网络和信息安全第8章-Web安全-精选课件.ppt

1、12第第8章章 Web安全安全本章主要内容：本章主要内容：8.1 Web安全概述安全概述 8.2 安全套接字层（安全套接字层（SSL）和传输层安全（）和传输层安全（TLS）8.3 SSL/TLS在在Web中的应用中的应用 8.4 安全电子交易（安全电子交易（SET）38.1 Web安全概述安全概述8.1.1 Web面临的安全威胁8.1.2 Web安全的实现方法48.1.1 Web面临的安全威胁面临的安全威胁l Web是一个运行于是一个运行于internet和和TCP/IP intranet 之上的基本的之上的基本的client/server应用。应用。l Web安全性涉及前面讨论的所有计算机与

2、网络的安全性内容。安全性涉及前面讨论的所有计算机与网络的安全性内容。同时还具有新的挑战。同时还具有新的挑战。uWeb具有双向性，具有双向性，Web server易于遭受来自易于遭受来自Internet的攻击。的攻击。（传统出版系统为单向，包括电子出版系统图文电视、语音（传统出版系统为单向，包括电子出版系统图文电视、语音应答、传真应答系统）应答、传真应答系统）u实现实现Web浏览、配置管理、内容发布等功能的软件异常复杂。浏览、配置管理、内容发布等功能的软件异常复杂。其中隐藏许多潜在的安全隐患。短短的其中隐藏许多潜在的安全隐患。短短的Web发展历史已经说发展历史已经说明了这一点。明了这一点。uWe

3、b通常是一个公司或机构的发布板，常常和其它计算机联通常是一个公司或机构的发布板，常常和其它计算机联系在一起。一旦系在一起。一旦Web server被攻破，可能殃及其它。被攻破，可能殃及其它。u用户往往是偶然的和未经训练的，对安全风险没有意识，更用户往往是偶然的和未经训练的，对安全风险没有意识，更没有足够的防范工具和知识。没有足够的防范工具和知识。58.1.1 Web面临的安全威胁面临的安全威胁 l Web安全威胁分类安全威胁分类u被动攻击和主动攻击被动攻击和主动攻击p被动攻击包括监听浏览器和服务器之间的数据流，被动攻击包括监听浏览器和服务器之间的数据流，以及对以及对Web站点的施加了访问控制措

4、施的信息的未站点的施加了访问控制措施的信息的未授权访问。授权访问。p主动攻击包括对其他用户的冒充、修改客户服务器主动攻击包括对其他用户的冒充、修改客户服务器之间传递的消息，以及修改之间传递的消息，以及修改Web站点的信息等。站点的信息等。u两种攻击方法是互补的，被动攻击难以检测但相对容两种攻击方法是互补的，被动攻击难以检测但相对容易预防，而主动攻击难以预防但相对容易检测。易预防，而主动攻击难以预防但相对容易检测。68.1.1 Web面临的安全威胁面临的安全威胁 l Web面临的安全威胁与对策面临的安全威胁与对策 威威 胁胁 后后 果果解决措施解决措施完整性完整性修改用户数据特洛伊木马修改内存修

5、改传输中的消息信息丢失危及服务器安全对各种攻击变得脆弱加密校验和签名机密性机密性网络上的窃听窃取服务器信息窃取客户数据网络配置信息窃取客户与服务器的会话信息信息丢失隐私泄密加密Web代理拒绝服务攻击拒绝服务攻击中断用户连接对服务器进行泛洪攻击耗尽磁盘或内存空间攻击DNS服务器网络瘫痪骚扰用户阻止用户完成正常工作难以防御认证认证冒充合法用户数据伪造出现假冒用户误信虚假信息加密技术Web威胁的比较 78.1.2 Web安全的实现方法安全的实现方法 保证保证Web应用安全首先需要保证服务器系统和客户工作站计算机系统的安全，应用安全首先需要保证服务器系统和客户工作站计算机系统的安全，因为系统安全是整个

