1、第 五 章 电 子 支 付 安 全 协 议电子商务安全与支付第第五五章章 电子支付安全协议电子支付安全协议本章导入 电子商务网站多如牛毛,电子支付手段也不止一种。近日,小张同学在当当网购买了一本电子商务安全技术的教材,小张同学选择好图书并且下了订单,订单信息会即时发送给卖家,然后小张利用中国建设银行信用卡进行网上实时支付,订单信息连同结算信息一起发送给银行,依赖银行对交易进行认可。银行证实买卖双方的身份和消息的完整性,银行打开结算信息,证实结算的金额是这笔交易的金额,是付给指定的卖家的。银行还会检查小张同学的信用额度,保证交易可以进行,并准许卖家将交易进行下去。卖家然后将小张同学订购的图书邮寄
2、给他。在这一电子交易的过程中,如何确保小张同学付款资料的隐秘性及完整性?对持卡人、特约商店、收单银行怎么认证,如何保证电子交易的安全?不同厂商开发的应用程序、不同的银行卡在现存各种标准下应构建什么协议,允许在任何软硬件平台上执行,使标准达到相容性与接受性目标?第三节 SSL协议与SET协议的比较比较比较目录第二节 安全电子交易SET协议分析及应用CONTENTS第一节 安全套接层SSL协议分析及应用第第五五章章 电子支付安全协议电子支付安全协议 熟悉SSL协议的作用和主要组成。熟悉SSL协议的工作原理。知识目标 能够申请和应用SSL证书。技能目标第第五五章章 电子支付安全协议电子支付安全协议第
3、一节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用 安全套接层(Secure Sockets Layer,SSL)协议最先是由著名的Netscape公司开发的,现在被广泛用于互联网上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。制定SSL协议的宗旨是为通信双方提供安全可靠的通信协议服务,在通信双方间建立一个传输层安全通道。SSL协议使用对称加密来保证通信保密性,使用消息认证码(MAC)来保证数据完整性。SSL协议主要使用PKI在建立连接时对通信双方进行身份认证。一 SSL协议概述第第五五章章 电子支付安全协议电子支付安全协议第一节安全套接层安全套接层SSLSSL协议分
4、析及应用协议分析及应用 SSL是提供互联网上的通信隐私性的安全协议。该协议允许客户端和服务器应用之间进行防窃听、防消息篡改及防消息伪造的安全的通信。TCP/IP是整个互联网数据传输和通信所使用的最基本的控制协议,在它之上还有HTTP(Hypertext Transfer Protocol)、LDAP(Lightweight Directory Access Protoco1)、IMAP(Internet Messaging Access Protocol)等应用层传输协议。而SSL是位于TCP/IP和各种应用层协议之间的一种数据安全协议。二SSL协议的作用第第五五章章 电子支付安全协议电子支付
5、安全协议第一节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用 (1)客户对服务器的身份确认:SSL服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心(CA)的证书,来确认服务器的合法性(检验服务器的证书和ID的合法性)。对于客户,服务器身份的确认是非常重要的,因为客户可能向服务器发送自己的信用卡密码。(2)服务器对客户的身份确认:允许SSL服务器确认客户的身份,SSL协议允许服务器的软件通过公钥技术和可信赖的证书来确认客户的身份(客户的证书)。对于服务而言,器客户身份的确认是非常重要的,因为网上银行可能要向客户发送机密的金融信息。(3)建立起服务器和客户之间安全的数
6、据通道:SSL要求客户和服务器之间所有的发送数据都被发送端加密,所有的接收数据都被接收端解密,这样才能提供一个高水平的安全保证。同时SSL协议会在传输过程中检查数据是否被中途修改。二SSL协议的作用第第五五章章 电子支付安全协议电子支付安全协议(1)连接性在通信双方之间利用加密的SSL消息建立安全的连接。(2)互操作性通信双方的程序是独立的,即一方可以在不知道对方程序编码的情况下,利用SSL成功地交换加密参数。(3)可扩展性SSL寻求提供一种框架结构,在此框架结构中,在不对协议进行大的修改的情况下,可以在必要时加入新的公钥算法和单钥算法。第一节安全套接层安全套接层SSLSSL协议分析及应用协议
7、分析及应用三SSL协议的目标第第五五章章 电子支付安全协议电子支付安全协议nSSL协议由两层组成,分别是握手协议层和记录协议层。握手协议建立在记录协议之上,此外,还有警告协议、更改密码说明协议和应用数据协议等对话协议和管理提供支持的子协议。第一节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用四SSL主要组成第第五五章章 电子支付安全协议电子支付安全协议 1.记录协议 具体实现压缩/解压缩、加密/解密、计算机MAC等与安全有关的操作。建立在其上的还有:更改密码说明协议:此协议由一条消息组成,可由客户端或服务器发送,通知接收方后面的记录将被新协商的密码说明和密钥保护;接收方获得此消息
