电子商务与网络安全.ppt

《电子商务与网络安全.ppt》由会员分享，可在线阅读，更多相关《电子商务与网络安全.ppt（57页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第四章 电子商务与网络安全电子商务与网络安全 n4.1 电子商务安全问题及对策电子商务安全问题及对策n4.2 电子商务安全体系电子商务安全体系n4.3 电子商务安全防范技术电子商务安全防范技术n数字加密技术n数字证书nPKI技术n电子商务安全协议案例n国外国外n2000年年2月月3日日9日，日，Yahoo,ebay,Amazon 等著名网站被黑客利用等著名网站被黑客利用“拒绝服务拒绝服务”手段进行攻击，直接和间接损失手段进行攻击，直接和间接损失10亿美元。亿美元。n2005年年6月月13日，万事达公司发现并宣布，电脑黑客侵入了亚利桑那州日，万事达公司发现并宣布，电脑黑客侵入了亚利桑那州的一个信

2、用卡程序中心，窃取了约的一个信用卡程序中心，窃取了约4000万信用卡用户的信息，造成美国万信用卡用户的信息，造成美国迄今报道过的最大个人社会安全及金融信息泄密事件。迄今报道过的最大个人社会安全及金融信息泄密事件。n国内国内n2007年南京一年南京一19岁的少年利用腾讯公司一支付平台上的漏洞，大肆盗岁的少年利用腾讯公司一支付平台上的漏洞，大肆盗窃游戏充值卡，在近窃游戏充值卡，在近5个月的时间内，疯狂敛财个月的时间内，疯狂敛财100余万元。余万元。赛门铁克的英特网安全威胁报告：2005年黑客发展趋势n在一天之中，对某一特定站点的攻击次数降低n受利益驱动的攻击增加:n2005年上半年，共发现大约11

3、,000个新的恶意程序，网络钓鱼、DdoS攻击增加。n黑客使用日益老练的蠕虫、木马等窃取网络信息，卖给竞价最高的买主，买主利用这些信息发送垃圾邮件及广告，增加点击率，实施随机拒绝服务攻击，窃取信用卡信息、身份信息、公司机密及其它有用信息，从中快速获利。4.1 电子商务安全问题及对策n计算机安全的基本概念n电子商务系统的安全隐患n电子商务系统安全策略4.1.1 计算机安全的基本概念n计算机安全计算机安全就是保护企业资产不受未经授权的访问、使用、篡改或破坏。包括物理安全和逻辑安全。n对计算机资产带来危险的的任何行动或对象都成为安全威胁。安全威胁。n电子商务信息方面的安全则表现为n信息的有效性n信息

4、的保密性n信息的完整性n信息的真实性n中断n攻击系统的有效性，破坏系统硬盘、线路、文件系统等中断中断轰炸轰炸伪造伪造篡改篡改窃听窃听在网上，安全威胁无处不在！在网上，安全威胁无处不在！在网上，安全威胁无处不在！在网上，安全威胁无处不在！4.1.2 电子商务系统的安全隐患vv窃听窃听攻击系统的保密性，通过搭线和电磁泄漏等手段造成泄密n篡改n攻击系统的完整性，篡改系统数据，搅乱消息次序和时间中断中断轰炸轰炸伪造伪造篡改篡改窃听窃听4.1.2 电子商务系统的安全隐患在网上，安全威胁无处不在！在网上，安全威胁无处不在！在网上，安全威胁无处不在！在网上，安全威胁无处不在！vv伪造伪造攻击系统的真实性；伪

5、造假消息、假身份进入或破坏系统4.1.3 电子商务系统安全策略n反窃听n加密技术；防火墙（Firewall）n防篡改n数据的一致性（Integrity）检测（消息摘要）n拒绝冒充n身份认证（Authentication）（数字证书）n防止抵赖n数字签名、时间戳、数字证书4.2电子商务系统的安全体系电子商务业务系统电子商务业务系统电子商务支付系统电子商务支付系统安全应用协议安全应用协议SET SSL S/MIME S-HTTPCA体系体系,数字签名数字签名,数字信封数字信封基本加密算法基本加密算法非对称密钥加密非对称密钥加密/对称密钥加对称密钥加密密安全安全HASH函数函数/RSA/SHA交易标

6、准防火墙PKI架架构构认证体系数字加密4.3 安全措施安全措施n1.法律措施法律措施n1)完善法律法规，做到有法可依n2)加重计算机犯罪处罚力度n3)建立我国网络金融与国外在法律上的协调机制。4.3 安全措施安全措施n2.2.技术措施技术措施n2.12.1防火墙技术防火墙技术n2.1.12.1.1概念概念n 防火墙是在专用网和因特网之间设置的安全系统,可以提供接入控制,可以干预这两个网之间的任何消息传送。4.3 安全措施安全措施n防火墙的基本功能：n（1）过滤进出网络的数据包；n（2）管理进出网络的访问行为；n（3）封堵某些禁止的访问行为；n（4）记录通过防火墙的信息内容和活动；n（5）对网络