6、应用安全性保障的基础因为系统安全是整个应用安全性保障的基础。在此基础上，Web应用的安全实现主要依赖于应用协议的安全性和网络通信的安全性。应用协议的安全性在协议的设计和实现中体现。网络通信的安全性需要依靠一些安全通信协议和机制来保护网络中的通信流量。安全协议是附加在TCP/IP协议中的一系列安全机制。从TCP/IP协议栈的角度，Web安全的实现方法分为3种：基于网络层、基于传输层和基于应用层。1网络层网络层HTTPSMTPFTPTCPIP/IPSec 基于网络层实现Web安全88.1.2 Web安全的实现方法安全的实现方法2传输层传输层基于传输层实现Web安全HTTPSMTPFTPSSL 或

7、TLSTCPIP98.1.2 Web安全的实现方法安全的实现方法3应用层应用层基于应用层实现Web安全 108.2 安全套接字层和传输层安全安全套接字层和传输层安全8.2.1 SSL概述 8.2.2 SSL体系结构8.2.3 SSL记录协议8.2.4 更改加密规格协议8.2.5 报警协议8.2.6 握手协议 8.2.7 主密钥计算8.2.8 传输层安全（TLS）118.2.1 SSL概述概述 l 1994年，Netscape公司开发了SSL协议，用于保证Web通信协议的安全。uSSL v1：没有被真正应用。：没有被真正应用。uSSL v2：第一个成熟版本，被集成到：第一个成熟版本，被集成到Ne

8、tscape的因特网的因特网相关产品中。相关产品中。uSSL v3：2019年发布，事实上的工业标准，该版本增年发布，事实上的工业标准，该版本增加了对除加了对除RSA算法以外的其他算法的支持和一些新的算法以外的其他算法的支持和一些新的安全特性，并且修改了前一个版本中存在的安全缺陷。安全特性，并且修改了前一个版本中存在的安全缺陷。l Microsft公司在SSL v2之上作了一些改进，提出了一种类似的协议PCT（Private Communication Technology）。128.2.2 SSL体系结构体系结构l SSL包含两层协议：一种底层协议，即SSL记录协议；三种上层协议，即SSL握

9、手协议、SSL更改密码规格协议和SSL报警协议。l SSL记录协议为不同的上层协议提供基本的安全服务。SSL特有的三种高层协议主要用于管理SSL的密钥交换。SSL握手协议SSL更改密码规格协议SSL报警协议HTTPSSL记录协议TCPIPSSL协议栈 138.2.2 SSL体系结构体系结构uSSL会话：SSL会话是客户和服务器之间的一种关联，会话是通会话是客户和服务器之间的一种关联，会话是通过握手协议来创建的，会话定义了一个密码学意义的安全参数集过握手协议来创建的，会话定义了一个密码学意义的安全参数集合，这些参数可以在多个连接中共享，从而避免每建立一个连接合，这些参数可以在多个连接中共享，从而

10、避免每建立一个连接都要进行的代价昂贵的重复协商都要进行的代价昂贵的重复协商u会话状态分为两种：会话状态分为两种：u待决状态：包含了当前握手协议协商好的压缩、加密和待决状态：包含了当前握手协议协商好的压缩、加密和MAC算算法，以及加解密的密钥等参数。法，以及加解密的密钥等参数。u当前操作状态，包含了当前当前操作状态，包含了当前SSL记录协议正在使用的压缩、加密记录协议正在使用的压缩、加密和和MAC算法，以及加解密的密钥等参数。算法，以及加解密的密钥等参数。u“待决状态待决状态”和和“当前操作状态当前操作状态“又分别分为：又分别分为：”读状态读状态”和和“写状态写状态”分别表示有关读操作（接收）和

