網(wǎng)絡支付的安全及相關安全技術

網(wǎng)絡支付的安全及相關安全技術第一頁，共五十八頁，編輯于2023年，星期三4.1網(wǎng)絡支付的安全問題與需求4.2網(wǎng)絡支付的安全策略及解決方法4.3網(wǎng)絡支付平臺的安全及防火墻技術4.4數(shù)據(jù)機密性技術4.5數(shù)據(jù)完整性技術4.6數(shù)字證書與認證中心CA4.7安全網(wǎng)上支付的SSL與SET協(xié)議機制主要內容第二頁，共五十八頁，編輯于2023年，星期三一、網(wǎng)絡支付的安全問題與需求

1.網(wǎng)絡支付面臨的安全問題1.電子商務的主要安全隱患

1）系統(tǒng)的中斷與癱瘓2）信息被盜聽

3）信息被篡改

4）信息被偽造

5）對交易行為抵賴

第三頁，共五十八頁，編輯于2023年，星期三一、網(wǎng)絡支付的安全問題與需求

1.網(wǎng)絡支付面臨的安全問題2.網(wǎng)絡支付的主要安全隱患1）支付賬號和密碼等隱私支付信息被盜取或盜用2）支付金額被更改3）無法有效驗證收款方的身份4）對支付行為進行抵賴、修改或否認5）網(wǎng)絡支付系統(tǒng)癱瘓

第四頁，共五十八頁，編輯于2023年，星期三一、網(wǎng)絡支付的安全問題與需求

2.網(wǎng)絡支付的安全需求1.網(wǎng)絡上資金流數(shù)據(jù)的保密性2.相關網(wǎng)絡支付結算數(shù)據(jù)的完整性3.網(wǎng)絡上資金結算雙方身份的認定4.不可抵賴性5.保證網(wǎng)絡支付系統(tǒng)的運行可靠、快捷，做好數(shù)據(jù)備份與災難恢復功能第五頁，共五十八頁，編輯于2023年，星期三二、網(wǎng)絡支付的安全策略及解決方法

1.網(wǎng)絡支付安全策略制定的目的、涵義和原則1.制定網(wǎng)絡支付安全策略的目的保障相關支付結算信息的機密性、完整性、認證性、不可否認性、不可拒絕性和訪問控制性不被破壞；能夠有序地、經(jīng)常地鑒別和測試安全狀態(tài)；能夠對可能的風險做基本評估；系統(tǒng)的安全被破壞后的恢復工作。第六頁，共五十八頁，編輯于2023年，星期三二、網(wǎng)絡支付的安全策略及解決方法

1.網(wǎng)絡支付安全策略制定的目的、涵義和原則

2.網(wǎng)絡支付安全策略的涵義安全策略必須包含對安全問題的多方面考慮因素。安全策略一般要包含以下內容：

①認證；②訪問控制：⑧保密；④數(shù)據(jù)完整性；⑤審計。第七頁，共五十八頁，編輯于2023年，星期三二、網(wǎng)絡支付的安全策略及解決方法

1.網(wǎng)絡支付安全策略制定的目的、涵義和原則

3.制定網(wǎng)絡支付安全策略的基本原則

(1)預防為主(2)必須根據(jù)網(wǎng)絡支付結算的安全需要和目標來制定安全策略(3)根據(jù)掌握的實際信息分析第八頁，共五十八頁，編輯于2023年，星期三二、網(wǎng)絡支付的安全策略及解決方法

2.網(wǎng)絡支付安全策略的主要內容1.定義實現(xiàn)安全的網(wǎng)絡支付結算的保護資源金融機構公正第三方稅務等政府機構安全的通信通道交易方A：機密支付信息交易方B：機密支付信息安全的網(wǎng)絡支付系統(tǒng)組成示意圖

安全策略具體內容中要定義保護的資源，要定義保護的風險，要吃透電子商務安全的法律法規(guī)，最后要建立安全策略和確定一套安全機制。第九頁，共五十八頁，編輯于2023年，星期三2.定義保護的風險