7、攻击进行检测和告警。4.3 安全措施安全措施外部WWW客户客户机Intranet数据库电子邮件服务部Web服务器由软件系统和硬件设备组合而成的，在内外部之间的保护屏障防火墙结构n2.1.2 2.1.2 防火墙结构防火墙结构4.3 安全措施安全措施n2.1.3 2.1.3 防火墙分类防火墙分类n（1 1）包过滤型：对所有）包过滤型：对所有进出的数据包进行拦截进出的数据包进行拦截检测，按照一定的信息检测，按照一定的信息规则进行筛选，允许授规则进行筛选，允许授权信息通过，对不符合权信息通过，对不符合规则的信息报警，并丢规则的信息报警，并丢弃该包：最小特权原则。弃该包：最小特权原则。根据规则转发过滤路

8、由器InternetIntranet4.3 安全措施安全措施n（2 2）双宿网关型：）双宿网关型：即双重宿主主机防火即双重宿主主机防火墙，是一种拥有两个墙，是一种拥有两个连接到不同网络上的连接到不同网络上的网络接口的防火墙。网络接口的防火墙。特点是内部网络与外特点是内部网络与外部网络是隔离的，两部网络是隔离的，两者不能直接通信。者不能直接通信。Internat4.4 加密技术加密技术n1.1.信息加密的传递过程信息加密的传递过程加密E解密D明文M加密密钥K1解密密钥K2密文C明文M原文件加密密文密文解密原文件Internet发送端接收端对称密钥加密解密过程Hi are you XXXXXXXX

9、Hi areyou接收者公钥加密密文原信息发送端接收者私钥解密密文原信息接收端Internet非对称密钥加密4.4 加密技术加密技术4.4 加密技术加密技术n2、非对称密钥算法的特点：n（1）仅知道密码算法和加密密钥，要确定解密密钥，这在计算上是不可能的。n（2）两个相关密钥中的任何一个都可以用作加密而让另一个用于解密。n（3）两位用户之间要相互交换信息时，需要将其中的私人密钥保存好，将公开密钥发给对方。n（3）反过来，信息发送者用自己的私人密钥对数据加密后，发给接收方，接收方只能用发送方的公开密钥解密。4.4 加密技术加密技术n4.对称密钥与非对称密钥比较对称密钥与非对称密钥比较特性对称密钥

10、非对称密钥密钥数目单一密钥成对密钥密钥种类密钥是保密的其中一个密钥保密，一个密钥公开密钥管理简单但难于管理需要数字证书及可靠的第三者处理速度非常快慢用途用于大量资料的加密用来加密小文件或对信息签字等不太严格保密的应用4.4 加密技术加密技术n5.5.公钥加密与对称加密混合使用方式公钥加密与对称加密混合使用方式发送者(A)发送者(B)DES加密DES解密RSA加密RSA解密明文密文网络明文秘密密钥K公开密钥K（密钥传递）接收者的私有秘钥公钥加密与对称加密混合使用方式4.6数字认证技术数字认证技术n安全认证技术安全认证技术是为了满足电子金融系统的安全而采取的一种常用的安全技术，包括：数字签名、数字

11、信封、数字摘要、数字时间戳、数字证书以及生物统计学身份识别技术。4.6数字认证技术数字认证技术数字签名数字签名n1）作用：n 保证信息完整n 保证信息发送者身份的可验证n 保证信息传递过程中的非泄露4.6数字认证技术数字认证技术n1）数字签名：是信息发送者产生的一段别人无法伪造的数字串，这段数字串是对发送者发送信息的真实性的一个有效凭证。4.6数字认证技术数字认证技术n2）数字签名工作流程（a）生成数字签名流程 明文信息摘要数字签名RSA公钥解密一致签名有效签名无效YN(b)验证数字签名流程 明文明文信息摘要RSA私钥加密数字签名私钥Hash算法4.6数字认证技术数字认证技术n数字信封的生成数

12、字信封的生成n 数字信封的生成消息对称密钥加密消息密文密钥密文数字信封对称密钥发送A私钥接收B的公钥InternetInternet4.6数字认证技术数字认证技术 数字信封的解除n 数字信封的解除消息密文对称密钥解密消息接收方B的私钥密钥密文对称密钥发送方A的公钥4.6数字认证技术数字认证技术n2.3.3 数字时间戳数字时间戳Hash函数加密摘要发送端摘要时间数字时间戳Internet加时间Hash函数加密摘要摘要时间Internet数字时间戳第三方私钥加密加了时间后的新摘要第三方数字时间戳的使用原信息3、电子商务安全认证电子商务安全认证 3.1 3.1 数字证书数字证书 数字证书是各类终端实

