7章-电子商务安全协议

第七章电子商务安全协议

第七章安全电子子交易协协议SET7.1电子商务务安全协协议概述述7.2安全电子子交易协协议7.3安全套接接层协议议7.4安全超文文本传输输协议7.5EDI协议电子商务务安全协协议是保保证网上上交易的的机密性性、信息息完整性性、身份份合法性性和不可可否认性性的基础础完成信息息安全交交换共同同约定的的逻辑操操作规则则。包括：安安全电子子交易协协议SET、安全套套阶层协协议SSL、安全超超文本传传输协议议S-HTTP、电子数数据交换换EDI和IP安全协议议IPsec7.1电子商务务安全协协议概述述7.2安全电子子交易协协议安全电子子交易协协议SET((SecureElectronicTransaction)是由Visa和MasterCard所开发的的，是为为了在Internet上进行在在线交易易时，保保证信用卡支支付的安安全而设计开开发的一一个开放放的规范范。由于于得到了了IBM、HP、Microsoft、NetScape、GTE、Verisign等很多大大公司的的支持，，它已成成了事实实上的工工业标准准，目前前它已获获得IEEE标准的认认可。SET提供了消消费者、、商家和和银行之之间的认认证，确确保了网网上交易易数据的的保密性性、数据据的完整整性及交交易的不不可抵赖赖性。特特别是能能保证不不将消费费者银行行卡号暴暴露给商商家，不不将消费费者的购购物内容容暴露给给银行等等优点，，SET在一些国国家中得得到很好好的应用用。SET采用公钥钥密码体体制，遵遵循X.509数字证书书标准。。SET协议使用用加密技技术提供供信息的的机密性性，保证证支付的的完整性性，验证证商家和和持卡者者。SET是一种网网络银行行卡付款款机制。。是基于于可信第第三方认认证中心心的方案案。支付安全全的目标标是：保证信息息机交易易过程安安全。支持应用用的互操操作性。。实现可推推广性。。7.2安全电子子交易协协议在SET协议中主主要定义义了以下下内容。。(1)加密算法法的应用用(如RSA和DES))。(2)证书消息息和对象象格式。。(3)购买消息息和对象象格式。。(4)请款消息息和对象象格式。。(5)参与者之之间的消消息协议议。7.2安全电子子交易协协议7.2安全电子子交易协协议7.2..2SET交易的参参与者电子交易易处理开开始于持持卡者。。(1)持卡者(Cardholder)。在电子子商务环环境中，，消费者者和团体体购买者者通过计计算机与与商家进进行交互互，持卡卡者使用用一个发发卡行发发行的支支付卡。。(2)发卡行(Issuer)。一个发发卡行是是一个金金融机构构，为持持卡者建建立一个个账户并并发行支支付卡，，一个发发卡行保保证对经经过授权权的交易易进行付付款。(3)商家(Merchant))。商家提提供商品品和服务务，在SET中，商家家与持卡卡者可以以进行安安全电子子交易，，一个商商家必须须与相关关的收单单行达成成协议，，保证可可以接收收支付卡卡付款。。7.2安全电子子交易协协议(4)收单行(Acquirer))。一个收收单行是是一个金金融机构构，为商商家建立立一个账账户并处处理支付付卡授权权和支付付。(5)支付网关关(PaymentGateway)。一个支支付网关关是一个个由收单单行操作作的设备备，或者者是指定定的第三三方，用用于处理理支付卡卡授权和和支付。。(6)认证中心心(CA))。负责发发放和管管理数字字证书的的权威机机构。采采用多层层分级结结构，负负责发放放和撤销销持卡人人、商家家和支付付网关的的证书。。(7)第三方(ThirdParties)。发卡行行和收单单行有时时指定第第三方来来处理支支付卡交交易，在在SET协议中没没有区分分金融机机构和交交易处理理者，认认为是一一家。