5.2 电子商务安全

一.大纲要求
5.2.1 电子商务安全基础知识
* 熟悉电子商务安全概念、特点和需求
5.2.2 电子商务的安全认证体系
* 熟悉身份认证技术和数字证书技术
5.2.3 电子商务的安全服务协议
* 了解SET协议
* 熟悉SSL协议

二.思维导图

三.备考知识要点

5.2.1 电子商务安全概论

5.2.1.1 概念、特点

电子商务安全从整体上可分为两大部分:网络安全和商务交易安全。★

网络安全的内容包括:网络设备安全、网络系统安全、数据库安全等。

电子商务安全是以网络安全为基础的。

电子商务安全与肉络安全又是有区别的:

首先，网络不可能绝对安全，在这种情况下，还需要运行安全的电子商务。其次，即使网络绝对安全，也不能保障电子离务的安全。

电子商务安全具有如下四大特性:★

(1)电子离务安全是一个系统概念

(2) 电子商务安全是柏对的

(3)电子商务安全是有代价的

(4) 电子商务安全是发展的、动态的

5.2.1.2 安全需求★

(1)交易实体身份可认证性需求

(2) 信息保密性的需求

(3)信患完整性的需求

(4) 交易信息的不可抵赖性需求

(5) 商务服务的有效性需求

(6) 访问控制性需求

电子商务要安全地展开，以上几个最基本的安全要素必须实现。也就是说，数据和信息的隐私必须受到保护，交易者身份必须得到认证，并且具有可认证性，未被授权的进入应该进行控制和拒绝。

5.2.2 电子商务的安全认证体系

1.身份认证技术

身份认证过程指的是当用户试匮访问资源的时候，系统确定用户的身份是否真实的过程。认证对所有需要安全的服务来说是至关重要的，因为认证是访问控制执行的前提，是判断用户是否有权访问信息的先决条件，同时也为日后追究责任提供不可抵赖的证据。

通常可以根据以下5 种信息进行认证:★

①用户所知道的。

②用户所拥有的。

③用户本身的特征。

④根据特定地点(或特定时间)。

⑤通过信任的第三方。

认证技术决定了系统的安全程度。

2. 数字证书技术

所谓数字证书就是在互联网通信中标志通信各方身份信息的一系列数据，提供了一种在Intemet 上验证用户身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构一-CA 机构，又称为证书授权中心发行的，人们可以在网上用它来识别彼此的身份。★

CA 机构，又称为证书授权中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

数字证书采用公钥体制，即利用一对互相匹配的密铝进行加密、解密。

数字证书与传输密钥和签名密钥对的产生相对应。对每一个公钥做一张数字证书，私钥用最安全的方式交给用户或用户自己生产密钥对。

在公开密钥密码体制中，常用的一种是RSA 体制。

5.2.3 电子商务的安全服务协议

目前有两种安全在线支付协议被广泛采用★，分别为安全电子交易协议(SET) 和安全套接层协议(SSL) ，二者均是成熟和实用的安全协议。

5.2.3.1 SET 协议

1. SET 协议简介

SET 协议是应用层的协议，是一种基于消息流的协议，它是面向B2C (企业对消费者)模式的，完全针对信用卡来制定，涵盖了信用卡在电子商务交易中的交易协议信息保密、资料完整等各个方面。

SET 协议主要使用的技术包括★:对称密钥加密、公钥加密、Hash 算法、数字签名、数字信封以及数字证书等技术。

2. SET 协议的功能和实现的目标

SET 协议是一个基于可信的第三方认证中心的方案，其主要的实现目标是:

• 保证电子离务参与者信息的相互隔离。
• 保证信息在Internet 上安全传输。
• 解决多方认证问题。
• 保证网上交易的实时性。
• 提供一个开放式的标准。

3. SET 交易的参与方介绍

SET交易的参与方包括持卡人、发卡机构、离家、收单银行、支付网关和数字证书认证中心 CA 。

4. SET 规范和采用的外部标准

(1) SET 技术规范

SET 协议分为三个部分:

