第7章_电子商务交易的安全协议15123.pptx
《第7章_电子商务交易的安全协议15123.pptx》由会员分享,可在线阅读,更多相关《第7章_电子商务交易的安全协议15123.pptx(63页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第第7章章电子商务安全协议电子商务安全协议SSL协议协议SET协议协议SSL协议与协议与SET协议的比较协议的比较本章要点:7.1SSL协议协议一一SSL协议概述协议概述安全套接层安全套接层(SecureSocketsLayer,SSL)是一是一种传输层技术,可以实现兼容浏览器和服务器种传输层技术,可以实现兼容浏览器和服务器之间的安全通信。之间的安全通信。SSL协议是目前网上购物网协议是目前网上购物网站中常使用的一种安全协议。站中常使用的一种安全协议。所谓所谓SSL就是在和另一方通信前先讲好的一套就是在和另一方通信前先讲好的一套方法,这个方法能够在它们之间建立一个电子方法,这个方法能够在它们之
2、间建立一个电子商务的安全性秘密信道,确保电子商务的安全商务的安全性秘密信道,确保电子商务的安全性,凡是不希望被别人看到的机密数据,都可性,凡是不希望被别人看到的机密数据,都可通过这个秘密信道传送给对方,即使通过公共通过这个秘密信道传送给对方,即使通过公共线路传输,也不必担心别人的偷窥。线路传输,也不必担心别人的偷窥。SSL主要工作流程:主要工作流程:网络连接建立;网络连接建立;选择与该连接相关的加密和压缩方式;选择与该连接相关的加密和压缩方式;双方的身份识别;双方的身份识别;本次传输密钥的确定;本次传输密钥的确定;加密的数据加密的数据传送;传送;网络连接的关闭网络连接的关闭应用数据的传送过程:
3、应用数据的传送过程:应用程序把应用数据提交给本地的应用程序把应用数据提交给本地的SSL发送方根据需要,使用指定的压缩算法,压缩应用数发送方根据需要,使用指定的压缩算法,压缩应用数据据发送方使用散列函数进行散列,得到数据的散列值发送方使用散列函数进行散列,得到数据的散列值发送方把散列值和压缩后的应用数据一起加密发送方把散列值和压缩后的应用数据一起加密密文通过网络传送给对方密文通过网络传送给对方接受方用相同的加密算法解密接受方用相同的加密算法解密接受方用相同的散列算法对解密后的数据进行散列接受方用相同的散列算法对解密后的数据进行散列将计算后的散列值与接受到的散列值比较将计算后的散列值与接受到的散列
4、值比较SSL协议与协议与TCP/IP协议间的关系协议间的关系SSL协议可以分为两个子协议:协议可以分为两个子协议:SSL握手层协议和握手层协议和SSL记录层协议。记录层协议。SSL标准主要提供了标准主要提供了3种服务种服务:认证服务认证服务、数据数据加密服务加密服务与与数据完整性服务数据完整性服务。1.认证用户和服务器认证用户和服务器:SSL客户机与服务器都有客户机与服务器都有各自的识别号,这些识别号使用公开密钥进行各自的识别号,这些识别号使用公开密钥进行加密。确保数据发送到正确的客户机和服务器;加密。确保数据发送到正确的客户机和服务器;2.加密数据以防止数据中途被窃取加密数据以防止数据中途被
5、窃取:采用的是对:采用的是对称加密技术与公开密钥加密技术。称加密技术与公开密钥加密技术。3.维护数据的完整性:确保数据在传输过程中不维护数据的完整性:确保数据在传输过程中不被改变,采用哈希函数和机密共享的方法提供被改变,采用哈希函数和机密共享的方法提供完整信息性的服务,在客户机与服务器之间建完整信息性的服务,在客户机与服务器之间建立安全通道,以保证数据在传输中完整地到达立安全通道,以保证数据在传输中完整地到达目的地。目的地。1 SSL记录协议记录协议它位于一些可靠的的传输协议之上(如它位于一些可靠的的传输协议之上(如TCP););SSL记录协议为记录协议为SSL连接提供两种服务:机密性和报连接
6、提供两种服务:机密性和报文完整性文完整性;SSL记录协议将高层协议数据分成较小的单元,并进记录协议将高层协议数据分成较小的单元,并进行相应的处理,然后通过低层的传输协议发送。行相应的处理,然后通过低层的传输协议发送。SSL协议由协议由SSL握手协议和握手协议和SSL记录协议构成记录协议构成。二二 SSL协议规范协议规范SSL记录协议发送信息的过程记录协议发送信息的过程(1)分段)分段每个上层应用数据被分成每个上层应用数据被分成214字节或更小的数字节或更小的数据块。记录中包含类型、版本号、长度和数据据块。记录中包含类型、版本号、长度和数据字段。字段。(2)压缩)压缩压缩是可选的,并且是无损压缩
