1、第四章第四章SET協議和協議和SSL協議協議掌握SET協議的概念、參與方及目標，能夠整體上掌握SET協議的基本原理； 掌握SET協議中的認證技術、加密技術等； 理解SET協議的安全性、復雜性及性能； 掌握SSL協議的目標，理解SSL協議的安全性問題； 掌握記錄協議、握手協議的原理； 了解SET協議與SSL協議的區別和聯系。知識目標知識目標初步掌握SET協議和SSL協議的處理流程。技能目標技能目標第一節第一節 SET協議協議第一節第一節SET協議協議（一）（一） SET協議的概念協議的概念SET（secure electronic transaction）協議即安全電子傳輸協議，是由Visa、M

2、asterCard以及其他一些業界的主流廠商經過多年研究于1997年提出的，一種旨在保證在開放網絡環境下電子商務中的支付安全的網絡安全協議。SET協議基于應用層，因此，它也是一種基于信息流的協議。第一節第一節 SET協議協議實際上，SET協議是一個十分復雜的網絡協議，從宏觀上講，主要有以下幾個特點。SET協議保證網絡交易的安全、高效和準確SET協議的設計基于多種外部標準SET協議受到眾多廠商、機構的支持SET協議為實現其功能，整合了多種網絡安全技術第一節第一節 SET協議協議SET協議的設計基于多種外部標準（1） ASN.1（7） PKCS（9） TCP/IPTCP/IP又名網絡通信協議（10

3、） X-509標準是一種數字證書標準，由國際電信聯盟（8） SHASHA又名單向雜湊函數（2）DER（6） MIME（4）HMAC（3）DEA（5）HTTP第一節第一節 SET協議協議SET協議為實現其功能，整合了多種網絡安全技術第一節第一節 SET協議協議（二）（二） SET協議的參與方協議的參與方網絡商家持卡人收單銀行認證中心支付網關發卡銀行第一節第一節 SET協議協議（三）（三） SET協議的目標協議的目標解決多方認證問題保證信息在網絡上的安全傳輸保證網上交易的實時性提供一個開放式的標準、規范協議和消息格式保證電子商務參與者信息的相互隔離12345第一節第一節 SET協議協議二、二、 S

4、ET協議的相關技術協議的相關技術（一）（一） SET協議的認證技術協議的認證技術SET協議的認證是通過第三方（認證中心）來實現的。所謂認證，就是對對方網絡身份的鑒別，保證對方身份可信的過程。第一節第一節 SET協議協議1. 數字證書支付網關證書商家證書收單行證書和發卡行證書持卡人證書第一節第一節 SET協議協議2. 證書的管理結構（1） RCA（7） 持卡人（9） 支付網關（8） 商家（2） BCA（6） PCA（4） CCA（3） GCA（5） MCA第一節第一節 SET協議協議2. 證書的管理結構第一節第一節 SET協議協議3. 證書的發行、更新和撤銷（1） 證書的發行（certifica

5、te issuance）。證書的發行有3種方式：Web方式（交互方式）Web方式（交互方式）離線方式（非交互方式）第一節第一節 SET協議協議Web方式的證書申請和發行。一般來說，該過程需要經歷3個階段：1 12 23 3持卡人申請證書的請求和應答過程持卡人申請登記表的請求和應答過程證書請求和生成過程第一節第一節 SET協議協議（2） 證書的更新。證書經過一段時間的使用后便需要更新，這是由證書本身設定的失效期決定的。具體的更新周期由CA決定。第一節第一節 SET協議協議（3） 證書的撤銷。SET協議針對參與交易的不同對象，制定了具體的證書撤銷程序。支付網關證書的撤銷CA證書的撤銷商家證書的撤銷

6、持卡人證書的撤銷第一節第一節 SET協議協議（二）（二） SET協議的加密技術協議的加密技術數字信封和數字簽名雙重簽名消息摘要第一節第一節 SET協議協議三、三、 SET協議分析協議分析（一）（一） SET協議的處理流程協議的處理流程購買請求商家注冊支付授權支付請款持卡人注冊12345第一節第一節 SET協議協議（二）（二） SET協議的復雜性分析協議的復雜性分析由以上的內容可知，SET協議的交易是十分復雜的，需要驗證證書9次、驗證數字簽名6次、傳遞證書7次、進行數字簽名5次、對稱加密4次、非對稱加密4次。完成一個以SET協議為基礎的交易過程需要一兩分鐘，有時需要更長的時間。此外，SET協議的