13、体和最终用户在网上进行数字证书是各类终端实体和最终用户在网上进行数字证书是各类终端实体和最终用户在网上进行数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个信息交流及商务活动的身份证明，在电子交易的各个信息交流及商务活动的身份证明，在电子交易的各个信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，环节，交易的各方都需验证对方数字证书的有效性，环节，交易的各方都需验证对方数字证书的有效性，环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。从而解决相互间的信任问题。从而解决相互间的信任问题。从而解

14、决相互间的信任问题。3.1 数字证书数字证书1.1.数字证书概述数字证书概述 数字证书是一个经证书认证中心（数字证书是一个经证书认证中心（数字证书是一个经证书认证中心（数字证书是一个经证书认证中心（CACACACA）数字签名）数字签名）数字签名）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。的包含公开密钥拥有者信息以及公开密钥的文件。的包含公开密钥拥有者信息以及公开密钥的文件。的包含公开密钥拥有者信息以及公开密钥的文件。数数数数字证书实质上就是一系列密钥，用于签名和加密数字字证书实质上就是一系列密钥，用于签名和加密数字字证书实质上就是一系列密钥，用于签名和加密数字字证书实质上就是一系列密

15、钥，用于签名和加密数字信息。信息。信息。信息。数字证书由专门的机构（数字证书由专门的机构（数字证书由专门的机构（数字证书由专门的机构（CACACACA）负责发放和管理，）负责发放和管理，）负责发放和管理，）负责发放和管理，其作用是证明证书中列出的用户名称与证书中列出的其作用是证明证书中列出的用户名称与证书中列出的其作用是证明证书中列出的用户名称与证书中列出的其作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。公开密钥相对应。公开密钥相对应。公开密钥相对应。CACACACA的数字签名使得攻击者不能伪造的数字签名使得攻击者不能伪造的数字签名使得攻击者不能伪造的数字签名使得攻击者不能伪造和

16、篡改数字证书。和篡改数字证书。和篡改数字证书。和篡改数字证书。3.1 数字证书数字证书3.3.对数字证书的验证对数字证书的验证 对数字证书的验证包括以下几个步骤：对数字证书的验证包括以下几个步骤：对数字证书的验证包括以下几个步骤：对数字证书的验证包括以下几个步骤：CACACACA签名真实？签名真实？签名真实？签名真实？证书在有效期内？证书在有效期内？证书在有效期内？证书在有效期内？证书在证书在证书在证书在CACACACA发布的发布的发布的发布的证书撤消列表内？证书撤消列表内？证书撤消列表内？证书撤消列表内？Y伪造的证书伪造的证书伪造的证书伪造的证书N失效的证书失效的证书失效的证书失效的证书NY

17、失效的证书失效的证书失效的证书失效的证书YN有效的证书有效的证书有效的证书有效的证书CACACACA签名真实？签名真实？签名真实？签名真实？3.3.对数字证书的验证对数字证书的验证 3.1 数字证书数字证书3.1 数字证书数字证书4.4.数字证书的类型数字证书的类型 3.2 认证中心认证中心 1.1.什么是认证中心什么是认证中心 在网络上，什么样的信息交流才是安全的呢？在网络上，什么样的信息交流才是安全的呢？在网络上，什么样的信息交流才是安全的呢？在网络上，什么样的信息交流才是安全的呢？只只只只有有有有收收收收件件件件实实实实体体体体才才才才能能能能解解解解读读读读信信信信息息息息，即即即即信

18、信信信息息息息保密性保密性保密性保密性。收收收收件件件件实实实实体体体体看看看看到到到到的的的的信信信信息息息息确确确确实实实实是是是是发发发发件件件件实实实实体体体体发发发发送送送送的的的的信信信信息息息息，其其其其内内内内容容容容未未未未被被被被篡篡篡篡改改改改或或或或替替替替换换换换，即信息真即信息真即信息真即信息真实实实实完整性完整性完整性完整性。发件实体日后不能否认曾发送过此信发件实体日后不能否认曾发送过此信发件实体日后不能否认曾发送过此信发件实体日后不能否认曾发送过此信息，即不可抵赖性息，即不可抵赖性息，即不可抵赖性息，即不可抵赖性。加密！加密！加密！加密！还差什么？还差什么？还差

