信息安全工程师----第七章 7.2 电子商务安全

第七章 7.2 电子商务安全

电子商务安全

电子商务是以信息网络技术为手段，以商品交换为中心的商务活动；也可以理解为在互联网、企业内部网上以电子交易方式进行交易活动和相关服务的活动，是传统商业活动各环节的电子化、网络化、信息化。

电子商务的定义及安全需求

电子商务系统的安全问题除了包含计算机系统本身存在的安全隐患外，还包括了电子商务中数据的安全隐患和交易的安全隐患。

要保证电子商务的安全性，就要满足下列安全需求：

• 信息保密性需求
• 信息完整性需求
• 交易信息不可抵赖性需求
• 交易对象身份可认证性需求
• 服务有效性需求

• 访问控制需求

  SET 协议

SET 协议是应用层的协议，是一种基于消息流的协议，它是面向B2C (企业对消费者)模式的，完全针对信用卡来制定，涵盖了信用卡在电子商务交易中的交易协议信息保密、资料完整等各个方面。
SET 协议主要使用的技术包括:

• 对称密钥加密
• 公钥加密
• Hash 算法
• 数字签名
• 数字信封
• 数字证书

SET 协议是一个基于可信的第三方认证中心的方案，其主要的实现目标是:保证电子离务参与者信息的相互隔离、保证信息在Internet 上安全传输、解决多方认证问题、保证网上交易的实时性、提供一个开放式的标准。

SET交易的参与方包括持卡人、发卡机构、离家、收单银行、支付网关和数字证书认证中心 CA 。

SET 协议是一种电子支付系统的安全协议，因此它涉及加密、认证等多种技术。

1.加密技术
加密技术是SET 协议中的核心技术，在SET 中使用的主要包括对称加密、非对称加密、数字签名、消息摘要、数字信封、双重签名等。

2.认证技术
网上交易的买卖双方在进行每一笔交易时，为了保证交易的可靠性，买方和卖方都要鉴别对方的身份。

CA的主要功能有:接收注册请求处理、批准/拒绝请求、发行证书。

SSL 协议SSL 安全套接层协议是安全通信协议。
在SSL 中，采用了公开密钥和私有密钥两种加密方式，它对计算机之间整个会话进行加密，从而保证了安全传输。SSL 的安全服务位于TCP 和应用层之间，可为应用层(如HTTP 、FTP 、SMTP) 提供安全业务，服务对象主要是Web 应用，即客户浏览器和服务器。

SSL 服务器认证允许用户确认服务器身份。

SSL 客户机认证允许服务器确认用户身份。

一个加密的SSL 连接要求所有在客户机与服务器之间发送的信息由发送方软件加密和由接受方软件解密，对称加密法用于数据如密(如用DES 和RC4 等)，从而连接是保密的。
SSL 主要工作流程包括:网络连接建立:与该连接柜关的加密方式和压缩方式选择:双方的身份识别:本次传输密钙的确定:加密的数据传输:网络连接的关闭。

SSL 是一个两层协议，包括SSL 握手层协议和SSL 记录层协议。

SSL 协议提供的服务可以归纳为如下三个方面:

• 用户和服务器的合法性认证
• 加密数据以隐藏被传送的数据
• 维护数据的完整性

SSL 协议自身的缺陷:

1. 客户端假冒
2. SSL 协议无法提供基于四P 应用的安全保护
3. SSL 协议不能对抗通信流量分析
4. 可能受到针对基于公钥加密标准（PKCS) 的协议的自适应选择密文攻击
5. 进程中的主密钥泄漏
6. 磁盘上的临时文件可能遭受攻击。

SSL 加密算法和会话密钥是在握手协议中协商并由Cipher-Choice 指定的。

现有的SSL 版本中所用到的加密算法包括：RC4 ， RC2, IDEA、DES 和3DES ，而加密算法所用的密钥由消息散列函数MD5 产生。

SSL 协议中对称加密用于加密应用数据，非对称加密用于验证实体和交换密钥。非对称加密算法按用途分为密钥交换算法和数字签名算法