11、写操作（发送）中使分别表示有关读操作（接收）和写操作（发送）中使用的参数。如读状态中包含解压缩、解密和用的参数。如读状态中包含解压缩、解密和MAC的验证算法以的验证算法以及解密密钥等；写状态中则包含压缩、加密和及解密密钥等；写状态中则包含压缩、加密和MAC生成算法以生成算法以及加密密钥等。及加密密钥等。uSSL连接：一个连接是一个提供某种类型服务的传输载体一个连接是一个提供某种类型服务的传输载体(在在OSI层模型中定义层模型中定义)。对。对SSL而言，连接是一种点对点关系，同时，这而言，连接是一种点对点关系，同时，这种连接是暂时的，每一个连接和一个会话相关联。种连接是暂时的，每一个连接和一个会

12、话相关联。148.2.3 SSL记录协议记录协议l SSL记录协议（Record Protocol）用来描述SSL信息交换过程中的记录格式，它提供了数据加密、数据完整性等功能。l 记录协议为SSL连接提供两种类型的服务u机密性：握手协议定义了一个共享密钥，该密钥可以握手协议定义了一个共享密钥，该密钥可以用于用于SSL有效载荷的常规加密。有效载荷的常规加密。u消息完整性：握手协议还定义了一个用于形成消息认握手协议还定义了一个用于形成消息认证码（证码（MAC）的共享密钥。）的共享密钥。158.2.3 SSL记录协议记录协议l 记录协议的操作过程记录协议的操作过程 SSL记录协议操作步骤 16l 分

13、段分段；每一个应用层消息被分为；每一个应用层消息被分为214字节（字节（1684字节）或更小字节）或更小l 压缩压缩：可选。如果选择，保证压缩过程不会丢失数据，如果增加了：可选。如果选择，保证压缩过程不会丢失数据，如果增加了数据长度，保证增加值不应该超过数据长度，保证增加值不应该超过1024字节。字节。l 计算消息认证码（计算消息认证码（MAC）：l 加密加密：使用对称密码算法。加密操作后内容长度的增加不应该超过：使用对称密码算法。加密操作后内容长度的增加不应该超过1024字节，因此全长不应该超过字节，因此全长不应该超过214+1024个字节个字节l 增加增加SSLSSL记录头记录头：记录头包

14、含以下域：记录头包含以下域：内容类型：内容类型：8位，用于处理封装后分段的上层协议类型。位，用于处理封装后分段的上层协议类型。协议版本号：高协议版本号：高8位为主要版本号，低位为主要版本号，低8位为次要版本号。位为次要版本号。压缩后的长度：最大值为压缩后的长度：最大值为214+2048178.2.3 SSL记录协议记录协议l SSL记录格式记录格式 SSL记录格式 加密数据记录头内容类型压缩长度次要版本主要版本明文（压缩可选）MAC值（0，16或20字节）188.2.4 更改密规格协议更改密规格协议（Change Cipher Spec Protocol）更改加密规格协议是使用SSL记录协议的

15、三种SSL特定的协议之一，也是最简单的一种。它具有以下特点：u位于位于SSL记录协议之上记录协议之上uContentType=20u协议只包含单独的一条消息，该消息包含一个字节，协议只包含单独的一条消息，该消息包含一个字节，值为值为1。这条消息的唯一的作用是将延迟状态设置为当。这条消息的唯一的作用是将延迟状态设置为当前状态，更新在当前连接中应用的密码机制。前状态，更新在当前连接中应用的密码机制。198.2.5 报警协议报警协议报警协议用于向对等实体传送SSL相关的报警信息。与其他使用SSL协议的应用程序一样，报警信息按照当前状态所规定的处理机制进行压缩和加密。它具有以下特点：u位于位于SSL记

16、录协议之上记录协议之上uContentType=21u协议的每条消息包含两个字节。第一个字节可以取值协议的每条消息包含两个字节。第一个字节可以取值为警告（为警告（Warning，代码为，代码为1）或者致命（）或者致命（Fatal，代码，代码为为2），用以表示该消息的严重程度。如果严重程度是），用以表示该消息的严重程度。如果严重程度是致命的，致命的，SSL将立刻中止该连接，该会话的其他连接可将立刻中止该连接，该会话的其他连接可以继续，但是本次会话不会允许建立新的连接；第二以继续，但是本次会话不会允许建立新的连接；第二个字节为警告代码，用于指明具体的警告。警告代码个字节为警告代码，用于指明具体的警