19、什么？还差什么？建立信任和信任验证机制建立信任和信任验证机制建立信任和信任验证机制建立信任和信任验证机制数字证书数字证书数字证书数字证书认证中心认证中心认证中心认证中心3.2 认证中心认证中心 1.1.什么是认证中心什么是认证中心 电子交易的各方都必须拥有合法的身份，即由数字证书认证电子交易的各方都必须拥有合法的身份，即由数字证书认证电子交易的各方都必须拥有合法的身份，即由数字证书认证电子交易的各方都必须拥有合法的身份，即由数字证书认证中心（中心（中心（中心（CACACACA）签发的数字证书，在交易的各个环节，交易的各方都）签发的数字证书，在交易的各个环节，交易的各方都）签发的数字证书，在交易

20、的各个环节，交易的各方都）签发的数字证书，在交易的各个环节，交易的各方都需检验对方数字证书的有效性，从而解决了用户信任问题。需检验对方数字证书的有效性，从而解决了用户信任问题。需检验对方数字证书的有效性，从而解决了用户信任问题。需检验对方数字证书的有效性，从而解决了用户信任问题。电子商务安全认证体系是一套融合了各种先进的加密技术和电子商务安全认证体系是一套融合了各种先进的加密技术和电子商务安全认证体系是一套融合了各种先进的加密技术和电子商务安全认证体系是一套融合了各种先进的加密技术和认证技术的安全体系，它主要定义和建立自身认证和授权规则，认证技术的安全体系，它主要定义和建立自身认证和授权规则，

21、认证技术的安全体系，它主要定义和建立自身认证和授权规则，认证技术的安全体系，它主要定义和建立自身认证和授权规则，然后分发、交换这些规则，并在网络之间解释和管理这些规则。然后分发、交换这些规则，并在网络之间解释和管理这些规则。然后分发、交换这些规则，并在网络之间解释和管理这些规则。然后分发、交换这些规则，并在网络之间解释和管理这些规则。电子商务安全认证体系的核心机构就是电子商务安全认证体系的核心机构就是电子商务安全认证体系的核心机构就是电子商务安全认证体系的核心机构就是CACACACA认证中心。认证中心。认证中心。认证中心。3.2 认证中心认证中心 1.1.什么是认证中心什么是认证中心 认证中心

22、（认证中心（认证中心（认证中心（Certificate Authority,CACertificate Authority,CACertificate Authority,CACertificate Authority,CA）是网上各）是网上各）是网上各）是网上各方都信任的机构，主要负责产生、分配并管理所有参方都信任的机构，主要负责产生、分配并管理所有参方都信任的机构，主要负责产生、分配并管理所有参方都信任的机构，主要负责产生、分配并管理所有参与网上交易的个体所需的身份认证数字证书。与网上交易的个体所需的身份认证数字证书。与网上交易的个体所需的身份认证数字证书。与网上交易的个体所需的身份认证数

23、字证书。3.3数字认证技术数字认证技术n2）各级认证中心的存在组成了电子商务的信任链）各级认证中心的存在组成了电子商务的信任链根CA(Root CA)品牌CA(Brand CA)地方CA(Area CA)持卡人CA(CCA)商家CA(MCA)支付网关CA(PCA)持卡人证书商家证书支付网关证书CA认证体系认证中心的（认证中心的（CA）的功能）的功能4、电子商务安全协议电子商务安全协议 为了保障电子商务的安全性，一些公司和机构制定为了保障电子商务的安全性，一些公司和机构制定为了保障电子商务的安全性，一些公司和机构制定为了保障电子商务的安全性，一些公司和机构制定了电子商务的安全协议，来规范在了电子

24、商务的安全协议，来规范在了电子商务的安全协议，来规范在了电子商务的安全协议，来规范在InternetInternetInternetInternet上从事商务上从事商务上从事商务上从事商务活动的流程。活动的流程。活动的流程。活动的流程。目前，典型的电子商务安全协议有：目前，典型的电子商务安全协议有：目前，典型的电子商务安全协议有：目前，典型的电子商务安全协议有：SSLSSLSSLSSL（安全套接层）协议安全套接层）协议安全套接层）协议安全套接层）协议SETSETSETSET（安全电子交易）协议安全电子交易）协议安全电子交易）协议安全电子交易）协议4.1 SSL SSL协议协议 SSL SSL

25、SSL SSL协议（协议（协议（协议（Security Socket LayerSecurity Socket LayerSecurity Socket LayerSecurity Socket Layer，安全套接层协安全套接层协安全套接层协安全套接层协议）是议）是议）是议）是NetscapeNetscapeNetscapeNetscape公司提出的基于公司提出的基于公司提出的基于公司提出的基于WebWebWebWeb应用的安全协议，该应用的安全协议，该应用的安全协议，该应用的安全协议，该协议向基于协议向基于协议向基于协议向基于TCP/IPTCP/IPTCP/IPTCP/IP的的的的C/SC

