第4章SET协议和SSL协议

第四章SET协议和SSL协议掌握SET协议的概念、参与方及目标，能够整体上掌握SET协议的基本原理；掌握SET协议中的认证技术、加密技术等；理解SET协议的安全性、复杂性及性能；掌握SSL协议的目标，理解SSL协议的安全性问题；掌握记录协议、握手协议的原理；了解SET协议与SSL协议的区别和联系。知识目标初步掌握SET协议和SSL协议的处理流程。技能目标第一节SET协议第一节SET协议（一）SET协议的概念SET（secureelectronictransaction）协议即安全电子传输协议，是由Visa、MasterCard以及其他一些业界的主流厂商经过多年研究于1997年提出的，一种旨在保证在开放网络环境下电子商务中的支付安全的网络安全协议。SET协议基于应用层，因此，它也是一种基于信息流的协议。第一节SET协议实际上，SET协议是一个十分复杂的网络协议，从宏观上讲，主要有以下几个特点。SET协议保证网络交易的安全、高效和准确SET协议的设计基于多种外部标准SET协议受到众多厂商、机构的支持SET协议为实现其功能，整合了多种网络安全技术第一节SET协议SET协议的设计基于多种外部标准（1）ASN.1（7）PKCS（9）TCP/IPTCP/IP又名网络通信协议（10）X-509标准是一种数字证书标准，由国际电信联盟（8）SHASHA又名单向杂凑函数（2）DER（6）MIME（4）HMAC（3）DEA（5）HTTP第一节SET协议SET协议为实现其功能，整合了多种网络安全技术第一节SET协议（二）SET协议的参与方网络商家持卡人收单银行认证中心支付网关发卡银行第一节SET协议（三）SET协议的目标解决多方认证问题保证信息在网络上的安全传输保证网上交易的实时性提供一个开放式的标准、规范协议和消息格式保证电子商务参与者信息的相互隔离12345第一节SET协议二、SET协议的相关技术（一）SET协议的认证技术SET协议的认证是通过第三方（认证中心）来实现的。所谓认证，就是对对方网络身份的鉴别，保证对方身份可信的过程。第一节SET协议1.数字证书支付网关证书商家证书收单行证书和发卡行证书持卡人证书第一节SET协议2.证书的管理结构（1）RCA（7）持卡人（9）支付网关（8）商家（2）BCA（6）PCA（4）CCA（3）GCA（5）MCA第一节SET协议2.证书的管理结构第一节SET协议3.证书的发行、更新和撤销（1）证书的发行（certificateissuance）。证书的发行有3种方式：Web方式（交互方式）Web方式（交互方式）离线方式（非交互方式）第一节SET协议Web方式的证书申请和发行。一般来说，该过程需要经历3个阶段：123持卡人申请证书的请求和应答过程持卡人申请登记表的请求和应答过程证书请求和生成过程第一节SET协议（2）证书的更新。证书经过一段时间的使用后便需要更新，这是由证书本身设定的失效期决定的。具体的更新周期由CA决定。第一节SET协议（3）证书的撤销。SET协议针对参与交易的不同对象，制定了具体的证书撤销程序。支付网关证书的撤销CA证书的撤销商家证书的撤销持卡人证书的撤销第一节SET协议（二）SET协议的加密技术数字信封和数字签名双重签名消息摘要第一节SET协议三、SET协议分析（一）SET协议的处理流程购买请求商家注册支付授权支付请款持卡人注册12345第一节SET协议（二）SET协议的复杂性分析由以上的内容可知，SET协议的交易是十分复杂的，需要验证证书9次、验证数字签名6次、传递证书7次、进行数字签名5次、对称加密4次、非对称加密4次。完成一个以SET协议为基础的交易过程需要一两分钟，有时需要更长的时间。