7、證書格式也較為特殊，因為它是由Visa和MasterCard開發，并且按照信用卡支付方式來定義的。第一節第一節 SET協議協議（三）（三） SET協議的安全性分析協議的安全性分析數據完整性數據完整性不可否認性機密性第一節第一節 SET協議協議（四）（四） SET協議的性能分析協議的性能分析SET協議的優點：（1） SET協議為商家提供了保護自己的手段，減少了其在正常的商業活動中受到的欺詐和騷擾。（2） SET協議使網絡交易成為可能，大大降低了企業的運行成本和管理成本。第一節第一節 SET協議協議（3） SET協議保護了消費者的權益，保證了消費者的信息不被竊取，保證了交易者在整個交易過程中的安全

8、。（4） SET協議將傳統的商業活動帶入了互聯網，為商業活動開辟了一種新的交易模式，使其相對于傳統的商貿活動更具有活力。（5） SET協議定義了特定的互操作接口，是一個可以由不同廠商的產品構筑的系統。第一節第一節 SET協議協議SET協議的不足：（1） SET協議的報文消息太過復雜。（2） SET協議涉及的參與者相對較多，參與方的工作量較大。（3） SET協議僅解決了支付信息的認證問題，而沒有解決交易中證據的生成和保留問題。（4） SET協議中沒有對交易過程和交易狀態作出描述。第二節第二節 SSL協議協議一、一、 SSL協議概述協議概述第二節第二節 SSL協議協議1.SSL協議的目標SSL協議

9、的目標按照實現的先后順序排列如下：建立安全的連接實現可操作性實現可擴展性第二節第二節 SSL協議協議2. SSL協議實現的功能用戶和服務器的合法性認證加密數據以隱藏被傳送的數據安全保護數據的完整性第二節第二節 SSL協議協議3. SSL協議與電子商務安全的關系SSL協議的運行前提是商家對客戶信息保密。保密的信息既包括交易的信息，也包括客戶個人信息或團體信息。在交易過程中，商家對客戶的認證是必要的，但是整個過程還是缺乏客戶對商家的認證，協議本身主要依賴于商家的可靠性。但隨著電子商務參與廠商的不斷增加，商家的信譽度往往會出現問題，這也暴露出了SSL協議的問題。所以，近幾年開發的電子支付系統往往不以

10、SSL協議為基礎，而多數采用SET協議。可以說，SSL協議有被SET協議取代的趨勢。第二節第二節 SSL協議協議二、二、 SSL中的記錄協議和握手協議中的記錄協議和握手協議（一）（一） SSL記錄協議記錄協議SSL記錄數據格式SSL記錄協議的作用第二節第二節 SSL協議協議（二）（二） SSL握手協議握手協議1. SSL握手協議的各個階段接通階段密鑰交換階段會話密鑰生成階段客戶機認證階段服務器證實階段結束階段第二節第二節 SSL協議協議2. 握手報文CLIENT-HELLO報文CLIENT-FINISHED報文SERVER-HELLO報文CLIENT-MASTER-KEY報文第二節第二節 SS

11、L協議協議3. SSL握手協議的作用SSL中的握手協議，將公鑰加密技術與對稱密鑰加密技術的應用結合在一起，有機地組成了互聯網（或其他網絡）上信息安全傳輸的通道。通過SSL，客戶端與服務器端可以互相傳送自己的數字證書、互相驗證合法性，這樣既可以減少用戶因虛假網站所造成的損失，又可以保護網站免受不良信息的影響。第二節第二節 SSL協議協議三、三、 SSL協議的安全性分析協議的安全性分析SSL協議的安全性分析包括安全機制分析和脆弱性分析兩種。安全機制分析脆弱性分析第二節第二節 SSL協議協議（一）（一） 安全機制分析安全機制分析完整性機制抗重放攻擊加密機制鑒別機制第二節第二節 SSL協議協議（二）（