7、,压缩后内容压缩是可选的,并且是无损压缩,压缩后内容长度的增加不能超过长度的增加不能超过1024字节。字节。(3)在压缩数据上计算消息认证)在压缩数据上计算消息认证MAC。(4)对压缩数据及)对压缩数据及MAC进行加密。进行加密。(5)增加)增加SSL记录头。记录头。2、握手协议、握手协议SSL握手协议包含两个阶段,第一个阶段用于建握手协议包含两个阶段,第一个阶段用于建立私密性通信信道,第二个阶段用于客户认证。立私密性通信信道,第二个阶段用于客户认证。1)第一阶段:第一阶段:第一阶段是通信的初始化阶段,通信双方都发出第一阶段是通信的初始化阶段,通信双方都发出HELLOHELLO消消息。当双方都
8、接收到息。当双方都接收到HELLOHELLO消息时,就有足够的信息确定是否消息时,就有足够的信息确定是否需要一个新的密钥。若不需要新的密钥,双方立即进入握手协需要一个新的密钥。若不需要新的密钥,双方立即进入握手协议的第二阶段。否则,此时服务器方的议的第二阶段。否则,此时服务器方的SERVERSERVERHELLOHELLO消息将消息将包含足够的信息使客户方产生一个新的密钥。这些信息包括服包含足够的信息使客户方产生一个新的密钥。这些信息包括服务器所持有的证书、加密规约和连接标识。若密钥产生成功,务器所持有的证书、加密规约和连接标识。若密钥产生成功,客户方发出客户方发出CLIENTCLIENTMA
9、STERMASTERKEYKEY消息,否则发出错误消息。消息,否则发出错误消息。最终当密钥确定以后,服务器方向客户方发出最终当密钥确定以后,服务器方向客户方发出SERVERSERVERVERIFYVERIFY消息。因为只有拥有合适的公钥的服务器才能解开密钥。下图消息。因为只有拥有合适的公钥的服务器才能解开密钥。下图为第一阶段的流程:需要注意的一点是每一通信方向上都需要为第一阶段的流程:需要注意的一点是每一通信方向上都需要一对密钥,所以一个连接需要四个密钥,分别为客户方的读密一对密钥,所以一个连接需要四个密钥,分别为客户方的读密钥、客户方的写密钥、服务器方的读密钥、服务器方的写密钥。钥、客户方的
10、写密钥、服务器方的读密钥、服务器方的写密钥。2)第二阶段:第二阶段:第二阶段的主要任务是对客户进行认证,此时服第二阶段的主要任务是对客户进行认证,此时服务器已经被认证了。服务器方向客户发务器已经被认证了。服务器方向客户发出认证请求消息:出认证请求消息:REQUESTCERTIFICATE。当客户收到服务器方的认证请求消息,发出自己当客户收到服务器方的认证请求消息,发出自己的证书,并且监听对方回送的认证结果。而当服的证书,并且监听对方回送的认证结果。而当服务器收到客户的认证,认证成功返回务器收到客户的认证,认证成功返回SERVERFINISH消息,否则返回错误消息。到此为止,消息,否则返回错误消
11、息。到此为止,握手协议全部结束。握手协议全部结束。三、三、SSL相关技术相关技术1加密算法和会话密钥加密算法和会话密钥加密算法包括:加密算法包括:RC4、RC2、IDEA和和DES2认证算法认证算法(1)服务器的认证服务器的认证(2)客户的认证客户的认证服务器认证阶段:服务器认证阶段:1)客户端客户端向服务器发送一个开始信息向服务器发送一个开始信息“Hello”以便开以便开始一个新的会话连接;始一个新的会话连接;2)服务器根据客户的信息确定是否需要生成新的主密钥,)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的如需要则服务器在响应客户的“Hello”信息时将包含信息
12、时将包含生成主密钥所需的信息;生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的并用服务器的公开密钥加密公开密钥加密后传给服务器;后传给服务器;4)服务器)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。息,以此让客户认证服务器。客户认证阶段:在此之前,服务器已经客户认证阶段:在此之前,服务器已经通过了客户认证,这一阶段主要完成对通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个客户的认证。经认证的服务器发送一个提问给客
13、户,客户则返回(数字)签名提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器后的提问和其公开密钥,从而向服务器提供认证。提供认证。四四对对SSL协议安全机制的分析协议安全机制的分析安全机制包括以下几个方面安全机制包括以下几个方面(1)加密机制)加密机制 混合密码体制的使用提供了会话和数据传输的加密性保护。双方使用非对称密码体制协商出本次将要使用的会话密钥,并选择一种对称加密算法。(2)身份鉴定身份鉴定公开密钥技术和数字证书可以实现客户端和服务器公开密钥技术和数字证书可以实现客户端和服务器端的身份鉴别。端的身份鉴别。ClientHello和和ServerHello发过去自己发过
