傳輸安全。STT安全交易技術(shù)協(xié)議，微軟公司開發(fā)，將認(rèn)證和解密在瀏覽器中分離開，用以提高安全控制能力。微軟在IE中采用這一技術(shù)。IKP安全電子協(xié)議，從1KP,2KP到3KP安全性和復(fù)雜性遞增，IBM公司開發(fā)。IBS電子支付協(xié)議，卡耐基-梅隆大學(xué)開發(fā)。NetBill網(wǎng)絡(luò)支付協(xié)議，卡耐基-梅隆大學(xué)開發(fā)。常見的安全協(xié)議/標(biāo)準(zhǔn)（2）協(xié)議/標(biāo)準(zhǔn)說明FirstVirtual網(wǎng)上信用卡的安全電子支付協(xié)議，用E-mail通信體系的安全性和完整性保障安全，F(xiàn)irstVirtual公司開發(fā)。Zhou-Gollmann在信道不可靠的條件下簽訂電子合同。IPSecIP數(shù)據(jù)報層的安全性，用于創(chuàng)建虛擬專用網(wǎng)絡(luò)。OpenPGP開放式的郵件加密協(xié)議，為電子郵件和數(shù)據(jù)文件提供安全性服務(wù)。PPTP點對點隧道協(xié)議，用于創(chuàng)建虛擬專用網(wǎng)絡(luò)。S/MIME安全電子郵件協(xié)議，實現(xiàn)郵件的機密性、完整性、認(rèn)證性和不可否認(rèn)性，依賴于PKI技術(shù)。SECSH安全外殼工作組，實現(xiàn)安全遠(yuǎn)程訪問。8.2.1

SET協(xié)議概述8.2.2SET交易的參與者8.2.3SET協(xié)議的相關(guān)技術(shù)8.2.4SET的交易流程8.2安全電子交易協(xié)議SET什么是SET協(xié)議SET協(xié)議Secure（安全）Electronic（電子）Transaction（交易）協(xié)議是計算機網(wǎng)絡(luò)中通信雙方為了實現(xiàn)通信而必須遵守的規(guī)則和約定。SET協(xié)議是應(yīng)用層的協(xié)議。SET協(xié)議的起源原因：為了滿足日益增長的電子交易需求。發(fā)起人：VisaInternational、MasterCardInternational兩大信用卡公司與IBM、Microsoft等廠商聯(lián)合推出的。主要應(yīng)用：SET協(xié)議主要應(yīng)用于B2C電子商務(wù)系統(tǒng)，完全針對信用卡來制定，其內(nèi)容包含了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整等各個方面。SET實現(xiàn)的主要目標(biāo)SET協(xié)議是一個基于可信的第三方認(rèn)證中心的方案。它的主要目標(biāo)如下:保證信息及交易過程安全。支持應(yīng)用的互操作性，提供一個開放式的標(biāo)準(zhǔn)。實現(xiàn)可推廣性。

因此，SET協(xié)議主要目的是實現(xiàn)網(wǎng)上交易的：機密性、數(shù)據(jù)的完整性、交易的不可否認(rèn)性和交易的身份認(rèn)證。此外，SET協(xié)議還對證書的管理和交易處理過程等制定了嚴(yán)格的規(guī)定。8.2.2SET交易的參與者SET協(xié)議交易過程中，需要六個角色的參與，他們分別是：信用卡持有者、信用卡發(fā)放銀行、商家、支付網(wǎng)關(guān)、收款銀行和認(rèn)證中心。信用卡持有者信用卡持有者是指使用信用卡進行電子商務(wù)交易的買主。在電子商務(wù)環(huán)境中，持卡人通過計算機訪問商家，購買商品。持卡人使用發(fā)卡行發(fā)行的支付卡，并從認(rèn)證中心獲取數(shù)字簽名證書。