3.5电子商务安全协议.ppt

《3.5电子商务安全协议.ppt》由会员分享，可在线阅读，更多相关《3.5电子商务安全协议.ppt（70页珍藏版）》请在课桌文档上搜索。

1、第3章电子商务安全协议,电子商务的SSL、SET协议,7.1 SSL提供网上购物安全的协议,安全套接层(Secure Sockets Layer，SSL)是一种传输层技术，可以实现浏览器和服务器之间的安全通信。SSL协议是目前网上购物网站中常使用的一种安全协议。所谓SSL就是在和另一方通信前先讲好的一套方法，这个方法能够在它们之间建立一个电子商务的安全性秘密信道，确保电子商务的安全性，凡是不希望被别人看到的机密数据，都可通过这个秘密信道传送给对方，即使通过公共线路传输，也不必担心别人的偷窥。,SSL标准主要提供了3种服务：数据加密服务、认证服务与数据完整性服务。1.数据加密服务：采用的是对称加

2、密技术与公开密钥加密技术。2.认证服务：SSL客户机与服务器都有各自的识别号，这些识别号使用公开密钥进行加密。3.数据完整性服务：采用哈希函数和机密共享的方法提供完整信息性的服务，在客户机与服务器之间建立安全通道，以保证数据在传输中完整地到达目的地。,SSL标准的工作流程主要包括以下几步：1.SSL客户机向SSL服务器发出连接建立请求，SSL服务器响应SSL客户机的请求；2.SSL客户机与SSL服务器交换双方认可的密码，一般采用的加密算法是RSA算法；3.检验SSL服务器得到的密码是否正确，并验证SSL客户机的可信程度；SSL客户机与SSL服务器交换结束的信息。,SSL安全协议也有它的缺点，主

3、要有：不能自动更新证书；认证机构编码困难；浏览器的口令具有随意性；不能自动检测证书撤销表；用户的密钥信息在服务器上是以明文方式存储的。客户的数据都完全暴露在商家的面前。但因操作容易，成本低，而且又在不断改进，所以在欧美的商业网站上的应用是较广泛的。,7.2 SET提供安全的电子商务数据交换,对安全有非常高的要求敏感的部门，SSL安全协议有缺点，不足以担此重任。提出了有重大实用价值和深远影响的安全电子交易(Secure Electronic Transaction，SET)。SET协议得到了许多大公司的支持，已成为事实上的工业标准。,SET是一种以信用卡为基础的、在因特网上交易的付款协议书，是授

4、权业务信息传输安全的标准，它采用RSA密码算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用散列函数来鉴别信息的完整性。在SET的交易环境中，比现实社会中多一个电子商务的安全性认证中心电子商务的安全性CA参与其中，在SET交易中认证是很关键的。,1.SET的主要目标(1)信息传输的安全性：信息在因特网上安全传输，保证不被外部或内部窃取。(2)信息的相互隔离：订单信息和个人账号信息的隔离。(3)多方认证的解决：要对消费者的信用卡认证；要对网上商店进行认证；消费者、商店与银行之间的认证。(4)效仿EDI贸易形式，要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有

5、兼容和互操作功能。(5)交易的实时性：所有的支付过程都是在线的。,2.SET的交易成员(1)持卡人消费者：持信用卡购买商品的人，包括个人消费者和团体消费者，按照网上商店的表单填写，通过由发卡银行发行的信用卡进行付费。(2)网上商家：在网上的符合SET规格的电子商店，提供商品或服务，它必须是具备相应电子货币使用的条件，从事商业交易的公司组织。(3)收单银行：通过支付网关处理持卡人和商店之间的交易付款问题事务。接受来自商店端送来的交易付款数据，向发卡银行验证无误后，取得信用卡付款授权以供商店清算。,(4)支付网关：这是由支付者或指定的第三方完成的功能。为了实现授权或支付功能，支付网关将SET和现有

6、的银行卡支付的网络系统作为接口。(5)发卡银行在交易过程开始前，发卡银行负责查验持卡人的数据，如果查验有效，整个交易才能成立。在交易过程中负责处理电子货币的审核和支付工作。(6)认证中心CA可信赖、公正的组织：接受持卡人、商店、银行以及支付网关的数字认证申请书，并管理数字证书的相关事宜。,3.SET安全协议工作原理(1)消费者选购商品，下电子订单(2)网上商场做出应答，返回订单情况(3)消费者选择付款方式，确认订单，签发付款指令(4)消费者对订单和付款指令进行数字签名，利用双重签名技术使商家看不到账号信息(5)向消费者所在银行请求支付认可，返回确认信息给在线商店(5)在线商店发送订单确认信息给

