版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
Chapter08電子商務(wù)安全2學(xué)習(xí)目標(biāo)整理出計(jì)算機(jī)和網(wǎng)絡(luò)安全攻擊的趨勢(shì);描述不同規(guī)模公司的一般安全活動(dòng);了解電子商務(wù)安全的基本要素;解釋網(wǎng)絡(luò)安全攻擊的基本類型;描述組織在管理安全問(wèn)題上的常見(jiàn)錯(cuò)誤;討論電子商務(wù)通信安全的一些主要技術(shù)手段;詳述電子商務(wù)網(wǎng)絡(luò)安全組件的主要技術(shù)手段。3開篇案例網(wǎng)絡(luò)釣魚面臨問(wèn)題2003年11月17日,很多易趣用戶收到電子郵件,通知稱他們的賬戶正遭受安全威脅。這條信息包含一個(gè)鏈接到易趣注冊(cè)網(wǎng)頁(yè)的鏈接。他們需要輸入信用卡信息、身份證、出生日期、母親的姓名以及ATM個(gè)人認(rèn)證號(hào)碼。但問(wèn)題是,易趣并未發(fā)送這些電子郵件,賬戶持有人所鏈接的網(wǎng)頁(yè)也并不屬于易趣。雖然這些網(wǎng)站看似真實(shí),擁有易趣的標(biāo)識(shí)和為人們所熟悉的界面,但是這個(gè)頁(yè)面確是網(wǎng)絡(luò)欺詐者所建立的虛假網(wǎng)站。這些注冊(cè)的易趣用戶就成為了網(wǎng)絡(luò)釣魚攻擊的受害者。4解決方案:
網(wǎng)絡(luò)釣魚攻擊并非新出現(xiàn)的事物,但所使用的方法卻是新的。過(guò)去,欺詐者依靠電話,而如今他們憑借廣告電子郵件、欺騙性彈出信息或者虛假網(wǎng)頁(yè)來(lái)愚弄受害者,使他們認(rèn)為自己正在進(jìn)行合法的交易。這些消息通常鏈接到一些可信頁(yè)面并且告知他們需要更新或者驗(yàn)證賬戶信息。這些網(wǎng)站看似合法,實(shí)則不然。在欺詐網(wǎng)站上,受害者一般會(huì)被誘騙而泄漏自己的信用卡號(hào)、賬號(hào)、用戶名、密碼、社會(huì)保障號(hào)或其他敏感信息。這些信息則被用來(lái)進(jìn)行偽造信用卡或者身份盜竊。5反網(wǎng)絡(luò)釣魚工作小組;提供主動(dòng)搜索網(wǎng)站(域名服務(wù)器、網(wǎng)頁(yè)、網(wǎng)站、新聞組和聊天室等)服務(wù)以便發(fā)現(xiàn)網(wǎng)絡(luò)釣魚活動(dòng)跡象;個(gè)人應(yīng)該避免回復(fù)那些需要提供個(gè)人信息的電子信件和彈出式信息;避免發(fā)送個(gè)人和財(cái)務(wù)信息;堅(jiān)持更新殺毒軟件;小心打開電子郵件附件或者下載任何文件;向有關(guān)部門報(bào)告可疑現(xiàn)象。6效果:
據(jù)反網(wǎng)絡(luò)釣魚工作組估計(jì),約有5%的用戶反映遭到過(guò)網(wǎng)絡(luò)釣魚攻擊。這些攻擊的經(jīng)濟(jì)影響無(wú)法確定。即使目前已有成文法律禁止垃圾電子郵件和身份盜竊,但這些行為仍然非常猖獗。而實(shí)際上到目前為止,受害者針對(duì)網(wǎng)絡(luò)釣魚攻擊的投訴還非常少見(jiàn)。78.1電子商務(wù)交易風(fēng)險(xiǎn)
通過(guò)竊取個(gè)人信息進(jìn)行的盜竊近年來(lái)增長(zhǎng)很快,并導(dǎo)致2003年全球范圍內(nèi)2210億美元的損失,幾乎是2000年的3倍。2005年6月17日,美國(guó)曝出有史以來(lái)規(guī)模最大的信用卡個(gè)人數(shù)據(jù)外泄事件。美國(guó)萬(wàn)事達(dá)卡國(guó)際組織宣布,美國(guó)專為銀行、會(huì)員機(jī)構(gòu)、特約商店處理卡片交易資料的外包廠商CardSystemsSolutions公司資料庫(kù)遭到入侵,包括萬(wàn)事達(dá)、VISA、運(yùn)通、Discover在內(nèi)高達(dá)4000多萬(wàn)信用卡用戶的銀行資料面臨泄密風(fēng)險(xiǎn),其中萬(wàn)事達(dá)信用卡用戶達(dá)1390萬(wàn),VISA信用卡用戶高達(dá)2200萬(wàn)。