26、/SC/SC/S应用程序提供了客户端和服务器应用程序提供了客户端和服务器应用程序提供了客户端和服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。的鉴别、数据完整性及信息机密性等安全措施。的鉴别、数据完整性及信息机密性等安全措施。的鉴别、数据完整性及信息机密性等安全措施。1.1.协议简介协议简介 4.1 SSL SSL协议协议 SSL SSL SSL SSL采用对称密码技术和公开密码技术相结合，提供采用对称密码技术和公开密码技术相结合，提供采用对称密码技术和公开密码技术相结合，提供采用对称密码技术和公开密码技术相结合，提供了如下三种基本的安全服务：了如下三种基本的安全服

27、务：了如下三种基本的安全服务：了如下三种基本的安全服务：秘秘秘秘密密密密性性性性。SSLSSLSSLSSL客客客客户户户户机机机机和和和和服服服服务务务务器器器器之之之之间间间间通通通通过过过过密密密密码码码码算算算算法法法法和和和和密密密密钥钥钥钥的的的的协协协协商商商商，建建建建立立立立起起起起一一一一个个个个安安安安全全全全通通通通道道道道。以以以以后后后后在在在在安安安安全全全全通通通通道道道道中中中中传传传传输输输输的的的的所所所所有有有有信信信信息息息息都都都都经经经经过过过过了了了了加加加加密处理。密处理。密处理。密处理。完完完完整整整整性性性性。SSLSSLSSLSSL利利利利

28、用用用用密密密密码码码码算算算算法法法法和和和和hashhashhashhash函函函函数数数数，通通通通过过过过对对对对传传传传输输输输信信信信息息息息特特特特征征征征值值值值的的的的提取来保证信息的完整性。提取来保证信息的完整性。提取来保证信息的完整性。提取来保证信息的完整性。认证性认证性认证性认证性。利用证书技术和可信的第三方。利用证书技术和可信的第三方。利用证书技术和可信的第三方。利用证书技术和可信的第三方CACACACA，可以让客户机和服务可以让客户机和服务可以让客户机和服务可以让客户机和服务器相互识别对方的身份。器相互识别对方的身份。器相互识别对方的身份。器相互识别对方的身份。1.

29、1.协议简介协议简介 4.1 SSL SSL协议协议 SSLSSLSSLSSL协议的关键是要解决以下几个问题：协议的关键是要解决以下几个问题：协议的关键是要解决以下几个问题：协议的关键是要解决以下几个问题：客户对服务器的身份确认客户对服务器的身份确认客户对服务器的身份确认客户对服务器的身份确认：容许客户浏览器，使用：容许客户浏览器，使用：容许客户浏览器，使用：容许客户浏览器，使用标准的公钥加密技术和一些可靠的认证中心（标准的公钥加密技术和一些可靠的认证中心（标准的公钥加密技术和一些可靠的认证中心（标准的公钥加密技术和一些可靠的认证中心（CACACACA）的的的的证书，来确认服务器的合法性。证书

30、，来确认服务器的合法性。证书，来确认服务器的合法性。证书，来确认服务器的合法性。服务器对客户的身份确认服务器对客户的身份确认服务器对客户的身份确认服务器对客户的身份确认：容许客户服务器的软件：容许客户服务器的软件：容许客户服务器的软件：容许客户服务器的软件通过公钥技术和可信赖的证书，来确认客户的身份。通过公钥技术和可信赖的证书，来确认客户的身份。通过公钥技术和可信赖的证书，来确认客户的身份。通过公钥技术和可信赖的证书，来确认客户的身份。建立起服务器和客户之间安全的数据通道建立起服务器和客户之间安全的数据通道建立起服务器和客户之间安全的数据通道建立起服务器和客户之间安全的数据通道：要求客：要求客

31、：要求客：要求客户和服务器之间的所有的发送数据都被发送端加密，户和服务器之间的所有的发送数据都被发送端加密，户和服务器之间的所有的发送数据都被发送端加密，户和服务器之间的所有的发送数据都被发送端加密，所有的接收数据都被接收端解密，同时所有的接收数据都被接收端解密，同时所有的接收数据都被接收端解密，同时所有的接收数据都被接收端解密，同时SSLSSLSSLSSL协议会在协议会在协议会在协议会在传输过程中解查数据是否被中途修改。传输过程中解查数据是否被中途修改。传输过程中解查数据是否被中途修改。传输过程中解查数据是否被中途修改。2.SSL2.SSL协议的作用协议的作用 4.1 SSL SSL协议协议

