電子商務(wù)安全

第3章電子商務(wù)安全基礎(chǔ)教學(xué)目標(biāo)

1.了解電子商務(wù)的主要安全威脅。

2.了解電子商務(wù)對(duì)安全的基本要求。

3.了解電子商務(wù)的安全體系。

4.熟悉電子商務(wù)常用的安全技術(shù)?！峨娮由虅?wù)基礎(chǔ)與實(shí)務(wù)》授課人：鐘小春CNNIC調(diào)查結(jié)果

用戶認(rèn)為目前網(wǎng)上交易存在的最大問題是：

1、安全性得不到保障23.4%

2、產(chǎn)品質(zhì)量和服務(wù)欠缺15.2%3、商家信用得不到保障14.1%4、付款不方便10.8%5、價(jià)格不夠誘人10.8%6、送貨不及時(shí)8.6%7、網(wǎng)上提供的信息不可靠6.4%8、其它0.7%

引導(dǎo)案例1988年11月2日，美國(guó)康奈爾大學(xué)學(xué)生羅伯特·莫瑞斯利用蠕蟲程序攻擊了Internet網(wǎng)上約6200臺(tái)小型機(jī)和Sun工作站，造成包括美國(guó)300多個(gè)單位的計(jì)算機(jī)停止運(yùn)行，事故經(jīng)濟(jì)損失達(dá)9600萬(wàn)美元。（病毒破壞）

2000年2月7日－9日，Yahoo,ebay,Amazon等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美元。（黑客攻擊）

2000年4月22日8時(shí)許，地處深圳市的中國(guó)最大的互聯(lián)網(wǎng)交友網(wǎng)站“情網(wǎng)”突然癱瘓。

（人為破壞）第一節(jié)電子商務(wù)的安全問題

系統(tǒng)中斷（Interruption）破壞系統(tǒng)的有效性竊取信息（Interception)破壞系統(tǒng)的機(jī)密性篡改信息（Modification）破壞系統(tǒng)的完整性偽造信息（Fabrication）破壞系統(tǒng)的真實(shí)性交易抵賴（Thetransactiondenies）

無法達(dá)成交易

電子商務(wù)的主要安全問題表現(xiàn)

討論：如何實(shí)現(xiàn)電子商務(wù)安全交易？系統(tǒng)的有效性信息的機(jī)密性信息的完整性交易者身份的真實(shí)性不可抵賴性

電子商務(wù)安全交易體系信息技術(shù)系統(tǒng)商業(yè)組織系統(tǒng)安全保護(hù)措施的制定需基于電子商務(wù)“復(fù)合型”的性質(zhì)技術(shù)保障制度管理法律控制道德規(guī)范第二節(jié)電子商務(wù)的安全技術(shù)病毒防范技術(shù)身份識(shí)別技術(shù)防火墻技術(shù)虛擬專用網(wǎng)技術(shù)密碼技術(shù)認(rèn)證技術(shù)

身份識(shí)別技術(shù)用戶身份識(shí)別技術(shù)可通過三種基本方式或其組合方式實(shí)現(xiàn)：

（1）用戶通過某個(gè)秘密信息，例如通過口令訪問系統(tǒng)資源。（2）用戶知道的某個(gè)秘密信息，并且利用包含這一秘密信息的載體訪問系統(tǒng)資源，例如通過智能卡訪問系統(tǒng)。（3）用戶利用自身所具有的某些生物學(xué)特征，如指紋、聲音、DNA圖案、視網(wǎng)膜掃描等。

防火墻技術(shù)1、防火墻（firewall）的概念

是加強(qiáng)因特網(wǎng)與內(nèi)部網(wǎng)之間安全防范的一個(gè)或一組軟件和硬件系統(tǒng)。它具有限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。是一種訪問控制機(jī)制。

2、防火墻的功能隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)限制內(nèi)部用戶和外部用戶的訪問權(quán)限外部網(wǎng)防火墻內(nèi)部網(wǎng)3、防火墻的工作原理

（兩個(gè)邏輯關(guān)系）“凡是未被準(zhǔn)許的就是禁止的”“凡是未被禁止的就是允許的”4、防火墻的主要實(shí)現(xiàn)技術(shù)數(shù)據(jù)包過濾技術(shù)代理服務(wù)技術(shù)數(shù)據(jù)包過濾（也稱分組過濾）技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包中的IP地址過濾。如果防火墻設(shè)定某一IP地址不適宜訪問的話，從這個(gè)地址來的所有信息都會(huì)被防火墻屏蔽掉。