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心CNNIC和國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT聯(lián)合發(fā)布的《2009年中國(guó)網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查系列報(bào)告》顯示,2009年,52%的網(wǎng)民曾遭遇網(wǎng)絡(luò)安全事件,網(wǎng)民處理安全事件所支出的相關(guān)服務(wù)費(fèi)用共計(jì)153億元人民幣?!爸圃觳《尽獋鞑ゲ《尽I竊賬戶信息——第三方平臺(tái)銷贓——洗錢”儼然成為“順理成章”的“經(jīng)濟(jì)鏈條”。898.2基本安全問(wèn)題電子商務(wù)環(huán)境下會(huì)出現(xiàn)哪些安全問(wèn)題?從用戶角度:用戶如何確定網(wǎng)絡(luò)服務(wù)器的所有者和操作者是合法的公司?用戶如何知道網(wǎng)頁(yè)和表格不包含一些惡意或者危險(xiǎn)的代碼與內(nèi)容?用戶如何知道網(wǎng)站服務(wù)器的擁有者不會(huì)將其提供的個(gè)人信息泄漏給其他人?10從公司的角度:公司如何知道用戶不會(huì)試圖闖入網(wǎng)絡(luò)服務(wù)器或者修改網(wǎng)站網(wǎng)頁(yè)和內(nèi)容?公司如何知道用戶不會(huì)試圖干擾網(wǎng)站服務(wù)從而使得其他用戶無(wú)法訪問(wèn)?
11從用戶和公司雙方面:用戶和公司如何知道網(wǎng)絡(luò)連接中不會(huì)遭到第三方的在線竊聽(tīng)?用戶和公司如何知道服務(wù)器和用戶瀏覽器之間傳遞的信息不會(huì)在中途被修改?12電子商務(wù)過(guò)程中會(huì)產(chǎn)生的主要安全問(wèn)題 認(rèn)證(authentication) 一個(gè)實(shí)體驗(yàn)證另一個(gè)實(shí)體身份與其所聲稱的身份一致的過(guò)程。 授權(quán)(authorization) 保證用戶或程序有權(quán)訪問(wèn)并獲得特定資源的過(guò)程。 審查(auditing) 收集試圖獲取特殊資源、利用特定權(quán)限或者進(jìn)行其他安全活動(dòng)的信息的過(guò)程。13保密性(privacy)私人或者敏感信息不應(yīng)該向未授權(quán)個(gè)人、實(shí)體或計(jì)算機(jī)軟件處理系統(tǒng)透露。完整性(integrity)保護(hù)數(shù)據(jù)在未授權(quán)或者突發(fā)事件中不被修改或破壞的能力??捎眯?availability)如果個(gè)人或程序需要數(shù)據(jù)時(shí)他們可以訪問(wèn)網(wǎng)頁(yè)、數(shù)據(jù)或服務(wù)。不可否認(rèn)性(availability)限制合法交易被拒絕的能力。關(guān)鍵之一:個(gè)性化簽名。148.3威脅和攻擊的類型 非技術(shù)型攻擊 是指那些犯罪者利用欺騙或者其他誘惑手段使得人們泄漏敏感信息或者采取降低網(wǎng)絡(luò)完全性的活動(dòng)。又被稱作社會(huì)型攻擊。例如網(wǎng)絡(luò)釣魚。
技術(shù)型攻擊 利用軟件和系統(tǒng)知識(shí)進(jìn)行技術(shù)性攻擊。如計(jì)算機(jī)病毒。15非技術(shù)型攻擊:社會(huì)型攻擊
多數(shù)網(wǎng)絡(luò)的致命弱點(diǎn)在于其應(yīng)用人群。誘惑人們提供信息或者進(jìn)行看似無(wú)害的活動(dòng)即所謂的社會(huì)型攻擊。兩類社會(huì)型攻擊:基于人的社會(huì)型攻擊,依靠溝通的傳統(tǒng)方法(面談或通過(guò)電話)基于計(jì)算機(jī)的社會(huì)型攻擊,用很多計(jì)謀誘惑用戶提供敏感信息,如發(fā)送郵件。16對(duì)付社會(huì)型攻擊應(yīng)采用多種方法相結(jié)合的手段:教育和培訓(xùn)策略和程序入侵檢測(cè)17技術(shù)型攻擊