17、告。警告代码及其含义参见教材。及其含义参见教材。208.2.6 握手协议握手协议l 握手协议是SSL中最为复杂的一部分内容，这一协议允许客户和服务器进行相互的身份认证；同时，客户和服务器还通过该协议进行协商，以决定在一次会话中所使用的加密算法、MAC算法以及用于保护SSL记录数据的加密密钥。l 握手协议由一些客户和服务器之间交换的消息组成，每条消息包含三个域：u消息类型（1字节）：表示本条消息的类型。表示本条消息的类型。u消息长度（3字节）：以字节计数的消息长度。以字节计数的消息长度。u消息内容（0字节）：与本条消息相关的参数。与本条消息相关的参数。218.2.6 握手协议握手协议消息类型消息

18、类型参参 数数hello_requestNullclient_hello版本、随机数、会话ID、密码套件、压缩方法server_hello版本、随机数、会话ID、密码套件、压缩方法CertificateX.509 v3证书链senver_key_exchange参数、签名cerfificate_request类型、CAServer_doneNullCertificate_verify签名client_key_exchange参数、签名finishedhash值SSL握手协议消息类型 228.2.6 握手协议握手协议l 握手协议在任何上层应用程序数据传输之前运行。包括4个阶段：u客户端发起连接客

19、户端发起连接u服务器认证和密服务器认证和密钥交换钥交换u客户认证和密钥客户认证和密钥交换交换u结束结束 握手过程 238.2.7 主密钥计算主密钥计算l 在SSL中，主密钥从预备主密钥产生出来。u在在RSA或或Fortezza加密技术中，预备主密钥是由客户端生成密钥，然加密技术中，预备主密钥是由客户端生成密钥，然后通过后通过client_key_exchange消息发送给服务器。消息发送给服务器。u在在Diffie-Hellman加密技术中，预备密钥是由客户和服务器双方使用加密技术中，预备密钥是由客户和服务器双方使用对方的对方的Diffie-Hellman公钥来生成。公钥来生成。l 当生成了一

20、个预备主密钥并且双方都知道它以后，就可以计算出主密钥了。客户和服务器都是用下面的公式计算主密钥：master_secret=MD5(pre_master_secret|SHA(A|pre_master_secret|ClientHello.random|ServerHello.random)|MD5(pre_master_secret|SHA(BB|pre_master_secret|ClientHello.random|ServerHello.random)|MD5(pre_master_secret|SHA(CCC|pre_master_secret|ClientHello.random|

21、ServerHello.random)其中，ClientHello.random和ServerHello.random是在初始的hello消息中交换的两个临时值。24SSL应用中的安全问题应用中的安全问题l Client系统、系统、Server系统、系统、Keys和和Applications都要安全都要安全l 短的公开密钥加密密钥以及匿名服务器需谨慎使用短的公开密钥加密密钥以及匿名服务器需谨慎使用l 对证书对证书CA要谨慎选择要谨慎选择l SSL的实现不出安全错误在实现上最可能失败之处是的实现不出安全错误在实现上最可能失败之处是sanity check和密钥管理和密钥管理25l 证书的弱点证书

22、的弱点 应该提醒的是类似应该提醒的是类似Verisign的公共的公共CA机构并不总是可机构并不总是可靠的。系统管理员经常犯的错误是过于信任靠的。系统管理员经常犯的错误是过于信任Verisign等的等的公共公共CA机构。例如，如果机构。例如，如果Verisign发放一个证书说我是发放一个证书说我是“某某某某某某”，系统管理员很可能就会相信，系统管理员很可能就会相信“我是某某我是某某某某”。不幸的是，对于用户的证书，公共。不幸的是，对于用户的证书，公共CA机构可能不机构可能不象对网站数字证书那样重视和关心其准确性。象对网站数字证书那样重视和关心其准确性。l 例如，例如，Verisign发放了一个发