7、消费者，消费者进行电子记录(6)在线商店发送货物提供服务，通知发卡银行进行支付,4.SET的技术范围SET的技术范围包括以下几方面。(1)加密算法。(2)证书信息和对象格式。(3)购买信息和对象格式。(4)认可信息和对象格式。(5)划账信息和对象格式。(6)对话实体之间消息的传输协议。,6.SET协议的安全技术SET有一个开放工具SET Toolkit，任何电子商务系统都可以利用它来处理操作过程中的安全和保密问题。其中支付(Payment)和认证(Certificate)是SET Toolkit向系统开始者提供的两大主要功能。,目前的主要安全保障来自以下3个方面：(1)将所有消息文本用双钥密码

8、体制加密。(2)将上述密钥的公钥和私钥的字长增加到512B2 048B。(3)采用联机动态的授权(Authority)和认证检查(Certificate)，以确保交易过程的安全可靠。上述有3个安全保障措施的技术基础如下所述：(1)通过加密方式确保信息机密性。(2)通过数字化签名确保数据的完整性。(3)通过数字化签名和商家认证确保交易各方身份的真实性。(4)通过特殊的协议和消息形式确保动态交互式系统的可操作性。,通常网站上标明所采用的付款系统，如SSL、SET，但这样是可靠的吗？如何可以确切地知道某个网站是否支持SET交易呢？真正的SET网站，必须经过专门的测试和鉴别，并给予一个SET特约商店的

9、商标。检查SET商店的商标就成为到SET商店安全地购物的重要手段。,7.3 证书服务的安装与管理,实训内容:1.证书服务的安装与管理2.建立SSL网站,环境要求如下：(1)Web服务器：IIS 6.0，IP地址为192.168.20.124，计算机名为SZY。(2)证书服务器：SZY的独立根CA，与Web服务器在同一台物理计算机上。(3)浏览器：IE 6.0，与Web服务器在同一物理计算机上。,1.证书服务的安装与管理,(1)打开控制面板，单击“添加/删除程序”按钮，再单击“添加/删除Windows组件”按钮，弹出图示的“Windows组件向导”对话框，选中“证书服务”复选框。,（2）弹出图示

10、的提示信息对话框，提示安装证书服务后，计算机名称和域成员身份将不可再改变，单击“是”按钮。（3）再单击“详细信息”按钮，出现证书服务界面，安装证书服务时有两个选项。证书服务CA电子商务的安全性：构建CA的证书服务。证书服务Web注册支持电子商务的安全性：客户机通过Web页面提交数字证书申请，获取数字证书的Web网站。,(4)单击“下一步”按钮，出现图所示的“CA类型”对话框，有4种类型。企业根CA：安装企业根CA，如果服务器是域控制器，且安装Active Directory，该选项将被激活。企业从属CA：安装企业从属CA，如果服务器是域成员服务器，该选项将被激活。独立根CA：安装独立根CA。独

11、立从属CA：安装独立从属CA。选中“独立根CA”单选按钮，选中“用自定义设置生成密钥对和CA证书”复选框表明自定义CA的密钥生成算法，单击“下一步”按钮。,(5)出现“公钥/私钥”对话框，可以进行的设置包括以下几方面。在CSP列表框中选择加密服务提供程序(CSP)，默认值为：Microsoft Strong Cryptographic Provider。在“散列算法”列表框中选择要使用的散列算法，默认值为SHA-1。(6)设置好后，单击“下一步”按钮，出现图所示的“CA识别信息”对话框，输入识别CA的信息，,(7)出现图示的“证书数据库设置”对话框，用于配置服务器上的数字证书数据库、数据库日志

12、和配置信息的存放位置，按照默认设置就可以。单击“下一步”按钮。,(8)出现图6.11所示的提示信息安装过程中必须暂时停止IIS服务，单击“是”按钮。(6)成功安装数字证书服务后出现完成界面，单击“完成”按钮，这样一个独立的要CA就构建完成。,2.生成Web服务器数字证书申请文件,首先要生成使用SSL的Web服务器数字证书申请文件。(1)在桌面上单击“开始”按钮，在弹出的菜单中执行“程序”“管理工具”“Internet信息服务管理器”命令，选择相应的站点后右击它，在出现的快捷菜单中执行“属性”命令，弹出图6.12所示的“默认网站属性”对话框，打开“目录安全性”选项卡，单击“安全通信”区域中的“服

13、务器证书”按钮。,(2)出现Web服务器证书向导的欢迎界面，提示Web服务器没有安装证书，单击“下一步”按钮。(3)出现图6.13所示的“服务器证书”对话框，有5种获取服务器证书的方法。,新建证书：新建立一个证书申请。分配现有证书：为站点分配一个已经存在的证书。从密钥管理器备份文件导入证书：从密钥备份文件导入证书。从.pfx文件导入证书：从一种特定的证书文件导入证书。将远程服务器站点的证书复制或移动到此站点：复制或移动远程服务器站点的证书。这里选中“新建证书”单选按钮，单击“下一步”按钮。,(4)出现图6.14所示的“延迟或立即请求”对话框，用于选择发送证书请求的方法。选中“现在准备证书请求，

