第七章电子商务安全交易

1、主编：彭波第7章 电子商务安全交易知识教学目标：理解SSL的工作过程了解SET协议、熟悉认证过程了解SSL和SET协议的优缺点技能培养目标：能够掌握证书服务的安装与管理能够掌握浏览器数字证书管理7.1 电子商务安全交易概述 电子商务交易安全是建立在网络安全的基础上 主要是为了保障电子商务交易的顺利进行，实现电子商务交易的私有性、完整性、可鉴别性和不可否认性等。7.1.1电子商务安全交易需求 1. 信息的保密性 保密性服务是为防止被攻击而对网络中传输的信息进行保护。 2. 交易者身份的确定性 能方便而可靠地确认对方的身份是交易的前提。鉴别包括源点鉴别和实体鉴别，即要能准确鉴别信息的来源，鉴别彼此

2、通信的对等实体的身份。 3. 信息的不可否认性 指保证发方不能否认自己发送了信息，同时收方也不能否认自己接收到信息。 4. 信息的不可修改性 电子交易文件要能做到不可修改，以保障交易的严肃和公正。 5. 信息的完整性要求数据在传输或存储过程中不会受到非法的修改、删除或重放，要确保信息的顺序完整性和内容完整性。 电子商务应用的核心和关键问题是交易的安全性。7.2 SSL提供网上购物安全的协议 1. SSL简述 安全套接层（Secure Sockets Layer，SSL）是一种传输层技术，它在和另一方通信前先讲好的一套方法，这个方法能够在它们之间建立一个电子商务的安全性秘密信道，确保电子商务的安

3、全性，凡是不希望被别人看到的机密数据，都可通过这个秘密信道传送给对方2. SSL提供的服务（1）数据加密服务采用的是对称加密技术与公开密钥加密技术。（2）认证服务SSL客户机与服务器都有各自的识别号，这些识别号使用公开密钥进行加密。（3）数据完整性服务采用哈希函数和机密共享的方法提供完整信息性的服务3. SSL标准的工作流程（1）SSL客户机向SSL服务器发出连接建立请求，SSL服务器响应SSL客户机的请求；（2）SSL客户机与SSL服务器交换双方认可的密码，一般采用的加密算法是RSA算法；（3）检验SSL服务器得到的密码是否正确，并验证SSL客户机的可信程度；（4）SSL客户机与SSL服务器

4、交换结束的信息。4. SSL特点（1）不能自动更新证书；（2）认证机构编码困难；（3）浏览器的口令具有随意性；（4）不能自动检测证书撤销表；（5）用户的密钥信息在服务器上是以明文方式存储的。（6）客户数据可能外泄。7.3 SET提供安全的电子商务数据交换 在电子商务的交易过程中，首先是交流信息和需求，进行磋商；接着是交换单证；最后是电子支付。 SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证7.3.1 SET的主要目标 1. 信息传输的安全性 2. 信息的相互隔离 3. 多方认证的解决 4. 解决兼容问题 5. 交易的实时性7.3.2 SET的交易成员 1. 持卡人消费者 2.

5、网上商家 3. 收单银行 4. 支付网关 5. 发卡银行 6. 认证中心CA7.3.3 SET的技术范围1. 加密算法；2. 证书信息和对象格式；3. 购买信息和对象格式；4. 认可信息和对象格式；5. 划账信息和对象格式；6. 对话实体之间消息的传输协议。7.3.4 SET软件的组件 包括电子钱包、商店服务器、支付网关和认证中心软件，这4个软件分别存储在持卡人、网上商店、银行以及认证中心的计算机中，相互运作来完成整个SET交易服务，如图7-2所示。图图7-2 SET软件系统的组成软件系统的组成7.3.5 SET的认证过程 1.SET认证之一注册登记 每个在认证中心进行了注册登记的用户都会得到

6、双钥密码体制的一对密钥、一个公钥和一个私钥。 公钥用于提供对方解密和加密回馈的信息内容。私钥用于解密对方的信息和加密发出的信息。这一对密钥作用：（1）对持卡人购买者的作用1）用私钥解密回函；2）用商家公钥填发订单；3）用银行公钥填发付款单和数字签名等。（2）对银行的作用1）用私钥解密付款及金融数据；2）用商家公钥加密购买者付款通知。（3）对商家供应商的作用1）用私钥解密订单和付款通知；2）用购买者公钥发出付款通知和代理银行公钥。图图7-3 SET数字证书申请工作具体步骤数字证书申请工作具体步骤2. SET认证之二动态认证图图7-4 SET系统的动态认证工作步骤系统的动态认证工作步骤3. SET

