《电子商务安全基础》课件第6章 电子商务安全协议.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《《电子商务安全基础》课件第6章 电子商务安全协议.pptx》由用户(momomo)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务安全基础 电子商务安全基础课件第6章 电子商务安全协议 电子商务 安全 基础 课件 协议
- 资源描述:
-
1、电子商务安全交易需求电子商务安全交易需求安全套接层协议安全套接层协议安全电子交易规范安全电子交易规范安全超文本传输协议安全超文本传输协议实验项目实验项目随着计算机和网络的发展,电子商务已经深入到我们生活中的各个角落。Internet已经在电子商务领域开发了与应用相关的安全机制,包括SSL、SET、S-HTTP、Internet电子数据交换和IPSec等。本章将对这些协议进行较为详细的研究和介绍。电子商务交易的安全性要求:(1)真实性要求。能对信息、实体的真实性进行鉴别。(2)机密性要求。保证信息不被泄露给非授权的人或实体。(3)完整性要求。保证数据的一致性,防止数据被非授权建立、修改或破坏。(
2、4)可用性要求。保证合法用户对信息和资源的使用不会被不正当地拒绝。(5)不可抵赖性要求。建立有效的责任机制,防止实体否认其行为。(6)可控性要求。能控制使用资源的人或实体的使用方式。6.1.1 6.1.1 电子商务销售者面临的安全威胁电子商务销售者面临的安全威胁在传统交易过程中,买卖双方是面对面地交易容易保证交易的安全性,并建立起信任关系。在电子商务过程中,买卖双方是通过网络进行建立交易双方的安全和信任关系困难在电子商务交易中双方都面临不同的安全威胁6.1.1 6.1.1 电子商务销售者面临的安全威胁电子商务销售者面临的安全威胁对于销售者销售者而言,面临的安全威胁主要有:(1)中央系统安全性被
3、破坏。(2)竞争者检索商品递送状况。(3)客户资料被竞争者获取。(4)被他人假冒而损害公司的信誉。(5)消费者提交订单后不付款。(6)获取他人的机密数据。6.1.2 6.1.2 电子商务消费者面临的安全威胁电子商务消费者面临的安全威胁对于消费者消费者而言,面临的安全威胁主要有:(1)付款后不能收到商品。(2)拒绝服务。攻击者可能向销售商的服务器发送大量的虚假订单来耗尽其资源,从而使消费者得不到正常的服务。(3)机密性丧失。安全套接层协议(SSL)由美国网景公司于1995年开发和倡导,是目前电子商务交易安全中使用最多的协议之一。SSL协议主要用于提高应用程序之间数据的安全系数,SSL协议的实现属
4、于Socket层,在Internet网络层次中的位置处于应用层和传输层之间。6.2.1 6.2.1 SSLSSL提供的安全服务提供的安全服务v数据加密服务1)安全套接层协议所采用的加密技术有对称加密技术和公开密钥技术2)在客户机与服务器进行数据交换之前,交换SSL初始握手信息,在SSL握手过程中,采用各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别。SSL标准主要提供三种服务:数据加密服务、认证服务和数据完整性服务。6.2.1 6.2.1 SSLSSL提供的安全服务提供的安全服务v数据加密服务1)安全套接层协议所采用的加密技术有对称加密技术和公开密钥技术2)在客户机与
5、服务器进行数据交换之前,交换SSL初始握手信息,在SSL握手过程中,采用各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别。SSL标准主要提供三种服务:数据加密服务、认证服务和数据完整性服务。6.2.1 6.2.1 SSLSSL提供的安全服务提供的安全服务v数据加密服务SSL客户机与服务器都有各自的识别号,这些识别号使用公开密钥进行加密,使得它们能够确信数据将被发送到正确的客户机和服务器上。SSL采用哈希函数和机密共享的方法提供完整性的服务,在客户机与服务器之间建立安全通道,以保证数据在传输中完整地到达目的地。v数据完整性服务SSL是在是在Internet基础上提供的一
6、种保证私密性的安全协议。基础上提供的一种保证私密性的安全协议。它可以用于保护正常运行于它可以用于保护正常运行于TCP之上的任何应用协议之上的任何应用协议,如如HTTP、FTP、SMTP或或Telnet的通信的通信,最常见的是用最常见的是用SSL来保护来保护HTTP的通的通信。信。SSL协议的优点在于它是与应用层协议无关的高层的应用协议协议的优点在于它是与应用层协议无关的高层的应用协议6.2.2 6.2.2 SSLSSL协议的运行步骤协议的运行步骤SSL协议的运行分为六个步骤,它们包括:(1)接通阶段。客户机通过网络向服务器打招呼,服务器回应。(2)密码交换阶段。客户机与服务器之间交换双方认可的