每一新的網(wǎng)絡支付方式推出與應用，均有一定的風險，因為絕對安全的支付手段是沒有的，要進行相關風險分析。還要注意網(wǎng)絡支付工具使用安全與使用便利、快捷之間的辯證關系。3.吃透電子商務安全與網(wǎng)絡支付安全的法律法規(guī)4.建立相關安全策略和確定一套安全機制安全策略中最后要根據(jù)定義的保護資源、定義的保護風險、電子商務安全的法律法規(guī)，建立安全策略和確定一套安全機制。安全策略是由個人或組織針對網(wǎng)絡支付結算安全全面制定的，安全機制是實現(xiàn)安全策略的手段或技術、整套規(guī)則和決策

第十頁，共五十八頁，編輯于2023年，星期三二、網(wǎng)絡支付的安全策略及解決方法

3.保證網(wǎng)絡支付安全的解決方法(1)交易方身份認證(2)網(wǎng)絡支付數(shù)據(jù)流內容保密(3)網(wǎng)絡支付數(shù)據(jù)流內容完整性(4)保證對網(wǎng)絡支付行為內容的不可否認性(5)處理多方貿(mào)易業(yè)務的多邊支付問題(6)網(wǎng)絡支付系統(tǒng)軟件、支撐網(wǎng)絡平臺的正常運行(7)政府支持相關管理機構的建立和電子商務法律的制定

本章后面的內容就分別敘述相關的方法與解決手段的原理與應用

第十一頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

1.網(wǎng)絡平臺系統(tǒng)的構成及其主要安全威脅

網(wǎng)絡平臺系統(tǒng)的構成Intranet電子商務服務器銀行專網(wǎng)Internet客戶機支付網(wǎng)關支持網(wǎng)絡支付的Internet網(wǎng)絡平臺系統(tǒng)組成示意圖第十二頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

1.網(wǎng)絡平臺系統(tǒng)的構成及其主要安全威脅

公共通信通道Internet的安全威脅

截斷堵塞：如切斷通訊線路、毀壞硬件、病毒癱瘓軟件系統(tǒng)、冗余信息堵塞網(wǎng)絡通道等）

偽造：偽造客戶或商家信息，假冒身份以騙取財物。

篡改：為某目的對相關網(wǎng)絡支付信息進行篡改

介入：利用特殊軟件工具提取Internet上通信的數(shù)據(jù)，以期破解信息；或進行信息流量分析，對信息的流動情況進行分析；或非法進入系統(tǒng)或數(shù)據(jù)庫，進行破壞、COPY等。第十三頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

1.網(wǎng)絡平臺系統(tǒng)的構成及其主要安全威脅

Intranet的最基本安全需求網(wǎng)絡邊界的安全內部網(wǎng)絡的安全身份驗證授權管理數(shù)據(jù)的保密性和完整性完整的審計、記錄、備份機制，以便分析處理第十四頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

2.

Internet網(wǎng)絡平臺系統(tǒng)的安全措施

Internet網(wǎng)絡平臺上安全措施主要從保護網(wǎng)絡安全、保護應用的安全和保護系統(tǒng)安全三個方面來敘述。

1.保護網(wǎng)絡安全(1)全面規(guī)劃網(wǎng)絡平臺的安全策略(2)制定網(wǎng)絡安全管理措施(3)使用防火墻。(4)盡量記錄網(wǎng)絡上的一切活動(5)注意對設備的物理保護(6)檢查網(wǎng)絡平臺系統(tǒng)脆弱性(7)可靠的識別和鑒別第十五頁，共五十八頁，編輯于2023年，星期三2.保護應用的安全

應用安全是針對特定應用(如Web服務器、網(wǎng)絡支付專用軟件系統(tǒng))中所建立的安全防護措施，獨立于任何網(wǎng)絡的安全措施。網(wǎng)絡支付協(xié)議就很復雜，它涉及購貨人、零售商和銀行之間的轉賬，不同參與者之間的通信需要不同水平的保護，需要在應用層上處理。由于現(xiàn)在電子商務中的應用層對安全的要求最嚴格、最復雜，因此更傾向于在應用層而不是在網(wǎng)絡層采取各種安全措施。應用層上的安全業(yè)務可以涉及認證、訪問控制、機密性、數(shù)據(jù)完整性、不可否認性、Web安全性、EDI和網(wǎng)絡支付等應用的安全性。第十六頁，共五十八頁，編輯于2023年，星期三3.保護系統(tǒng)安全