32、 目前，几乎所有操作平台上的目前，几乎所有操作平台上的目前，几乎所有操作平台上的目前，几乎所有操作平台上的WEBWEBWEBWEB浏览器（浏览器（浏览器（浏览器（IEIEIEIE、NetscapeNetscapeNetscapeNetscape）以及）以及）以及）以及流行的流行的流行的流行的WebWebWebWeb服务器（服务器（服务器（服务器（IISIISIISIIS、Netscape Enterprise ServerNetscape Enterprise ServerNetscape Enterprise ServerNetscape Enterprise Server等）都支持等）都支

33、持等）都支持等）都支持SSLSSLSSLSSL协议。协议。协议。协议。缺点：缺点：缺点：缺点：（1 1 1 1）系统不符合中国国务院最新颁布的商用密码管理条例）系统不符合中国国务院最新颁布的商用密码管理条例）系统不符合中国国务院最新颁布的商用密码管理条例）系统不符合中国国务院最新颁布的商用密码管理条例中对商用密码产品不得使用国外密码算法的规定，要通过国家密码中对商用密码产品不得使用国外密码算法的规定，要通过国家密码中对商用密码产品不得使用国外密码算法的规定，要通过国家密码中对商用密码产品不得使用国外密码算法的规定，要通过国家密码管理委员会的审批会遇到相当困难。管理委员会的审批会遇到相当困难。管

34、理委员会的审批会遇到相当困难。管理委员会的审批会遇到相当困难。（2 2 2 2）系统安全性方面的缺陷：）系统安全性方面的缺陷：）系统安全性方面的缺陷：）系统安全性方面的缺陷：SSLSSLSSLSSL协议的数据安全性其实就是协议的数据安全性其实就是协议的数据安全性其实就是协议的数据安全性其实就是建立在建立在建立在建立在RSARSARSARSA等算法的安全性上，攻破等算法的安全性上，攻破等算法的安全性上，攻破等算法的安全性上，攻破RSARSARSARSA等算法就等同于攻破此协议。等算法就等同于攻破此协议。等算法就等同于攻破此协议。等算法就等同于攻破此协议。但是总的来讲，但是总的来讲，但是总的来讲，

35、但是总的来讲，SSLSSLSSLSSL协议的安全性能是好的，而且随着协议的安全性能是好的，而且随着协议的安全性能是好的，而且随着协议的安全性能是好的，而且随着SSLSSLSSLSSL协议协议协议协议的不断改进，更多的安全性能好的加密算法被采用，逻辑上的缺陷的不断改进，更多的安全性能好的加密算法被采用，逻辑上的缺陷的不断改进，更多的安全性能好的加密算法被采用，逻辑上的缺陷的不断改进，更多的安全性能好的加密算法被采用，逻辑上的缺陷被弥补。被弥补。被弥补。被弥补。3.SSL3.SSL的安全性的安全性 4.1 SSL SSL协议协议 4.4.双向认证双向认证SSLSSL协议的具体过程协议的具体过程 双

36、向认证双向认证双向认证双向认证SSLSSLSSLSSL协议的具体通讯过程，要求服务器和用户双方协议的具体通讯过程，要求服务器和用户双方协议的具体通讯过程，要求服务器和用户双方协议的具体通讯过程，要求服务器和用户双方都有证书。单向认证都有证书。单向认证都有证书。单向认证都有证书。单向认证SSLSSLSSLSSL协议不需要客户拥有协议不需要客户拥有协议不需要客户拥有协议不需要客户拥有CACACACA证书。证书。证书。证书。基于基于基于基于SSLSSLSSLSSL协议，双方的通讯内容是经过加密的数据，这时候协议，双方的通讯内容是经过加密的数据，这时候协议，双方的通讯内容是经过加密的数据，这时候协议，

37、双方的通讯内容是经过加密的数据，这时候的安全就依赖于密码方案的安全。的安全就依赖于密码方案的安全。的安全就依赖于密码方案的安全。的安全就依赖于密码方案的安全。4.2 SET SET协议协议 1.SET1.SET概述概述 SET SET SET SET协议（协议（协议（协议（Secure Electronic TransactionSecure Electronic TransactionSecure Electronic TransactionSecure Electronic Transaction，安全电子交易，安全电子交易，安全电子交易，安全电子交易协议）是由协议）是由协议）是由协议）是

38、由VISAVISAVISAVISA和和和和MasterCardMasterCardMasterCardMasterCard两大信用卡公司于两大信用卡公司于两大信用卡公司于两大信用卡公司于1997199719971997年年年年5 5 5 5月联合推月联合推月联合推月联合推出的规范。出的规范。出的规范。出的规范。其实质是一种应用在其实质是一种应用在其实质是一种应用在其实质是一种应用在InternetInternetInternetInternet上、以信用卡为基础的上、以信用卡为基础的上、以信用卡为基础的上、以信用卡为基础的电子付款系统规范，目的就是为了保证网络交易的安全。电子付款系统规范，目的