8、后,立即指示记录层把即将读状态变成当前读状态;发送方发送此消息后,应立即指示记录层把即将写状态变成当前写状态。第一节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用四SSL主要组成第第五五章章 电子支付安全协议电子支付安全协议 2.握手协议 SSL握手协议是用来在客户端和服务器端传输应用数据而建立的安全通信机制。算法协商:首次通信时,双方通过握手协议协商密钥加密算法、数据加密算法和文摘算法。身份验证:在密钥协商完成后,客户端与服务器端通过证书互相验证对方的身份。确定密钥:最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户端和服务器端各自根据这个秘密信息确定数据加密算法
9、的参数(一般是密钥)。由此可见,SSL协议是端对端的通信安全协议。第一节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用四SSL主要组成第第五五章章 电子支付安全协议电子支付安全协议n SSL的工作原理:当一个使用者在Web上用Netscape浏览器漫游时,浏览器利用HTTP协议与Web服务器沟通。例如,浏览器发出一个HTTP GET命令给服务器,想下载一个首页的HTML档案,而服务器会将档案的内容传送给浏览器来响应。这个命令的文字和HTML档案的文字会通过会话层(Socket)的连接来传送,Socket使两台远程的计算机能利用互联网来通话。SSL工作在Socket层上,通过SSL
10、,资料在传送出去之前就自动被加密了,它会在接收端被解密。对没有解密钥的人来说,其中的资料是无法阅读的。第一节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用五SSL的工作原理第第五五章章 电子支付安全协议电子支付安全协议 为了支持客户机,每个客户机都要拥有一对密钥,这要求在互联网上通过Netscape分配。由于互联网中的服务器数远少于客户机数,因此能否处理签字及密钥管理的业务量是很重要的。第一节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用五SSL的工作原理第第五五章章 电子支付安全协议电子支付安全协议 SSL协议所采用的加密算法和认证算法使它具有较高的安全性,但也存
11、在一些问题。1.SSL协议采用的加密算法和认证算法(1)加密算法和会话密钥(2)认证算法 2.SSL安全优势(1)监听和中间人式攻击(2)流量数据分析式攻击(3)截取再拼接式攻击(4)报文重发式攻击 第一节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用六SSL协议的安全性分析第第五五章章 电子支付安全协议电子支付安全协议 3.SSL协议存在的问题(1)密钥管理问题(2)加密强度问题(3)数字签名问题第一节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用六SSL协议的安全性分析第三节 SSL协议与SET协议的比较比较目录 第二节 安全电子交易SET协议分析及应用CONT
12、ENTS第一节 安全套接层SSL协议分析及应用第第五五章章 电子支付安全协议电子支付安全协议 了解SET协议的参与方。熟悉SET协议的特征和主要目标。掌握SET协议的交易流程。知识目标 能够申请和应用SET证书。技能目标第第五五章章 电子支付安全协议电子支付安全协议 SET协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。SET协议的重点是确保商户和消费者的身份及行为的认证和不可抵赖性,其理论基础是著名的不可否认机制(non-repudiation),其采用的核心技术包括:电子证书标准与数字签名、
13、报文摘要、数字信封、双重签名等。SET协议使用数字证书对交易各方的合法性进行验证,使用数字签名技术确保数据完整性和不可否认。SET协议还使用双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名,使得商户看不到支付信息,只能对用户的订单信息解密,而金融机构看不到交易内容,只能对支付和账户信息解密,从而充分地保证了消费者的账户和订购信息的安全性。第二节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用一、SET协议概述第第五五章章 电子支付安全协议电子支付安全协议n SET交易的参与方主要包括持卡人、商户、支付网关、认证机构等方面第二节安全套接层安全套接层SSLSSL协议分析