安全弱點(diǎn)和漏洞(CVEs)
弱點(diǎn):可以被黑客直接利用以獲得系統(tǒng)訪問(wèn)或網(wǎng)絡(luò)權(quán)限的軟件缺陷;
漏洞:可以被黑客利用獲得信息或者作為進(jìn)入系統(tǒng)和網(wǎng)絡(luò)跳板的軟件缺陷。18分布式拒絕服務(wù)攻擊(DDoS)
在拒絕服務(wù)式攻擊中,攻擊者為了使目標(biāo)網(wǎng)站資源超負(fù)荷,利用特殊軟件向目標(biāo)計(jì)算機(jī)發(fā)送大量數(shù)據(jù)包進(jìn)行攻擊。
攻擊者獲得非法的準(zhǔn)入權(quán)限進(jìn)入盡可能多的網(wǎng)上計(jì)算機(jī),實(shí)施分布式拒絕服務(wù)攻擊。一旦攻擊者進(jìn)入多臺(tái)計(jì)算機(jī),就在計(jì)算機(jī)上加載特殊的DDoS軟件。DDoS軟件安裝的計(jì)算機(jī)叫做傀儡。如下圖所示。
19分布式拒絕服務(wù)攻擊中的傀儡應(yīng)用20惡意代碼:病毒、蠕蟲和特洛伊木馬很多因素導(dǎo)致總數(shù)不斷上升的惡意代碼事件:數(shù)據(jù)與可執(zhí)行指令的混合日益同質(zhì)化的計(jì)算環(huán)境空前的可連接性規(guī)模更大的基礎(chǔ)薄弱用戶群體日益增加的攻擊速度和攻擊量發(fā)現(xiàn)漏洞與實(shí)施攻擊,入侵這個(gè)漏洞的時(shí)間間隔縮短了遠(yuǎn)程控制Bot網(wǎng)絡(luò)增加電子商務(wù)成為最經(jīng)常被攻擊的目標(biāo)行業(yè)針對(duì)網(wǎng)絡(luò)應(yīng)用技術(shù)的攻擊在增加21病毒 是一份將其自身植入一臺(tái)宿主—包括操作系統(tǒng),進(jìn)行繁殖的代碼。不能獨(dú)立運(yùn)行,需要其宿主程序被運(yùn)行從而激活它。蠕蟲 是一段能獨(dú)立運(yùn)行、為了維持自身存在會(huì)消耗主機(jī)資源,并且能復(fù)制一個(gè)自身的完全工作版本到另一臺(tái)機(jī)器上的程序。宏病毒和宏蠕蟲當(dāng)包含宏的應(yīng)用對(duì)象(如表單、word文檔、電子郵件信息等)被打開,或某特殊操作被執(zhí)行(如文件被保存),宏病毒或宏蠕蟲通常就開始執(zhí)行。特洛伊木馬228.4電子商務(wù)安全管理在安全風(fēng)險(xiǎn)管理上常犯的錯(cuò)誤:價(jià)值被低估的信息對(duì)安全邊界的定義過(guò)于狹窄事后安全管理過(guò)時(shí)的安全管理程序缺乏關(guān)于安全責(zé)任的溝通23安全風(fēng)險(xiǎn)管理
識(shí)別關(guān)鍵計(jì)算機(jī)、網(wǎng)絡(luò)以及信息資產(chǎn)的系統(tǒng)化過(guò)程,評(píng)估對(duì)于這些資產(chǎn)的風(fēng)險(xiǎn)和威脅,以及切實(shí)降低安全風(fēng)險(xiǎn)和威脅,叫做安全風(fēng)險(xiǎn)管理。安全風(fēng)險(xiǎn)管理包括三個(gè)步驟:定義資產(chǎn)風(fēng)險(xiǎn)評(píng)估實(shí)施248.5電子商務(wù)通信安全訪問(wèn)控制與身份認(rèn)證訪問(wèn)控制,確定誰(shuí)(人或機(jī)器)可以合法地使用某個(gè)網(wǎng)絡(luò)的資源以及可以使用哪些資源的機(jī)制。身份認(rèn)證,確認(rèn)用戶身份正是其所宣稱的那樣。25生物特征識(shí)別系統(tǒng) 如指紋掃描器、虹膜掃描器、面部特征掃描系統(tǒng),以及聲音識(shí)別系統(tǒng)。通過(guò)一些身體特征實(shí)現(xiàn)對(duì)人的識(shí)別。生物特征識(shí)別系統(tǒng)能通過(guò)搜索生物特征數(shù)據(jù)庫(kù),從眾多登錄用戶中識(shí)別出一個(gè)人;或者系統(tǒng)能夠通過(guò)匹配一個(gè)人的生理特征與以前存儲(chǔ)的數(shù)據(jù),驗(yàn)證一個(gè)人所宣稱的身份。生理特征識(shí)別:基于直接對(duì)身體不同部分的測(cè)量。