39、就是为了保证网络交易的安全。电子付款系统规范，目的就是为了保证网络交易的安全。电子付款系统规范，目的就是为了保证网络交易的安全。SET SET SET SET协议采用公钥密码体制和协议采用公钥密码体制和协议采用公钥密码体制和协议采用公钥密码体制和X.509X.509X.509X.509数字证书标准，提供了消数字证书标准，提供了消数字证书标准，提供了消数字证书标准，提供了消费者、商家和银行之间的认证，确保了交易数据的机密性、真实费者、商家和银行之间的认证，确保了交易数据的机密性、真实费者、商家和银行之间的认证，确保了交易数据的机密性、真实费者、商家和银行之间的认证，确保了交易数据的机密性、真实性

40、、完整性和交易的不可否认性，特别是保证不将消费者银行卡性、完整性和交易的不可否认性，特别是保证不将消费者银行卡性、完整性和交易的不可否认性，特别是保证不将消费者银行卡性、完整性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡号暴露给商家等优点，因此它成为了目前公认的信用卡号暴露给商家等优点，因此它成为了目前公认的信用卡号暴露给商家等优点，因此它成为了目前公认的信用卡/借记卡的借记卡的借记卡的借记卡的网上交易的国际安全标准。网上交易的国际安全标准。网上交易的国际安全标准。网上交易的国际安全标准。4.2 SET SET协议协议 2.SET2.SET协议

41、的目标协议的目标 SETSETSETSET要达到的最主要目标是：要达到的最主要目标是：要达到的最主要目标是：要达到的最主要目标是：（1 1）信息在公共因特网上安全）信息在公共因特网上安全）信息在公共因特网上安全）信息在公共因特网上安全传输传输传输传输（2 2 2 2）订单信息和个人账号信息隔离）订单信息和个人账号信息隔离）订单信息和个人账号信息隔离）订单信息和个人账号信息隔离（3 3 3 3）持卡人和商家相互认证）持卡人和商家相互认证）持卡人和商家相互认证）持卡人和商家相互认证 SETSETSETSET协协协协议议议议涉涉涉涉及及及及的的的的当当当当事事事事人人人人包包包包括括括括持持持持卡卡

42、卡卡人人人人、发发发发卡卡卡卡机机机机构构构构、商商商商家家家家、银行以及支付网关。银行以及支付网关。银行以及支付网关。银行以及支付网关。4.2 SET SET协议协议 3.SET3.SET协议的购物流程协议的购物流程 4.2 SET SET协议协议 3.SET3.SET协议的购物流程协议的购物流程 （1 1）持持持持卡卡卡卡人人人人通通通通过过过过浏浏浏浏览览览览器器器器从从从从商商商商家家家家网网网网站站站站选选选选择择择择要要要要购购购购买买买买的的的的商商商商品品品品，填填填填写写写写订订订订单单单单。选选选选择择择择付付付付款款款款方方方方式式式式，此此此此时时时时SETSET开开开

43、开始始始始介介介介入入入入。持持持持卡卡卡卡人人人人通通通通过过过过网网网网络络络络发发发发送送送送给给给给商商商商家家家家一一一一个个个个完完完完整整整整的的的的订订订订单单单单及及及及要要要要求求求求付付付付款款款款的的的的指指指指令令令令。在在在在SETSET中中中中，订订订订单单单单和和和和付付付付款款款款指指指指令令令令由由由由持持持持卡卡卡卡人人人人进进进进行行行行数数数数字字字字签签签签名名名名，同同同同时时时时，利利利利用用用用双双双双重重重重签签签签名名名名技技技技术术术术保保保保证证证证商商商商家家家家看看看看不不不不到到到到持持持持卡卡卡卡人的人的人的人的账账账账号信息。

44、号信息。号信息。号信息。（2 2）、（3 3）商商商商家家家家接接接接受受受受订订订订单单单单，通通通通过过过过支支支支付付付付网网网网关关关关向向向向持持持持卡卡卡卡人人人人的的的的金金金金融融融融机机机机构构构构请请请请求支付求支付求支付求支付认认认认可。可。可。可。（4 4）、（5 5）在在在在银银银银行行行行和和和和发发发发卡卡卡卡机机机机构构构构确确确确认认认认和和和和批批批批准准准准交交交交易易易易后后后后，支支支支付付付付网网网网关关关关给给给给商商商商家返回确家返回确家返回确家返回确认认认认信息。信息。信息。信息。（6 6）商商商商家家家家通通通通过过过过网网网网络络络络给给给