此外，SET协议的证书格式也较为特殊，因为它是由Visa和MasterCard开发，并且按照信用卡支付方式来定义的。第一节SET协议（三）SET协议的安全性分析数据完整性数据完整性不可否认性机密性第一节SET协议（四）SET协议的性能分析SET协议的优点：（1）SET协议为商家提供了保护自己的手段，减少了其在正常的商业活动中受到的欺诈和骚扰。（2）SET协议使网络交易成为可能，大大降低了企业的运行成本和管理成本。第一节SET协议（3）SET协议保护了消费者的权益，保证了消费者的信息不被窃取，保证了交易者在整个交易过程中的安全。（4）SET协议将传统的商业活动带入了互联网，为商业活动开辟了一种新的交易模式，使其相对于传统的商贸活动更具有活力。（5）SET协议定义了特定的互操作接口，是一个可以由不同厂商的产品构筑的系统。第一节SET协议SET协议的不足：（1）SET协议的报文消息太过复杂。（2）SET协议涉及的参与者相对较多，参与方的工作量较大。（3）SET协议仅解决了支付信息的认证问题，而没有解决交易中证据的生成和保留问题。（4）SET协议中没有对交易过程和交易状态作出描述。第二节SSL协议一、SSL协议概述第二节SSL协议SSL协议的目标SSL协议的目标按照实现的先后顺序排列如下：建立安全的连接实现可操作性实现可扩展性第二节SSL协议2.SSL协议实现的功能用户和服务器的合法性认证加密数据以隐藏被传送的数据安全保护数据的完整性第二节SSL协议3.SSL协议与电子商务安全的关系SSL协议的运行前提是商家对客户信息保密。保密的信息既包括交易的信息，也包括客户个人信息或团体信息。在交易过程中，商家对客户的认证是必要的，但是整个过程还是缺乏客户对商家的认证，协议本身主要依赖于商家的可靠性。但随着电子商务参与厂商的不断增加，商家的信誉度往往会出现问题，这也暴露出了SSL协议的问题。所以，近几年开发的电子支付系统往往不以SSL协议为基础，而多数采用SET协议。可以说，SSL协议有被SET协议取代的趋势。第二节SSL协议二、SSL中的记录协议和握手协议（一）SSL记录协议SSL记录数据格式SSL记录协议的作用第二节SSL协议（二）SSL握手协议1.SSL握手协议的各个阶段接通阶段密钥交换阶段会话密钥生成阶段客户机认证阶段服务器证实阶段结束阶段第二节SSL协议2.握手报文CLIENT-HELLO报文CLIENT-FINISHED报文SERVER-HELLO报文CLIENT-MASTER-KEY报文第二节SSL协议3.SSL握手协议的作用SSL中的握手协议，将公钥加密技术与对称密钥加密技术的应用结合在一起，有机地组成了互联网（或其他网络）上信息安全传输的通道。通过SSL，客户端与服务器端可以互相传送自己的数字证书、互相验证合法性，这样既可以减少用户因虚假网站所造成的损失，又可以保护网站免受不良信息的影响。第二节SSL协议三、SSL协议的安全性分析SSL协议的安全性分析包括安全机制分析和脆弱性分析两种。安全机制分析脆弱性分析第二节SSL协议（一）安全机制分析完整性机制抗重放攻击加密机制鉴别机制第二节SSL协议（二）脆弱性分析SSL协议自身的缺陷SSL协议不规范引起的问题第二节SSL协议1.SSL协议自身的缺陷引起的问题（1）客户端假冒（2）SSL协议无法提供基于UDP应用的安全保护（3）SSL协议不能对抗通信流量分析（4）容易遭受基于公钥加密标准（PKCS）协议的自适应选择密文攻击（5）进程中的主密钥泄露（6）磁盘上的临时文件可能遭受攻击第二节SSL协议2.SSL协议不规范引起的问题对证书的攻击和窃取安全盲点中间人攻击IE浏览器的SSL身份鉴别缺陷第三节SET协议与SSL协议的比较一、SET协议和SSL协议的内容对比两个协议之间的区别有以下几点：（1）SE