銀行信用卡發(fā)放銀行：它為信用卡持有者建立賬戶，并能夠向信用卡持有者發(fā)行支付卡。信用卡發(fā)放銀行必須保證只對經(jīng)過授權(quán)的交易進行付款。收款銀行：它能夠為參與電子商務(wù)交易的信用卡持有者和商家建立相關(guān)賬戶，同時能夠?qū)π庞每ㄟM行認(rèn)證，并處理付款授權(quán)和付款結(jié)算。商家在采用SET協(xié)議的電子商務(wù)環(huán)境中，商家是指在Internet上的商店。通常商家將自己提供的商品和服務(wù)的詳細(xì)信息通過Web網(wǎng)頁等形式展示給客戶（信用卡持有者），客戶可以任意的挑選所需的商品。商家必須與相關(guān)的收款銀行達(dá)成協(xié)議，確保能夠接收信用卡持有者的信用卡付款，實現(xiàn)商家和信用卡持有者之間的安全電子交易。支付網(wǎng)關(guān)支付網(wǎng)關(guān)是銀行專網(wǎng)和Internet網(wǎng)絡(luò)之間的接口，其主要作用將不安全的Internet上的交易消息傳給安全的銀行專網(wǎng)，起到隔離和保護銀行專網(wǎng)的作用。它通過一組服務(wù)器設(shè)備和相應(yīng)的系統(tǒng)，將Internet上傳輸?shù)臄?shù)據(jù)轉(zhuǎn)換為金融機構(gòu)內(nèi)部的數(shù)據(jù)，這些數(shù)據(jù)是處理電子交易時的支付數(shù)據(jù)以及買主的支付請求。認(rèn)證中心認(rèn)證中心就是一個負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu)。它通常采用一種多層次的分級結(jié)構(gòu)，各級的認(rèn)證中心類似于各級行政機關(guān)，上級認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級認(rèn)證中心的證書，最下一級的認(rèn)證中心直接面向最終用戶。在SET協(xié)議中，認(rèn)證中心負(fù)責(zé)發(fā)放和撤銷信用卡持有者、商家和支付網(wǎng)關(guān)的數(shù)字證書，讓信用卡持有者、商家和支付網(wǎng)關(guān)之間通過證書相互認(rèn)證。8.2.3SET協(xié)議的相關(guān)技術(shù)1.對稱密鑰加密技術(shù)2.非對稱密鑰加密技術(shù)3.消息摘要技術(shù)4.數(shù)字簽名技術(shù)5.數(shù)字信封技術(shù)6.雙重簽名技術(shù)7.數(shù)字證書技術(shù)1.對稱密鑰加密技術(shù)原理:對稱密鑰加密也叫做私鑰加密。在這種加密技術(shù)中加密密鑰和解密密鑰是相同的。如果加密密鑰和解密密鑰不同，那么必須保證可以從其中一個密鑰通過特定的算法演算出另一個密鑰。加密解密方式：發(fā)送方用對稱密鑰和對稱密鑰加密算法將明文加密為密文，并將密文發(fā)送給接收方。接收方收到密文后，使用與加密相同的密鑰和對稱密鑰解密算法將密文還原為明文，完成數(shù)據(jù)的加密傳送。常用的對稱加密算法:DES算法和AES算法2.非對稱密鑰加密技術(shù)非對稱密鑰加密技術(shù)的密鑰成對出現(xiàn)，每對密鑰中都包括公鑰和私鑰兩部分。非對稱密鑰加密技術(shù)的密鑰對具有一一對應(yīng)的關(guān)系，用一個公鑰將明文加密為密文后，只有用與之相對應(yīng)的私鑰才能將該密文解密為明文，反之亦然。任何用戶如果要向公鑰發(fā)布者發(fā)送加密數(shù)據(jù)時，可以輕易地獲得公鑰發(fā)布者的公鑰，使用該公鑰加密明文數(shù)據(jù)為密文。加密后的密文即使加密者本人也無法將密文解密為明文。