《电子商务安全技术协议》由会员分享,可在线阅读,更多相关《电子商务安全技术协议(25页珍藏版)》请在金锄头文库上搜索。
1、3.4电子商务安全技术协议 3.4.1安全套接层协议(Secure Sockets Layer) SSL是网景(Netscape)公司提出的基于WEB应用的安全协议 ,其目的是在Internet基础上提供的一种保证机密性的安全协 议。它能使客户端服务器应用之间的通信不被攻击者窃听 ,并且始终对服务器进行认证,而且还可选择对客户端进行 认证。 1.SSL协议的组成 SSL协议由SSL记录协议和SSL握手协议两部分组成。 (1)SSL记录协议 (2)SSL握手协议 3.4.1安全套接层协议(Secure Sockets Layer) 2.SSL协议运作机理 接通阶段 密码交换阶段 会谈密码阶段 客
2、户认证阶段 检验阶段 结束阶段。 3.4.1安全套接层协议(Secure Sockets Layer) 3.SSL提供的功能及局限性 SSL使用加密的办法建立一个安全的传输通道,它可提供 以下3种基本的安全服务功能: (1)信息加密。 (2)信息完整。 (3)相互认证。 SSL协议的局限性: 客户的信息先到商家,让商家阅读,这样,客户资料的安 全性就得不到保证; SSL只能保证资料信息传递的安全,而传递过程是否有人 截取就无法保证了。 3.4.1安全套接层协议(Secure Sockets Layer) 4.SSL协议的优缺点 优点:SSL在服务器和客户机间提供了安全的TCP/IP通道,可 用
3、于加密任何基于TCP/IP的应用,如HTTP、Telnet、FTP等; 开发成本低。 不足之处:安全性,无数字签名、无授权、无存取控制,不 支持不可否认功能。 3.4.1安全套接层协议(Secure Sockets Layer) 安全电子交易(Secure Electronic Transaction,SET) 协议是由Visa和Master Card公司在1996年底开发的,主要 为在网上在线交易时保证使用信用卡进行支付时的安全而 设立的一个开放的协议,它是面向网上交易,针对利用信 用卡进行支付而设计的电子支付规范。 3.4.2安全交易协议 1.基于SET的交易流程 SET协议的购物系统由持
4、卡人、商家、支付网关、收单 银行、发卡银行和证书授权中心(CA)等六大部分组成。 此外,基于SET协议的购物系统至少包括电子钱包 软件、商家软件、支付网关软件和签发数字证书软件。目 前,SET电子钱包主要是安装在客户端的交易软件,它是 持卡人实现网上交易过程的主要工具。 3.4.2安全交易协议 2.SET提供的功能 (1) 所有信息在Internet上加密安全传输,保证数据不会 被他人窃取。 (2) 数字签名保证信息的完整性和不可否认性。 (3) 订单信息和个人信用卡信息的隔离,使商家看不到客 户的信用卡信息。 (4) 参与交易各方的身份认证,保证各方身份不可假冒。 3.4.2安全交易协议 3
5、.SET协议的基本特点 保证了电子交易的机密性、数据完整性、身份的合法 性和防抵赖性;消费者、在线商店、支付网关都通过CA来 验证通信主体的身份;对购物信息和支付信息采用双重签 名,保证商户看不到信用卡信息,银行看不到购物信息; 是进行B2C电子商务模式的最佳协议标准;速度偏慢,协 议过于复杂,使用麻烦,成本高,且只适用于客户具有电 子钱包的场合。 3.4.2安全交易协议 4.SSL与SET的比较 SET是一个多方面的消息报文协议,它定义了银行、商 家、客户之间必须符合的报文规范。 SSL只是简单地在客户端与服务器之间建立了一个安全 传输通道,在涉及多方的电子交易中,只能提供交易中客 户端与服