23、放了一个hackers组织的证书，而我是组织的证书，而我是其中一员其中一员Administrator。当一个网站要求认证用户身。当一个网站要求认证用户身份时，我们提交了份时，我们提交了Administrator的证书。你可能会对的证书。你可能会对其返回的结果大吃一惊的。更为严重的是，由于微软公司其返回的结果大吃一惊的。更为严重的是，由于微软公司的的IIS服务器提供了服务器提供了“客户端证书映射客户端证书映射”（ClientCertificate Mapping）功能用于将客户端提交证）功能用于将客户端提交证书中的名字映射到书中的名字映射到NT系统的用户帐号，在这种情况下我系统的用户帐号，在这种

24、情况下我们就能够获得该主机的系统管理员特权。们就能够获得该主机的系统管理员特权。26l 暴力攻击证书暴力攻击证书 如果攻击者不能利用非法的证书突破服务器，他们可如果攻击者不能利用非法的证书突破服务器，他们可 以尝试暴力攻击（以尝试暴力攻击（brute-force attack）。虽然暴力攻击）。虽然暴力攻击证证 书比暴力攻击口令更为困难，但仍然是一种攻击方法。要书比暴力攻击口令更为困难，但仍然是一种攻击方法。要 暴力攻击客户端认证，攻击者编辑一个可能的用户名字列暴力攻击客户端认证，攻击者编辑一个可能的用户名字列 表，然后为每一个名字向表，然后为每一个名字向CA机构申请证书。每一个证书机构申请证

25、书。每一个证书 都用于尝试获取访问权限。用户名的选择越好，其中一个都用于尝试获取访问权限。用户名的选择越好，其中一个 证书被认可的可能性就越高。暴力攻击证书的方便之处在证书被认可的可能性就越高。暴力攻击证书的方便之处在 于它仅需要猜测一个有效的用户名，而不是猜测用户名和于它仅需要猜测一个有效的用户名，而不是猜测用户名和 口令。口令。27l 利用特洛伊木马窃取有效的证书利用特洛伊木马窃取有效的证书 攻击者可能试图窃取有效的证书及相应的私有密钥。攻击者可能试图窃取有效的证书及相应的私有密钥。最简单的方法是利用特洛伊木马。最简单的方法是利用特洛伊木马。这种攻击几乎可使客户端证书形同虚设。它攻击的这种

26、攻击几乎可使客户端证书形同虚设。它攻击的是证书的一个根本性弱点：私有密钥（整个安全系统的是证书的一个根本性弱点：私有密钥（整个安全系统的核心）经常保存在不安全的地方。对付这些攻击的唯一核心）经常保存在不安全的地方。对付这些攻击的唯一有效方法或许是将证书保存到智能卡或令牌之类的设备有效方法或许是将证书保存到智能卡或令牌之类的设备中。中。28l IDS即即Intrusion Detection System，是一种用于监测攻击，是一种用于监测攻击服务器企图的技术和方法。典型的服务器企图的技术和方法。典型的IDS监视网络通讯，并监视网络通讯，并将其与保存在数据库中的已知将其与保存在数据库中的已知“攻

27、击特征攻击特征”或方法比较。或方法比较。如果发现攻击，如果发现攻击，IDS可以提醒系统管理员、截断连接或甚可以提醒系统管理员、截断连接或甚至实施反攻击等。问题在于如果网络通讯是加密的，至实施反攻击等。问题在于如果网络通讯是加密的，IDS将无法监视。这反而可能会使攻击更为轻松。将无法监视。这反而可能会使攻击更为轻松。l 假设在一个典型的被防火墙和假设在一个典型的被防火墙和IDS防护的网络环境中，攻防护的网络环境中，攻击者能轻松地探测被击者能轻松地探测被SSL保护的网站，因为保护的网站，因为SSL对数据的对数据的加密使得加密使得IDS无法正常监测攻击。通常一台单一的网站服无法正常监测攻击。通常一台