行為特征識(shí)別:基于各種行為或者間接基于身體的各個(gè)部分(如語(yǔ)音掃描或按鍵監(jiān)控)26生物特征識(shí)別模板的例子 指紋掃描,指紋可定義為一系列在手指末端“中斷了平滑的褶皺流的不連貫物”。在指紋掃描過(guò)程中,使用一種特殊的算法把掃描到的不連貫物轉(zhuǎn)化為一組數(shù)據(jù)存儲(chǔ)起來(lái)作為模板。虹膜掃描,虹膜是圍繞在瞳孔周圍的彩色部分。虹膜上有大量的特有斑點(diǎn),這些斑點(diǎn)能被放在眼球前面3~10英寸處的照相機(jī)捕捉到。運(yùn)用一種特殊算法可以在一秒鐘內(nèi)將掃描結(jié)果轉(zhuǎn)化成一組數(shù)據(jù),用于建立虹膜掃描模板,照相機(jī)將虹膜掃描的結(jié)果與模板進(jìn)行比較,以驗(yàn)證身份。27生物特征識(shí)別模板的例子 (續(xù))語(yǔ)音掃描,不同的兩個(gè)人發(fā)出的聲音在生理特征方面的不同點(diǎn)會(huì)產(chǎn)生不同的聲音模式。按鍵監(jiān)控,是基于一種假設(shè),即不同的用戶從鍵盤敲入單詞的方式是不同的。生物特征識(shí)別聯(lián)盟,關(guān)注焦點(diǎn)是研究與評(píng)估生物特征識(shí)別系統(tǒng)與應(yīng)用。28公鑰基礎(chǔ)設(shè)施(PKI)PKI是安全電子支付的基石。使技術(shù)組件、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用所必需的公鑰加密、數(shù)字簽名和數(shù)字證書的使用成為可能。PKI是包括SCM(供應(yīng)鏈管理)、VPN(虛擬專用網(wǎng)絡(luò))、安全電子郵件和內(nèi)聯(lián)網(wǎng)應(yīng)用在內(nèi)的許多網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)。29私鑰和公鑰加密
加密,是采用使非法數(shù)據(jù)解密變得非常困難,昂貴和耗時(shí)的方法變形或雜湊(加密)數(shù)據(jù)的過(guò)程。加密通常由四個(gè)組成部分:明文、密文、加密算法和密鑰。組成部分描述例子明文人類可讀形式的原始消息信用卡號(hào)5342876536529982加密算法用來(lái)加密或解密的數(shù)學(xué)公式或過(guò)程卡號(hào)中的每個(gè)數(shù)字加上一個(gè)數(shù)字(密鑰),如果數(shù)字大于9,則忽略進(jìn)位的數(shù)字(也就是求模運(yùn)算)。例如每個(gè)數(shù)字加4,那么1變成5,9變成3,等等密鑰供算法用來(lái)改變消息形式的特別的數(shù)字加在原始數(shù)字上的數(shù)字,例如4密文明文消息加密后不可讀的形式原始的5342876536529982變成了978621097096332630對(duì)稱密鑰(私鑰)系統(tǒng)
同樣的密鑰被用來(lái)加密和解密明文,如下圖所示。文件的發(fā)送者和接受者必須共用這相同的密鑰,而對(duì)其他人保密——因此稱之為私鑰系統(tǒng)。對(duì)稱(私有)密鑰加密31公共密鑰(非對(duì)稱)加密32公共密鑰(非對(duì)稱)加密
公鑰加密使用一對(duì)匹配的密鑰——可以公開提供給任何人的公鑰和只有擁有者才知道的私鑰。 公鑰是公開的,任何想給私鑰持有人發(fā)送信息的人都可以知道它,并用來(lái)給信息加密;但只有私鑰才能給信息解密。這樣就可以在事先沒(méi)有就密鑰達(dá)成一致的情況下發(fā)送信息了。例如,如果一個(gè)人希望向一家公司發(fā)出訂單又要求訂單內(nèi)容保密,那么他可以用該公司的公鑰加密信息。收到訂單時(shí),這家公司就可以利用相關(guān)的私鑰進(jìn)行解密。詳細(xì)過(guò)程如下圖所示。33公鑰加密34數(shù)字簽名 數(shù)字簽名, 用來(lái)鑒定消息或文件發(fā)送者本身,還被用來(lái)確保電子消息或文件的原始內(nèi)容沒(méi)有被改動(dòng)。是基于公共密鑰的。數(shù)字簽名易于傳輸,不易否認(rèn)和模仿,還可以打上時(shí)間戳。353637