加密者將密文發(fā)送給該公鑰的發(fā)布者，發(fā)布者收到密文后，使用與公鑰相應(yīng)對的私鑰對密文進行解密，得到明文，完成數(shù)據(jù)的加密傳輸。3.信息摘要概念:消息摘要是把一個任意長度的數(shù)據(jù)當(dāng)作輸入值，通過特定的算法，能夠產(chǎn)生一個長度固定的值。其中使用到的算法是一個偽隨機的算法，是單向Hash加密函數(shù)。特點:1.輸入的消息長度是可變的，而計算出來的消息摘要的長度總是固定的。2.消息摘要是“偽隨機的”。3.通常情況下，只要輸入的消息不同，對其進行摘要以后產(chǎn)生的摘要消息也必不相同。4.消息摘要函數(shù)是單向函數(shù)。MD5的全稱是Message-DigestAlgorithm5（信息-摘要算法），該算法以任意長度的信息（message）作為輸入進行計算，產(chǎn)生一個128-bit的指紋或報文摘要。兩個不同的信息產(chǎn)生相同報文摘要的幾率相當(dāng)小，從一個給定的報文摘要逆向產(chǎn)生原始信息更是困難。4.數(shù)字簽名數(shù)字簽名是消息摘要技術(shù)和非對稱密鑰加密技術(shù)相結(jié)合的產(chǎn)物。在數(shù)字簽名中，非對稱密鑰加密技術(shù)被反向運用，用私鑰加密消息，而用公鑰來解密消息。如果一個消息可以由特定的公鑰解密，可以肯定這消息是由與之相匹配的私鑰加密的，這是因為每一個公鑰只有一個與之匹配的私鑰。5.數(shù)字信封概念：數(shù)字信封是非對稱密鑰加密技術(shù)和對稱密鑰加密技術(shù)相結(jié)合的產(chǎn)物。其主要功能是實現(xiàn)只有規(guī)定的特定收信人才能閱讀通信的內(nèi)容。優(yōu)點：1.這種加密方法具有極高的加密強度。2.它克服了秘密密鑰加密中秘密密鑰分發(fā)困難的問題。3.解決了公開密鑰加密中加密時間長的問題。6.雙重簽名的來源原因：在電子商務(wù)交易過程中，信用卡持有者不允許商家獲得其信用卡信息，同時也不希望銀行跟蹤得到購買的商品的信息，但是又不能影響商家和銀行對信用卡持有者所發(fā)信息的合理的驗證。在SET協(xié)議采用雙重簽名來解決這一問題。6.雙重簽名的步驟實現(xiàn)方法：假設(shè)信用卡持有者C(customer)從商家M(merchant)購買商品，他不希望商家看到他的信用卡信息，也不希望銀行B(bank)看到他所購買的商品有關(guān)的信息。C生成訂購信息OI(orderinformation)，并將其發(fā)給M，同時，C生成支付信息PI(paymentinformation)，并將其發(fā)送給B。思考題請說明SET協(xié)議雙重簽名的主要作用。雙重簽名的主要作用就是在交易的過程中，在客戶把訂購信息和支付信息傳遞給商家時，訂購信息和支付信息相互隔離開，商家只能看到訂購信息不能看到支付信息，并把支付信息無改變地傳遞給銀行；而且商家和銀行可以驗證訂購信息和支付信息的一致性，以此來判斷訂購信息和支付信息在傳輸?shù)倪^程中是否被修改。7.數(shù)字證書數(shù)字證書是由權(quán)威機構(gòu)——CA（CertificateAuthority，證書授權(quán)）中心發(fā)行的，能夠在Internet上進行身份認(rèn)證的一種權(quán)威性電子文檔。在數(shù)字證書認(rèn)證的過程中，證書認(rèn)證中心是權(quán)威的、公正的、可信賴的第三方，同時數(shù)字證書也必須具有唯一性和可靠性。數(shù)字證書是采用非對稱密鑰加密技術(shù)來實現(xiàn)的，用戶的私鑰用來解密和簽名，公鑰用于加密和驗證簽名。數(shù)字證書頒發(fā)過程為：首先用戶產(chǎn)生自己的密鑰對，并將公鑰及部分個人身份信息發(fā)送給認(rèn)證中心；認(rèn)證中心在核實身份后并確認(rèn)請求確實由用戶發(fā)