優(yōu)點(diǎn)便是對(duì)用戶透明，不要求客戶機(jī)和服務(wù)器作任何修改，處理速度快而且易于維護(hù)。

缺點(diǎn)僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接連接，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和允許狀態(tài)，這可能導(dǎo)致非法訪問和攻擊。

代理服務(wù)是針對(duì)數(shù)據(jù)包過濾技術(shù)存在的不足而引入的新型防火墻技術(shù)。代理服務(wù)不像前一種技術(shù)在通過驗(yàn)證后內(nèi)外的計(jì)算機(jī)直接連接通信，而是在內(nèi)部與外部的系統(tǒng)之間加一層服務(wù)器，用該服務(wù)器來做中間代理功能。由于代理訪問的中間作用，攻擊的也只是代理服務(wù)器，而不會(huì)是網(wǎng)絡(luò)內(nèi)部的系統(tǒng)資源?？蛻艨蛻舸碓L問控制服務(wù)器代理防火墻代理服務(wù)應(yīng)答轉(zhuǎn)發(fā)請(qǐng)求轉(zhuǎn)發(fā)應(yīng)答訪問請(qǐng)求代理服務(wù)型防火墻工作示意圖4、防火墻的類型包過濾型防火墻雙宿網(wǎng)關(guān)防火墻屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火墻包過濾型防火墻

過濾路由器

內(nèi)部網(wǎng)絡(luò)Internet包過濾型防火墻往往可以用一臺(tái)過濾路由器來實(shí)現(xiàn)，對(duì)所接收的每個(gè)數(shù)據(jù)包做允許或拒絕的處理。包過濾路由器型防火墻的優(yōu)點(diǎn)：處理包的速度要比代理服務(wù)器快；包過濾路由器型防火墻的缺點(diǎn)：防火墻的維護(hù)比較困難等雙宿網(wǎng)關(guān)防火墻雙宿網(wǎng)關(guān)是一種擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。為了保證內(nèi)部網(wǎng)的安全，雙宿網(wǎng)關(guān)主機(jī)具有強(qiáng)大的身份認(rèn)證系統(tǒng)，可以阻擋來自外部不可信網(wǎng)絡(luò)的非法登錄。網(wǎng)關(guān)代理服務(wù)器網(wǎng)關(guān)Internet

內(nèi)部網(wǎng)絡(luò)Internet…內(nèi)部網(wǎng)防火墻雙宿網(wǎng)關(guān)主機(jī)雙宿網(wǎng)關(guān)主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接，而不讓它們直接與內(nèi)部主機(jī)相連。屏蔽主機(jī)防火墻由過濾路由器和堡壘主機(jī)組成。這個(gè)防火墻系統(tǒng)提供的安全等級(jí)比包過濾防火墻系統(tǒng)要高。

過濾路由器

堡壘主機(jī)Internet

內(nèi)部網(wǎng)絡(luò)Internet防火墻路由器…內(nèi)部網(wǎng)堡壘主機(jī)屏蔽主機(jī)體系結(jié)構(gòu)

屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)。這個(gè)防火墻系統(tǒng)建立的是最安全的防火墻系統(tǒng)，通過添加周邊網(wǎng)絡(luò)把內(nèi)部網(wǎng)更進(jìn)一步的與外部網(wǎng)分開，周邊網(wǎng)絡(luò)會(huì)在入侵者與內(nèi)部網(wǎng)之間提供一個(gè)附加的保護(hù)層，相當(dāng)一個(gè)雙保險(xiǎn)。外部過濾路由器

堡壘主機(jī)Internet

內(nèi)部網(wǎng)絡(luò)

內(nèi)部過濾路由器Internet周邊網(wǎng)絡(luò)外部路由器內(nèi)部路由器堡壘主機(jī)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻的局限性：

（1）防火墻無法防范內(nèi)部用戶的攻擊（2）防火墻無法防范不通過它的連接（3）防火墻很難防范病毒（4）防火墻不能防備新的網(wǎng)絡(luò)安全問題（5）防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊

定義：VPN即虛擬專用網(wǎng)，是在一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接(稱之為建立一個(gè)隧道),使分布在不同地方的網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實(shí)現(xiàn)安全通信的網(wǎng)絡(luò)技術(shù)。虛擬專用網(wǎng)（VPN）技術(shù)“虛擬”和“專用網(wǎng)絡(luò)”虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。VPN技術(shù)結(jié)構(gòu)VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路由器公共網(wǎng)隧道隧道隧道隧道專網(wǎng)1專網(wǎng)4專網(wǎng)3專網(wǎng)2

