电子商务安全(第2版) 课件 第8章-电子商务安全协议-1

8.1电子商务安全协议概述8.2安全电子交易协议SET8.3安全套阶层协议SSL8.4

HTTPS协议第8章电子商务安全协议安全协议：安全协议也称为安全密码，是以密码学为基础的网络信息交换协议。电子商务安全协议由买方、卖方、第三方以及它们之间约定的电子交易条款组成，是完成信息安全交换的共同约定的逻辑操作规则，是保证网上交易的机密性、数据完整性、身份的合法性和不可否认性的重要技术。8.1电子商务安全协议概论常见的安全协议常见的电子商务安全协议：SET（SecureElectronicTransaction，安全电子交易）协议、SSL（SecuritySocketLayer，安全套接层协议）协议、STT协议（SecureTransactionTechnology，安全交易技术协议）、HTTPS（安全超文本传输）协议、EDI（ElectronicDataInterchange，电子数据交换）协议和IPSec（IPSecurity，IP安全）协议等。网络不是绝对安全的常见的安全协议/标准（1）协议/标准说明HTTPS安全超文本传输协议，保障Web站点间的交易信息传输的安全性。SET应用层安全协议，安全的信用卡交易。SSL传输层安全协议，保证Web上信息传输安全。STT安全交易技术协议，微软公司开发，将认证和解密在浏览器中分离开，用以提高安全控制能力。微软在IE中采用这一技术。IKP安全电子协议，从1KP,2KP到3KP安全性和复杂性递增，IBM公司开发。IBS电子支付协议，卡耐基-梅隆大学开发。NetBill网络支付协议，卡耐基-梅隆大学开发。常见的安全协议/标准（2）协议/标准说明FirstVirtual网上信用卡的安全电子支付协议，用E-mail通信体系的安全性和完整性保障安全，FirstVirtual公司开发。Zhou-Gollmann在信道不可靠的条件下签订电子合同。IPSecIP数据报层的安全性，用于创建虚拟专用网络。OpenPGP开放式的邮件加密协议，为电子邮件和数据文件提供安全性服务。PPTP点对点隧道协议，用于创建虚拟专用网络。S/MIME安全电子邮件协议，实现邮件的机密性、完整性、认证性和不可否认性，依赖于PKI技术。SECSH安全外壳工作组，实现安全远程访问。8.2.1

SET协议概述8.2.2SET交易的参与者8.2.3SET协议的相关技术8.2.4SET的交易流程8.2安全电子交易协议SET什么是SET协议SET协议Secure（安全）Electronic（电子）Transaction（交易）协议是计算机网络中通信双方为了实现通信而必须遵守的规则和约定。SET协议是应用层的协议。SET协议的起源原因：为了满足日益增长的电子交易需求。发起人：VisaInternational、MasterCardInternational两大信用卡公司与IBM、Microsoft等厂商联合推出的。主要应用：SET协议主要应用于B2C电子商务系统，完全针对信用卡来制定，其内容包含了信用卡在电子商务交易中的交易协定、信息保密、资料完整等各个方面。SET实现的主要目标SET协议是一个基于可信的第三方认证中心的方案。它的主要目标如下:保证信息及交易过程安全。支持应用的互操作性，提供一个开放式的标准。实现可推广性。

