第4章SET协议和SSL协议

目录第四章SET协议和SSL协议目录掌握SET协议的概念、参与方及目标，能够整体上掌握SET协议的基本原理；掌握SET协议中的认证技术、加密技术等；理解SET协议的安全性、复杂性及性能；掌握SSL协议的目标，理解SSL协议的安全性问题；掌握记录协议、握手协议的原理；了解SET协议与SSL协议的区别和联系。知识目标目录初步掌握SET协议和SSL协议的处理流程。技能目标目录第一节SET协议第一节SET协议（一）SET协议的概念SET（secureelectronictransaction）协议即安全电子传输协议，是由Visa、MasterCard以及其他一些业界的主流厂商经过多年研究于1997年提出的，一种旨在保证在开放网络环境下电子商务中的支付安全的网络安全协议。SET协议基于应用层，因此，它也是一种基于信息流的协议。目录第一节SET协议实际上，SET协议是一个十分复杂的网络协议，从宏观上讲，主要有以下几个特点。SET协议保证网络交易的安全、高效和准确SET协议的设计基于多种外部标准SET协议受到众多厂商、机构的支持SET协议为实现其功能，整合了多种网络安全技术目录第一节SET协议SET协议的设计基于多种外部标准（1）ASN.1（7）PKCS（9）TCP/IPTCP/IP又名网络通信协议（10）X-509标准是一种数字证书标准，由国际电信联盟（8）SHASHA又名单向杂凑函数（2）DER（6）MIME（4）HMAC（3）DEA（5）HTTP目录第一节SET协议SET协议为实现其功能，整合了多种网络安全技术目录第一节SET协议（二）SET协议的参与方网络商家持卡人收单银行认证中心支付网关发卡银行目录第一节SET协议（三）SET协议的目标解决多方认证问题保证信息在网络上的安全传输保证网上交易的实时性提供一个开放式的标准、规范协议和消息格式保证电子商务参与者信息的相互隔离12345目录第一节SET协议二、SET协议的相关技术（一）SET协议的认证技术SET协议的认证是通过第三方（认证中心）来实现的。所谓认证，就是对对方网络身份的鉴别，保证对方身份可信的过程。目录第一节SET协议1.数字证书支付网关证书商家证书收单行证书和发卡行证书持卡人证书目录第一节SET协议2.证书的管理结构（1）RCA（7）持卡人（9）支付网关（8）商家（2）BCA（6）PCA（4）CCA（3）GCA（5）MCA目录第一节SET协议2.证书的管理结构目录第一节SET协议3.证书的发行、更新和撤销（1）证书的发行（certificateissuance）。证书的发行有3种方式：Web方式（交互方式）Web方式（交互方式）离线方式（非交互方式）目录第一节SET协议Web方式的证书申请和发行。一般来说，该过程需要经历3个阶段：123持卡人申请证书的请求和应答过程持卡人申请登记表的请求和应答过程证书请求和生成过程目录第一节SET协议（2）证书的更新。证书经过一段时间的使用后便需要更新，这是由证书本身设定的失效期决定的。具体的更新周期由CA决定。目录第一节SET协议（3）证书的撤销。SET协议针对参与交易的不同对象，制定了具体的证书撤销程序。支付网关证书的撤销CA证书的撤销商家证书的撤销持卡人证书的撤销目录第一节SET协议（二）SET协议的加密技术数字信封和数字签名双重签名消息摘要目录第一节SET协议三、SET协议分析（一）SET协议的处理流程购买请求商家注册支付授权支付请款持卡人注册12345目录第一节SET协议（二）SET协议的复杂性分析由以上的内容可知，SET协议的交易是十分复杂的，需要验证证书9次、验证数字签名6次、传递证书7次、进行数字签名5次、对称加密4次、非对称加密4次。完成一个以SET协议为基础的交易过程需要一两分钟，有时需要更长的时间。此外，SET协议的证书格式也较为特殊，因为它是由Visa和MasterCard开发，并且按照信用卡支付方式来定义的。目录第一节SET协议（三）SET协议的安全性分析数据完整性数据完整性不可否认性机密性目录第一节SET协议（四）SET协议的性能分析SET协议的优点：（1）SET协议为商家提供了保护自己的手段，减少了其在正常的商业活动中受到的欺诈和骚扰。（2）SET协议使网络交易成为可能，大大降低了企业的运行成本和管理成本。目录第一节SET协议（3）SET协议保护了消费者的权益，保证了消费者的信息不被窃取，保证了交易者在整个交易过程中的安全。（4）SET协议将传统的商业活动带入了互联网，为商业活动开辟了一种新的交易模式，使其相对于传统的商贸活动更具有活力。（5）SET协议定义了特定的互操作接口，是一个可以由不同厂商的产品构筑的系统。目录第一节SET协议SET协议的不足：（1）SET协议的报文消息太过复杂。（2）SET协议涉及的参与者相对较多，参与方的工作量较大。（3）SET协议仅解决了支付信息的认证问题，而没有解决交易中证据的生成和保留问题。（4）SET协议中没有对交易过程和交易状态作出描述。