VPN分類：內(nèi)部網(wǎng)虛擬專用網(wǎng)遠(yuǎn)程訪問虛擬專用網(wǎng)外部網(wǎng)虛擬專用網(wǎng)虛擬專用網(wǎng)（VPN）技術(shù)

密碼技術(shù)

密碼技術(shù)的基本思想是偽裝信息，隱藏信息的真實(shí)內(nèi)容，以使未授權(quán)者不能理解信息的真正含義，達(dá)到保密的作用。具體的就是對(duì)信息進(jìn)行一組可逆的數(shù)學(xué)變換。

偽裝前的信息稱為明文，偽裝后的信息稱為密文，將信息偽裝的過程稱為加密，將密文再還原為明文的過程稱為解密，解密是在解密密鑰（key）的控制下進(jìn)行的，用于解密的這組數(shù)學(xué)變換稱為解密算法。密碼技術(shù)組成要素

1、明文和密文

2、解密算法

3、加、解密密鑰（key）

4、加密和解密

用移位加密算法說明一個(gè)加解密的過程，明密文對(duì)照關(guān)系如下：ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：今晚9點(diǎn)發(fā)動(dòng)總攻

JINWANJIUDIANFADONGZONGGONG密文：MLQZDQMLXGLDQIDGRQJCRQJJRQJ例如，要發(fā)送一個(gè)軍事命令給前線，明文為“今晚9點(diǎn)發(fā)動(dòng)總攻”。加密算法是將明文字母后移3位，解密就是將密文字母前移3位，3就是加解密的密鑰，由它控制加解密過程。

一般情況下，密碼技術(shù)根據(jù)使用的加解密算法和密鑰原理等工作方式的不同分為不同的密碼體制。明文信道解密算法加密算法明文加密密鑰解密密鑰

密鑰竊取者密碼體制

現(xiàn)在廣泛應(yīng)用的兩種密碼體制：

1、對(duì)稱密鑰密碼體制

2、非對(duì)稱密鑰密碼體制

對(duì)稱密鑰密碼體系對(duì)稱密鑰密碼體系(SymmetricCryptography)又稱單密鑰密碼體制（One-keySystem

）。即信息交換雙方共同約定一個(gè)口令或一組密碼，建立一個(gè)通訊雙方共享的密鑰。工作原理如下圖：加密明文密文明文密鑰解密A方B方優(yōu)點(diǎn)：缺點(diǎn)：

1、安全性能差；

2、密鑰難于管理；對(duì)稱密鑰密碼體系加密、解密速度很快(高效)。非對(duì)稱密鑰密碼體系非對(duì)稱密鑰密碼體系(AsymmetricCryptography)也稱雙密鑰密碼體制（Two-keySystem

）。信息交換一方掌握兩個(gè)不同的密鑰：一個(gè)是可以公開的密鑰作為加密密鑰（常稱公鑰）；另一個(gè)則是秘密保存的作為解密密鑰（常稱私鑰）。工作原理如下圖：加密明文密文明文解密B方公鑰B方私鑰A方B方優(yōu)點(diǎn)：缺點(diǎn)：非對(duì)稱密鑰密碼體系安全性能高，使用方便靈活。加密、解密速度慢。電子信封技術(shù)電子信封(也稱“數(shù)字信封”)技術(shù)，具體操作方法是：發(fā)信方需要發(fā)送信息時(shí)首先生成一個(gè)對(duì)稱密鑰，用這個(gè)對(duì)稱密鑰加密所需發(fā)送的報(bào)文；然后用收信方的公開密鑰加密這個(gè)對(duì)稱密鑰，連同加密了的報(bào)文一同傳輸?shù)绞招欧?。收信方首先使用自己的私有密鑰解密被加密的對(duì)稱密鑰。再用該對(duì)稱密鑰解密出真正的報(bào)文。

加密的密鑰私人密鑰B公開密鑰B對(duì)稱密鑰對(duì)稱密鑰普通報(bào)文普通報(bào)文密文A方B方電子信封工作原理如下圖：加密加密21解密解密34

認(rèn)證技術(shù)數(shù)字摘要技術(shù)

