《学习情境34安全交易协议》由会员分享,可在线阅读,更多相关《学习情境34安全交易协议(20页珍藏版)》请在金锄头文库上搜索。
1、学习情境学习情境3-4 3-4 安全交易协议安全交易协议工作任务工作任务1.SSL协议协议2.SET协议协议SSL协议(安全套接层协议)协议(安全套接层协议)qSSL协议概述协议概述qSSL提供的基本安全服务功能提供的基本安全服务功能 qSSL协议通信过程协议通信过程 qSSL2.0与与SSL3.0比较比较q采用采用SSL协议的电子交易过程协议的电子交易过程SSL协议概述协议概述qSSL协议,协议,英文英文Secure Socket Layer Protoclo,中文称为中文称为安全套接层协议安全套接层协议。 qSSL协议最初由协议最初由Internet的应用先驱的应用先驱Netscape公司
2、公司1995年设计年设计开发,该协议是一种利用公共密钥技术的工业标准开发,该协议是一种利用公共密钥技术的工业标准 ,目前已广泛,目前已广泛应用于互联网,成为事实上的工业标准,主流浏览器及许多服务应用于互联网,成为事实上的工业标准,主流浏览器及许多服务器都支持器都支持SSL协议协议。SSL协议概述(续)协议概述(续)qSSL协议协议目的是通过在收发双方建立安全通道来提目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是服务器(通常是Web服务器)之间的安全通信服务器)之间的安全通信。SSL提供的基本安全服务
3、功能提供的基本安全服务功能q信息保密信息保密q信息完整性信息完整性q相互认证相互认证 SSL协议的通信过程协议的通信过程 接通阶段:接通阶段:客户机呼叫服务器,服务器回应客户。客户机呼叫服务器,服务器回应客户。 认认证证阶阶段段:服服务务器器向向客客户户机机发发送送服服务务器器证证书书和和公公钥钥,如如果果服服务务器器需需要要双双方方认认证证,还还要要向向对对方方提提出出认认证证请请求求;客客户户机机用用服服务务器器公公钥钥加加密密向向服服务务器器发发送送自自己己的的公公钥钥,并并根根据据服服务务器器是是否否需需要要认认证证客客户户身身份份,向向服服务务器发送客户端证书。器发送客户端证书。SS
4、L协议的通信协议的通信过程过程(续)(续) 确确立立会会话话密密钥钥阶阶段段:客客户户和和服服务务器器之之间间协议确立会话密钥。协议确立会话密钥。 会会话话阶阶段段:客客户户机机与与服服务务器器使使用用会会话话密密钥钥加密交换会话信息加密交换会话信息。 结结束束阶阶段段:客客户户机机与与服服务务器器交交换换结结束束信信息息,通信结束通信结束。 凡是支持送凡是支持送SSL协议的网页,都会以协议的网页,都会以https:/作为作为URL的开头。客户在与服务器进行的开头。客户在与服务器进行SSL会话中,如果会话中,如果使用的是微软的使用的是微软的IE浏览器,可以在右下方状态栏中看浏览器,可以在右下方
5、状态栏中看到一只金黄色的锁形安全标志,用鼠标双击该标志,到一只金黄色的锁形安全标志,用鼠标双击该标志,就会弹出服务器证书信息。一台支持就会弹出服务器证书信息。一台支持SSL的典型网络的典型网络主机接收主机接收SSL连接的连接的 默认端口是默认端口是443。SSL协议的通信过程(续)协议的通信过程(续)SSL2.0和和SSL3.0比较比较qSSL 3.0综综合合了了SSL 2.0的的大大量量反反馈馈信信息息开开发发而而成成。qSSL 2.0和和SSL 3.0在在一一些些基基本本的的SSL服服务务器器上上是是相相同同的的,例例如如信信息息完完整整性性、私私密密性性、相相互互认认证证性。性。q在在S
6、SL2的的基础上,基础上,SSL3增加了新的功能。增加了新的功能。SSL2.0和和SSL3.0比较(续)比较(续)qSSL3.0新增功能新增功能 为提高握手速度而减少握手信息;为提高握手速度而减少握手信息; 支持更多的密钥交换和加密算法;支持更多的密钥交换和加密算法; 支持支持fortezza插卡,这是走向智能加密卡的第一步;插卡,这是走向智能加密卡的第一步; 改进了客户机证明申请协议。改进了客户机证明申请协议。采用采用SSL协议的电子交易过程协议的电子交易过程SSL协议的优缺点协议的优缺点q综合运用各种信息安全技术综合运用各种信息安全技术q便宜、开发成本小、应用简单便宜、开发成本小、应用简单
7、qSSL提供的保密连接有很大的漏洞提供的保密连接有很大的漏洞SET协议(安全电子交易协议协议(安全电子交易协议)SET协议的概念协议的概念SET协议涉及的角色协议涉及的角色SET协议的规范及功能协议的规范及功能SET协议的应用与局限性协议的应用与局限性 SET协议的概念协议的概念qSET协议,英文协议,英文Secure Electronic Transaction Protocol,中文称为安全电子中文称为安全电子交易协议。交易协议。qSET协议是由协议是由VISA和和MasterCard两大信两大信用卡公司发起,会同用卡公司发起,会同IBM、Microsoft等信等信息产业巨头于息产业巨头于
8、1997年年6月正式制定发布的。月正式制定发布的。SET协议的协议的概念概念(续)(续) SET协议是信用卡在因特网上进行支付的一种开放式标协议是信用卡在因特网上进行支付的一种开放式标准,也是银行卡安全支付的具体规范。该标准采用准,也是银行卡安全支付的具体规范。该标准采用RSA公开密钥体制对通信双方进行认证,采用公开密钥体制对通信双方进行认证,采用DES、RC4等对等对称加密体制加密要传输的信息,并用数字摘要和数字签名称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,包括了信用卡在电子技术来鉴别信息的真伪及其完整性,包括了信用卡在电子商务中的交易协定和信息保密、
9、信息完整、身份认证、数商务中的交易协定和信息保密、信息完整、身份认证、数字签名等技术,目前已经被广为认可而成了事实上的国际字签名等技术,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的通用的网上支付标准,其交易形态将成为未来电子商务的规范。规范。SET协议所涉及的角色协议所涉及的角色q持卡人持卡人q网上商店网上商店q发卡银行发卡银行q收单银行收单银行q支付网关支付网关qCA认证中心认证中心SET协议的规范及功能协议的规范及功能qSET规范涉及的主要内容规范涉及的主要内容 加密算法的应用(例如加密算法的应用(例如RSA和和DES);); 证书信息和对象格式;证书信息和对象格式; 购买信息和对象格式;购买信息和对象格式; 认可信息和对象格式;认可信息和对象格式; 划账信息和对象格式;划账信息和对象格式; 对话实体之间信息的传输协议。对话实体之间信息的传输协议。SET协议的规范及功能(续)协议的规范及功能(续)qSET为电子商务支付系统提供为电子商务支付系统提供 信息保密性。信息保密性。 数据的完整性。数据的完整性。 提供交易者的身份认证和担保。提供交易者的身份认证和担保。 互操作性。互操作性。SSL协议与协议与SET协议的比较协议的比较q 支持技术支持技术q 速度速度q 成本成本q 应用应用