目录第二节SSL协议一、SSL协议概述目录第二节SSL协议1.SSL协议的目标SSL协议的目标按照实现的先后顺序排列如下：建立安全的连接实现可操作性实现可扩展性目录第二节SSL协议2.SSL协议实现的功能用户和服务器的合法性认证加密数据以隐藏被传送的数据安全保护数据的完整性目录第二节SSL协议3.SSL协议与电子商务安全的关系SSL协议的运行前提是商家对客户信息保密。保密的信息既包括交易的信息，也包括客户个人信息或团体信息。在交易过程中，商家对客户的认证是必要的，但是整个过程还是缺乏客户对商家的认证，协议本身主要依赖于商家的可靠性。但随着电子商务参与厂商的不断增加，商家的信誉度往往会出现问题，这也暴露出了SSL协议的问题。所以，近几年开发的电子支付系统往往不以SSL协议为基础，而多数采用SET协议。可以说，SSL协议有被SET协议取代的趋势。目录第二节SSL协议二、SSL中的记录协议和握手协议（一）SSL记录协议SSL记录数据格式SSL记录协议的作用目录第二节SSL协议（二）SSL握手协议1.SSL握手协议的各个阶段接通阶段密钥交换阶段会话密钥生成阶段客户机认证阶段服务器证实阶段结束阶段目录第二节SSL协议2.握手报文CLIENT-HELLO报文CLIENT-FINISHED报文SERVER-HELLO报文CLIENT-MASTER-KEY报文目录第二节SSL协议3.SSL握手协议的作用SSL中的握手协议，将公钥加密技术与对称密钥加密技术的应用结合在一起，有机地组成了互联网（或其他网络）上信息安全传输的通道。通过SSL，客户端与服务器端可以互相传送自己的数字证书、互相验证合法性，这样既可以减少用户因虚假网站所造成的损失，又可以保护网站免受不良信息的影响。目录第二节SSL协议三、SSL协议的安全性分析SSL协议的安全性分析包括安全机制分析和脆弱性分析两种。安全机制分析脆弱性分析目录第二节SSL协议（一）安全机制分析完整性机制抗重放攻击加密机制鉴别机制目录第二节SSL协议（二）脆弱性分析SSL协议自身的缺陷SSL协议不规范引起的问题目录第二节SSL协议1.SSL协议自身的缺陷引起的问题（1）客户端假冒（2）SSL协议无法提供基于UDP应用的安全保护（3）SSL协议不能对抗通信流量分析（4）容易遭受基于公钥加密标准（PKCS）协议的自适应选择密文攻击（5）进程中的主密钥泄露（6）磁盘上的临时文件可能遭受攻击目录第二节SSL协议2.SSL协议不规范引起的问题对证书的攻击和窃取安全盲点中间人攻击IE浏览器的SSL身份鉴别缺陷目录第三节SET协议与SSL协议的比较一、SET协议和SSL协议的内容对比两个协议之间的区别有以下几点：（1）SET协议是一个多方的报文协议，定义了发卡银行、持卡人、收单银行和网络商家之间必须遵守的报文规范；SSL协议只是简单地在交易双方之间建立安全的连接。（2）SET协议允许各方之间的报文交换不是实时的；而SSL协议则是面向连接的，体现的是消息的实时交换。（3）SET报文能够在银行内部网或者其他网络上传播，而基于SSL协议的卡支付系统只能与Web浏览器捆绑在一起。目录第三节SET协议与SSL协议的比较目录第三节SET协议与SSL协议的比较目录第三节SET协议与SSL协议的比较二、SSL协议和SET协议的性能对比为了更好地体现两个协议在性能上的差异，下面从影响协议性能的两方面——客户计算机和电子商务服务器来进行对比。客户计算机电子商务服务器目录第三节SET协议与SSL协议的比较目录第三节SET协议与SSL协议的比较三、SET协议与SSL协议的费用对比（1）对于小型和中型电子商务应用，没有附加服务器费用来支持SET协议和SSL协议，在可预期的负载下，这些价格范围的服务器性能是足够的。（2）对于大型电子商务服务器应用，SET协议要求额外的硬件加速，其中中型的硬件加速设备占服务器费用的5%～6%。目录第三节SET协议与SSL协议的比较（3）对于小型支付网关的应用，SET协议和SSL协议都要求硬件加速，但是随着服务器性能的提高，以及其他处理能力的提高，如椭圆曲线密码体制（ECC），也可能不使用额外加速硬件。预计将来加速硬件将成为服务器的标准硬件配置。（4）大型支付网关的应用多采用双机Cluster系统，对于SET协议和SSL协议的费用主要是在双机Cluster系统上的投资，因为密码加速硬件的费用至少是单机的两倍。目录本章小结本章主要介绍了网络交易过程中的安全电子传输协议（SET）和安全套接层协议（SSL）的基本内容。安全电子传输协议（SET）安全套接层协议（SSL）目录综合训练1.什么是SET协议？2.SET协议的参与方有哪些？这些参与方各自的职能有哪些？3.简述消息摘要的原理。4.SET协议需要遵守的外部标准是什么？5.简述数字签名和数字信封的原理。6.什么是SSL协议？7.画出SSL协议所处的网络结构。8.简述记录协议和握手协议的原理。9.简述RSA技术发挥的功用在SET协议与SSL协议上的主要区别。目录实训设计模拟使用SET协议的交互实训一实训二查找SSL协议的最新动态目录