因此，SET协议主要目的是实现网上交易的：机密性、数据的完整性、交易的不可否认性和交易的身份认证。此外，SET协议还对证书的管理和交易处理过程等制定了严格的规定。8.2.2SET交易的参与者SET协议交易过程中，需要六个角色的参与，他们分别是：信用卡持有者、信用卡发放银行、商家、支付网关、收款银行和认证中心。信用卡持有者信用卡持有者是指使用信用卡进行电子商务交易的买主。在电子商务环境中，持卡人通过计算机访问商家，购买商品。持卡人使用发卡行发行的支付卡，并从认证中心获取数字签名证书。银行信用卡发放银行：它为信用卡持有者建立账户，并能够向信用卡持有者发行支付卡。信用卡发放银行必须保证只对经过授权的交易进行付款。收款银行：它能够为参与电子商务交易的信用卡持有者和商家建立相关账户，同时能够对信用卡进行认证，并处理付款授权和付款结算。商家在采用SET协议的电子商务环境中，商家是指在Internet上的商店。通常商家将自己提供的商品和服务的详细信息通过Web网页等形式展示给客户（信用卡持有者），客户可以任意的挑选所需的商品。商家必须与相关的收款银行达成协议，确保能够接收信用卡持有者的信用卡付款，实现商家和信用卡持有者之间的安全电子交易。支付网关支付网关是银行专网和Internet网络之间的接口，其主要作用将不安全的Internet上的交易消息传给安全的银行专网，起到隔离和保护银行专网的作用。它通过一组服务器设备和相应的系统，将Internet上传输的数据转换为金融机构内部的数据，这些数据是处理电子交易时的支付数据以及买主的支付请求。认证中心认证中心就是一个负责发放和管理数字证书的权威机构。它通常采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。在SET协议中，认证中心负责发放和撤销信用卡持有者、商家和支付网关的数字证书，让信用卡持有者、商家和支付网关之间通过证书相互认证。8.2.3SET协议的相关技术1.对称密钥加密技术2.非对称密钥加密技术3.消息摘要技术4.数字签名技术5.数字信封技术6.双重签名技术7.数字证书技术1.对称密钥加密技术原理:对称密钥加密也叫做私钥加密。在这种加密技术中加密密钥和解密密钥是相同的。如果加密密钥和解密密钥不同，那么必须保证可以从其中一个密钥通过特定的算法演算出另一个密钥。加密解密方式：发送方用对称密钥和对称密钥加密算法将明文加密为密文，并将密文发送给接收方。接收方收到密文后，使用与加密相同的密钥和对称密钥解密算法将密文还原为明文，完成数据的加密传送。常用的对称加密算法:DES算法和AES算法2.非对称密钥加密技术非对称密钥加密技术的密钥成对出现，每对密钥中都包括公钥和私钥两部分。非对称密钥加密技术的密钥对具有一一对应的关系，用一个公钥将明文加密为密文后，只有用与之相对应的私钥才能将该密文解密为明文，反之亦然。任何用户如果要向公钥发布者发送加密数据时，可以轻易地获得公钥发布者的公钥，使用该公钥加密明文数据为密文。加密后的密文即使加密者本人也无法将密文解密为明文。加密者将密文发送给该公钥的发布者，发布者收到密文后，使用与公钥相应对的私钥对密文进行解密，得到明文，完成数据的加密传输。3.信息摘要概念:消息摘要是把一个任意长度的数据当作输入值，通过特定的算法，能够产生一个长度固定的值。其中使用到的算法是一个伪随机的算法，是单向Hash加密函数。特点:1.输入的消息长度是可变的，而计算出来的消息摘要的长度总是固定的。2.消息摘要是“伪随机的”。3.通常情况下，只要输入的消息不同，对其进行摘要以后产生的摘要消息也必不相同。4.消息摘要函数是单向函数。MD5的全称是Message-DigestAlgorithm5（信息-摘要算法），该算法以任意长度的信息（message）作为输入进行计算，产生一个128-bit的指纹或报文摘要。两个不同的信息产生相同报文摘要的几率相当小，从一个给定的报文摘要逆向产生原始信息更是困难。4.数字签名数字签名是消息摘要技术和非对称密钥加密技术相结合的产物。在数字签名中，非对称密钥加密技术被反向运用，用私钥加密消息，而用公钥来解密消息。如果一个消息可以由特定的公钥解密，可以肯定这消息是由与之相匹配的私钥加密的，这是因为每一个公钥只有一个与之匹配的私钥。5.数字信封概念：数字信封是非对称密钥加密技术和对称密钥加密技术相结合的产物。其主要功能是实现只有规定的特定收信人才能阅读通信的内容。优点：1.这种加密方法具有极高的加密强度。2.它克服了秘密密钥加密中秘密密钥分发困难的问题。3.解决了公开密钥加密中加密时间长的问题。6.双重签名的来源原因：在电子商务交易过程中，信用卡持有者不允许商家获得其信用卡信息，同时也不希望银行跟踪得到购买的商品的信息，但是又不能影响商家和银行对信用卡持有者所发信息的合理的验证。在SET协议采用双重签名来解决这一问题。6.双重签名的步骤实现方法：假设信用卡持有者C(customer)从商家M(merchant)购买商品，他不希望商家看到他的信用卡信息，也不希望银行B(bank)看到他所购买的商品有关的信息。C生成订购信息OI(orderinformation)，并将其发给M，同时，C生成支付信息PI(paymentinformation)，并将其发送给B。思考题请说明SET协议双重签名的主要作用。双重签名的主要作用就是在交易的过程中，在客户把订购信息和支付信息传递给商家时，订购信息和支付信息相互隔离开，商家只能看到订购信息不能看到支付信息，并把支付信息无改变地传递给银行；而且商家和银行可以验证订购信息和支付信息的一致性，以此来判断订购信息和支付信息在传输的过程中是否被修改。7.数字证书数字证书是由权威机构——CA（CertificateAuthority，证书授权）中心发行的，能够在Internet上进行身份认证的一种权威性电子文档。在数字证书认证的过程中，证书认证中心是权威的、公正的、可信赖的第三方，同时数字证书也必须具有唯一性和可靠性。数字证书是采用非对称密钥加密技术来实现的，用户的私钥用来解密和签名，公钥用于加密和验证签名。数字证书颁发过程为：首先用户产生自己的密钥对，并将公钥及部分个人身份信息发送给认证中心；认证中心在核实身份后并确认请求确实由用户发