7、认证之三商业机构处理流程图图7-5 SET系统的商业机构工作步骤系统的商业机构工作步骤7.3.6 SET协议的安全技术目前的主要安全保障来自以下3个方面：1. 将所有消息文本用双钥密码体制加密；2. 将上述密钥的公钥和私钥的字长增加到512B2 048B；3. 采用联机动态的授权（Authority）和认证检查（Certificate），以确保交易过程的安全可靠。技术基础：1. 通过加密方式确保信息机密性；2. 通过数字化签名确保数据的完整性；3. 通过数字化签名和商家认证确保交易各方身份的真实性；4. 通过特殊的协议和消息形式确保动态交互式系统的可操作性。7.4 SSL和SET协议比较 SS

8、L与SET采用的都是公开密钥加密法。 SET是一个多方的报文协议，它定义了银行、商家、持卡人之间必需的报文规范，与此同时SSL只是简单地在两方之间建立了安全连接。 SSL是面向连接的，而SET允许各方之间的报文交换不是实时的。 SET报文能够在银行内部网或者其他网络上传输，而SSL之上的卡支付系统只能与Web浏览器捆绑在一起。 SET与SSL相比具有如下优点：1. SET为商家提供了保护自己的手段，使商家免受欺诈的困扰，使其运营成本降低。2. 对消费者而言，SET保证了商家的合法性，并且用户的信用卡号不会被窃取。3. 对于银行和发卡机构以及各种信用卡组织来说，SET可以帮助它们将业务扩展到In

9、ternet上，使信用卡网上支付具有更低的欺骗概率，比其他支付方式具有更大的竞争力。4. SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。实训：证书服务的安装与管理【实训条件】 1. 硬件条件CPU：至少550MHz，内存：至少256 MB；硬盘空间：150MB以上，不含缓存使用的磁盘空间。2. 软件条件Web服务器：IIS 6.0，IP地址为24，计算机名为SZY；证书服务器：SZY的独立根CA，与Web服务器在同一台物理计算机上；浏览器：IE 6.0，与Web服务器在同一物理计算机上。3. 网络环境工作站连入局域网。【实训内容】 1. 证

10、书服务的安装与管理2. 浏览器数字证书管理【实训步骤】 1. 证书服务的安装与管理（1）打开控制面板，单击“添加/删除程序”按钮，再单击“添加/删除Windows组件”按钮，弹出图7-6所示的“Windows组件向导”对话框，选中“证书服务”复选框。（2）弹出图7-7所示的提示信息对话框，提示安装证书服务后，计算机名称和域成员身份将不可再改变，单击“是”按钮。 图图7-6 “Windows组件向导组件向导”对话框对话框 图图7-7 安装证书服务的提示信息对话框安装证书服务的提示信息对话框 （3）再单击“详细信息”按钮，出现证书服务界面，单击“下一步”按钮，出现如图7-8所示的“CA类型”对话框

11、 （4）选中“独立根CA”单选按钮，选中“用自定义设置生成密钥对和CA证书”复选框表明自定义CA的密钥生成算法，单击“下一步”按钮。图图7-8 “CA7-8 “CA类型类型”对话框对话框（5）出现“公钥/私钥”对话框，可以进行的设置包括以下几方面。1） 在CSP列表框中选择加密服务提供程序（CSP），默认值为：Microsoft Strong Cryptographic Provider。2）在“散列算法”列表框中选择要使用的散列算法，默认值为SHA-1。（6）设置好后，单击“下一步”按钮，出现图7-9所示的“CA识别信息”对话框，输入识别CA的信息，完成设置后单击“下一步”按钮。图图7-9

12、“CA7-9 “CA识别信息识别信息”对话框对话框（7）出现图7-10所示的“证书数据库设置”对话框，用于配置服务器上的数字证书数据库、数据库日志和配置信息的存放位置，按照默认设置就可以。单击“下一步”按钮。（8）出现图7-11所示的提示信息安装过程中必须暂时停止IIS服务，单击“是”按钮。（9）成功安装数字证书服务后出现完成界面，单击“完成”按钮，这样一个独立的要CA就构建完成。 图图7-10 “证书数据库设置证书数据库设置”对话框对话框 图图7-11 安装中需要暂停安装中需要暂停IIS服务服务2. 生成Web服务器数字证书申请文件（1）在桌面上单击“开始”按钮，在弹出的菜单中执行“程序”“