整個(gè)文件加密傳輸?shù)?0個(gè)步驟:
(1)發(fā)件人創(chuàng)建附帶合同的電子郵件。
(2)在發(fā)送方網(wǎng)站上,將要傳送的信息通過(guò)哈什函數(shù)變換為預(yù)先設(shè)定長(zhǎng)度的報(bào)文摘要。
(3)利用發(fā)送方的私鑰給報(bào)文摘要加密,結(jié)果是數(shù)字簽字。
(4)用預(yù)先收到的接收方的公鑰為對(duì)稱密鑰加密,得到數(shù)字信封。
(5)加密信息和數(shù)字信封合成一個(gè)新的信息包,通過(guò)因特網(wǎng)將加密信息和數(shù)字信封傳到接收方的計(jì)算機(jī)上。38
(6)用接收方的私鑰解密數(shù)字信封,得到對(duì)稱密鑰。
(7)用還原的對(duì)稱密鑰解密加密信息,得到原始信息、數(shù)字簽字和發(fā)送方的認(rèn)證證書。
(8)用發(fā)送方公鑰(置于發(fā)送方的認(rèn)證證書中)解密數(shù)字簽字,得到報(bào)文摘要。
(9)將收到的原始信息通過(guò)哈什函數(shù)變換為報(bào)文摘要。
(10)將第(8)步和第(9)步得到的信息摘要加以比較,以確認(rèn)信息的完整性。394041數(shù)字證書和認(rèn)證中心
數(shù)字證書:可以證明公鑰和私鑰的持有者是他所宣稱的那個(gè)人。 證書包含:持有者姓名、有效期、公鑰信息和證書數(shù)據(jù)簽名的hash(即利用CA的私鑰簽名的經(jīng)過(guò)hash的證書內(nèi)容)。證書用來(lái)認(rèn)證Web站點(diǎn)、個(gè)人和軟件公司。42數(shù)字證書的組成43
認(rèn)證中心(CAs):簽發(fā)數(shù)字證書的第三方。它是為了從根本上保障電子商務(wù)交易活動(dòng)順利進(jìn)行而設(shè)立的,主要為電子簽名相關(guān)各方提供真實(shí)、可靠驗(yàn)證的公眾服務(wù),解決電子商務(wù)活動(dòng)中交易參與各方身份、資信的認(rèn)定,維護(hù)交易活動(dòng)的安全。我國(guó)對(duì)CA的成立規(guī)定了嚴(yán)格的條件,例如,CA需要具有獨(dú)立的企業(yè)法人資格,有固定的工作人員和場(chǎng)地,注冊(cè)資金不低于3000萬(wàn)元等。44電子認(rèn)證服務(wù)機(jī)構(gòu)主要提供下列服務(wù):(1)制作、簽發(fā)、管理電子簽名認(rèn)證證書。(2)確認(rèn)簽發(fā)的電子簽名認(rèn)證證書的真實(shí)性。(3)提供電子簽名認(rèn)證證書目錄信息查詢服務(wù)。(4)提供電子簽名認(rèn)證證書狀態(tài)信息查詢服務(wù)。45CA認(rèn)證46電子商務(wù)的CA認(rèn)證體系電子商務(wù)CA認(rèn)證體系包括兩大部分,即符合SET標(biāo)準(zhǔn)的SETCA認(rèn)證體系(又叫“金融CA”體系)和基于X.509的PKICA體系(又叫“非金融CA”體系)。
1)SETCA
1997年2月19日,由MasterCard和VISA發(fā)起成立SETCo公司,被授權(quán)作為SET根認(rèn)證中心(RootCA)。從SET協(xié)議中可以看出,由于采用公開密鑰加密算法,認(rèn)證中心(CA)就成為整個(gè)系統(tǒng)的安全核心。SET中CA的層次結(jié)構(gòu)如下圖所示。47SET中CA的層次結(jié)構(gòu)48證書的樹形驗(yàn)證結(jié)構(gòu)在兩方通信時(shí),通過(guò)出示由某個(gè)CA簽發(fā)的證書來(lái)證明自己的身份,如果對(duì)簽發(fā)證書的CA本身不信任,則可驗(yàn)證CA的身份,依次類推,一直到公認(rèn)的權(quán)威CA處,就可確信證書的有效性。SET證書正是通過(guò)信任層次來(lái)逐級(jí)驗(yàn)證的。每一個(gè)證書與數(shù)字化簽發(fā)證書的實(shí)體的簽字證書關(guān)聯(lián),沿著信任樹一直到一個(gè)公認(rèn)的信任組織,就可確認(rèn)該證書是有效的。例如,C的證書是由名稱為B的CA簽發(fā)的,而B的證書又是由名稱為A的CA簽發(fā)的,A是權(quán)威的機(jī)構(gòu),通常稱為根認(rèn)證中心(RootCA)。驗(yàn)證到了RootCA處,就可確信C的證書是合法的。49
