电子商务安全5章.ppt

第5章 SSL与SET协议,5.1 SSL协议,5.2 SET协议,5.3 两个协议的比较,5.1 SSL协议,5.1.1 SSL协议的概念,5.1.2 SSL协议的工作原理,5.1.3 SSL协议的优缺点,5.1.4 SSL协议的应用,5.1.1 SSL协议的概念,SSL协议（Secure Sockets Layer，即安全套接层协议）是由网景（Netscape）公司研制开发的网络安全传输协议。主要适用于点对点之间的信息传输，常用Web Server方式。 由于SSL协议具有应用面广、实施成本低、安全高效、操作简单等优点，它已经成为电子商务系统中应用最广泛的协议。SSL协议采用数据加密技术和X.509数字证书技术来保护信息传输的机密性和完整性，但它不能保证信息的不可抵赖性。,5.1.1 SSL协议的概念,有鉴于此，网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作“表单签名（Form Signing）”的功能，在电子商务中，可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名，从而保证交易信息的不可否认性。 安全套接层协议（Secure Sockets Layer，SSL）是一种安全协议，它为网络（例如因特网）的通信提供私密性。SSL使应用程序在通信时不用担心被窃听和篡改。,5.1.1 SSL协议的概念,SSL协议处于应用层和传输层之间，相当于一种会话层安全协议，支持X.509V3体系证书规范，由SSL记录协议（SSL Record Protocol）和SSL握手协议（SSL Handshake Protocol）组成。 SSL安全代理系统，具有自主知识产权，实现SSL3.0规范，支持128位以上的高强度加密算法。该系统于1999年12月通过了中国国家信息安全测评认证中心的测试、检验，获得国家信息安全产品型号证书认证。,SSL安全代理软件与Web浏览器安装在客户电脑上，当浏览器要与远端服务器建立安全连接时，它向安全代理发出请求，由安全代理负责与远端服务器建立连接。连接建立后，浏览器与服务器之间的数据传输经过安全代理转发完成。浏览器与服务器之间的数据传输是用浏览器本身支持的40位以下的弱加密算法加密的，而安全代理与远端Web服务器之间的数据传输则是用高强度的加密算法加密的。,5.1.3 SSL协议的优缺点,优点： 1、机密性。在握手协议定义了会话密钥后，所有的消息都被加密。 2、确认性。尽管会话的客户端认证是可选的，但是服务器端始终是被认证的。 3、可靠性。传送的信息包括信息完整性检查。 4、应用面广、实施成本低、安全高效、操作简单等。 缺点： 不能保证信息的不可抵赖性。,5.1.4 SSL协议的应用,企业网上银行,5.2 SET协议,5.2.1 SET协议的概念,5.2.2 SET协议的工作原理,5.2.3 SET协议的优缺点,5.2.4 SET协议的应用,5.2.1 SET协议的概念,电子商务在提供机遇和便利的同时，也面临着一个最大的挑战，即交易的安全问题。在 网上购物的环境中，持卡人希望在交易中保密自己的帐户信息，使之不被人盗用；商家则希 望客户的定单不可抵赖，并且，在交易过程中，交易各方都希望验明其他方的身份，以防止被欺骗。针对这种情况，由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构(IBM、HP、Microsoft、Netscape 、RSA等 )， 共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准，这就是,5.2.1 SET协议的概念,“安全电子交易”（Secure Electronic Transaction，SET）。它采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。 由于SET 提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。,5.2.1 SET协议的概念,SET协议是由美国Visa和MasterCard两大信用卡组织提出的应用于Internet上的以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X.509数字证书标准，主要应用于B2C模式中保障支付信息的安全性。SET协议本身比较复杂，设计比较严格，安全性高，它能保证信息传输的机密性、真实性、完整性和不可否认性。,5.2.2 SET协议的工作原理,SET协议的工作流程如下： 1、支付初始化请求和响应阶段 2、支付请求阶段 3、授权请求阶段 4、授权响应阶段 5、支付响应阶段,5.2.3 SET协议的优缺点,优点： 1、保证信息的机密性，即保证信息安全传输，不会被窃听，只有收件人才能得到和解密信息。 2、保证支付信息的完整性，即保证传输数据完整地接受，在中途不被篡改。 3、保证认证银行和客户，即验证公共网络上进行交易活动的银行、持卡人