13、管理工具”“Internet信息服务管理器”命令，选择相应的站点后右击它，在出现的快捷菜单中执行“属性”命令，弹出图7-12所示的“默认网站属性”对话框，打开“目录安全性”选项卡，单击“安全通信”区域中的“服务器证书”按钮。图图7-12 7-12 目录安全性目录安全性”选项卡选项卡（2）出现Web服务器证书向导的欢迎界面，提示Web服务器没有安装证书，单击“下一步”按钮。（3）出现图7-13所示的“服务器证书”对话框，有5种获取服务器证书的方法。选中“新建证书”单选按钮，单击“下一步”按钮。图图7-13 “7-13 “服务器证书服务器证书”对话框对话框（4）出现图7-14所示的“延迟或立即请求

14、”对话框，用于选择发送证书请求的方法。选中“现在准备证书请求，但稍后发送”单选按钮，单击“下一步”按钮。（5）出现图7-15所示的“名称和安全性设置”对话框，在“名称”文本框中输入Web服务器的数字证书名称，在“位长”下拉列表框中选择生成的公钥和私钥的位长，默认1024 位，选中“选择证书的加密服务提供程序（CSP）”复选框自行选择CSP，单击“下一步”按钮。 图图7-14“延迟或立即请求延迟或立即请求”对话框对话框 图图7-15 “名称和安全性设置名称和安全性设置”对话对话 （6）弹出图7-16所示的“可用提供程序”对话框，在“选择提供程序”列表框中选择一个CSP程序。完成选择后单击“下一步

15、”按钮。 （7）弹出图7-17所示的“单位信息”对话框，在“单位”和“部门”文本框中按照需要设置，单击“下一步”按钮。 图图7-16 “可用提供程序可用提供程序”对话框对话框 图图7-17 “单位信息单位信息”对话框对话框（8）弹出图7-18所示的“站点公用名称”对话框。在“公用名称”文本框中输入有效的DNS域名或者NetBIOS名称，该名称与站点是唯一对应的，如果站点名称发生变化，必须申请新的数字证书，完成设置后单击“下一步”按钮。（9） 弹出图7-19所示的“地理信息”对话框，在“国家（地区）”下拉列表框中选择“CN（中国）”，在“省/自治区”和“市县”文本框中按照需要设置，单击“下一步”

16、按钮。 图图7-18 “站点公用名称站点公用名称”对话框对话框图图7-19 “地理信息地理信息”对话框对话框（11）弹出图7-20所示“证书请求文件名”对话框。在“文件名”文本框中输入保存证书请求的文件路径及名称，完成设置后单击“下一步”按钮。（12）弹出图7-21所示的“请求文件摘要”对话框，列举了证书的设置参数，确认无误后单击“下一步”按钮。 图图7-20 “证书请求文件名证书请求文件名”对话框对话框图图7-21 “请求文件摘要请求文件摘要”对话框对话框（13）弹出图7-22所示的证书请求完成对话框，单击“完成”按钮。（14）打开证书请求文件，如图7-23所示，图中所示为加密后的信息。 图

17、图7-22 证书请求向导完成对话框证书请求向导完成对话框图图7-23 证书请求文件内容证书请求文件内容3. 申请Web服务器数字证书（1）在浏览器中访问24/certsrv，出现图7-24所示的证书服务页面，单击“申请一个证书”超链接，再单击“高级证书申请”超链接。（2）出现图7-25所示的“高级证书申请”页面，有两种高级证书申请方法。选择第2种。 图图7-24 证书服务页面证书服务页面 图图7-25 “高级证书申请高级证书申请”页面页面（3）出现图7-28所示的提交证书申请页面，将图所示的全部文本内容复制到“保存的申请”文本框中，单击“提交”按钮。（4）出

18、现图7-27所示的成功提交证书申请页面。 图图7-26 提交证书申请页面提交证书申请页面 图图7-27 成功提交证书申请页面成功提交证书申请页面4. 颁发Web服务器数字证书数字证书服务器的管理员可以按照实训步骤“1. 证书服务的安装与管理”介绍的方法颁发Web服务器证书。实例中颁发后的证书如图7-28所示。图图7-28 颁发的颁发的Web服务器数字证书服务器数字证书5. 获取Web服务器的数字证书 访问24/certsrv，在出现的页面中单击“下载CA证书、证书链或CRL”超链接，出现图7-29所示的界面。在“CA证书”列表框中选中“Web服务器证书”，单