數(shù)字摘要是采用單向Hash函數(shù)對(duì)文件中若干重要元素進(jìn)行某種加密變換運(yùn)算（SHA)得到固定長(zhǎng)度（128字節(jié)）的摘要碼（數(shù)字指紋），并在傳輸信息時(shí)將之加入文件一同傳送給接收方，接收方收到文件后，用相同的方法進(jìn)行變換運(yùn)算，若得到的結(jié)果與發(fā)送來的摘要碼相同，則可斷定文件未被篡改，反之亦然。

信息

摘要

信息

摘要發(fā)送方SHA加密一起發(fā)送SHA解密接收方

摘要對(duì)比數(shù)字簽名技術(shù)

文件的數(shù)字簽名技術(shù)實(shí)際上是通過數(shù)字摘要和非對(duì)稱密鑰加密體制兩者結(jié)合來實(shí)現(xiàn)的。采用數(shù)字簽名，對(duì)傳輸數(shù)據(jù)實(shí)現(xiàn)了兩種保護(hù)：

1、完整性

2、真實(shí)性數(shù)字簽名運(yùn)作步驟如下：

（1）發(fā)送方用哈希函數(shù)，將需要傳送的消息轉(zhuǎn)換成報(bào)文摘要。（2）發(fā)送方采用自己的私有密鑰對(duì)報(bào)文摘要進(jìn)行加密，形成數(shù)字簽字。（3）發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報(bào)文后面，傳遞給接收方。（4）接受方使用發(fā)送方的公有密鑰對(duì)數(shù)字簽字進(jìn)行解密，得到發(fā)送方形成的報(bào)文摘要。（5）接收方用哈希函數(shù)將接收到的報(bào)文轉(zhuǎn)換成報(bào)文摘要，與發(fā)送方形成的報(bào)文摘要相比較，若相同，說明文件在傳輸過程中沒有被破壞。信息摘要數(shù)字簽名信息摘要數(shù)字簽名摘要對(duì)比簽名過程傳輸過程接收、驗(yàn)證過程一起發(fā)送SHA加密私鑰加密發(fā)送方接收方公鑰解密SHA解密數(shù)字證書（digitalcertificate,digitalID）又稱數(shù)字憑證，是網(wǎng)絡(luò)通訊中標(biāo)識(shí)通訊各方身份信息，并由一個(gè)可信任的、公正的權(quán)威機(jī)構(gòu)（即認(rèn)證機(jī)構(gòu)CA）經(jīng)審核頒發(fā)的電子文書。

數(shù)字證書數(shù)字證書的特征1、是一種在Internet上驗(yàn)證身份的方式。2、由特定證書授權(quán)中心頒發(fā)的電子文書。

3、證書的格式遵循ITUX.509國(guó)際標(biāo)準(zhǔn)。

一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書內(nèi)容：證書的版本信息；證書的序列號(hào)，每個(gè)證書都有一個(gè)唯一的證書序列號(hào)；證書所使用的簽名算法；證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式；證書的有效期，現(xiàn)在通用的證書一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049；證書所有人的名稱，命名規(guī)則一般采用X.500格式；證書所有人的公開密鑰；證書發(fā)行者對(duì)證書的數(shù)字簽名。數(shù)字證書的組成

證書生成的流程：1．證書申請(qǐng)人提出申請(qǐng)，并將必要的認(rèn)證信息提交給CA。2．CA對(duì)申請(qǐng)人所提交的信息審查，檢查其正確性和合法性，對(duì)實(shí)體身份進(jìn)行確認(rèn)，生成數(shù)字證書的信息。3．CA用自己的私鑰為證書加上數(shù)字簽名。

4．CA將證書發(fā)放給用戶，將證書的副本存底并發(fā)布于證書庫(kù)中，以備他人查詢。

數(shù)字證書的三種類型個(gè)人證書它僅僅為某一個(gè)用戶提供數(shù)字證書。企業(yè)（服務(wù)器）數(shù)字證書它通常為網(wǎng)上的某個(gè)企業(yè)獲Web服務(wù)器提供數(shù)字證書。軟件（開發(fā)者）數(shù)字證書它通常為因特網(wǎng)中被下載的軟件提供數(shù)字證書。

認(rèn)證機(jī)構(gòu)認(rèn)證機(jī)構(gòu)（certificateauthority，CA）也稱認(rèn)證中心，是數(shù)字證書的簽發(fā)機(jī)構(gòu)，它通過自身的注冊(cè)審核體系，檢查核實(shí)進(jìn)行證書申請(qǐng)的用戶身份和各項(xiàng)相關(guān)信息，并將相關(guān)內(nèi)容列入發(fā)放的證書域內(nèi)，使用戶屬性的客觀真實(shí)性與證書的真實(shí)性一致。