系統(tǒng)安全性是指從整體系統(tǒng)的角度來進行保護，它與網(wǎng)絡系統(tǒng)硬件平臺、操作系統(tǒng)、各種應用軟件等互相關聯(lián)。涉及網(wǎng)絡支付結算的系統(tǒng)安全包含下述一些措施：(1)檢查和確認安裝軟件中未知的安全漏洞(2)使系統(tǒng)具有最小穿透風險性(3)對入侵進行檢測、審計、追蹤第十七頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

3.

防火墻技術與應用

1.防火墻的定義

防火墻(Firewall)，是一種由計算機軟件和硬件組成的隔離系統(tǒng)設備，用于在Intranet和Internet之間構筑一道防護屏障，能按設置的條件進行區(qū)分，實現(xiàn)內外有別。其主要目標是保護Intranet中的信息、資源等不受來自Internet中非法用戶的侵犯，它控制Intranet與Internet之間的所有數(shù)據(jù)流量。第十八頁，共五十八頁，編輯于2023年，星期三防火墻的應用示意圖為：Internet企業(yè)內部網(wǎng)絡（如Intranet)防火墻系統(tǒng)（堡壘主機+路由器等）非安全網(wǎng)絡安全網(wǎng)絡第十九頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

3.

防火墻技術與應用

2.防火墻的功能雙向監(jiān)控功能設置用戶認證等安全控制機制防火墻本身無法被穿透明確Intranet的邊界第二十頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

3.

防火墻技術與應用

3.防火墻的組成Internet網(wǎng)關Intranet外部過濾器內部過濾器不安全網(wǎng)絡安全網(wǎng)絡防火墻的基本組成框架第二十一頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

3.

防火墻技術與應用

4.電子商務中防火墻與Web服務器的配置方式InternetIntranet不安全網(wǎng)絡安全網(wǎng)絡業(yè)務Web服務器放在防火墻之內的配置圖防火墻+路由器Web服務器第二十二頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

3.

防火墻技術與應用

4.電子商務中防火墻與Web服務器的配置方式InternetIntranet不安全網(wǎng)絡安全網(wǎng)絡業(yè)務Web服務器放在防火墻之外的配置圖防火墻+路由器Web服務器第二十三頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

3.

防火墻技術與應用

5.防火墻的類型

按防火墻采用的技術分類，主要有包過濾式防火墻、應用級網(wǎng)關和狀態(tài)檢測防火墻包過濾式防火墻Internet包過濾防火墻+路由器Intranet優(yōu)點：對用戶來說是透明的，處理速度快，易于維護，進行網(wǎng)絡及維護缺點：不能鑒別不同的用戶和防止IP地址盜用，配置繁瑣包過濾式的防火墻應用原理示意圖第二十四頁，共五十八頁，編輯于2023年，星期三應用級防火墻通常是運行在防火墻上的運行代理服務器軟件部分（又名稱為應用網(wǎng)關）應用級網(wǎng)關Internet優(yōu)點：比包過濾式防火墻更為安全、可靠，詳細記錄所有訪問狀態(tài)信息缺點：速度慢，不允許用戶直接訪問網(wǎng)絡，透明性差Intranet內部服務器等代理服務器路由器應用級網(wǎng)關的應用原理示意圖第二十五頁，共五十八頁，編輯于2023年，星期三狀態(tài)監(jiān)測防火墻使用一個在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的軟件模塊，稱為監(jiān)測引擎，是第三代防火墻技術原理

監(jiān)測引擎軟件在不影響網(wǎng)絡正常運行的前提下，采用抽取有關數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)測，抽取狀態(tài)信息，并動態(tài)的保存起來，作為執(zhí)行安全策略的參考第二十六頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

3.

