第8章Web與電子商務安全8.1Web與電子商務安全分析8.2Web安全防護技術8.3SSL8.4SET協議與電子商務安全18.1Web與電子商務安全分析安全電子交易認證技術安全認證協議PKI用戶私人信息保護技術2安全電子交易認證技術數字摘要重要信息Hash后的摘要碼。數字信封用加密技術來保證只有規定的收件人才能夠閱讀信的內容。加密的密鑰被具體稱為數字信封。數字簽名只有信息發送者才能產生，而別人無法偽造的符號串，能同時證明發送者和信息真實性。數字時間戳對電子文件簽署的日期和時間進行安全保護和有效證明的技術。一般由專門的認證機構來生成。數字證書用于證明用戶身份及屬性的數字文件。生物統計學身份識別基于人員的物理或行為特征進行身份識別。3安全認證協議SSL安全套接字層（SecureSocketsLayer）協議，是由Netscape提出的用于保證瀏覽器和Web服務器間安全連接的技術。SSL通過數字證書和數字簽名實現瀏覽器和Web服務器間的雙向認證，并在應用發送數據前為安全的傳輸協商加密算法和會話密鑰。SSL可以應用于大量的應用中，如等。SET安全電子交易（SecureElectronicTransaction）協議是由多家公司共同制定和支持的，用于電子商務的開放標準。SET保護電子交易機密性數據完整身份驗證防抵賴4PKICA證書庫密鑰生成和管理系統（KMC）證書管理系統應用接口（API）PKCS#11Public-KeyCryptographyStandards(PKCS)5用戶私人信息保護技術網上足跡TRUSTeTrustmark聯機圖章。保密優先權平臺PlateformforPrivacyPreferenceProject(P3P)Internet上的匿名Web面臨的挑戰Web非常重要對外公開實現復雜雙向數據流動用戶安全意識和能力差68.2Web安全防護技術Web的安全威脅78.2Web安全防護技術（1）Web流量安全IPSecIP層實現。SSL/TLS（TransportLayerSecurity）TCP層實現。88.3SSLSSL由Netscape發起，TLS由IETF制定。體系結構記錄協議改變加密規格協議報警協議握手協議密碼計算TLS9體系結構兩層第1層：握手、改變密鑰、報警、規格第2層：記錄協議連接與會話連接：提供某種類型服務的傳輸載體；會話：兩端的一種關聯，定義密碼參數集，可被多個連接共享。10記錄協議機密性握手協議定義一個共享密鑰，可用于負載的加密。完整性握手協議還定義了一個用于生成MAC（MessageAuthenticationCode）的共享密鑰。11改變加密規格協議用1個字節值為1的消息，使延遲狀態改變為當前狀態。12報警協議用于向對等實體傳送警告。第1字節1：警告，2：致命，終止連接，并禁止新的連接。第2字節報警編碼13握手協議功能實現通信雙方的相互認證，確定加密算法、MAC算法、密鑰等。消息格式14握手協議（1）第一階段：客戶端發起連接；第二階段：服務器認證和密鑰交換；第三階段：客戶機認證和密鑰交換；第四階段：結束。15密碼計算主密鑰生成密碼參數產生16TLSRFC2246定義了TLS，和SSLv3非常相似。178.4SET協議與電子商務安全SET概述SET協議工作流程SET加密SET認證SET的不足與改進SET與SSL比較18SET概述SET(SecureElectronicTransaction)是應用于Internet上的以信用卡為基礎的電子支付系統協議，采用公鑰密碼體制和X.509證書標準，適用于BtoC模式。目標網絡傳輸的機密性；訂單信息和個人帳號信息隔離；持卡人和商家雙向認證；兼容性和互相操作。涉及的范圍加密算法；證書信息和對象格式；購買信息和對象格式；認可信息和對象格式；劃帳信息和對象格式；消息傳送協議。系統組成持卡人；發卡機構；商家；銀行；支付網關。特點信息保密；數據完整；持卡人帳號鑒別；商家鑒別。19SET協議工作流程階段購買請求支付確認收款步驟20SET加密幾種加密技術密鑰系統公鑰系統數字信封數字簽名消息摘要加密技術在SET中的具體實現21SET認證涉及證書持卡人證書商家證書支付網關證書銀行證書發卡行證書22SET的不足與改進缺乏對不可抵賴的描述銀行網關權力過大缺乏對證書擴展域的規范描述安全依賴于外部環境23SET與SSL比較除都使用RSA外，沒有別的共同之處SET比SSL要復雜許多SET涉及多方定義了具體的消息序列定義了具體的消息格式24思考和討論什么是https？它和SSL有什么關系？使用