《电子商务基础与实操》 万守付主编 第3部分电子商务安全 深圳信息职业披术学院 2005-11-08 图1 深圳信息职业技术学院《电子商务基础》课程组版权所有 下页
图1 深圳信息职业技术学院《电子商务基础》课程组版权所有 《电子商务基础与实操》 下页 万守付 主编 深圳信息职业技术学院 2005-11-08 第3部分 电子商务安全
第3部分电子商务安全 目录 3.1电子商务系统的安全要求 3.2数据加密技术 33认证技术 34电子商务的安全交易标准 图2 深圳信息职业技术学院《电子商务基础》课程组版权所有 下页
图2 深圳信息职业技术学院《电子商务基础》课程组版权所有 下页 3.1 电子商务系统的安全要求 3.2 数据加密技术 3.3 认证技术 3.4 电子商务的安全交易标准 目 录 第3部分 电子商务安全
3.4电子商务的安全交易标准 341安全套接层协议(SSL 342安全电子交易协议(SET) 图3 深圳信息职业技术学院《电子商务基础》课程组版权所有
图3 深圳信息职业技术学院《电子商务基础》课程组版权所有 3.4 电子商务的安全交易标准 3.4.1 安全套接层协议 (SSL) 3.4.2 安全电子交易协议 (SET)
电子商务实施初期 采用的安全措施 n部分告知( partial order)。在网上交易中将最 关键的数据,如信用卡帐号及交易金额等略去 然后再用电话告知,以防泄密。 另行确认( order confirmation)。在网上传输交 易信息之后,再用电子邮件对交易进行确认,才 认为有效 在线服务( online service)。为了保证信息传输 的安全,用企业提供的内部网来提供联机服务 图4 深圳信息职业技术学院《电子商务基础》课程组版权所有
图4 深圳信息职业技术学院《电子商务基础》课程组版权所有 电子商务实施初期 采用的安全措施 部分告知(partial order)。在网上交易中将最 关键的数据,如信用卡帐号及交易金额等略去, 然后再用电话告知,以防泄密。 另行确认 (order confirmation)。在网上传输交 易信息之后,再用电子邮件对交易进行确认,才 认为有效。 在线服务 (online service)。为了保证信息传输 的安全,用企业提供的内部网来提供联机服务
3.4.1安全套接层协议 SSL( secure sockets layer)是由 Netscape公司是由设计开发的,其 目的是通过在收发双方建立安全通道 来提高应用程序间交换数据的安全性 从而实现浏览器和服务器(通常是 Web服务器)之间的安全通信 图5 深圳信息职业技术学院《电子商务基础》课程组版权所有
图5 深圳信息职业技术学院《电子商务基础》课程组版权所有 3.4.1 安全套接层协议 ◼ SSL (secure sockets layer)是由 Netscape 公司是由设计开发的,其 目的是通过在收发双方建立安全通道 来提高应用程序间交换数据的安全性, 从而实现浏览器和服务器(通常是 Web服务器)之间的安全通信
■SSL是一种利用公共密钥技术的工业标准, 已经广泛用于 iInternet,它使用的是RSA 数字签名算法,可以支持X.509证书和多 种保密密钥加密算法。 其运行机制是:在建立连接过程中采用公 共密钥;在回话过程中采用专有密钥;加 密的类型和强度则在两端之间建立连接的 过程中判断决定。 图6 深圳信息职业技术学院《电子商务基础》课程组版权所有
图6 深圳信息职业技术学院《电子商务基础》课程组版权所有 ◼ SSL是一种利用公共密钥技术的工业标准, 已经广泛用于Internet,它使用的是RSA 数字签名算法,可以支持X.509证书和多 种保密密钥加密算法。 ◼ 其运行机制是:在建立连接过程中采用公 共密钥;在回话过程中采用专有密钥;加 密的类型和强度则在两端之间建立连接的 过程中判断决定
1、SL提供的基本服务功能 信息保密。使用公共密钥和对称密钥技术实 现信息保密。SSL客户机和SSL服务器之间的 所有业务都使用在SsL握手过程中建立的密 钥和算法进行加密,这样就防止了某些用户 进行非法窃听。 信息完整性。SSL利用机密共享和Hash函数 组提供信息完整性服务。 相互认证。是客户机和服务器相互识别的过 程。 图7 深圳信息职业技术学院《电子商务基础》课程组版权所有
图7 深圳信息职业技术学院《电子商务基础》课程组版权所有 1、SSL提供的基本服务功能 ❖ 信息保密。使用公共密钥和对称密钥技术实 现信息保密。SSL客户机和SSL服务器之间的 所有业务都使用在SSL握手过程中建立的密 钥和算法进行加密,这样就防止了某些用户 进行非法窃听。 ❖ 信息完整性。SSL利用机密共享和Hash函数 组提供信息完整性服务。 ❖ 相互认证。是客户机和服务器相互识别的过 程
表3S的三种安全服务 服务类型主要技术「应用 信息保密|加密 防止窃听 信息完整性信息认证码防止破坏 相互认证x50证明防止冒名 图8 深圳信息职业技术学院《电子商务基础》课程组版权所有
图8 深圳信息职业技术学院《电子商务基础》课程组版权所有
2.SL协议通信过程 ■①接通阶段:客户机呼叫服务器,服 务器回应客户。 ■②认证阶段:服务器向客户机发送服 务器证书和公钥;如果服务器需要双方 认证,还要向对方提出认证请求;客户 机用服务器公钥加密向服务器发送自己 的公钥,并根据服务器是否需要认证客 户身份,向服务器发送客户端证书。 图9 深圳信息职业技术学院《电子商务基础》课程组版权所有
图9 深圳信息职业技术学院《电子商务基础》课程组版权所有 2. SSL协议通信过程 ◼ ① 接通阶段:客户机呼叫服务器,服 务器回应客户。 ◼ ② 认证阶段:服务器向客户机发送服 务器证书和公钥;如果服务器需要双方 认证,还要向对方提出认证请求;客户 机用服务器公钥加密向服务器发送自己 的公钥,并根据服务器是否需要认证客 户身份,向服务器发送客户端证书
③确立会话密钥阶段:客户和服务器 之间协议确立会话密钥。 ④会话阶段:客户机与服务器使用会 话密钥加密交换会话信息。 ⑤结束阶段:客户机与服务器交换结 束信息,通信结束。 图10 深圳信息职业技术学院《电子商务基础》课程组版权所有
图10 深圳信息职业技术学院《电子商务基础》课程组版权所有 ◼ ③确立会话密钥阶段:客户和服务器 之间协议确立会话密钥。 ◼ ④会话阶段:客户机与服务器使用会 话密钥加密交换会话信息。 ◼ ⑤结束阶段:客户机与服务器交换结 束信息,通信结束