12、二） 脆弱性分析脆弱性分析SSL協議自身的缺陷SSL協議不規范引起的問題第二節第二節 SSL協議協議1. SSL協議自身的缺陷引起的問題（1） 客戶端假冒（2） SSL協議無法提供基于UDP應用的安全保護（3） SSL協議不能對抗通信流量分析（4） 容易遭受基于公鑰加密標準（PKCS）協議的自適應選擇密文攻擊（5） 進程中的主密鑰泄露（6） 磁盤上的臨時文件可能遭受攻擊第二節第二節 SSL協議協議2. SSL協議不規范引起的問題對證書的攻擊和竊取安全盲點中間人攻擊IE瀏覽器的SSL身份鑒別缺陷第三節第三節 SET協議與協議與SSL協議的比較協議的比較一、一、 SET協議和協議和SSL協議的內容

13、對比協議的內容對比兩個協議之間的區別有以下幾點：（1） SET協議是一個多方的報文協議，定義了發卡銀行、持卡人、收單銀行和網絡商家之間必須遵守的報文規范；SSL協議只是簡單地在交易雙方之間建立安全的連接。（2） SET協議允許各方之間的報文交換不是實時的；而SSL協議則是面向連接的，體現的是消息的實時交換。（3） SET報文能夠在銀行內部網或者其他網絡上傳播，而基于SSL協議的卡支付系統只能與Web瀏覽器捆綁在一起。第三節第三節 SET協議與協議與SSL協議的比較協議的比較第三節第三節 SET協議與協議與SSL協議的比較協議的比較第三節第三節 SET協議與協議與SSL協議的比較協議的比較二、二

14、、 SSL協議和協議和SET協議的性能對比協議的性能對比為了更好地體現兩個協議在性能上的差異，下面從影響協議性能的兩方面客戶計算機和電子商務服務器來進行對比。客戶計算機電子商務服務器第三節第三節 SET協議與協議與SSL協議的比較協議的比較第三節第三節 SET協議與協議與SSL協議的比較協議的比較三、三、 SET協議與協議與SSL協議的費用對比協議的費用對比（1） 對于小型和中型電子商務應用，沒有附加服務器費用來支持SET協議和SSL協議，在可預期的負載下，這些價格范圍的服務器性能是足夠的。（2） 對于大型電子商務服務器應用，SET協議要求額外的硬件加速，其中中型的硬件加速設備占服務器費用的5

15、%6%。第三節第三節 SET協議與協議與SSL協議的比較協議的比較（3） 對于小型支付網關的應用，SET協議和SSL協議都要求硬件加速，但是隨著服務器性能的提高，以及其他處理能力的提高，如橢圓曲線密碼體制（ECC），也可能不使用額外加速硬件。預計將來加速硬件將成為服務器的標準硬件配置。（4） 大型支付網關的應用多采用雙機Cluster系統，對于SET協議和SSL協議的費用主要是在雙機Cluster系統上的投資，因為密碼加速硬件的費用至少是單機的兩倍。本章小結本章小結本章主要介紹了網絡交易過程中的安全電子傳輸協議（SET）和安全套接層協議（SSL）的基本內容。安全電子傳輸協議（SET）安全套接層

16、協議（SSL）綜合訓練綜合訓練1. 什么是SET協議？2. SET協議的參與方有哪些？這些參與方各自的職能有哪些？3. 簡述消息摘要的原理。4. SET協議需要遵守的外部標準是什么？5. 簡述數字簽名和數字信封的原理。6. 什么是SSL協議？7. 畫出SSL協議所處的網絡結構。8. 簡述記錄協議和握手協議的原理。9. 簡述RSA技術發揮的功用在SET協議與SSL協議上的主要區別。實訓設計實訓設計模擬使用SET協議的交互實訓一實訓一實訓二實訓二查找SSL協議的最新動態初步掌握SET協議和SSL協議的處理流程。技能目標技能目標第一節第一節 SET協議協議實際上，SET協議是一個十分復雜的網絡協議，從宏觀上講，主要有以下幾個特點。SET協議保證網絡交易的安全、高效和準確SET協議的設計基于多種外部標準SET協議受到眾多廠商、機構的支持SET協議為實現其功能，整合了多種網絡安全技術第一節第一節 SET協議協議3. 證書的發行、更新和撤銷（1） 證書的發行（certificate issuance）。證書的發行有3種方式：Web方式（交互方式）Web方式（交互方式）離線方式（非交互方式）第二節第二節 SSL協議協議（二）（二） SSL握手協議握手協議1. SSL握手協議的各個階段接通階段密鑰交換階段會話密鑰生成階段客戶機認證階段服務器證實階段結束階段第二節第二節 SSL協議協議3. SS