2)PKICA
PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是提供公鑰加密和數(shù)字簽字服務(wù)的安全基礎(chǔ)平臺(tái),目的是管理密鑰和證書。PKI是創(chuàng)建、頒發(fā)、管理、撤消公鑰證書所涉及到的所有軟件、硬件的集合體,它將公開密鑰技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)(CA)和安全策略等安全措施整合起來(lái),成為目前公認(rèn)的在大型開放網(wǎng)絡(luò)環(huán)境下解決信息安全問(wèn)題最可行、最有效的方法。
PKI是電子商務(wù)安全保障的重要基礎(chǔ)設(shè)施之一。它具有多種功能,能夠提供全方位的電子商務(wù)安全服務(wù)。下圖是PKI的主要功能和服務(wù)的匯總。50PKI的主要功能和服務(wù)51電子商務(wù)安全協(xié)議
SET(SecureElectronicTransaction,簡(jiǎn)稱SET)協(xié)議Visa和MasterCard兩大信用卡公組織制定了SET協(xié)議,為網(wǎng)上信用卡支付提供了全球性的標(biāo)準(zhǔn)。
SSL(SecureSocketLayer)
為Netscape所研發(fā),用以保障在Internet上數(shù)據(jù)傳輸之安全,利用數(shù)據(jù)加密(Encryption)技術(shù),可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過(guò)程中不會(huì)被截取及竊聽(tīng)。。SSL(SecureSocketLayer):SSL中文名為安全套接層協(xié)議層。使用該協(xié)議后,您提交的所有數(shù)據(jù)會(huì)首先加密后,再提交到服務(wù)器,從而可以有效防止黑客盜取您的用戶名、密碼和通訊內(nèi)容,保證了您個(gè)人內(nèi)容的安全。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。5253
SSL協(xié)議提供的服務(wù)主要有:
1)認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;
2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??;
3)維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過(guò)程中不被改變。54SSL協(xié)議的工作流程:
服務(wù)器認(rèn)證階段:1)客戶端向服務(wù)器發(fā)送一個(gè)開始信息“Hello”以便開始一個(gè)新的會(huì)話連接;2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息;3)客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個(gè)主密鑰,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器;