14、及应用协议分析及应用二、SET交易参与方第第五五章章 电子支付安全协议电子支付安全协议 1.信息的机密性 结算卡账户和结算信息在网络上传输时必须得到安全措施的保护,防止结算卡号码和截止日期被未经授权的人截获。SET利用加密来保证其保密性。2.数据的完整性 SET协议确保消息的内容在生成者和接收者之间传输时,没有被人篡改。消费者发给卖方的结算信息包括订单信息、个人数据及结算指令,如果任何信息在传送中被篡改,交易将无法正确地进行。第二节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用三SET的特征第第五五章章 电子支付安全协议电子支付安全协议 3.消费者账户认证 卖方需要证明消费者是某
15、个有效账户号码的合法使用者。数字签名和数字证书提供了一种将消费者与特定账户号码相连接的机制,以此来实现对消费者账户的认证。4.卖方认证 SET协议可以帮助消费者证实卖方与某个金融机构的关系使其能够接受银行卡结算。SET协议利用数字签名和卖方证书实现卖方认证。5.互可操作性 SET协议能在各种软、硬件平台上使用。使用适当软件的消费者都可与符合规定标准的卖方软件进行通信。SET协议利用标准的协议和信息格式来实现互操作性。第二节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用三SET的特征第第五五章章 电子支付安全协议电子支付安全协议(1)防止数据被非法用户窃取,保证信息在互联网上安全传
16、输。(2)SET协议中使用了一种双签名技术保证电子商务参与者信息的相互隔离。客户的资料加密后通过商家到达银行,但是商家不能看到客户的账户和密码信息。(3)解决多方认证问题。不仅对客户的信用卡认证,而且要对在线商家认证,实现客户、商家和银行间的相互认证。(4)保证网上交易的实时性,使所有的支付过程都是在线的。(5)提供一个开放式的标准,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能。可在不同的软硬件平台上执行并被全球广泛接受。第二节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用四SET协议的主要目标第第五五章章 电子支付安全协议电子支付安全协议nSET协议交易过程
17、中要对商家、客户,支付网关等交易各方进行身份认证,因此它的交易过程相对复杂。第二节安全套接层安全套接层SSLSSL协议分析及应用协议分析及应用五SET协议交易流程第三节 SSL协议与SET协议的比较目录第二节 安全电子交易SET协议分析及应用CONTENTS第一节 安全套接层SSL协议分析及应用第第五五章章 电子支付安全协议电子支付安全协议 掌握SSL与SET协议的区别。知识目标 能够区分应用SSL与SET协议。技能目标第第五五章章 电子支付安全协议电子支付安全协议n 随着互联网的不断普及,基于互联网的电子商务得到了长足的发展,并且逐渐成为人们进行商务活动的一种新模式。它不但为全球客户提供了丰
18、富的商务信息而且还提供便捷的交易过程和廉价的交易成本。但是,在开放的网络上进行交易如何保证传输数据的安全性已成为电子商务发展中迫切需要解决的问题。第三节SSLSSL协议与协议与SETSET协议的协议的比较比较一SSL协议与SET协议第第五五章章 电子支付安全协议电子支付安全协议 1.SSL协议的服务内容 (1)用户和服务器的合法性认证。(2)加密数据以隐藏被传送的数据。(3)保护数据的完整性。第三节SSLSSL协议与协议与SETSET协议的协议的比较比较二SSL与SET协议的服务内容第第五五章章 电子支付安全协议电子支付安全协议 2.SET协议的服务内容 (1)保证客户交易信息的保密性和完整性
19、。(2)确保商家和客户交易行为的不可否认性。(3)确保商家和客户的合法性。第三节SSLSSL协议与协议与SETSET协议的协议的比较比较二SSL与SET协议的服务内容第第五五章章 电子支付安全协议电子支付安全协议SSL和SET是当前在电子商务中应用最为广泛的安全协议两者的差别主要体现在以下几个方面。第三节SSLSSL协议与协议与SETSET协议的协议的比较比较三SSL与SET协议的比较本章总结 本章介绍了电子商务安全交易的协议SSL协议与SET协议的服务内容、工作流程等,并对两种协议进行了对比分析。SSL协议与SET协议是保证电子商务交易安全的有效标准,SSL协议主要用于提高应用程序之间数据的安全性。SET协议用于支持使用信用卡进行交易的在线电子支付。思考题1.SSL协议提供的服务内容有哪些?2.SET协议提供的服务内容有哪些?3.简述SET的交易流程。课后训练1利用Microsoft IIS Web Server申请SSL、SET证书。2比较SSL协议与SET协议,并进行分析。THANKS