1、第 4 章 電子商務(wù)安全協(xié)議第 1 節(jié) SSL 協(xié)議第 2 節(jié) SET 協(xié)議第 1 節(jié) SSL 協(xié)議一、SSL 協(xié)議概述 安全電子商務(wù)交易中運(yùn)用最為廣泛的一種協(xié)議，其含義是“安全套接層協(xié)議”，其是基于 Web 應(yīng)用而開發(fā)，主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全性，對(duì)傳送的數(shù)據(jù)進(jìn)行加密和隱藏，確保數(shù)據(jù)在傳送中不被改變。 SSL 適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，最常見的應(yīng)用是Web 瀏覽器與服務(wù)器之間的安全訪問。二、SSL 協(xié)議的功能實(shí)現(xiàn)1.基本結(jié)構(gòu) SSL 協(xié)議的整個(gè)概念可以被總結(jié)為：一個(gè)保證任何安裝了安全套接層的客戶機(jī)和服務(wù)器間事務(wù)安全的協(xié)議，它涉及所有TC/IP 的應(yīng)用程序。 SSL 由兩個(gè)共同工作

2、的協(xié)議組成：“SSL 記錄協(xié)議” 和“SSL 握手協(xié)議” 。2.基本過程（1）服務(wù)器認(rèn)證階段（2）用戶認(rèn)證階段（3）結(jié)束階段三、SSL 的特性1.認(rèn)證性2.秘密性3.完整性四、SSL 的安全性 SSL 可以保護(hù)傳輸中的信息和資料，但它并不對(duì)應(yīng)用程序、操作系統(tǒng)或者主機(jī)提供保護(hù)。使用SSL 在安全設(shè)備之間以及中央管理器之間通信時(shí)，仍然要注意設(shè)備和系統(tǒng)本身的安全。防止版本重放攻擊檢測(cè)對(duì)握手協(xié)議的攻擊會(huì)話的恢復(fù)中間人攻擊流量數(shù)據(jù)分析攻擊主動(dòng)攻擊報(bào)文重放攻擊五、SSL 的安全問題1. SSL 本身的安全漏洞 （1）已經(jīng)出現(xiàn)的對(duì)SSL3.0 成功的攻擊是流量分析攻擊，這種攻擊基于密文長(zhǎng)度能夠揭示明文長(zhǎng)度。

3、 （2）在密鑰管理方面，SSL 也存在一些問題：客戶機(jī)和服務(wù)器在相互發(fā)送加密算法時(shí)，是以明文傳輸?shù)模嬖诒还粜薷牡目赡堋?（3）SSL3.0 為了兼容以前的版本，可能會(huì)降低安全性。 （4）所有的會(huì)話密鑰中都將生成密鑰，握手協(xié)議的安全完全依賴于對(duì)密鑰的保護(hù)，因此通信中要盡可能地減少使用密鑰。2. 使用SSL 的網(wǎng)站應(yīng)注意的安全問題六、雙向認(rèn)證SSL 協(xié)議的具體過程在SSL 協(xié)議中，可以使用單方證書，也可以使用雙方證書。使用單方證書只能實(shí)現(xiàn)加密和用戶對(duì)服務(wù)器的確認(rèn)，不能實(shí)現(xiàn)服務(wù)器對(duì)用戶身份的識(shí)別，使用雙方證書，可以實(shí)現(xiàn)服務(wù)器端和用戶端的雙向認(rèn)證。第 2 節(jié) SET 協(xié)議 為了實(shí)現(xiàn)更加完善的即時(shí)電子支付，SET（安全電子交易）協(xié)議應(yīng)運(yùn)而生，它保證了開放網(wǎng)絡(luò)上使用信用卡進(jìn)行在線購(gòu)物的安全。一、SET 協(xié)議概述SET 協(xié)議主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計(jì)的，它詳細(xì)而準(zhǔn)確地反映了卡交易各方之間的各種關(guān)系。支付網(wǎng)關(guān)二、SET 協(xié)議的目標(biāo)1. 保證信息的機(jī)密性2. 保證信息的完整性3. 解決多方認(rèn)