7.2安全电子子交易协协议7.2安全电子子交易协协议7.2..3SET协议的相相关技术术在SET中所涉及及到的技技术主要要有加密密技术和和身份认认证技术术，其中中加密技技术是核核心，包包括：（1）对称加加密技术术（2）非对称称加密技技术（7）消息摘摘要技术术（4）数字签签名（5）数字信信封（6）双重数数字签名名（7）数字证证书7.2安全电子子交易协协议7.2安全电子子交易协协议对于一些些信息的的流动必必须要做做到端对对端加密密。但有有些信息息端对端端加密还还不够，，如银行行卡中与与资金有有关的数数据，持持卡人就就不想让让商户看看到；而而购物有有关的数数据，商商户又不不想让收收单银行行看到，，但端对对端加密密办法就就做不到到这一点点。一个完整整的购买买交易所所需的信信息包括括：交易开始始(PInitReq//PInitRes)购买指令令(PReq／PRes)授权请求求(AuthReq／AuthRes)支付指令令(CapReq／CapRes)持卡人查查询(InqReq／lnqRes)7.2安全电子子交易协协议持卡人商户支付网关关（收单银银行）PInitReqPInitResPReqPResIngReqIngResPReq之后时间间可选AuthReqAuthResCapReqCapResSET交易步骤骤7.2安全电子子交易协协议PIData….…OIDataTransIDBrandIDDateChall_CChall_MODsalt((nonce))H(OIData))H(PIData))HashOIOIDataDualSigH2Sign{H2}}Sigc订货信息息结构7.2安全电子子交易协协议双重数字字签名-生成OIPIB:订货信息C:支付信息MDBMDCMDBCDSPVARSA双重数字签名C(PI)DSMDB

PBA

EMCSK2DESDECSK2PBCB(OI)DSMDC

PBA

EMBSK1DESDEBSK1PBB双重数字字签名-生成B(OI)DSMDCPBAEMBSK1DESDEBSK1PBBC(PI)DSMDBPBAEMCSK2DESDECSK2PBC发送给商商户B的信息发送给银银行C的信息双重数字字签名—B验证EMBDMBEMCDMCEMBB(OI)DSMDCPBASK1DESMDBMDBC’DSMDBC比较PBARSADEBPVBRSASK1双重数字字签名—C验证EMBDMBEMCDMCEMCC(PI)DSMDBPBASK2DESMDCMDBC’DSMDBC比较PBARSADECPVCRSASK2消费者（持卡人）认证中心CA电子钱包网上商店支付网关发卡行银行卡总中心ISO8583银行网络SETSETSETSET电子商务环境7.2安全电子子交易协协议7.2..4SET的交易流流程采用SET的电子商商务交易易分为3个阶段：：（1）信用卡卡持有者者与商家家协商交交易商品品列表及及所采用用的支付付方式。。（2）信用卡卡持有者者发送支支付货款款指令，，商家与与银行核核实付款款。（3）商家向向银行出出示所有有交易细细节，银银行以适适当的方方式向商商家转移移货款。。7.2安全电子子交易协协议7.2..4SET交易流程程7.2安全电子子交易协协议7.3安全套接接层协议议SSL是提供Internet上的通信信隐私性性的安全全协议。。该协议议允许客客户端／／服务器器应用之之间进行行防窃听听、防消消息篡改改及消息息伪造的的安全的的通信。。TCP／IP是整个Internet数据传输输和通信信所使用用的最基基本的控控制协议议。SSL协议可以以有效地地避免网网上信息息的偷听听、篡改改以及消消息的伪伪造。TCP/IPLayerSecureSocketsLayer网络通信层…应用层HTTPLDAPIMAPSSL标准的关关键是要要解决以以下几个个问题。。