防火墻技術與應用

6.防火墻的優(yōu)缺點優(yōu)點1.遏制來自Internet各種路線的攻擊2.借助網(wǎng)絡服務選擇，保護網(wǎng)絡中脆弱的易受攻擊的服務3.監(jiān)視整個網(wǎng)絡的安全性，具有實時報警提醒功能4.作為部署NAT的邏輯地址5.增強內部網(wǎng)中資源的保密性，強化私有權第二十七頁，共五十八頁，編輯于2023年，星期三三、網(wǎng)絡支付平臺的安全及防火墻技術

3.

防火墻技術與應用

6.防火墻的優(yōu)缺點缺點1.限制了一些有用的網(wǎng)絡服務的使用，降低了網(wǎng)絡性能2.只能限制內部用戶對外的訪問，無法防護來自內部網(wǎng)絡用戶的攻擊3.不能完全防止傳送感染病毒的軟件或文件，特別是一些數(shù)據(jù)驅動型的攻擊數(shù)據(jù)4.被動防守，不能防備新的網(wǎng)絡安全問題第二十八頁，共五十八頁，編輯于2023年，星期三四、數(shù)據(jù)機密性技術

1.

私有密鑰加密法

1.私用密鑰加密法的定義與應用原理

信息發(fā)送方用一個密鑰對要發(fā)送的數(shù)據(jù)進行加密，信息的接收方能用同樣的密鑰解密，而且只能用這一密鑰解密。由于雙方所用加密和解密的密鑰相同，所以叫作對稱密鑰加密法。

比較著名的私有密鑰加密算法有DES算法及其各種變形、國際數(shù)據(jù)加密算法IDEA以及RC4,RC5等第二十九頁，共五十八頁，編輯于2023年，星期三四、數(shù)據(jù)機密性技術

1.

私有密鑰加密法

2.私用密鑰加密法的使用過程乙銀行：有一筆20000元資金轉帳至貴行12345賬號上甲銀行乙銀行：有一筆20000元資金轉帳至貴行12345賬號上甲銀行密鑰A密鑰A加密解密信息明文信息明文信息密文信息密文網(wǎng)絡傳輸甲銀行乙銀行第三十頁，共五十八頁，編輯于2023年，星期三四、數(shù)據(jù)機密性技術

2.

公開密鑰加密法

1.公開密鑰加密法的定義與應用原理

比較著名的公開密鑰加密算法有RSA算法、DSA算法等原理：共用2個密鑰，在數(shù)學上相關，稱作密鑰對。用密鑰對中任何一個密鑰加密，可以用另一個密鑰解密，而且只能用此密鑰對中的另一個密鑰解密。

商家采用某種算法（秘鑰生成程序）生成了這2個密鑰后，將其中一個保存好，叫做私人密鑰(PrivateKey)，將另一個密鑰公開散發(fā)出去，叫做公開密鑰(PublicKey)。第三十一頁，共五十八頁，編輯于2023年，星期三四、數(shù)據(jù)機密性技術

2.

公開密鑰加密法

2.公開密鑰加密法的使用過程乙銀行：有一筆20000元資金轉帳至貴行12345賬號上客戶甲乙銀行：有一筆20000元資金轉帳至貴行12345賬號上客戶甲加密解密支付通知明文支付通知明文支付通知密文支付通知密文網(wǎng)絡傳輸客戶甲乙銀行公鑰私鑰BA實現(xiàn)了定點保密通知第三十二頁，共五十八頁，編輯于2023年，星期三四、數(shù)據(jù)機密性技術

2.

公開密鑰加密法

2.公開密鑰加密法的使用過程客戶甲：本行已將20000元資金從你賬號轉移至12345賬號上乙銀行解密加密支付確認明文支付確認明文支付確認密文支付確認密文網(wǎng)絡傳輸客戶甲乙銀行公鑰私鑰BA網(wǎng)絡銀行不能否認或抵賴客戶甲：本行已將20000元資金從你賬號轉移至12345賬號上乙銀行第三十三頁，共五十八頁，編輯于2023年，星期三四、數(shù)據(jù)機密性技術