14、但稍后发送”单选按钮，单击“下一步”按钮。,(5)出现图6.15所示的“名称和安全性设置”对话框，在“名称”文本框中输入Web服务器的数字证书名称，在“位长”下拉列表框中选择生成的公钥和私钥的位长，默认1024 位，选中“选择证书的加密服务提供程序(CSP)”复选框自行选择CSP，单击“下一步”按钮。注意：位越长，密钥越安全，但过长的位长将导致性能下降。可选的位长为512、1024、2048、4096、8192、16348(位为单位)。,(6)弹出图6.16所示的“可用提供程序”对话框，在“选择提供程序”列表框中选择一个CSP程序。默认有两个CSP程序：Microsoft DH Schanne

15、l Cryptographic ProviderMicrosoft RSA Schannel Cryptographic Provider完成选择后单击“下一步”按钮。,(7)弹出图6.17所示的“单位信息”对话框，在“单位”和“部门”文本框中按照需要设置，单击“下一步”按钮。,(8)弹出图6.18所示的“站点公用名称”对话框。在“公用名称”文本框中输入有效的DNS域名或者NetBIOS名称，该名称与站点是唯一对应的，如果站点名称发生变化，必须申请新的数字证书，完成设置后单击“下一步”按钮。,(6)弹出图6.19所示的“地理信息”对话框，在“国家(地区)”下拉列表框中选择“CN(中国)”，在“

16、省/自治区”和“市县”文本框中按照需要设置，单击“下一步”按钮。,(10)弹出图6.20所示“证书请求文件名”对话框。在“文件名”文本框中输入保存证书请求的文件路径及名称，完成设置后单击“下一步”按钮。,(11)弹出图6.21所示的“请求文件摘要”对话框，列举了证书的设置参数，确认无误后单击“下一步”按钮。,(12)弹出图6.22所示的证书请求完成对话框，单击“完成”按钮。,(13)打开证书请求文件，如图6.23所示，图中所示为加密后的信息。,3.申请Web服务器数字证书,(1)在浏览器中访问http:/192.168.20.124/certsrv，出现图6.24所示的证书服务页面，单击“申请

17、一个证书”超链接，再单击“高级证书申请”超链接。,(2)出现图6.25所示的“高级证书申请”页面，有两种高级证书申请方法。创建并向此CA提交一个申请：通过浏览器生成各种证书请求文件，并向CA提交申请。使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请：向CA提交已生成的申请文件。选择第2种。,(3)出现图6.26所示的提交证书申请页面，将图所示的全部文本内容复制到“保存的申请”文本框中，单击“提交”按钮。,(4)出现图6.27所示的成功提交证书申请页面。,4 颁发Web服务器数字证书,数字证书服务器的管理员可以按照6.4.1小

18、节介绍的方法颁发Web服务器证书。实例中颁发后的证书如图6.28所示。,5.获取Web服务器的数字证书,访问http:/192.168.20.124/certsrv，在出现的页面中单击“下载CA证书、证书链或CRL”超链接，出现图6.29所示的界面。在“CA证书”列表框中选中“Web服务器证书”，单击“下载CA证书”超链接就可以将数字证书保存在本机上，默认的数字证书文件名为certnew.cer。,(1)在桌面上单击“开始”按钮，在弹出的菜单中执行“程序”“管理工具”“Internet信息服务管理器”命令，选择相应的站点后右击，在出现的快捷菜单中执行“属性”命令，弹出图6.30所示的“默认网站

19、属性”对话框，打开“目录安全性”选项卡，单击“安全通信”区域中的“服务器证书”按钮。,6.安装Web服务器数字证书,(2)弹出图6.31所示的Web服务器证书向导的欢迎界面，提示Web服务器存在挂起的证书请求，单击“下一步”按钮。,(3)弹出图6.32所示的“挂起的证书请求”对话框，选中“处理挂起的证书请求并安装证书”单选按钮，单击“下一步”按钮。,(4)弹出图6.33所示“处理挂起的请求”对话框，在“路径和文件名”文本框中输入Web服务器所在证书的完整的路径，单击“下一步”按钮。,(5)弹出图6.34所示的“SSL端口”对话框，在“此网站应该使用的SSL端口”文本框中输入SSL端口号，默认为