554)服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個(gè)用主密鑰認(rèn)證的信息,以此讓客戶認(rèn)證服務(wù)器。用戶認(rèn)證階段:在此之前,服務(wù)器已經(jīng)通過(guò)了客戶認(rèn)證,這一階段主要完成對(duì)客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶,客戶則返回(數(shù)字)簽名后的提問(wèn)和其公開密鑰,從而向服務(wù)器提供認(rèn)證。當(dāng)上述動(dòng)作完成之后,兩者間的資料傳送就會(huì)加密,另外一方收到資料后,再將編碼資料還原。56SSL協(xié)議存在的問(wèn)題:由于有銀行參與,按照SSL協(xié)議,客戶的購(gòu)買信息首先發(fā)往商家,商家再將信息轉(zhuǎn)發(fā)銀行,銀行驗(yàn)證客戶信息的合法性后,通知商家付款成功,商家再通知客戶購(gòu)買成功,并將商品寄送客戶。從SSL協(xié)議所提供的服務(wù)及其工作流程可以看出,SSL協(xié)議運(yùn)行的基礎(chǔ)是商家對(duì)消費(fèi)者信息保密的承諾,這就有利于商家而不利于消費(fèi)者。57在電子商務(wù)初級(jí)階段,由于運(yùn)作電子商務(wù)的企業(yè)大多是信譽(yù)較高的大公司,因此這問(wèn)題還沒(méi)有充分暴露出來(lái)。但隨著電子商務(wù)的發(fā)展,各中小型公司也參與進(jìn)來(lái),這樣在電子支付過(guò)程中的單一認(rèn)證問(wèn)題就越來(lái)越突出。雖然在SSL3.0中通過(guò)數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證,但是SSL協(xié)議仍存在一些問(wèn)題。比如,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,在涉及多方的電子交易中,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。58SET(SecureElectronicTransaction):SET(SecureElectronicTransaction)中文名稱是安全電子交易協(xié)議。SET協(xié)議是1996年由MasterCard(維薩)與Visa(萬(wàn)事達(dá))兩大國(guó)際信用卡公司聯(lián)合制訂的安全電子交易規(guī)范。SET協(xié)議提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保交易信息的保密性、完整性和不可否認(rèn)性,保證在開放網(wǎng)絡(luò)環(huán)境下使用信用卡進(jìn)行在線購(gòu)物的安全。59SET協(xié)議具有以下特點(diǎn):
(1)交易參與者的身份鑒別采用數(shù)字證書的方式來(lái)完成,數(shù)字證書的格式一般采用X.509國(guó)際標(biāo)準(zhǔn);
(2)交易的不可否認(rèn)性用數(shù)字簽名的方式來(lái)實(shí)現(xiàn)。由于數(shù)字簽名是由發(fā)送方的私鑰產(chǎn)生,而發(fā)送方的私鑰只有他本人知道,所以發(fā)送方便不能對(duì)其發(fā)送過(guò)的交易數(shù)據(jù)進(jìn)行抵賴;
(3)用報(bào)文摘要算法來(lái)保證數(shù)據(jù)的完整性;
(4)由于非對(duì)稱加密算法的運(yùn)算速度慢,所以要和對(duì)稱加密算法聯(lián)合使用,用對(duì)稱加密算法來(lái)加密數(shù)據(jù),用數(shù)字信封來(lái)交換對(duì)稱密鑰。
60SET協(xié)議的數(shù)據(jù)交換過(guò)程SET協(xié)議的購(gòu)物系統(tǒng)由持卡人、商家、支付網(wǎng)關(guān)、收單銀行和發(fā)卡銀行五個(gè)部分組成,這五大部分之間的數(shù)據(jù)交換過(guò)程如圖所示:61SSL協(xié)議和SET協(xié)議的差別:(1)用戶接口:SSL協(xié)議已被瀏覽器和WEB服務(wù)器內(nèi)置,無(wú)需安裝專門軟件;而SET協(xié)議中客戶端需安裝專門的電子錢包軟件,在商家服務(wù)器和銀行網(wǎng)絡(luò)上也需安裝相應(yīng)的軟件。62(2)處理速度:SET協(xié)議非常復(fù)雜、龐大,處理速度慢。