电子商务安全体系.ppt
- 文档编号:2647996
- 上传时间:2022-11-05
- 格式:PPT
- 页数:38
- 大小:4.48MB
电子商务安全体系.ppt
《电子商务安全体系.ppt》由会员分享,可在线阅读,更多相关《电子商务安全体系.ppt(38页珍藏版)》请在冰豆网上搜索。
电子商务安全协议安全套接层协议(SecureSocketLayer,简称SSL)是美国网景公司(Netscape)推出的一种安全通信通信协议其主要设计目标是在lnternet环境下提供端到端的安全连接。
它能使客户服务器应用之间的通信不被攻击者窃听。
SSL协议建立在可靠的传输层协议之上。
高层的应用层协议能透明的建立于SSL协议之上。
SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。
在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
SSL以对称密码技术和公开密码技术相结合!
可以实现如下三个通信目标
(1)机密性(客户机和服务器之间传送的数据都经过了加密处理!
网络中的非法窃听者所获取的信息都将是无意义的密文信息“
(2)完整性(利用密码算法和散列HASH:
函数!
通过对传输信息特征值的提取来保证信息的完整性!
确保要传输的信息全部到达目的地!
可以避免服务器和客户机之间的信息受到破坏“(3)认证性利用证书技术和可信的第三方认证!
可以让客户机和服务器相互识别对方的身份为了验证证书持有者是其合法用户!
而不是冒名用户!
SSL要求证书持有者在握手时相互交换数字证书!
通过验证来保证对方身份的合法性SSL安全协议的运行步骤
(1)接通阶段。
客户通过网络向服务商打招呼,服务商回应。
(2)密码交换阶段。
客户与服务商之间交换认可的密码。
一般选用RSA密码算法,也有的选用Diffe-Hellman和fortezza-KEA密码算法。
(3)会谈密码阶段。
客户与服务商间产生彼此交换会谈密码。
(4)检验阶段。
检验服务商取得的密码。
(5)客户认证阶段。
验证客户的可信度。
(6)结束阶段。
客户与服务商之间的相互交换结束的信息。
当上述动作完成之后,两者间的资料传送就会加以密码,等到另外一端收到资料后,再将编码后的资料还原。
即使盗窃者在网络上取得编码后的资料,如果没有原先编制的密码算法,也不能获得可读的有用资料。
Ssl协议的工作流程SSL握手协议用于建立私密通信信道和客户认证。
SSL协议分为两部分SSL握手协议和SSL记录协议握手协议用来协商密钥!
协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。
SSL记录协议则定义了传输的格式。
SSL两种加密方式在建立连接过程中采用公开密钥;在会话过程中采用了专有密钥。
SSL协议提供的服务用户和服务器的合法性认证;加密数据以隐藏被传输的数据;维护数据完整性SSL握手协议流程图客户端和服务器开始通信时!
先协商协议版本!
选择密码算法及可选的相互认证!
使用公钥加密产生共享密钥!
其过程如下:
(1)客户向服务器发送ClientHello消息!
服务器以ServerHello消息应答.
(2)然后服务器发送自己的证书!
(Certificate消息“)!
同时发送自己的公钥severkeyexchange消息).如果它需要验证客户的身份!
将发送Certificaterequest消息.(3)服务器发送ServerHelloDone消息!
表示握手的第一阶段已完成!
服务器将等待客户的应答.(4)如果接收到Certificaterequest消息!
客户端将发送Certificate(或者noCertificate消息)。
客户创建一个叫做pre-master-secret的随机数!
用服务器的公钥加密!
发送给服务器。
如果客户以发送Certificate消息,将用自己的私钥作一数字签名!
发送给服务器消息,以此证明自己是证书的真正拥有者。
(5)客户端发送changecipherspec和finished消息应答,表示握手过程结束.在握手协议的任意步骤,如果协商结果不符合自己的要求!
通信的任一方均可终止握手进程,握手完成后,客户端和服务器可以开始交换数据.基于SSL的银行卡支付过程示意持卡人商户服务器支付平台收单银行发卡银行金融网络订单信息支付转接、确认基于SSL的支付过程:
卡号、密码、金额,确认信息进入银行业务服务器前提示安全通道消息验证银行服务器站点的数字证书以加密https方式进入工行灵通卡网络支付页面SSL提交支付前信息确认检查网络即时支付成功。
顾客方支付完毕支付完后离开https连接Step21:
商家收到银行转拨的货款后发来的收款确认EmailStep22:
顾客上网按订单号查询订单处理状态。
购物完毕,购物完毕,等收货等收货返回Sslvpn的应用从概念角度来说,SSLVPN即指采用SSL(SecuritySocketLayer)协议来实现远程接入的一种新型VPN技术。
SSL通过简单易用的方法实现信息远程连通。
任何安装浏览器的机器都可以使用SSLVPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件。
这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。
人们普遍认为它将成为安全远程访问的新生代。
SSLVPN对访问控制更加有效,因为实施了用户集中化管理。
所有的远程访问都是通过SSLVPN控制台进行控管,这样可以更加有效的监控用户使用权限,这些用户可能是公司内部员工,合作伙伴或客户。
所有访问被限制在应用层,而且可以将权限细分到一个URL或一个文件。
SSL协议是基于WEB应用的安全协议,它包括:
服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。
对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。
目前SSL协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。
正因为SSL协议被内置于IE等浏览器中,使用SSL协议进行认证和数据加密的SSLVPN就可以免于安装客户端。