45、给顾顾顾顾客客客客发发发发送送送送订订订订单单单单确确确确认认认认信信信信息息息息，为为为为顾顾顾顾客客客客配配配配送送送送货货货货物物物物，完成订购服务完成订购服务完成订购服务完成订购服务。客。客。客。客户户户户端端端端软软软软件可件可件可件可记录记录记录记录交易日志，以交易日志，以交易日志，以交易日志，以备备备备将来将来将来将来查询查询查询查询。（7 7）（9 9）商家请求银行将钱从购物者的账号转移到商家账号。商家请求银行将钱从购物者的账号转移到商家账号。商家请求银行将钱从购物者的账号转移到商家账号。商家请求银行将钱从购物者的账号转移到商家账号。4.2 SET SET协议协议 4.SET4

46、.SET交易的安全性交易的安全性 (1)(1)(1)(1)信信信信息息息息的的的的机机机机密密密密性性性性:SET:SET:SET:SET系系系系统统统统中中中中，敏敏敏敏感感感感信信信信息息息息（如如如如持持持持卡卡卡卡人人人人的的的的帐帐帐帐户户户户和和和和支支支支付付付付信息）是加密传送的，不会被未经许可的一方访问。信息）是加密传送的，不会被未经许可的一方访问。信息）是加密传送的，不会被未经许可的一方访问。信息）是加密传送的，不会被未经许可的一方访问。(2)(2)(2)(2)数数数数据据据据的的的的完完完完整整整整性性性性:通通通通过过过过数数数数字字字字签签签签名名名名，保保保保证证证

47、证在在在在传传传传送送送送者者者者和和和和接接接接收收收收者者者者传传传传送送送送消消消消息期间，消息的内容不会被修改。息期间，消息的内容不会被修改。息期间，消息的内容不会被修改。息期间，消息的内容不会被修改。(3)(3)(3)(3)身身身身份份份份的的的的验验验验证证证证:通通通通过过过过使使使使用用用用证证证证书书书书和和和和数数数数字字字字签签签签名名名名，可可可可为为为为交交交交易易易易各各各各方方方方提提提提供供供供认认认认证对方身份的依据，即保证信息的真实性。证对方身份的依据，即保证信息的真实性。证对方身份的依据，即保证信息的真实性。证对方身份的依据，即保证信息的真实性。(4)(4

48、)(4)(4)交交交交易易易易的的的的不不不不可可可可否否否否认认认认性性性性:通通通通过过过过使使使使用用用用数数数数字字字字签签签签名名名名，可可可可以以以以防防防防止止止止交交交交易易易易中中中中的的的的一一一一方抵赖已发生的交易。方抵赖已发生的交易。方抵赖已发生的交易。方抵赖已发生的交易。(5)(5)(5)(5)互互互互操操操操作作作作性性性性:通通通通过过过过使使使使用用用用特特特特定定定定的的的的协协协协议议议议和和和和消消消消息息息息格格格格式式式式，SETSETSETSET系系系系统统统统可可可可提提提提供供供供在不同的软硬件平台操作的同等能力。在不同的软硬件平台操作的同等能力

49、。在不同的软硬件平台操作的同等能力。在不同的软硬件平台操作的同等能力。4.3 SSL SSL与与SETSET的比较的比较 4.5 安全标准安全标准n基于SSL的电子交易流程客户浏览器商务服务器银行网络商品信息信用卡号、订单交易完成信息安全通道（SSL）传统的银行清算4.5 安全标准安全标准n2.3 SET交易交易流程流程持卡人特约商店收单银行确认商家的合法性商家的数字证书数字证书、加密的电子货币和订单信息订单确认 交易完成请求交易授权确认授权信息请求付款信息确认付款信息n网上招标是指在公网上利用电子商务基础平台提供的安全网上招标是指在公网上利用电子商务基础平台提供的安全通道进行招标项目中各种信

50、息的传递和处理，包括招标信通道进行招标项目中各种信息的传递和处理，包括招标信息的公布、标书的发放、应标书的收集、投标结果的通知息的公布、标书的发放、应标书的收集、投标结果的通知以及项目合同或协议的签订等完整的过程。以及项目合同或协议的签订等完整的过程。n网上招标有公开招标和邀请招标两种招标方式，对招标方网上招标有公开招标和邀请招标两种招标方式，对招标方提供发布招标公告、发布招标邀请、发布中标信息、电子提供发布招标公告、发布招标邀请、发布中标信息、电子标书管理、标箱管理等功能；对投标方提供招标信息查询、标书管理、标箱管理等功能；对投标方提供招标信息查询、在线投标、在线购买标书等功能在线投标、在线