(1)客户对服服务器的的身份确确认：SSL服务器允允许客户户的浏览览器使用用标准的的公钥加加密技术术和一些些可靠的的认证中中心(CA))的证书，，来确认认服务器器的合法法性(检验服务务器的证证书和ID的合法性性)。对于用用户服务务器身份份的确认认与否是是非常重重要的，，因为客客户可能能向服务务器发送送自己的的信用卡卡密码。。7.3安全套接接层协议议(2)服务器对对客户的的身份确确认：允许SSL服务器确确认客户户的身份份，SSL协议允许许客户服服务器的的软件通通过公钥钥技术和和可信赖赖的证书书，来确确认客户户的身份份(客户的证证书client’’scertificate)。对于服服务器客客户身份份的确认认与否是是非常重重要的，，因为网网上银行行可能要要向客户户发送机机密的金金融信息息。(3)建立起服服务器和和客户之之间安全全的数据据通道：：SSL要求客户户和服务务器之间间的所有有的发送送数据都都被发送送端加密密，所有有的接收收数据都都被接收收端解密密，这样样才能提提供一个个高水平平的安全全保证。。同时SSL协议会在在传输过过程中检检查数据据是否被被中途修修改。7.3安全套接接层协议议SSL协议的工工作流程程：服务器认认证阶段段：1）客户端端向服务务器发送送一个开开始信息息“Hello”以便开始始一个新新的会话话连接；；2）服务器器根据客客户的信信息确定定是否需需要生成成新的主主密钥，，如需要要则服务务器在响响应客户户的“Hello”信息时将将包含生生成主密密钥所需需的信息息；3）客户根根据收到到的服务务器响应应信息，，产生一一个主密密钥，并并用服务务器的公公开密钥钥加密后后传给服服务器；；7.3安全套接接层协议议4）服务器器恢复该该主密钥钥，并返返回给客客户一个个用主密密钥认证证的信息息，以此此让客户户认证服服务器。。用户认证证阶段：：在此之前前，服务务器已经经通过了了客户认认证，这这一阶段段主要完完成对客客户的认认证。经经认证的的服务器器发送一一个提问问给客户户，客户户则返回回（数字字）签名名后的提提问和其其公开密密钥，从从而向服服务器提提供认证证。7.3安全套接接层协议议SSL协议提供供的服务务可以归归纳为如如下：1．用户和和服务器器的合法法性认证证（认证证性）使得用户户和服务务器能够够确信数数据将被被发送到到正确的的客户机机和服务务器上。。客户机机和服务务器都有有各自的的识别号号，由公公开密钥钥编排。。为了验验证用户户，安全全套接层层协议要要求在握握手交换换数据中中做数字字认证，，以此来来确保用用户的合合法性。。7.3安全套接接层协议议2．加密数数据以隐隐藏被传传送的数数据（秘秘密性））安全套接接层协议议采用的的加密技技术既有有对称密密钥，也也有公开开密钥。。具体来来说，就就是客户户机与服服务器交交换数据据之前，，先交换换SSL初始握手手信息。。在SSL握手信息息中采用用了各种种加密技技术，以以保证其其机密性性和数据据的完整整性，并并且经数数字证书书鉴别。。这样就就可以防防止非法法用户破破译。3．维护数数据的完完整性（（完整性性）安全套接接层协议议采用Hash函数和机机密共享享的方法法，提供供完整信信息性的的服务，，来建立立客户机机与服务务器之间间的安全全通道，，使所有有经过安安全套接接层协议议处理的的业务在在传输过过程中都都能完整整准确无无误地到到达目的的地。7.3安全套接接层协议议SSL协议主要要包含握握手协议议(handshakeprotocol)和记录协协议(recordprotocol)，记录协协议确定定数据安安全传输输的模式式，握手手协议用用于客户户和服务务器建立立起安全全连接之之前交换换一系列列的安全全信息，，这些安安全信息息主要包包括以下下内容：：(1)客户确定定服务器器的身份份。