7、密码,一般选用RSA密码算法。(3)会谈密码阶段。客户机与服务器间产生彼此交谈的会谈密码。(4)检验阶段。客户机检验服务器取得的密码。(5)客户认证阶段。服务器验证客户机的可信度。(6)结束阶段。客户机与服务器之间相互交换结束的信息。6.2.2 6.2.2 SSLSSL协议的运行步骤协议的运行步骤说明:1)发送时信息用对称密钥加密,对称密钥用非对称算法加密,再把两个包绑在一起传送过去。接收的过程与发送正好相反,先解开有对称密钥的加密包,再用对称密钥解密。2)SSL安全协议的缺点:不能自动更新证书;认证机构编码困难;浏览器的口令具有随意性;不能自动检测证书作废列表(CRL);用户的密钥信息在服务
8、器上是以明文方式存储的;客户的数据都完全暴露在商家的面前6.2.3 6.2.3 SSLSSL体系结构体系结构SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供一种可靠的端到端的安全服务,它使客户/服务器应用之间的通信不被攻击窃听,并且始终对服务器进行认证,还可以选择对客户进行认证。SSL协议在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作6.2.3 6.2.3 SSLSSL体系结构体系结构v SSL记录协议1)SSL记录协议为SSL连接提供了两种服务:一是机密性机密性,二是消息完整性消息完整性。2)SSL记录协议工作过程:首先接收传输的应用报文,将数据
9、分片成可管理的块,进行数据压缩(可选),应用MAC算法;其次利用IDEA、DES、3DES或其他加密算法进行数据加密;最后增加由内容类型、主要版本、次要版本和压缩长度组成的首部。被接收的数据刚好与接收数据工作过程相反,依次被解密、验证、解压缩和重新装配,然后交给更高级的用户6.2.3 6.2.3 SSLSSL体系结构体系结构v SSL修改密文协议SSL修改密文协议是使用SSL记录协议服务的SSL高层协议的三个特定协议之一,协议由单个消息组成单个消息组成,该消息只包含一个值为1的单个字节。该消息的唯一作用就是使未决状态拷贝为当前状态,更新用于当前连接的密码组。v SSL告警协议SSL告警协议是用
10、来为对等实体传递SSL的相关警告。警示消息有两种:1)Fatal错误双方就需要立即中断会话,同时消除自己缓冲区相应的会话记录2)Warning消息这种情况,通信双方通常都只是记录日志,而对通信过程不造成任何影响。6.2.3 6.2.3 SSLSSL体系结构体系结构v SSL握手协议1)SSL握手协议允许通信实体在交换应用数据之前协商密钥的算法、加密密钥和对客户端进行认证(可选)的协议、为下一步记录协议要使用的密钥信息、使客户端和服务器建立并保持安全通信的状态信息。2)在任何应用程序数据传输之前使用3)SSL握手协议包含四个阶段:第一个阶段建立安全能力;第二个阶段服务器鉴别和密钥交换;第三个阶段
11、客户鉴别和密钥交换;第四个阶段完成握手协议6.2.4 6.2.4 SSLSSL的安全措施的安全措施SSL采用对称密码技术和公开密码技术相结合的技术,采用密码和证书实现通信数据完整性、认证性等安全服务v 加密算法和会话密钥加密算法和会话密钥是在握手协议中协商,并由CIPHER-CHOICECIPHER-CHOICE消息消息指定的。现有的SSL版本中所用到的加密算法有RC4、RC2、IDEA和DES,加密算法所用的密钥由消息哈希函数MD5产生。RC4、RC2是由RSA定义的其中RC2适用于块加密,RC4适用于流加密。6.2.4 6.2.4 SSLSSL的安全措施的安全措施v 认证算法认证算法采用X
12、.509电子证书标准,通过RSA算法进行数字签名来实现。SSL认证包括服务器的认证和客户的认证服务器的认证和客户的认证两种1)服务器的认证对服务器进行认证时,只有用正确的服务器方私有密钥加密CLIENT-HELLO消息形成的数字签名,才能被客户正确地解密,从而验证服务器的身份。l首先服务器方在SERVER-HELLO消息中的服务器证书中,提供了服务器的公有密钥;l服务器用其私有密钥才能正确地解密由客户方使用服务器的公有密钥加密的MASTER-KEY;l获得服务器方的读密钥和写密钥。6.2.4 6.2.4 SSLSSL的安全措施的安全措施v 认证算法2)客户的认证 只有用正确的客户私有密钥加密的
13、内容才能被服务器方用其读密钥正确地解开l客户收到服务器方发出的REQUEST-CERTIFICATE消息时,客户首先使用MD5消息哈希函数获得服务器方信息的摘要,服务器方的信息包括KEY-MATERIAL-0、KEY-MATERIAL-1、KEYMATERIAL-2、CERTIFICATE-CHALLENAGE-DATE(来自于REQUEST-CERTIFICATE消息)、服务器所赋予的证书(来自于SERVER-HELLO)消息。l然后客户使用自己的私有密钥加密摘要形成数字签名,从而被服务器认证。SETSET的的产生产生:1996年2月,由万事达和维萨国际信用卡组织与技术合作伙伴GTE、网景、
展开阅读全文