認(rèn)證機(jī)構(gòu)的特征CA是提供身份驗(yàn)證的第三方機(jī)構(gòu)，由一個(gè)或多個(gè)用戶信任的組織實(shí)體構(gòu)成。CA主要是解決電子商務(wù)活動(dòng)中交易參與各方身份、資信的認(rèn)定，維護(hù)交易活動(dòng)的安全。第三方證書的樹形驗(yàn)證結(jié)構(gòu)在雙方通信時(shí)，如果對(duì)簽發(fā)證書的CA本身不信任，則可驗(yàn)證CA的身份，依次類推，一直到公認(rèn)的權(quán)威CA處。

認(rèn)證中心的作用

證書的頒發(fā)證書的更新證書的查詢證書的作廢證書的歸檔以地區(qū)為中心建立認(rèn)證中心。以行業(yè)為中心建立認(rèn)證中心。以國(guó)家為中心建立國(guó)家級(jí)行業(yè)安全認(rèn)證中心我國(guó)電子商務(wù)認(rèn)證機(jī)構(gòu)的構(gòu)建思路結(jié)論：認(rèn)證機(jī)構(gòu)的建立，應(yīng)發(fā)揮政府與市場(chǎng)兩個(gè)方面的積極性。國(guó)家電子商務(wù)認(rèn)證中心身份認(rèn)證

系統(tǒng)

（國(guó)家工商局）資信認(rèn)證

系統(tǒng)

（中國(guó)人民銀行）稅收認(rèn)證

系統(tǒng)

（國(guó)家稅務(wù)總局）外貿(mào)認(rèn)證

系統(tǒng)

（外貿(mào)部）省電子商務(wù)認(rèn)證中心身份認(rèn)證

系統(tǒng)

（省市工商局）資信認(rèn)證

系統(tǒng)

（省市人民銀行）稅收認(rèn)證

系統(tǒng)

（省市稅務(wù)局）外貿(mào)認(rèn)證

系統(tǒng)

（省市外貿(mào)局）國(guó)家電子商務(wù)認(rèn)證中心組織結(jié)構(gòu)設(shè)想圖CA認(rèn)證中心3.2.4電子商務(wù)安全協(xié)議電子商務(wù)的SSL協(xié)議電子商務(wù)SET協(xié)議2023/6/18本節(jié)要點(diǎn)：

電子商務(wù)安全協(xié)議電子商務(wù)安全協(xié)議的作用保證電子商務(wù)網(wǎng)上交易的機(jī)密性、數(shù)據(jù)完整性、身份合法性和不可否認(rèn)性的基礎(chǔ)。實(shí)現(xiàn)電子商務(wù)交易安全的關(guān)鍵技術(shù)之一目前常見的電子商務(wù)安全協(xié)議：

安全套接層協(xié)議SSL(SecuritySocketLayer)安全電子交易協(xié)議SET

3-DSecure支付協(xié)議

以及一些電子支付安全協(xié)議等SSL協(xié)議概述安全套接層協(xié)議SSL是由網(wǎng)景（Netscape）公司于1994年推出的一套基于Web應(yīng)用的Internet安全協(xié)議，該協(xié)議基于TCP/IP協(xié)議，提供瀏覽器和服務(wù)器之間的鑒別和安全通信。SSL協(xié)議是目前網(wǎng)上購(gòu)物網(wǎng)站中常使用的一種安全協(xié)議。