(2)允许客户户和服务务器选择择双方共共同支持持的一系系列加密密算法。。(3)服务器确确定客户户的身份份(可选)。(4)通过公钥钥密码技技术产生生双方共共同的密密钥。(5)建立SSL的加密安安全通道道。7.3安全套接接层协议议7.3安全套接接层协议议客户机发出安全会话请求（hello）服务器发送X.509证书（包含服务器的公钥）客户机生成随机对称密钥，并用服务器的公钥加密客户机与服务器用随机对称密钥加密会话期间的数据客户机将随机对称密钥发送给服务器7.3安全套接接层协议议7.3安全套接接层协议议SSL记录层协协议限定定了所有有发送和和接收数数据的打打包，它它提供了了通信、、身份认认证功能能，它是是一个在在面向连连接的可可靠传输输协议，，如TCP／IP上提供安安全保护护。在SSL中，所有有数据被被封装在在记录中中。一个个记录由由两部分分组成：：记录头头和非零零长度的的数据。。记录头头可以是是2字节或3字节(当有填充充数据时时使用)。SSL握手层协协议的报报文要求求必须放放在一个个SSL记录层的的记录里里，但应应用层协协议的报报文允许许占用多多个SSL记录来传传送。7.3安全套接接层协议议记录头类型记录长度MAC数据记录头类型Escape位填充长度记录长度MAC数据填充数据2字节头记录3字节头记录7.3安全套接接层协议议SSL的记录头头可以是是两个或或三个字字节长的的编码。。SSL记录头包包含的信信息有记记录头的的长度、、记录数数据的长长度、记记录数据据中是否否有填充充数据。。其中填填充数据据是在使使用块加加密(blockencryption)算法时，，填充实实际数据据，使其其长度恰恰好是块块的整数数倍。最最高位为为1时，不含含有填充充数据，，记录头头的长度度为两个个字节，，记录数数据的最最大长度度为32767个字节；；最高位位为0时，含有有填充数数据，记记录头的的长度为为三个字字节，记记录数据据的最大大长度为为16383个字节。。7.3安全套接接层协议议SSL记录数据据部分有有三个分分量：MAC--DATA、ACTUAL--DATA、PADDING-DATA。MAC数据用于于数据完完整性检检查。计计算MAC所用的散散列函数数由握手手协议中中的CIPHER--CHOICE消息确定定。若使使用MD2和MD5算法，则则MAC数据长度度是16个字节。。MAC的计算公公式：MAC数据：Hash[密钥，实实际数据据，填充充数据，，序号]。ACTUAL--DATA是被传送送的应用用数据，，PADDING-DATA是当采用用分组码码时所需需要的填填充数据据，在明明文传送送下只有有第二项项。7.3安全套接接层协议议7.3..4SSL协议与SET协议的比比较SSL协议实现现简单、、使用方方便、成成本较低低，易推推广普及及。SET协议实施施成本较较高，要要依赖于于可信任任第三方方认证机机构，运运行机制制复杂。。SSL协议是面面向连接接的协议议，无法法实现多多方认证证，而SET能对所有有参与者者进行身身份认证证。SET对各个参参与者之之间的信信息流必必须采用用加密和和认证制制定了严严密的标标准，而而SET只对客户户端与服服务器之之间的信信息交换换进行加加密保护护。7.3安全套接接层协议议7.3..4SSL协议与SET协议的比比较SSL协议是基基于传输输层的安安全协议议，而SET协议位于于应用层层。SET协议安全全机制很很完善，，因此对对网络和和计算机机的处理理能力要要求较高高，导致致性能不不及SSL协议，而而SSL协议配置置简单，，传输性性能较高高。SSL协议主要要应用于于web,,能胜任只只通过web或电子邮邮件就能能完成的的电子商商务，而而SET能为大量量应用的的信用卡卡支付提提供安全全。7.3安全套接接层协议议S-HTTP是HTTP协议的扩扩充，增增加了报报文的安安