20、443，一般无须更改。单击“下一步”按钮。,(6)弹出图6.35所示的“证书摘要”对话框，显示证书文件的详细信息，确认无误后单击“下一步”按钮。,(7)弹出图6.36所示的证书向导完成界面，提示此服务器上已经成功安装证书，单击“完成”按钮。,7.7 在Web服务器上设置SSL,(1)正常情况下，SSL已经被成功地设置到Web服务器。图6.37所示为启用SSL后的“默认网站属性”对话框的“目录安全性”选项卡，单击“安全通信”区域的“查看证书”按钮可以查看安装在Web服务器上的服务器证书。如果没有安装证书，该按钮不能被激活。,(2)图6.38所示为启用SSL后的“默认网站属性”对话框“网站”选项卡

21、，在“SSL端口”文本框中可以修改SSL端口设置。注意：这样Web站点就具备了SSL通信的功能。一种方法是以http：/开头的通信连接，这样是普通的Web访问；一种是以https开头的通信连接，这是启用SSL安全通信的连接。,(3)在图6.30所示对话框中单击“安全通信”区域的“编辑”按钮，弹出图6.39所示的“安全通信”对话框，可以对Web服务器和浏览器之间的通信进行进一步的设置。,7.8 浏览器的SSL配置,Web服务器证书让客户机可以鉴别服务器的身份，如果服务器也需要鉴别客户机的身份，那么需要在浏览器申请并安装数字证书。,9.请浏览器数字证书,(1)在浏览器中访问http:/192.16

22、8.20.124/certsrv，出现证书服务页面，单击“申请一个证书”超链接，出现图6.40所示的页面，单击“Web浏览器证书”超链接。,(2)出现图6.41所示的识别信息页面，在“姓名”、“电子邮件”、“公司”、“部门”、“市/县”、“省”和“国家”文本框中按照自己的实际情况设置，单击“提交”按钮。,(3)成功提交浏览器数字证书申请后的页面如图6.42所示。,10.颁发浏览器数字证书,实例中管理员颁发的浏览器数字证书如图6.43所示。,11.获取及安装浏览器数字证书,(1)访问http:/192.168.20.124/certsrv，在出现的页面中单击“查看挂起的证书申请的状态”超链接，出

23、现图6.44所示的页面，单击“Web浏览器证书”超链接。,(2)出现图6.45所示的界面，单击“安装此证书”超链接将在浏览器上安装数字证书。,(3)成功安装浏览数字证书后，出现图6.46所示的页面。,12.浏览器数字证书的管理,(1)在IE浏览器的菜单栏执行“工具”“Internet”命令，弹出“Internet选项”对话框，打开“内容”选项卡，单击“证书”按钮，如图6.47所示。,(2)出现如图6.48所示的“证书”对话框，打开“个人”选项卡，列举了颁发的个人证书，表明该数字证书已经安装到浏览器上。,(3)选中个人证书，单击“查看”按钮可以查看浏览器的数字证书，出现图6.49所示的“常规”选

24、项卡。,在图6.48所示选项卡中选中个人证书，单击“导出”按钮可以将数字证书导出到扩展名为CER的数字证书文件中保存。,在图6.48所示选项卡中选中个人证书，单击“删除”按钮可以将浏览器中安装的数字证书删除。在图6.48所示选项卡中单击“导入”按钮可以将数字证书文件安装到浏览器上,13.在浏览器上设置SSL,默认情况下，IE浏览器是支持SSL的，不需要用户进行设置。浏览器是否启用SSL可在图6.50所示的“Internet选项”对话框的“高级”选项卡中进行设置。在“设置”列表框的“安全”区域下有关SSL的设置有两个。使用SSL 2.0：支持SSL 2.0版本。使用SSL 3.0：支持SSL 3

25、.0版本。需要将这两个选项都选上，浏览器才会启用SSL。,14.访问SSL站点,访问，http:/192.168.20.124/certsrv，出现如图6.51所示的界面。尽管网面的内容仍然和没有启动SSL以前的内容一样，但网页内容的背后，所有的请示的数据已经经过数字证书交换后产生的会话密钥进行了加密，只不过用户感觉不到SSL协议在后面的工作过程。安全套接层SSL协议好比是在HTTP协议上面接了一层安全保护层，由SSL来完成数据的加密和鉴别的过程。,小 结,本章主要介绍了电子商务的安全问题，由此产生了电子商务安全需求。着重介绍了保障电子商务安全的技术协议SSL与SET，并介绍了基于SSL协议网站的构建过程.,习 题,1.SSL加密协议的用途是什么？2.SSL的工作原理与过程是什么？3.SET是如何保护在因特网上付款的交易安全？4.SET安全协议要达到的目标有哪5个？5.基于SET协议的电子商务系统的业务过程有哪几个？6.要想安全地进行网上购物，如何识别基于SSL的安全性商业网站？,