6、务器间的认证,其并不具备商务性、服务性和集 成性。 SET报文能够在银行内部网络或其他网络传输。 SSL之上的支付系统只能与Web浏览器捆绑在一起。 3.4.2安全交易协议 4.SSL与SET的比较 区别: (1)认证机制方面,SET的安全需求较高,因此所有参与SET 交易的成员都必须先申请数字证书来识别身份,而在SSL 中只有商家服务器需要认证,客户端认证是可选的。 (2)对客户而言,SET保证了商家的合法性,并且用户的信 用卡号不会被窃取。SET替客户保守了更多的秘密使其在 线购物更加轻松。在SSL协议中则缺少对商家的认证。 (3)安全性上,SET的安全性较SSL高。 3.4.2安全交易协
7、议 三、课堂练习三、课堂练习 一、填空题 1.计算机网络系统的安全威胁主要来自_、 _和_三方面的攻击。 2.密钥分为_和_。 3.加密密钥和解密密钥相同,形成_密钥密码体制。 加密密钥解密密钥 对称式 计算机病毒的攻击 黑客攻击 拒绝服务攻击 4.DES加密算法中,输入和输出的数据块的长度是_位 ,密钥长度是_位。 5.基于对称式密钥体制的信息认证是一种传统的信息认证方 法。在对称加密算法中,最著名的是_算法。 6.加密密钥和解密密钥不同,形成_密钥密码体制。 64 64 DES 非对称 7.数字签字及验证是实现信息在公开网络上的安全传输的重 要方法。该方法过程实际上是通过_来实现的。 8.
8、时间戳是一个经加密后形成的凭证文档,它包括需加 _的文件的摘要(digest)、DTS收到文件的日期和 时间和_三个部分。 9.SSL协议的中文意思是_。 10.SET协议的中文意思是_。 安全套接层协议 安全电子交易协议 时间戳 哈希函数 DTS的数字签字 二、选择题 1.SET协议又称为_。 A.安全套接层协议 B.安全电子交易协议 C.信息传输安全协议 D. 网上购物协议 2.电子商务的安全需求不包括_。 A.信息保密性 B.数据交换的完整性 C.发送信息的不可否认性 D.交易场所的安全性 D B 3.数字签名可以解决_。 A.数据被泄露 B.未经授权的擅自访问 C.数据被篡改 D.冒名
9、发送数据或发送 后抵赖 4.网上交易的安全性是由_来保证的。 A.厂家 B. 信用卡中心 C.银行 D. 认证中心 D D 5.防止他人对传输的文件进行破坏需要_。 A.数字签字及验证 B.身份认证 C.对文件进行加密 D.时间戳 6.RSA算法建立的理论基础是_。 A.DES B.替代相组合 C.哈希函数 D.大数分解和素数检测 D A 7.下面有关数字信封的说法正确的是_。 A.发送方需要使用接收方的私钥来加密数字信封 B.数字信封能够确认信息发送者的身份 C.数字信封包含了数字签名 D.数字信封使用了对称加密技术 8.在认证中心体系结构中最高层次的认证中心是_。 A.MCA B.PCA
10、C.CCA D.RCA D D 9.下面有关数字签名的说法正确的是_。 A.数字签名需要使用接收者的公钥 B.数字签名能够确认信息自签发后到收到为止未曾作过 任何修改 C.数字签名需要使用接收者的私钥 D.数字签名能够保密地传送信息 B 三、思考题 1.电子商务对安全的要求主要体现在哪些方面? 2.对称加密技术和非对称加密技术的基本原理是什么 ?有哪些区别? 3.什么是数字证书?数字证书包括哪些内容? 4.SSL的工作流程是如何进行的? 5.SET的工作流程是如何进行的? 6.SSL和SET的主要区别是什么? 四、课堂总结四、课堂总结 本章节从电子商务活动中面临的安全风险入手,全 面分析了电子商务活动中的安全威胁及安全对策,重点 介绍了电子商务中常用的安全技术,特别是防火墙技 术、加密技术、数字认证技术在电子商务安全中的应用 ;还探讨了保证电子商务安全的两大协议即SSL协议和 SET协议。 五、作业 P 68 三、思考题 1、2、3