28、单一的网站服务器会同时使用务器会同时使用SSL和普通的和普通的TCP协议。由于攻击者攻击协议。由于攻击者攻击的服务器而不是网络连接，他们可以选择任意一种途径。的服务器而不是网络连接，他们可以选择任意一种途径。通过通过SSL途径，攻击者知道途径，攻击者知道SSL加密为他们带来的好处，加密为他们带来的好处，这样更容易避开这样更容易避开IDS系统的监测。系统的监测。29对对SSL的评价的评价l 排除上述所描述的问题，排除上述所描述的问题，SSL仍然不失为一套全面完善的安仍然不失为一套全面完善的安全策略中有效的组成元素。全策略中有效的组成元素。l 对对SSL的过高评价有可能带来安全风险，的过高评价有可

29、能带来安全风险，SSL并不是什么万并不是什么万能武器，它仅是网络安全工具的一种，必须和其它网络安全能武器，它仅是网络安全工具的一种，必须和其它网络安全工具紧密结合，方能构造出全面、完善、安全可靠的网络。工具紧密结合，方能构造出全面、完善、安全可靠的网络。308.2.8 传输层安全（传输层安全（TLS）1.TLS概述概述u2019年，年，IETF基于基于SSL v3发布了发布了TLS v1（Transport Layer Security,version1）传输层安全协议第一个版本的草案。）传输层安全协议第一个版本的草案。2019年，年，正式发布了正式发布了RFC 2246。uTLS协议设计的具

30、体目标是解决两个通信实体之间数据的保密性协议设计的具体目标是解决两个通信实体之间数据的保密性和完整性等，总体目标是为了在因特网上统一和完整性等，总体目标是为了在因特网上统一SSL的标准。的标准。uTLS的第一个发布版本在一定程度上可以视为等同于的第一个发布版本在一定程度上可以视为等同于SSL v3.1，二者非常接近，并且二者非常接近，并且TLS vl对对SSL v3是向后兼容的。是向后兼容的。2.TLS/SSL差异差异u版本号版本号uMAC计算计算u伪随机数函数伪随机数函数u警告码警告码318.2.8 传输层安全（传输层安全（TLS）2.TLS/SSL差异（续）差异（续）u密码套件密码套件u客

31、户证书类型客户证书类型ucertificate_verify和和finished消息消息u密钥计算密钥计算u填充填充328.3 SSL/TLS在在Web中的应用中的应用8.3.1 概述8.3.2 应用实例338.3.1 概述概述l SSL/TLS可以建立安全的端到端连接，目前在Web服务中得到了广泛的应用。l 实现SSL/TLS的方法很多，例如：uOpenSSL开放源码软件包实现了开放源码软件包实现了SSL v2,SSL v3,TLS v1等协议，它以等协议，它以API函数调用的形式为函数调用的形式为TCP/IP协议之协议之上的应用提供上的应用提供SSL/TLS功能；功能；uIE,Netsca

32、pe,Opera等客户端浏览器内置了对等客户端浏览器内置了对SSL/TLS的支持；的支持；uIIS（Internet Information Server,Inernet信息服务信息服务器），器），Apache等等Web服务器通过简单的配置即可提供服务器通过简单的配置即可提供SSL/TLS功能。功能。348.3.2 应用实例应用实例应用SSL/TLS安全加密机制，构建一个安全的Web站点。u环境Windows 2000 Advanced Server+IIS5.0u配置过程 p安装安装“证书服务证书服务”组件组件p申请安全证书申请安全证书pIIS服务器的配置服务器的配置358.3.2 应用实例

33、应用实例u通信过程应用了应用了SSL/TLS加密机制后，客户端与加密机制后，客户端与IIS服务器的通服务器的通信过程如下：信过程如下：p首先，客户端与首先，客户端与IIS服务器建立通信连接；服务器建立通信连接；p接着，接着，IIS服务器将数字证书与公钥发送给客户端；服务器将数字证书与公钥发送给客户端；p然后，客户端使用这个公钥对客户端的会话密钥进然后，客户端使用这个公钥对客户端的会话密钥进行加密后，传回给行加密后，传回给IIS服务器；服务器；pIIS服务器接收客户端传回的加密的会话密钥，用私服务器接收客户端传回的加密的会话密钥，用私钥进行解密。钥进行解密。368.4 安全电子交易（安全电子交易