一個(gè)典型的SET交易過(guò)程需驗(yàn)證電子證書9次、驗(yàn)證數(shù)字簽名6次、傳遞證書7次、進(jìn)行5次簽名、4次對(duì)稱加密和4次非對(duì)稱加密,整個(gè)交易過(guò)程可能需花費(fèi)1.5至2分鐘;而SSL協(xié)議則簡(jiǎn)單得多,處理速度比SET協(xié)議快。63(3)認(rèn)證要求:早期的SSL協(xié)議并沒(méi)有提供身份認(rèn)證機(jī)制,雖然在SSL3.0中可以通過(guò)數(shù)字簽名和數(shù)字證書實(shí)現(xiàn)瀏覽器和Web服務(wù)器之間的身份驗(yàn)證,但仍不能實(shí)現(xiàn)多方認(rèn)證,而且SSL中只有商家服務(wù)器的認(rèn)證是必須的,客戶端認(rèn)證則是可選的。相比之下,SET協(xié)議的認(rèn)證要求較高,所有參與SET交易的成員都必須申請(qǐng)數(shù)字證書,并且解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認(rèn)證問(wèn)題64(4)安全性:安全性是網(wǎng)上交易中最關(guān)鍵的問(wèn)題。SET協(xié)議由于采用了公鑰加密、信息摘要和數(shù)字簽名可以確保信息的保密性、可認(rèn)證性、完整性和不可否認(rèn)性,且SET協(xié)議采用了雙重簽名來(lái)保證各參與方信息的相互隔離,使商家只能看到持卡人的訂購(gòu)數(shù)據(jù),而銀行只能取得持卡人的信用卡信息。SSL協(xié)議雖也采用了公鑰加密、信息摘要和MAC檢測(cè),可以提供保密性、完整性和一定程度的身份鑒別功能,但缺乏一套完整的認(rèn)證體系,不能提供完備的防抵賴功能。因此,SET的安全性遠(yuǎn)比SSL高。
65(5)協(xié)議層次和功能:SSL屬于傳輸層的安全技術(shù)規(guī)范,它不具備電子商務(wù)的商務(wù)性、協(xié)調(diào)性和集成性功能。而SET協(xié)議位于應(yīng)用層,它不僅規(guī)范了整個(gè)商務(wù)活動(dòng)的流程,而且制定了嚴(yán)格的加密和認(rèn)證標(biāo)準(zhǔn),具備商務(wù)性、協(xié)調(diào)性和集成性功能。
66由于SSL協(xié)議的成本低、速度快、使用簡(jiǎn)單,對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)不需進(jìn)行大的修
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 高科技園區(qū)翰林府建設(shè)合同
- 化工生產(chǎn)設(shè)備租賃合同
- 2025二手房購(gòu)房合同格式(官方版)
- 臨時(shí)數(shù)據(jù)分析師聘用合同
- 綠化種植合同范本制定要點(diǎn)
- 重慶市住宅小區(qū)改造合同
- 內(nèi)分泌診所醫(yī)生聘用合同
- 裝飾裝修中止施工合同
- 2025核桃種植項(xiàng)目合同
- 2025車位轉(zhuǎn)讓合同樣本
- 體育專業(yè)學(xué)生學(xué)情分析總結(jié)報(bào)告
- 城鄉(xiāng)居民醫(yī)療保險(xiǎn)
- 肩痛診斷與治療
- 碳酸鋰生產(chǎn)工藝流程
- 幼兒園自然課堂培訓(xùn)
- 2024年錦州師范高等??茖W(xué)校單招職業(yè)技能測(cè)試題庫(kù)及答案解析
- MOOC 能源與氣候變化應(yīng)對(duì)法-西南政法大學(xué) 中國(guó)大學(xué)慕課答案
- MOOC 概率論與數(shù)理統(tǒng)計(jì)-重慶大學(xué) 中國(guó)大學(xué)慕課答案
- MOOC 電子技術(shù)-北京科技大學(xué) 中國(guó)大學(xué)慕課答案
- 2024年鍍鋅管行業(yè)發(fā)展趨勢(shì)及前景展望分析報(bào)告
- 新能源汽車充電樁項(xiàng)目計(jì)劃書
評(píng)論
0/150
提交評(píng)論