3.私有密鑰加密法和公開密鑰加密法的比較DES算法RSA算法加密、解密的處理效率快慢密鑰的分發(fā)與管理密鑰變更困難，需產(chǎn)生和保管巨量的不同密鑰更新加密密鑰容易，對不同的通信對象，只需保存自己的私鑰安全性好好數(shù)字簽名和認證不能實現(xiàn)能實現(xiàn)第三十四頁，共五十八頁，編輯于2023年，星期三四、數(shù)據(jù)機密性技術

4.數(shù)字信封

1.數(shù)字信封的定義和應用原理

對需傳送的信息（如電子合同、支付指令）的加密采用對稱密鑰加密法；但密鑰不先由雙方約定，而是在加密前由發(fā)送方隨機產(chǎn)生；用此隨機產(chǎn)生的對稱密鑰對信息進行加密，然后將此對稱密鑰用接收方的公開密鑰加密，準備定點加密發(fā)送給接受方。這就好比用“信封”封裝起來，所以稱作數(shù)字信封（封裝的是里面的對稱密鑰）。接收方收到信息后，用自己的私人密鑰解密，打開數(shù)字信封，取出隨機產(chǎn)生的對稱密鑰，用此對稱密鑰再對所收到的密文解密，得到原來的信息。第三十五頁，共五十八頁，編輯于2023年，星期三

2.數(shù)字信封在網(wǎng)絡支付中的應用示例銀行乙的公鑰B客戶甲隨即產(chǎn)生的私鑰P銀行乙的私鑰A網(wǎng)絡傳送1銀行乙從數(shù)字信封中取出私鑰P乙銀行：有一筆200元資金轉帳至貴行12345賬號上客戶甲支付通知明文網(wǎng)絡傳送2加密支付通知明文乙銀行：有一筆200元資金轉帳至貴行12345賬號上客戶甲支付確認密文支付確認密文客戶甲乙銀行解密第三十六頁，共五十八頁，編輯于2023年，星期三

3.數(shù)字信封的優(yōu)點

加密、解密速度快，可以滿足即時處理需要

RSA和DES相結合，不用為交換DES密鑰周折，減小了DES泄密的風險具有數(shù)字簽名和認證功能密鑰管理方便保證通信的安全第三十七頁，共五十八頁，編輯于2023年，星期三五、數(shù)據(jù)完整性技術

1.數(shù)字摘要技術

1.數(shù)字摘要的定義和應用原理通訊雙方在互相傳送消息時，不僅要對數(shù)據(jù)進行保密，不讓第三者知道，還要能夠知道數(shù)據(jù)在傳輸過程中沒有被別人改變，也就是要保證數(shù)據(jù)的完整性。用某種算法對被傳送的數(shù)據(jù)生成一個完整性值，將此完整性值與原始數(shù)據(jù)一起傳送給接收者，接收者用此完整性值來檢驗消息在傳送過程中有沒有發(fā)生改變。這個值由原始數(shù)據(jù)通過某一加密算法產(chǎn)生的一個特殊的數(shù)字信息串，比原始數(shù)據(jù)短小，能代表原始數(shù)據(jù)，所以稱作數(shù)字摘要（DigitalDigest）。

（保證消息的真實性，類似于簽名的真實，數(shù)字簽名技術之二，主要的算法如RSA公司提出的MD5和SHA1等，是以Hash函數(shù)算法為基礎）第三十八頁，共五十八頁，編輯于2023年，星期三

2.數(shù)字摘要的產(chǎn)生示例銀行乙：請將200元資金從本帳號轉移至12345賬號上?？蛻艏譎ash算法：數(shù)字摘要生成器Abcddabc347698jdf74…...kxs支付通知支付通知的數(shù)字摘要第三十九頁，共五十八頁，編輯于2023年，星期三

2.數(shù)字簽名技術

1.數(shù)字簽名的定義和應用原理在傳統(tǒng)商務的合同或支付信件中平時人們用筆簽名，這個簽名通常有兩個作用：可以證明信件是由簽名者發(fā)送并認可的（不可抵賴）保證信件的真實性（非偽造、非篡改）

數(shù)字簽名及原理：Digita1Signature,就是指利用數(shù)字加密技術實現(xiàn)在網(wǎng)絡傳送信息文件時，附加個人標記，完成傳統(tǒng)上手書簽名或印章的作用，以表示確認、負責、經(jīng)手、真實等；或