34、（SET）8.4.1 SET概述 8.4.2 SET交易活动8.4.3 双重签名378.4.1 SET概述概述l 安全电子交易（Security Electronic Transaction，SET）是一个用于保障基于Internet的信用卡交易安全的开放式加密和安全规范。SET v1于2019年2月由MasterCard和Visa两大信用卡公司联合发布。l SET本身并不是一个支付系统，而是一个安全协议集，SET规范保证了用户可以安全地在诸如Internet这样的开放网络上应用现有的信用卡支付设施来完成交易。l SET提供三种服务：u为参加交易的所有实体提供安全的通信信道。为参加交易的所有实

35、体提供安全的通信信道。u使用使用X.509 v3数字证书提供交易实体间的信任机制。数字证书提供交易实体间的信任机制。u提供良好的隐私保障，因为信息只在需要的时间和地提供良好的隐私保障，因为信息只在需要的时间和地点才对交易实体可用。点才对交易实体可用。388.4.1 SET概述概述1.商业需求商业需求SET规范的的潜在需求是为了保障使用信用卡在Internet和其他网络上进行安全的支付处理。u保障支付信息与订单信息的机密性。保障支付信息与订单信息的机密性。u保障所有传输数据的完整性。保障所有传输数据的完整性。u提供认证以保证持卡人是某信用卡账号的合法用户。提供认证以保证持卡人是某信用卡账号的合法

36、用户。u提供一种认证机制来保障信用卡和金融机构的相关性，提供一种认证机制来保障信用卡和金融机构的相关性，从而保证商家能够接受信用卡支付。从而保证商家能够接受信用卡支付。u应用最好的安全措施和系统设计技术以保护在一次电应用最好的安全措施和系统设计技术以保护在一次电子交易中所有参与者的安全。子交易中所有参与者的安全。u实现一个不依赖于传输层安全机制并可以与其他安全实现一个不依赖于传输层安全机制并可以与其他安全机制同时应用的协议。机制同时应用的协议。u推动和促进软件与网络提供商之间的互操作性。推动和促进软件与网络提供商之间的互操作性。398.4.1 SET概述概述2.SET的关键特性的关键特性u信息

37、的机密性：持卡人账户和支付信息在网络中传播的时候，：持卡人账户和支付信息在网络中传播的时候，安全必须得到保障。安全必须得到保障。SET的一个重要的特性是可以防止商家的一个重要的特性是可以防止商家得到持卡人的信用卡号，信用卡号只提供给发卡机构。得到持卡人的信用卡号，信用卡号只提供给发卡机构。SET中应用了常规加密机制来保障机密性的要求。中应用了常规加密机制来保障机密性的要求。u数据完整性：持卡人发给商家的支付信息包括订单信息、个持卡人发给商家的支付信息包括订单信息、个人数据和支付命令，人数据和支付命令，SET保障了这些数据在传输的过程中不保障了这些数据在传输的过程中不会被更改，会被更改，RSA数

38、字签名用于保证数据的完整性，某些数据数字签名用于保证数据的完整性，某些数据的完整性也可以由使用的完整性也可以由使用SHA-1的的HMAC来得到保证。来得到保证。u持卡人帐户认证：SET通过使用通过使用X.509 v3数字证书让商家对数字证书让商家对持卡人是否为某账号的合法用户进行认证。持卡人是否为某账号的合法用户进行认证。u商家认证：SET通过使用通过使用X.509 v3数字证书让持卡人对商家数字证书让持卡人对商家的身份进行认证，验证商家和某金融机构具有某种关系使其的身份进行认证，验证商家和某金融机构具有某种关系使其可以接受信用卡支付。可以接受信用卡支付。408.4.1 SET概述概述3.SE

