电子商务安全及案例.docx
《电子商务安全及案例.docx》由会员分享,可在线阅读,更多相关《电子商务安全及案例.docx(8页珍藏版)》请在冰豆网上搜索。
电子商务安全及案例
电子商务安全及案例
单位电商101班
学号10502130
电子商务安全及案例
浅析电子商务安全协议SSL与SET
姓名:
江运权
班级:
电子商务
江西农业大学南昌商学院
二〇一三年六月
二、安全套接层协议(SSL)
(一)概念
安全套接层协议SSL(Secure Sockets Layer)是Netscape公司1995年推出的一种安全通信协议。
SSL提供了两台计算机之间的安全连接,对计算机整个会话进行了加密,从而保证了信息传输的安全,实现浏览器与Web服务器之间的安全通信,在Internet上广泛应用于处理与金融有关的敏感信息。
SSL协议是一种保护Web通信的工业标准,能够对信用卡和个人信息、电子商务提供较强的加密保护
SSL协议是由网景公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。
SSL是对计算机之间整个会话进行加密的协议。
在SSL中,采用了公开密钥和私有密钥两种加密方法,它已成为事实上的工业标准,独立于应用层,可加载任何高层应用协议,适合为各类C/S模式产品提供安全传输服务。
它提供一种加密的握手会话,使客户端和服务器端实现身份验证、协商加密算法和压缩算法、交换密钥信息。
这种握手会话通过数字签名和数字证书来实现客户和服务器双方的身份验证,采用DES、MD5等加密技术实现数据的保密性和完整性。
在用数字证书对双方的身份验证后,双方就可以用密钥进行安全会话。
(二)SSL协议提供安全连接的基本特点
1.连接是保密的:
对于每个连接都有一个惟一的会话密钥,采用对称密码体制(如DES、RC4等)来加密数据;
2.连接是可靠的:
消息的传输采用MAC算法(如MD5、SHA等)进行完整性检验;
3.对端实体的鉴别采用非对称密码体制(如RSA、DSS等)进行认证。
(三)SSL协议提供的服务
1.数据和服务器的合法认证。
使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。
客户机和服务器都有各自的识别号,由公开密钥编排。
为了验证用户,SSL协议要求在握手交换数据中做数字认证,以此来确保用户的合法性。
2.加密数据以便隐藏被传送的数据。
SSL协议采用的加密技术既有对称密钥也有公开密钥。
具体来说,就是客户机与服务器交换数据之前,先交换SSL初始握手信息。
在SSL握手信息中采用了各种加密技术,以保证数据的机密性,防止非法用户破译。
3.维护数据的完整性。
SSL协议采用Hash函数和机密共享的方法,提供完整信息性的服务,来建立客户机与服务器之间的安全通道,使经过处理的业务在传输过程中能够完整、准确地到达目的地。
(四)SSL协议的构成
SSL协议分为两层:
SSL握手协议和SSL记录协议。
1.SSL握手协议。
SSL握手协议用于在通信双方建立安全传输通道,是在客户机与服务器之间交换信息强化安全性的协议。
具体实现以下功能:
①在客户端验证服务器,SSL协议采用公钥方式进行身份认证;
②在服务器端验证客户(可选的);
③客户端和服务器之间协商双方都支持的加密算法和压缩算法。
④产生对称加密算法的会话密钥;
⑤建立加密SSL连接。
SSL握手协议最终使双方建立起合适的会话状态信息要素,包括对话标识、对等证书、压缩方法、加密说明、会话密钥等信息。
2.SSL记录协议。
SSL记录协议提供通信、认证功能,从高层接收到数据后要经过分段、压缩和加密处理,最后由传输层发送出去。
在SSL协议中所有的传输数据都被封装在记录中,SSL记录协议规定了记录头和记录数据的格式。
每个SSL记录包含内容类型、协议版本号、记录长度、数据有效载荷、MAC
(五)SSL协议的缺点
1.客户的信息先到商家,让商家阅读,这样,客户资料的安全性就得不到保证。
2.SSL只能保证资料信息传递的安全,而传递过程是否有人截取就无法保证了。
所以,SSL并没有实现电子支付所要求的保密性、完整性,而且多方互相认证也是很困难
三、安全电子交易SET协议
SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。
SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。
SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。
(一)SET支付系统的组成
SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。