數(shù)字簽名就是在要發(fā)送的消息上附加一小段只有消息發(fā)送者才能產(chǎn)生而別人無法偽造的特殊數(shù)據(jù)（個人標記），而且這段數(shù)據(jù)是原消息數(shù)據(jù)加密轉換生成的，用來證明消息是由發(fā)送者發(fā)來的。

數(shù)字簽名（信息報文M）=發(fā)送方私人秘鑰加密（Hash（信息報文M））第四十頁，共五十八頁，編輯于2023年，星期三

2.數(shù)字簽名的應用示例客戶甲銀行乙發(fā)送的支付通知M收到的的支付通知M’銀行乙：將200元資金……345北交帳號上?？蛻艏足y行乙：將……元資金……北交帳號上?？蛻艏?F812DDF64DB…ABFF45ADIAA0F812DDF64DB…ABFF45ADIAA…ABFF45…DB…AD……數(shù)字摘要D數(shù)字摘要D’數(shù)字摘要D數(shù)字簽名加密客戶甲的私鑰B網(wǎng)絡傳送客戶甲的公鑰SHAR1SHAR1比較如果D與D’一樣，說明信息是真實的，若不一樣，說明信息是偽造或篡改過的第四十一頁，共五十八頁，編輯于2023年，星期三

3.數(shù)字簽名的作用與常見類型

數(shù)字簽名可以解決下述網(wǎng)絡支付中的安全鑒別問題：(1)接收方偽造：接收方偽造一份文件，并聲稱這是發(fā)送方發(fā)送的：付款單據(jù)等。(2)發(fā)送者或接收者否認：發(fā)送者或接收者事后不承認自己曾經(jīng)發(fā)送或接收過支付單據(jù)。(3)第三方冒充：網(wǎng)上的第三方用戶冒充發(fā)送或接收消息如信用卡密碼；(4)接收方篡改：接收方對收到的文件如支付金額進行改動。第四十二頁，共五十八頁，編輯于2023年，星期三六、數(shù)據(jù)證書與認證中心CA

1.數(shù)字證書

1.數(shù)字證書的定義和應用原理數(shù)字證書：指用數(shù)字技術手段確認、鑒定、認證Internet上信息交流參與者身份或服務器身份，是一個擔保個人、計算機系統(tǒng)或者組織的身份和密鑰所有權的電子文檔。工作原理：接收方在網(wǎng)上收到發(fā)送方業(yè)務信息的同時，還收到發(fā)送方的數(shù)字證書，通過對其數(shù)字證書的驗證，可以確認發(fā)送方的身份。在交換數(shù)字證書的同時，雙方都得到了對方的公開密鑰，由于公開密鑰是包含在數(shù)字證書中的，可以確信收到的公開密鑰肯定是對方的。從而完成數(shù)據(jù)傳送中的加解密工作。數(shù)字證書第四十三頁，共五十八頁，編輯于2023年，星期三

2.數(shù)字證書的內容數(shù)字證書內容第四十四頁，共五十八頁，編輯于2023年，星期三

3.與網(wǎng)絡支付有關的數(shù)字證書的類型個人證書(客戶證書)：

證實客戶(例如一個使用IE的個人)身份和密鑰所有權服務器證書：證實銀行或商家業(yè)務服務器的身份和公鑰支付網(wǎng)關證書：

如果在網(wǎng)絡支付時利用第三方支付網(wǎng)關，那么第三方要為支付網(wǎng)關申請一個數(shù)字證書

認證中心CA證書：證實CA身份和CA的簽名密鑰(簽名密鑰被用來簽署它所發(fā)行的證書)第四十五頁，共五十八頁，編輯于2023年，星期三

4.數(shù)字證書的有效性與使用數(shù)字證書必須同時滿足以下三個條件，才是有效的：

1.證書沒有過期2.密鑰沒有被修改

3.有可信任的相應的頒發(fā)機構CA及時管理與回收無效證書，并且發(fā)行無效證書清單第四十六頁，共五十八頁，編輯于2023年，星期三

2.認證中心CA

1.認證中心CA的定義

認證中心，簡稱CA，即CertificationAuthority，是一個公正的、有權威性的、獨立的（第三方的）、廣受信賴的組織，負責電子商務中數(shù)字證書的發(fā)行和管理以及認證服務。