相对于传统的IPSECVPN而言,SSLVPN具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。
SSLVPN的优势l、零客户端浏览器内嵌了SSL协议,所以预先安装了Web浏览器的客户机可以随时作为SSLVPN的客户端.2、安全性于SSLVPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。
因此通过SSLVPN连接,受外界病毒感染的可能性大大减小。
3、访问控制SSLVPN重点在于保护具体的敏感数据,比如ssLVPN可以根据用户的不同身份,给予不同的访问权限。
4、经济性使用ssLVPN具有很好的经济性,因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入。
安全电子交易协议(SET)安全电子交易协议(SecureElectronicTransaction简称SET)是美国Visa和MasterCard两大信用卡组织联合于1997年5月31日推l出的电子交易行业规范其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范目的是为了保证网络交易的安全。
SET本身并不是一个支付系统,而是一个安全协议集SET规范保证了用户可以安全地在诸如Internet这样的开放网络上应用现有的信用卡支付设施来完成交易。
SET较好地解决了信用卡在电子商务交易中的安全问题。
SET已获得IETFTheInternetEngineeringTaskForce,简称IETF)标准的认可。
1996年2月1日,MasterCard与Visa两大国际信用卡组织会同一些计算机供应商,共同开发了安全电子交易协议(SecureElectronicTransaction),简称SET协议。
SET是一种应用于因特网环境下,以信用卡为基础的安全电子支付协议,它给出了一套电子交易的过程规范。
可以实现电子商务交易中的加密、认证机制、密钥管理机制等,保证在开放网络上使用信用卡进行在线购物的安全SET协议要达到五个主要目标:
协议要达到五个主要目标:
保证电子商务参与者信息的相互隔离保证信息在Internet上安全传输,防止数据被黑客和内部人员窃取解决多方认证问题保证网上交易的实时性,使所有的支付过程都是在线的规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
SET特点1机密性SET协议使用对称和非对称两种加密技术来保证数据的机密性。
但SET协议采用双重签名技术来保证消费者机密信息对商家进行保密.2不可否认性SET协议使用数字签名来保证交易行为的不可否认性。
3身份认证SET协议使用证书和数字签名对消息来源进行身份认证。
每个参与者都使用两个非对称密钥对需要拥有两个由证书颁发机构同时产生和签署的证书。
4复杂性大量证书交换与大量的数字签名过程,从而使在线交易时间大大增加,降低了交易效率提高部署成本。
S-HTTP安全的超文本传输协议S-HTTP是对HTTP扩充安全特性、增加了报文的安全性,它是基于SSL技术的。
该协议向WWW的应用提供完整性、鉴别性、不可抵赖性及机密性等安全措施。
安全HTTP(S-HTTP)是HTTP的扩展,它提供了多种安全功能,包括客户机与服务器认证、加密、请求/响应的不可否认等。
S-HTTP用密钥对来加密,以保证WEB站点间的交换信息传输的安全性。
也就是说,S-HTTP支持超文本传输协议(HTTP),为web文档提供安全和鉴别,保证数据的安全。
如果主页的URL为HTTPS:
/开始,说明该页遵循安全超文本传输协议。
安全电子交易协议应用:
SET要达到的最主要的目标是:
(1)订单和个人账号信息在Internet上安全传输,保证网上传输的数据不被黑客窃取。
(2)订单信息和个人账号信息的隔离。
在将包括持卡人账号信息的订单送到卖方时,商家只能看到订货信息,而看不到持卡人的账户信息。
(1)持卡人或消费者。
在电子商务环境中,消费者和团体购买者通过计算机与卖方交流,持卡人通过由发卡机构颁发的付款卡(例如信用卡、借记卡)进行结算。
在持卡人和卖方的会话中,SET可以保证持卡人的个人账号信息不被泄漏。
(2)发卡机构。
它是一个金融机构,为每一个建立了账户的顾客颁发付款卡。
发卡机构根据不同品牌卡的规定和政策,保证对每一笔认证交易的付款。
(3)卖方。
提供商品或服务,使用SET就可以保证持卡人个人信息的安全。
接受卡支付的卖方必须和银行有关系。
(4)银行(收单行)。
在线交易的卖方在银行开立账号,并且处理支付卡的认证和支付(5)支付网关。
是由银行操作的将Internet上的传输数据转换为金融机构内部数据的设备,或由指派的第三方处理卖方支付信息和顾客的支付指令。
一般是几个商家和几个银行共用一个支付网关。
(6)认证机构(CA)。
负责管理电子证书的认证。
SET使用的安全技术有对称密钥系统、公钥系统、消息摘要、数字签名、数字信封、双重签名、认证等技术。
前面已介绍过对称密钥系统、公钥系统、消息摘要、数字签名,下面介绍数字信封、双重签名和认证等。
在SET中,最主要的证书是持卡人证书、支付网关证书和商家证书。
其他还有银行证书、发卡机构证书。
商家、银行、发卡机构统称为商户。
SET交易参与各方认证中心Internet金融网络持卡人商户收单银行发卡银行支付网关SET购物流程支付支付网关网关持持卡卡人人商商户户收收单单银银行行认证中心认证中心发卡银行发卡银行协商协商订单订单确认确认审核审核确认确认审核审核批准批准认证认证认证认证认证认证SET的付款过程持卡人发送给商家一个完整的订单及要求付款的指令,在SET中,订单和付款指令由持卡人进行数字签名,同时利用双重签名技术保证商家看不到持卡人的账号信息。
商家接受订单后,向持卡人的金融机构请求支付认可,通过Gateway到银行,再到发卡机构确认,批准交易,然后返回确认信息给商家。
商家发送订单确认信息给顾客,顾客端软件可记录交易日志,以备将来查询。
商家给顾客装运货物,或完成订购的服务,到此为止,一个购买过程已经结束,商家可以立即请求银行将钱从购物者的账号转移到商家账号,也可以等到某一时间,请求成批
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全 体系