SSL協(xié)議通過在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息，來實(shí)現(xiàn)有關(guān)安全特性的審查。SSL協(xié)議提供的3種服務(wù)1.數(shù)據(jù)加密服務(wù)：采用的是對(duì)稱加密技術(shù)與公開密鑰加密技術(shù)。2.認(rèn)證服務(wù)：SSL客戶機(jī)與服務(wù)器都有各自的識(shí)別號(hào)，這些識(shí)別號(hào)使用公開密鑰進(jìn)行加密。3.數(shù)據(jù)完整性服務(wù)：采用哈希函數(shù)和機(jī)密共享的方法提供完整信息性的服務(wù)，在客戶機(jī)與服務(wù)器之間建立安全通道，以保證數(shù)據(jù)在傳輸中完整地到達(dá)目的地。SSL協(xié)議分為兩層SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議SSL握手協(xié)議用于通信雙方的身份認(rèn)證和密鑰協(xié)商；SSL記錄協(xié)議用于加密傳輸數(shù)據(jù)和對(duì)數(shù)據(jù)完整性的保證HTTPS、FTPS、TELNETS、IMAPSSSL握手協(xié)議SSL記錄協(xié)議TCPIPSSL握手協(xié)議握手協(xié)議有兩方面的作用，其一是驗(yàn)證對(duì)方的身份，其二是協(xié)商在以后傳輸加密數(shù)據(jù)時(shí)要使用的會(huì)話密鑰，以及求MAC時(shí)所用的密鑰。SSL握手協(xié)議一般由五個(gè)階段組成：（1）接通階段（Hello階段）（2）密鑰交換階段（3）會(huì)話密鑰生成階段（4）認(rèn)證階段（5）結(jié)束階段SSL握手協(xié)議的全過程客戶機(jī)服務(wù)器Time②服務(wù)器鑒別和密鑰交換階段③客戶鑒別和密鑰交換階段④完成握手協(xié)議①建立安全能力SSL記錄協(xié)議SSL記錄協(xié)議將數(shù)據(jù)流分割成一系列的片段并對(duì)這些片段進(jìn)行加密來傳輸，接收方對(duì)每條記錄單獨(dú)進(jìn)行解密和驗(yàn)證。這種方案使得數(shù)據(jù)一經(jīng)準(zhǔn)備好就可以從連接的一端傳輸?shù)搅硪欢?，并在接收到時(shí)即刻加以處理SSL記錄的數(shù)據(jù)部分包括：MAC-data：認(rèn)證數(shù)據(jù)；Actual-data：未進(jìn)行封裝之前的實(shí)際數(shù)據(jù)；Padding-data：填充數(shù)據(jù)。SSL記錄協(xié)議的操作待傳輸?shù)脑紨?shù)據(jù)分段壓縮添加MAC加密附加SSL記錄報(bào)頭數(shù)據(jù)類型主版本號(hào)次版本號(hào)壓縮長(zhǎng)度壓縮分段MACSSL安全協(xié)議也有它的缺點(diǎn)，主要有：不能自動(dòng)更新證書；認(rèn)證機(jī)構(gòu)編碼困難；瀏覽器的口令具有隨意性；不能自動(dòng)檢測(cè)證書撤銷表；用戶的密鑰信息在服務(wù)器上是以明文方式存儲(chǔ)的?？蛻舻臄?shù)據(jù)都完全暴露在商家的面前。但因操作容易，成本低，而且又在不斷改進(jìn)，所以在歐美的商業(yè)網(wǎng)站上的應(yīng)用是較廣泛的。2023/6/18SET協(xié)議概述SET協(xié)議是目前廣泛使用的一種網(wǎng)絡(luò)銀行卡付款機(jī)制，是進(jìn)行在線交易時(shí)保證銀行卡安全支付的一個(gè)開放協(xié)議。它是保證在開放網(wǎng)絡(luò)上進(jìn)行安全支付的技術(shù)標(biāo)準(zhǔn)，是專為保護(hù)持卡人、商家、發(fā)卡銀行和收單銀行之間，在Internet上進(jìn)行信用卡支付的安全交易協(xié)議。SET協(xié)議的目標(biāo)是將銀行卡的使用從商店的POS機(jī)上擴(kuò)展到消費(fèi)者的個(gè)人計(jì)算機(jī)中SET協(xié)議的主要目標(biāo)(1)信息傳輸?shù)陌踩裕盒畔⒃谝蛱鼐W(wǎng)上安全傳輸，保證不被外部或內(nèi)部竊取。(2)信息的相互隔離：訂單信息和個(gè)人賬號(hào)信息的隔離。(3)多方認(rèn)證的解決：①要對(duì)消費(fèi)者的信用卡認(rèn)證；②要對(duì)網(wǎng)上商店進(jìn)行認(rèn)證；③消費(fèi)者、商店與銀行之間的認(rèn)證。(4)效仿EDI貿(mào)易形式，要求軟件遵循相同協(xié)議和報(bào)文格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能。(5)交易的實(shí)時(shí)性：所有的支付過程都是在線的。SET系統(tǒng)的參與者

持卡人

網(wǎng)上商店支付網(wǎng)關(guān)認(rèn)證中心CA發(fā)卡銀行

ISO8583銀行網(wǎng)絡(luò)收單銀行

Internet

SET協(xié)議的工作流程1.初始請(qǐng)求

2.初始應(yīng)答3