2.認證中心CA的主要功能1.生成密鑰對及CA證書2.驗證申請人身份3.頒發(fā)數(shù)字證書4.證書以及持有者身份認證查詢5.吊銷證書6.證書管理與更新7.制定相關政策8.有能力保護數(shù)字證書服務器的安全CertificateAuthority第四十七頁，共五十八頁，編輯于2023年，星期三

3.國內外主要CA機構第四十八頁，共五十八頁，編輯于2023年，星期三七、安全網(wǎng)上支付的SSL與SET協(xié)議機制

1.基于SSL協(xié)議的安全網(wǎng)絡支付機制

1.SSL協(xié)議簡介SSL協(xié)議(SecureSocketLayer，安全套接層協(xié)議)是一種在持有數(shù)字證書的瀏覽器和遠程的WWW服務器(如NetscapeEnterpriseServer、IIS等等，這里具體為電子商務服務器或銀行的網(wǎng)上支付結算服務器)之間，構造安全通道并且傳輸數(shù)據(jù)的協(xié)議。

SSL協(xié)議的協(xié)議層次HTTPIMAPFTPSMTPSSL層TCP/IP應用層網(wǎng)絡層第四十九頁，共五十八頁，編輯于2023年，星期三SSL協(xié)議的內容SSL協(xié)議包括兩個子協(xié)議：SSL記錄協(xié)議定制了傳輸數(shù)據(jù)的格式SSL握手協(xié)議利用前者在支持SSL的客戶端和服務器端之間建立安全傳輸通道建立加密SSL連接，并在客戶端驗證服務器

SSL提供的3種基本安全服務:

秘密性SSL客戶機和服務器之間通過密碼算法和密鑰的協(xié)商，建立安全通道完整性

利用密碼算法和Hash函數(shù)，確保要傳輸?shù)男畔⑷康竭_目的地認證性SSL要求數(shù)字證書持有者在握手時雙方通過相互交換數(shù)字證書來驗證和保證對方身份的合法性第五十頁，共五十八頁，編輯于2023年，星期三七、安全網(wǎng)上支付的SSL與SET協(xié)議機制

1.基于SSL協(xié)議的安全網(wǎng)絡支付機制

2.SSL安全支付參與方及應用系統(tǒng)框架CA認證中心客戶端商家服務器銀行服務器https://第五十一頁，共五十八頁，編輯于2023年，星期三

3.SSL協(xié)議的特點

綜合用到了對稱密鑰加密法、公開密鑰加密法、數(shù)字簽名和數(shù)字證書等安全保障手段。目前幾乎所有操作平臺上的Web瀏覽器以及流行的Web服務器都支持SSL協(xié)議。因此使得使用該協(xié)議既便宜，開發(fā)成本也很小,應用簡單（無需客戶端專門軟件）

4.SSL協(xié)議的應用

可在服務器和許多世界知名企業(yè)的Intranet和Internet網(wǎng)絡產(chǎn)品所支持。下圖顯示的是IE瀏覽器中安全設置項中SSL標識。

第五十二頁，共五十八頁，編輯于2023年，星期三七、安全網(wǎng)上支付的SSL與SET協(xié)議機制

2.基于SET協(xié)議的安全網(wǎng)絡支付機制

1.SET協(xié)議簡介

SET協(xié)議為在Internet上安全地進行交易提出了一整套完整的方案，特別是采用數(shù)字證書的方法，用數(shù)字證書來證實在網(wǎng)上購物的確實是持卡人本人，以及向持卡人銷售商品并收錢的各方，包括持卡人、商戶、銀行等的安全。SET協(xié)議的主要目標

機密性保護隱私完整性多方認證性標準性第五十三頁，共五十八頁，編輯于2023年，星期三七、安全網(wǎng)上支付的SSL與SET協(xié)議機制

2.基于SET協(xié)議的安全網(wǎng)絡支付機制

2.SET安全支付參與方及應用