• 商业描述
• 程序员指导
• 正式的协议定义

5. SET 的加密技术和认证技术

SET 协议是一种电子支付系统的安全协议，因此它涉及加密、认证等多种技术。

(1)加密技术

加密技术是SET 协议中的核心技术，在SET 中使用的主要包括对称加密、非对称加密、数字签名、消息摘要、数字信封、双重签名等。

(2) 认证技术

网上交易的买卖双方在进行每一笔交易时，为了保证交易的可靠性，买方和卖方都要鉴别对方的身份。

CA的主要功能有:接收注册请求处理、批准/拒绝请求、发行证书。

认证技术具体涉及以下一些内容:

①证书信息

持卡人证书

持卡人证书表明持卡人拥有的支付卡是合法的，它是由权威的金融机构数字签署的，不能由其他非法第三方产生。

商家证书

商家证书与持卡人证书基本一样。

支付网关证书

支付网关证书由收单行或收单行的处理系统拥有。

收单行证书

一个收单银行必须拥有证书，才能使一个CA 接收和处理商家从公共和专用网络发出的证书请求。

发卡行证书

一个发卡银行必须拥有证书， CA 才能接收和处理来自持卡人的证书请求(通过公共或专用网络)，那些选择支付卡品牌来代理处理证书请求的发卡行不需要证书。

②证书的发行

③认证信息和验证结构

认证信息

在SET 中，交易双方的身份必须要验证， CA 是提供身份验证的第三方机构。

6. SET 证书管理及处理流程

(1) SET 协议分析

① SEτ协议安全性分析

SEτ协议主要是通过使

用密码技术和数字证书方式来保证信息的机密性和安全性，它实现了电子交易的机密性、数据完整性、身份的合法性和不可否认性。

5.2.3.2 SSL 协议

1. SSL 协议概述

SSL 安全套接层协议是安全通信协议。

在SSL 中★，采用了公开密钥和私有密钥两种加密方式，它对计算机之间整个会话进行加密，从而保证了安全传输。SSL 的安全服务位于TCP 和应用层之间，可为应用层(如HTTP 、FTP 、SMTP) 提供安全业务，服务对象主要是Web 应用，即客户浏览器和服务器。

SSL 服务器认证允许用户确认服务器身份。

SSL 客户机认证允许服务器确认用户身份。

一个加密的SSL 连接要求所有在客户机与服务器之间发送的信息由发送方软件加密和由接受方软件解密，对称加密法用于数据如密(如用DES 和RC4 等)，从而连接是保密的。

SSL 主要工作流程包括:网络连接建立:与该连接柜关的加密方式和压缩方式选择:双方的身份识别:本次传输密钙的确定:加密的数据传输:网络连接的关闭。

SSL 是一个两层协议★，包括SSL 握手层协议和SSL 记录层协议。

SSL 协议提供的服务可以归纳为如下三个方面:

(1)用户和服务器的合法性认证

(2) 加密数据以隐藏被传送的数据

(3)维护数据的完整性

SSL 协议自身的缺陷★

客户端假冒。

SSL 协议无法提供基于四P 应用的安全保护。

SSL 协议不能对抗通信流量分析。

可能受到针对基于公钥加密标准（PKCS) 的协议的自适应选择密文攻击。

进程中的主密钥泄漏。

磁盘上的临时文件可能遭受攻击。

3. SSL 协议的功能设计

SSL 加密算法和会话密钥是在握手协议中协商并由Cipher-Choice 指定的。

现有的SSL 版本中所用到的加密算法包括：RC4 ， RC2, IDEA、DES 和3DES ，而加密算法所用的密钥由消息散列函数MD5 产生。

SSL 协议中对称加密用于加密应用数据，非对称加密用于验证实体和交换密钥。非对称加密算法按用途分为密钥交换算法和数字签名算法。

本文固定链接: https://www.moondream.cn/?p=587 | 月梦工作室