第4章-网络安全协议(2).ppt

第4章网络安全协议 广泛使用的网络安全协议SSL协议 安全套接层协议 SET协议 安全电子交易协议 IPSec协议 Internet协议安全性 1 4 2SET协议 SET概述双向签名SET系统结构SET证书支付处理 2 4 2SET协议 随着计算机网络的发展以及国际互联网应用的普及 电子商务成为了网络技术应用的新方向电子商务通过网络实现了从原材料的查询 采购 产品的展示 订购 出口 储运以及电子支付等一系列的贸易活动在内的完整的商务活动电子商务的出现使得公司以效率高 成本低 速度快的方式处理业务 也为消费者的购买带来了方便和快捷的消费方式信息通过网络传输 需要一套安全的机制保障电子商务信息的安全 否则 一旦商业机密失窃 后果将不堪设想 损失惨重 3 安全电子交易SET SecureElectronicTransaction由世界两大信用卡公司Visa和MasterCard在1996年2月发起 于1997年6月完成目的是为了在Internet上进行在线交易时保证信用卡支付的安全而设计的一个开放的规范 实现网上的信息安全 4 2SET协议 4 安全支付的商业需求 1 支付信息的安全性 保证相关联的订单信息的保密性 2 保证所有传输数据的完整性 3 鉴别持卡人是否为信用卡的合法用户 4 鉴别商家的真实性 5 保证使用最好的安全策略和系统设计技术来保护电子商务交易中的所有合法实体 6 创建一种既不依赖于传输层安全机制又不妨碍应用这些机制的协议 7 方便和鼓励软件及网络提供者之间的互操作性 4 2 1SET概述 5 SET满足上述需求的特征 1 信息保密性 持卡人帐号和支付信息在网络传输中是安全的 持卡人的信用卡号码只提供给发卡银行 商家不知 DES加密实现信息保密性 2 数据完整性 持卡人发往商家的支付信息包括订购信息 个人数据 支付指示 引入RSA数字签名和SHA 1散列函数确保消息未被更改 3 持卡人账户认证 为商家提供一种验证持卡人是否为合法用户的方式 通过X 509v3数字证书和RSA数字签名算法实现 4 商家认证 持卡人可鉴别商家的真实性 验证商家是否与金融授权建立了业务联系 同样采用X 509v3数字证书和RSA数字签名实现 5 互操作性 允许不同厂商的软硬件使用该规范 4 2 1SET概述 6 SET协议中引入了双向签名 DualSignature 的概念功能 允许将两种数据连接在一起并交给两个不同的实体处理目的 连接两个发送给不同接收者的报文消费者将订购信息OI发送给商家 将支付信息PI发送给银行商家不必知道消费者的信用卡号码 银行不必知道消费者订单的细节商家不知道PI 银行不知道OI 商家不能伪造OI和PI 4 2 2双向签名 7 双向签名的构造 PI 支付信息OI 订购信息H 哈希函数 SHA 1 连接操作 PIMD PI消息摘要OIMD OI消息摘要POMD PIOI消息摘要E 加密 RSA KRc 顾客签名私钥 4 2 2双向签名 8 消费者分别计算PI和OI的散列值将上述两个散列值连接再计算连接后的散列值消费者用其私钥KRc对最后的散列值加密 创建双向签名 4 2 2双向签名 DS EKRc H H PI H OI 9 商家收到 DS OI PIMD商家计算 H PIMD H OI 和DKUc DS 商家比较并验证签名银行收到 DS PI OIMD银行计算 H OIMD H PI 和DKUc DS 银行比较并验证签名消费者连接OI和PI 证明此连接保证商家无法用一个OI替代交易中的OI 4 2 2双向签名 10 4 2 3SET系统结构 SET改变了一个支付系统中参与者的交互行为在一次面对面的零售交易或邮件订购交易中 电子处理是由商家发起的在一个SET交易中 电子处理开始于持卡人基于SET协议构造的电子商务系统如下 11 4 2 3SET系统结构 SET协议中涉及的参与者 1 持卡人 由被发卡行授权使用支付卡的消费者 通过网络浏览选定商品 使用支付软件购买 2 商家 提供商品或服务的个人或组织 通过Web站点或电子邮件的方式提供商品 3 发卡行 向持卡人提供支付卡的金融机构 如银行 对于卡中所有的授权交易 由发卡行负责偿还 4 收单行 为商家建立帐号的金融机构 处理支付卡认证和付款 5 支付网关 由收单行或指定的第三方提供的功能 处理商家支付信息 实现对支付信息从Internet到银行内部网络的转换 并对商家和持卡人认证 6 认证中心 CA 可信任的 向持卡人 商家和支付网关发行X 509v3证书的实体 12 1 持卡人开通银行帐号 2 持卡人收到购买商品时的信用卡证书 X 509v3 3 商家拥有证书 签名证书 加密证书 支付网关证书 4 持卡人订购货物 5 持卡人对商家证书进行验证 6 持卡人发送订购和支付信息 订购信息用商家公钥加密支付信息用银行公钥加密 7 商家请求付款认证 通过检查持卡人证书的数字签名验证持卡人 8 商家确认订购 发送到收单行 9 商家提供商品或服务 10 商家请求付款 一次SET工作过程 4 2 3SET系统结构 13 4 2 4SET证书 SET协议通过使用X 509v3为参与者提供认证服务通过使用CRLv2具有吊销措施证书是特定于应用的 每个类型的证书 SET都包含如下预先定义的协议子集 1 持卡人证书 作为支付卡的电子表示 由金融机构对这类证书数字签名 不能被第三方修改 2 商家证书 作为出现在商店橱窗内的支付卡品牌标签的电子替代物 表示商家与某个金融机构的关系 允许接受该品牌的支付卡 由商家的金融机构对这类证书数字签名 不能被第三方修改 3 让受方证书 运作一个CA时需要 该CA直接接受和处理商家发送的证书请求 4 发卡机构证书 运作一个CA时需要 该CA直接接受和处理持卡人发送的证书请求 14 4 2 4SET证书 为了便于证书管理 SET协议定义了一套完备的证书信任链层结构 图4 8基于SET的CA的分级结构 9各部分4个层次 15 4 2 5支付处理 为了提供通过Internet的安全支付处理 SET规范定义了多种交易类型 如下表所示 16 SET交易类型 4 2 5支付处理 17 4 2 5支付处理 为了说明SET如何在电子商务交易中为支付处理提供安全性 对以下交易类型深入讨论 1 购买请求 用户与商家确定所用支付方式的细节 2 支付授权 商家与银行核实 随着交易进展 将得到付款 3 支付回复 商家向银行出示所有交易细节 银行以适当方式转移货款 18 4 2 5 1购买请求 在商家和持卡人之间交换4个消息 一 发起请求二 发起响应三 购买请求 1 与购买相关的信息 PI 双向签名 OIMD 数字信封 2 与订购有关的信息 OI 双向签名 PIMD 3 持卡人证书四 购买响应 19 图4 9持卡人发送购买请求 2