39、T参与者参与者采用SET规范进行网上交易支付时，主要涉及持卡人、商家、发卡机构、收单行、支付网关和CA认证中心等。SET模型 418.4.2 SET交易活动交易活动l 在进行SET交易之前消费者首先需要向支持SET的发卡机构申请开户，获得一个用于网上支付的信用卡账户。同时，消费者和商家还必须从CA认证中心那里申请相应的X.509 v3数字证书。此后，商家就可以在网上开设在线商店，持卡人（消费者）也就可以通过Web浏览器或其他客户端软件在线购物。l SET交易的工作流程 SET交易流程 428.4.3 双重签名双重签名 双重签名（Dual Signature）是数字签名在SET中的一个创新应用。

40、1.消息捆绑消息捆绑 u信息的机密性需求：在电子交易中，假设持卡人信息的机密性需求：在电子交易中，假设持卡人C（Customer）从商家从商家M（Merchant）购买商品，出于保护自己隐私的目的，他）购买商品，出于保护自己隐私的目的，他不希望商家看到他的信用卡信息，也不希望银行不希望商家看到他的信用卡信息，也不希望银行B（Bank）看到）看到他所订购的商品的信息。一个简单的解决方案是持卡人分别向商他所订购的商品的信息。一个简单的解决方案是持卡人分别向商家发送订单信息（家发送订单信息（Order Information，OI）和向银行发送支付信）和向银行发送支付信息（息（Payment Inf

41、ormation，PI），这样就既避免了在交易过程中），这样就既避免了在交易过程中商家窃取持卡人的信用卡信息，又避免银行跟踪持卡人的消费行商家窃取持卡人的信用卡信息，又避免银行跟踪持卡人的消费行为，从而有效地保护了持卡人的隐私。为，从而有效地保护了持卡人的隐私。u消息捆绑的原因：上述方案会对影响商家和银行对持卡人所发信消息捆绑的原因：上述方案会对影响商家和银行对持卡人所发信息进行合理的验证。例如：在一次交易中，持卡人向商家发送两息进行合理的验证。例如：在一次交易中，持卡人向商家发送两条消息：条消息：OI1和和PI1，并由商家将，并由商家将PI1转发给银行；紧接着，持卡人转发给银行；紧接着，持卡

42、人又发起另一次交易，向商家发送消息：又发起另一次交易，向商家发送消息：OI2和和PI2。这时，商家将。这时，商家将不能确认不能确认OI1是跟是跟PI1还是还是PI2在同一次交易中。为避免上述情况出在同一次交易中。为避免上述情况出现，有必要将订单信息和支付信息捆绑在一起，即对发送给不同现，有必要将订单信息和支付信息捆绑在一起，即对发送给不同接收者的消息进行消息捆绑。接收者的消息进行消息捆绑。438.4.3 双重签名双重签名 2.双重签名的构造双重签名的构造为了满足消息捆绑的需求，SET采用双重签名技术，双重签名构造流程如图：双重签名的构造 448.4.3 双重签名双重签名 3.签名的认证签名的认

43、证u在验证双重签名时，接收方在验证双重签名时，接收方M/B分别创建消息摘要，分别创建消息摘要，M生成生成H(OI)，B生成生成H(PI)；u再分别将再分别将H(OI)/H(PI)与另一接收到的摘要与另一接收到的摘要H(PI)/H(OI)串接，串接，生成生成OP及其摘要及其摘要H(OP)；uM/B用用C的的RSA公钥公钥 对双重签名对双重签名 解密，即解密，即执行过程执行过程 ，得到，得到H(OP)；u比较比较H(OP)与与H(OP)是否相同，如相同，则表明数据完整且是否相同，如相同，则表明数据完整且未被篡改。未被篡改。经过上述步骤，商家M和银行B就分别实现了对签名的认证。CKU)OP(H(ECKR)OP(H(EDCCKRKR