对应地,基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。
(二)SET安全协议主要提供三方面的服务
1.保证客户交易信息的保密性和完整性:
SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名,使得商家看不到支付信息,只能接收用户的订单信息;而金融机构看不到交易内容,只能接收到用户支付信息和帐户信息,从而充分保证了消费者帐户和定购信息的安全性。
2.确保商家和客户交易行为的不可否认性:
SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性,采用的核心技术包括X.509电子证书标准,数字签名,报文摘要,双重签名等技术。
(三)SET协议的数据交换过程
SET协议的购物系统由持卡人、商家、支付网关、收单行和发卡行五个部分组成,这五大部分之间的数据交换过程如下:
1.持卡人决定购买,向商家发出购买请求;
2.商家返回商家证书等信息;
3.持卡人验证商家身份,将定购信息和支付信息安全传送给商家,但支付信息对商家来说是不可见的(用银行公钥加密);
4.商家验证支付网关身份,把支付信息传给支付网关,要求验证持卡人的支付信息是否有效;
5.支付网关验证商家身份,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并把结果返回商家;
6.商家返回信息给持卡人,按照订单信息送货;
7.商家定期向支付网关发送要求支付信息,支付网关通知发卡行划账,并把结果返回商家,交易结束
(四)SET协议的缺点
1.只能建立两点之间的安全连线,所以顾客只能把付款信息先发送到商家,再由商家转发到银行,而且只能保证连接通道是安全的而没有其他保证。
2.不能保证商家会私自保留或盗用他的付款信息
四.SSL与SET协议的比较
SSL协议和SET协议的差别主要表现在以下几个方面:
(一)用户接口
SSL协议已被浏览器和WEB服务器内置,无需安装专门软件;而SET协议中客户端需安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件。
(二)处理速度
SET协议非常复杂、庞大,处理速度慢。
一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程可能需花费1.5至2分钟;而SSL协议则简单得多,处理速度比SET协议快。
(三)认证要求
论文联盟WWW.LWLM.COM整理早期的SSL并没有提供商家身份认证机制,不能实现多方认证;早期的SSL协议并没有提供身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和Web服务器之间的身份验证,但仍不能实现多方认证,而且SSL中只有商家服务器的认证是必须的,客户端认证则是可选的。
相比之下,SET协议的认证要求较高,所有参与SET交易的成员都必须申请数字证书,并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
(四)安全性
安全性是网上交易中最关键的问题。
SET协议规范了整个商务活动的流程,从而最大限度地保证了商务性、服务性、协调性和集成性。
SET协议由于采用了公钥加密、信息摘要和数字签名可以确保信息的保密性、可鉴别性、完整性和不可否认性,且SET协议采用了双重签名来保证参与交易活动的各方信息的相互隔离,使商家只能看到持卡人的订购数据,而银行只能取得持卡人的信用卡信息。
SSL协议虽也采用了公钥加密、信息摘要和MAC检测,可以提供保密性、完整性和一定程度的身份鉴别功能,但缺乏一套完整的认证体系,不能提供完备的防抵赖功能。
因此,SET的安全性远比SSL高。
(五)协议层次和功能
SSL属于传输层的安全技术规范,它不具备电子商务的商务性、协调性和集成性功能。
而SET协议位于应用层,它不仅规范了整个商务活动的流程,而且制定了严格的加密和认证标准,具备商务性、协调性和集成性功能。
(六)在应用领域方面
SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全,但如果电子商务应用是一个涉及多方交易的过程,则使用SET更安全、更通用些。
五、结束语
由于SSL协议的成本低、速度快、使用简单,对现有网络系统不需进行大的修改,因而目前在电子商务中取得了广泛的应用。
但随着电子商务规模的扩大,网络欺诈的风险性也在提高,需要对参与交易的多方进行认证,在未来的电子商务中SET协议将会逐步占据主导地位。
但现在由于两协议所处的网络层次不同,为电子商务提供的服务也不相同,因此在实践中应根据具体情况来选择独立使用或两者混合使用。
升级会员 