14、去自己的证书的证书(里面包含了身份和自己的公钥里面包含了身份和自己的公钥)。(3)完整性机制完整性机制 定义了共享的、可以用来形成报文鉴别码定义了共享的、可以用来形成报文鉴别码MACMAC的密钥。的密钥。数据进行分片压缩后,使用单向散列函数产生一个数据进行分片压缩后,使用单向散列函数产生一个MACMAC,加密后置于数据包的后部,并且再一次和数据一起,加密后置于数据包的后部,并且再一次和数据一起被加密被加密,然后加上然后加上SSLSSL首部进行网络传输。首部进行网络传输。这样,如果数据被修改,其散列值就无法和原来这样,如果数据被修改,其散列值就无法和原来的的MACMAC相匹配,从而保证了数据的完
15、整性。相匹配,从而保证了数据的完整性。抗重放攻击抗重放攻击SSL使用序列号来保护通信方免受报文重放攻击。这个序列号被加密后作为数据包的负载。在整个SSL握手中,都有一个唯一的随机数来标记这个SSL握手,这样重放便无机可乘。五五SSL协议的电子交易过程协议的电子交易过程1基于基于SSL的网上购物支付交易的网上购物支付交易流程如下:流程如下:收收单单银银行行持持卡卡人人网网上上商商家家发发卡卡银银行行1购买清单及单价购买清单及单价2购买请求购买请求7购物应答购物应答5支付授权应答支付授权应答4支付授权请求支付授权请求3支付授权请求支付授权请求6支付授权应答支付授权应答通过通过SSL协议进行网上交易
16、可能遇到的风协议进行网上交易可能遇到的风险:险:商家服务器证书的信任问题商家服务器证书的信任问题商家服务器端系统遭黑客攻击商家服务器端系统遭黑客攻击不法分子伪造商家网站不法分子伪造商家网站2基于基于SSL的网上银行交易的网上银行交易交易流程如图:交易流程如图:持持卡卡人人网网上上银银行行1身份鉴别相关资料身份鉴别相关资料2交易请求交易请求3交易应答交易应答第二节第二节SET协议协议一、一、SET协议简介协议简介对安全有非常高的要求敏感的部门,对安全有非常高的要求敏感的部门,SSL安全协议有缺点,不足以担此重任。安全协议有缺点,不足以担此重任。由由MasterCard和和Visa提出了有重大实用
17、提出了有重大实用价值和深远影响的安全电子交易价值和深远影响的安全电子交易(SecureElectronicTransaction,SET)。SET协协议得到了许多大公司的支持,已成为事议得到了许多大公司的支持,已成为事实上的工业标准。实上的工业标准。SET是是一一种种以以信信用用卡卡为为基基础础的的、在在因因特特网网上上交交易易的的付付款款协协议议书书,是是授授权权业业务务信信息息传传输输安安全全的的标标准准,它它采采用用RSA密密码码算算法法,利利用用公公钥钥体体系系对对通通信信双双方方进进行行认认证证,用用DES等等标标准准加加密密算算法法对对信信息息加加密密传传输输,并用散列函数来鉴别信
18、息的完整性。并用散列函数来鉴别信息的完整性。在在SET的的交交易易环环境境中中,比比现现实实社社会会中中多多一一个个电电子子商商务务的的安安全全性性认认证证中中心心电电子子商商务务的的安安全全性性CA参参与与其其中中,在在SET交易中认证是很关键的。交易中认证是很关键的。SET规范主要包括三部分内容规范主要包括三部分内容商业描述商业描述程序员指南程序员指南正式的协议定义正式的协议定义二二.SET的相关成员的相关成员(1)持卡人持卡人消费者:持信用卡购买商品的人,消费者:持信用卡购买商品的人,包括个人消费者和团体消费者,按照网上商店包括个人消费者和团体消费者,按照网上商店的表单填写,通过由发卡银
19、行发行的信用卡进的表单填写,通过由发卡银行发行的信用卡进行付费。行付费。(2)网上商家:在网上的符合网上商家:在网上的符合SET规格的电子商规格的电子商店,提供商品或服务,它必须是具备相应电子店,提供商品或服务,它必须是具备相应电子货币使用的条件,从事商业交易的公司组织。货币使用的条件,从事商业交易的公司组织。(3)收单银行:通过支付网关处理持卡人和商店收单银行:通过支付网关处理持卡人和商店之间的交易付款问题事务。接受来自商店端送之间的交易付款问题事务。接受来自商店端送来的交易付款数据,向发卡银行验证无误后,来的交易付款数据,向发卡银行验证无误后,取得信用卡付款授权以供商店清算。取得信用卡付款
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 交易 安全 协议 15123
限制150内