19、击“下载CA证书”超链接就可以将数字证书保存在本机上，默认的数字证书文件名为certnew.cer。图图7-29 下载下载Web服务器数字证书服务器数字证书6. 安装Web服务器数字证书（1）在桌面上单击“开始”按钮，在弹出的菜单中执行“程序” “管理工具” “Internet信息服务管理器”命令，选择相应的站点后右击，在出现的快捷菜单中执行“属性”命令，弹出图7-30所示的“默认网站属性”对话框，打开“目录安全性”选项卡，单击“安全通信”区域中的“服务器证书”按钮。（2）弹出图7-31所示的Web服务器证书向导的欢迎界面，提示Web服务器存在挂起的证书请求，单击“下一步”按钮。 图图7-30

20、 “默认网站属性默认网站属性”对话框对话框 图图7-31 欢迎界面欢迎界面（3）弹出图7-32所示的“挂起的证书请求”对话框，选中“处理挂起的证书请求并安装证书”单选按钮，单击“下一步”按钮。（4）弹出图7-33所示“处理挂起的请求”对话框，在“路径和文件名”文本框中输入Web服务器所在证书的完整的路径，单击“下一步”按钮。 图图7-32 “挂起的证书请求挂起的证书请求”对话框对话框 图图7-33 “处理挂起的请求处理挂起的请求”对话框对话框（5）弹出图7-34所示的“SSL端口”对话框，在“此网站应该使用的SSL端口”文本框中输入SSL端口号，默认为443，一般无须更改。单击“下一步”按钮。

21、（6）弹出图7-35所示的“证书摘要”对话框，显示证书文件的详细信息，确认无误后单击“下一步”按钮。（7）弹出图7-36所示的证书向导完成界面，提示此服务器上已经成功安装证书，单击“完成”按钮。 图图7-34 “SSL端口端口”对话框对话框 图图7-35 “证书摘要证书摘要”对话框对话框图图7-36 7-36 成功安装成功安装WebWeb服务器证书服务器证书7. 在Web服务器上设置SSL（1）正常情况下，SSL已经被成功地设置到Web服务器。图7-37所示为启用SSL后的“默认网站属性”对话框的“目录安全性”选项卡，单击“安全通信”区域的“查看证书”按钮可以查看安装在Web服务器上的服务器证

22、书。如果没有安装证书，该按钮不能被激活。图图7-37 “7-37 “目录安全性目录安全性”选项卡选项卡（2）图7-38所示为启用SSL后的“默认网站属性”对话框“网站”选项卡，在“SSL端口”文本框中可以修改SSL端口设置。（3） 在图7-30所示对话框中单击“安全通信”区域的“编辑”按钮，弹出图7-39所示的“安全通信”对话框，可以对Web服务器和浏览器之间的通信进行进一步的设置。 图图7-38 启用启用SSL的的“网站网站”选项卡选项卡图图7-39 设置设置Web服务器的服务器的“安全通信安全通信”对话框对话框8. 浏览器的SSL配置Web服务器证书让客户机可以鉴别服务器的身份，如果服务器

23、也需要鉴别客户机的身份，那么需要在浏览器申请并安装数字证书。9. 申请浏览器数字证书（1）在浏览器中访问24/certsrv，出现证书服务页面，单击“申请一个证书”超链接，出现图7-40所示的页面，单击“Web浏览器证书”超链接。（2）出现图7-41所示的识别信息页面，在“姓名”、“电子邮件”、“公司”、“部门”、“市/县”、“省”和“国家”文本框中按照自己的实际情况设置，单击“提交”按钮。（3）成功提交浏览器数字证书申请后的页面如图7-42所示。 图图7-40 选择申请浏览器证书页面选择申请浏览器证书页面 图图7-41 申请浏览器证书的识别信息页面申请浏览

24、器证书的识别信息页面10. 颁发浏览器数字证书实例中管理员颁发的浏览器数字证书如图7-43所示。 图图7-42 成功提交浏览器证书申请页面成功提交浏览器证书申请页面 图图7-43 颁发的浏览器证书页面颁发的浏览器证书页面11. 获取及安装浏览器数字证书（1）访问24/certsrv，在出现的页面中单击“查看挂起的证书申请的状态”超链接，出现图7-44所示的页面，单击“Web浏览器证书”超链接。（2）出现图7-45所示的界面，单击“安装此证书”超链接将在浏览器上安装数字证书。 图图7-44 已经颁发的浏览器证书页面已经颁发的浏览器证书页面图图7-45 安装已经颁发的浏览器证书页面安装已经颁发的浏览器证书页面12. 浏览器数字证书的管理（1）在IE浏览器的菜单栏执行“工具” “Internet”命令，弹出“Internet选项”对话框，打开“内容”选项卡，单击“证书”按钮，如图7-47所示。（2）出现如图7-48所示的