第四章第四部分_电子商务的安全服务协议

第4章电子商务的安全服务协议本节内容•5.1Set（安全电子传输）协议•5.2SSL（安全套接字层）协议5.1Set（安全电子传输）协议•5.1.1set简介•5.1.2set要实现的目标•5.1.3set交易的参与方•5.1.4set采用的加密和认证技术•5.1.5set协议处理的流程•5.1.6set协议实际的使用情况5.1.1set简介•Set协议是visa和mastercard（国际性用卡组织）以及一些其他的金融业内组织联合发布的。该协议作为一个应用层协议，用于保护在网上使用信用卡交易的安全，是完全专用的安全协议。•Set协议主要确保了网络上使用信用卡交易所要求安全的保密特性、数据完整性、交易不可否认性、交易双方的身份认证，所使用的技术几乎涵盖了已知的所有安全技术，如加密算法、安全认证、数字证书、hash函数等。5.1.2set要实现的目标•Set作为一个基于可信第三方认证中心（CA）方案，主要实现一下目的：1.保证参与者信息的隔离，即商家看不到持卡人的账号密码，银行看不到持卡人的所购物品。2.保证信息在网络上传输的安全，任何一方都不能轻易窃取持卡人的信息，包括银行。3.解决对所有参与者身份认证的问题。4.交易过程在线完成。5.提供极佳的兼容性，以便能够让使用set的软件可以运行在不同的硬软件平台上。5.1.3set交易的参与方1.持卡人2.发卡机构3.商家4.收单银行5.支付网关6.数字证书认证中心5.1.4set采用的加密和认证技术•Hash函数负责保证数据完整性，目前使用SHA-1，160位长度。•对称密钥算法负责加密传送的消息和hash值，目前使用3DES，初始密钥由信息发送方随机生成。•非对称密钥算法负责使用对方的公钥加密对称密钥，保证对称密钥的保密性，目前使用数字证书保证（数字证书使用1024或2048位RSA）算法。•采用双向双重数字签名保证相互不能获取用户全部信息。关于双向签名商家银行订购信息A支付命令B将Ahash得到A1Hash订购信息A将Bhash得到B1Hash订购信息A将A1加密传给银行将B1加密传给商家商家拥有A1+B1银行拥有A1+B1持卡人将Ahash为A1将Bhash为B1拥有的A1+B1与接收的A1+B1对比拥有的A1+B1与接收的A1+B1对比如一致，则说明银行的支付指令和商户的订购信息来自同一个持卡人的同一笔交易，且由于B1和A1只是支付指令和订购信息的hash值，商户无法知道B1原来的内容，同样银行也无法知道A1原来的内容，所有传递过程均加密。关于认证•认证工作由CA签发的数字证书完成，其中有：•持卡人证书•商家证书•支付网关证书•收单银行证书•发卡行证书•CA的根证书5.1.5set协议处理的流程Set处理流程的统计数据•完成一次set交易所需要的各种技术数据统计：•验证电子证书9次•验证数字签名6次•传递证书7次•进行签名5次•4次对称加密和非对称加密•良好网速情况下所需时间：平均2分钟5.1.6set协议实际的使用情况•高安全，低效率，高开销和用户操作困难使得set协议在目前全世界特别是信用卡和计算机普及率不高的国家难以开展，既是在发达国家这种情况也很严重，所以使set基本上名存实亡了。5.2安全套接字层SSL协议•5.2.1SSL概述•5.2.2SSL的功能和实现目标•5.2.3SSL的工作原理•5.2.4SSL的握手和记录协议•5.2.5SSL使用的加密认证算法•5.2.6SSL的缺陷5.2.1SSL概述•SSL是美国网景公司于1994年推出的一种安全通信协议,除用于保障浏览器和web服务器之间的通信安全,还可以保障应用层的其他协议,目前该协议已经成为流行的保密通信工业标准,OSI体系基于SSL制定了相对应的TLS协议,两者差别很小,故SSL已经成了不争的应用层加密标准了，当前使用的均为３.0版本．5.2.2SSL的功能和实现目标•功能：•１．建立在基于信任的第三方上实现用户身份的合法性认证•２．实现数据通信的加密传输，防止窃听•３．实现数据的完整性保护，防止篡改•４．实现数字签名，防止抵赖•实现目标：保证浏览器与web服务器之间通信的安全，用https协议来实现ssl功能（现在已经可以保证应用层协议通信的安全)SSL协议所处的位置应用层协议SSL协议TCP协议IP协议5.2.3SSL的工作原理1.双方使用数字证书验证对方身份（非必须），同时协商会话密钥，而证书中的公钥用于加密该会话密钥，保证其安全．2.各方应用程序将数据交给本地SSL通信模块．3.本地SSL通信模块根据需要，指定压缩算法，压缩数据．4.使用协商好的hash函数对压缩后的数据进行散列．5.将压缩数据和散列数据一同使用会话密钥加密发送．6.接收方使用同样的会话密钥解密数据，取出压缩数据和散列值．7.接收方使用相同的hash函数对解密出的压缩数据散列，得出散列值并与接收到的散列值对比，验证其有效性．8.如果有效，则使用对应的压缩算法解压缩出用户数据，并递交给相应程序处理；如数据无效，则丢弃数据，发出警报．5.2.4SSL的握手和记录协议•握手协议功能•记录协议功能握手协议功能•握手协议产生的数据被封装在记录协议中，该协议主要完成服务器与客户机之间在传送数据之前的相互认证、协商密钥、协商加密算法等工作，并建立SSL连接。记录协议功能•记录协议主要工作就是传输数据，他为SSL提供了2种重要服务：机密服务和报文完整性服务。用户数据123分段≤214压缩散列并增加散列值加密增加SSL包头完整性服务加密服务和防重放攻击服务压缩服务5.2.5SSL使用的加密认证算法•身份认证：由数字证书中的RSA算法完成，即使用基于非对称密钥身份认证方式•数据加密：可协商使用RC2、RC4、DES、3DES、IDEA。•完整性校验：MD5和SHA-15.2.6SSL的缺陷1.不强制验证客户身份，存在客户假冒问题（双向认证不存在，但是很麻烦）。2.只能保护基于TCP协议的应用协议。3.不能对抗通信流量分析，由于没有对IP包和TCP包加密，导致可以分析出数据的来源和去向，还可以根据TCP端口好分析可能是什么应用，但这个缺点也有一个优点，就是和NAT兼容性极佳。4.不规范应用会导致其脆弱。5.可以伪造极为相似的证书进行欺骗,特别是服务器身份验证。6.浏览器普遍加密的强度不高，目前最高的也只有128位加密（从这点可以推断出SSL一般不使用DES）5.3set与SSL的对比•Set协议是面向金融领域信用卡应用的专用协议，该协议突出的是安全性，但是高安全性带来的是易用性极差，并且不支持其他应用。•SSL是面向浏览器和web服务器的，该协议的安全性不如set那么高，但是其极佳的应用性带来了广泛的应用，其具有的一些缺陷也在第三方的技术支持下得以解决，同时已经开始支持大多数主流的应用，特别是在B/S为主流的今天。