第五章---電子商務(wù)信息安全問題

1、第五章 電子商務(wù)信息安全問題第一節(jié) 電子商務(wù)信息安全第二節(jié) 電子商務(wù)數(shù)據(jù)加密技術(shù)第三節(jié) 電子商務(wù)的認證技術(shù)第四節(jié) 電子商務(wù)安全交易標準每章一練第一節(jié) 電子商務(wù)信息安全一、電子商務(wù)信息安全的現(xiàn)狀1.信息源被破壞2.信息篡改3.信息泄露4.信息發(fā)送方的抵賴行為二、電子商務(wù)信息安全要求1.信息的保密性要求2.信息的完整性要求3.信息的不可否認性要求4.辨別交易者身份的要求5.系統(tǒng)運行的可靠性的要求下一頁返回第一節(jié) 電子商務(wù)信息安全三、電子商務(wù)服務(wù)器的安全性要求. 電子商務(wù)服務(wù)網(wǎng)站，或建有自己網(wǎng)站的從事電子商務(wù)交易的企業(yè)，要對其服務(wù)器采取各種有效的安全措施。電子商務(wù)中的服務(wù)器主要是向用戶提供不同的程序

2、服務(wù)，包括使用超文本傳輸協(xié)議(HTTP )進行信息傳遞。1.WWW服務(wù)程序的安全威脅2.數(shù)據(jù)庫的安全3.公共網(wǎng)關(guān)接口的安全上一頁下一頁返回第一節(jié) 電子商務(wù)信息安全四、電子商務(wù)的安全保障體系建設(shè)為確保電子商務(wù)交易環(huán)境的安全性，不但要采用各種有效的網(wǎng)絡(luò)安全技術(shù)以提高電子商務(wù)硬件系統(tǒng)運行的可靠性，還必須構(gòu)建一個完整的、多層次的電子商務(wù)安全保障體系。具體包括:信息加密系統(tǒng);安全認證技術(shù);安全交易網(wǎng)絡(luò)協(xié)議;電子商務(wù)網(wǎng)上支付系統(tǒng)等，如圖5-1所示。上一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲加密。數(shù)據(jù)加密過程就是通過加密系統(tǒng)把信息原始數(shù)據(jù)(明文)，按照加密算法變換成與明

3、文完全不同的數(shù)據(jù)信息(密文)的過程。本節(jié)將對密碼學(xué)的基本概念和常用算法做一簡要介紹。一、密碼學(xué)的基本含義密碼學(xué)是保密學(xué)的一個分支學(xué)科。密碼學(xué)是研究密碼系統(tǒng)或通信安全的科學(xué)，對信息進行編碼實現(xiàn)隱蔽信息的一門學(xué)問。 采用保密技術(shù)可以隱蔽和保護需要保密的消息，使未授權(quán)者不能提取信息。需要隱蔽的消息稱為明文;明文被加密成另一種隱蔽形式稱為密文。這種變換過程稱為加密;加密的逆過程，即將密文還原回明文的過程稱為解密。下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密的一般方法，如圖5 -2所示。 如圖所示的數(shù)據(jù)加密解密方法必須保證算法的保密性，這種需要保密的算法稱為受限制的算法。這種限制不僅只針對其算法，更限制

4、了其應(yīng)用和普及，它只能在特定的有限的用戶范圍內(nèi)使用，才可能做到保密。一旦其中的用戶出現(xiàn)變動，就將無密可保，這個算法只能作廢而啟用另一個算法，并要通知到仍在組織內(nèi)部的所有用戶。 加密算法所使用的密鑰稱為加密密鑰;解密算法所使用的密鑰稱為解密密鑰。加密運算和解密運算都使用同一個密鑰稱為單鑰加密解密或稱為對稱加密技術(shù);加密運算和解密運算使用不同密鑰稱為雙鑰加密解密或稱為非對稱加密技術(shù)。上一頁下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù) 基本的加密方法包括加密密鑰和加密算法兩部分。即將明文和密鑰數(shù)字結(jié)合起來根據(jù)算法進行加密運算后形成密文。密鑰的數(shù)字位數(shù)長度決定了在同一種加密算法下存在的密鑰的個數(shù)。這個位數(shù)越長

5、，其破譯的難度就越大，相對的加密方法會更安全些。二、加密技巧任何加密系統(tǒng)無論多么復(fù)雜，至少包括4個組成部分:需加密的報文，也稱明文;加密后的報文，也稱密文;加密解密裝置或算法;用于加密和解密的鑰匙，它可以是數(shù)字、詞匯或語句。加密是在不安全的環(huán)境中實現(xiàn)信息安全傳遞的重要手段，本節(jié)介紹以下4種加密技巧:上一頁下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù) 1.置換密碼置換密碼是傳送保密信息的一種簡單方法。在置換密碼過程中，每個字母或每組字母由另一個或另一組偽裝字母所代替。即明文中的一組字母與密文中的字母分別對應(yīng)。接收者只需對密文進行逆替換就能恢復(fù)出明文來。最早最常用的置換密碼是愷撒密碼。 愷撒密碼又稱循環(huán)移

6、位密碼。以英文信息加密為例，它的加密方法就是明文中每個英文字母都用它后面的第k位字母代替，這樣，則它們之間的映射關(guān)系就構(gòu)成了一個替換加密的加密器。例如，明文中每個英文字母都后移4位:明文：Word上一頁下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù) 密文:ASVH則這個愷撒密碼的密鑰為4。用這種方法，因英文信息加密只有26個密鑰空間，密鑰簡單易記，但易破解。 置換密碼還有多種類型，雖各有特點但安全性仍較差。原因是它沒有將明文中不同字母出現(xiàn)的頻率掩蓋起來，竊密者只要多收集一些密文，通過分析個別英文字母在文中出現(xiàn)的頻率，并統(tǒng)計各字母在密文中出現(xiàn)的相對頻率，進而猜測一個字符或字母、兩個字母或字詞，以此為切入點

7、逐步破譯密文信息。上一頁下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù) 2.易位密碼易位密碼中不隱藏原明文中的字符，但將明文中字符的順序打亂并重新排列。具體方法是，先選擇一個密鑰，再按照密鑰中數(shù)字與明文中字符的對應(yīng)關(guān)系將明文重新排序?qū)懗鰜恚孕纬擅芪?。例?密鑰:31472605明文:電子商務(wù)信息安全 01234567密文:務(wù)子信全商安電息上一頁下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù)易位密碼原理是明文字符循環(huán)按照密鑰數(shù)字所標順序進行重新排列而形成密文，該密文是任何第三方人員無法讀懂的無任何意義的字符串，起到對信息保密的作用。密鑰的數(shù)字序列代表明文的字符在密文中的排列次序，解密時，只需按照密鑰的順序?qū)⒚芪闹?/p>

8、新排序即可。 3.序列密碼序列密碼的加密方法是:先將要傳遞的各種多媒體原始信息轉(zhuǎn)換成明文數(shù)據(jù)序列，然后再將它同密鑰序列進行異或運算，生成密文。序列密碼安全性的關(guān)鍵是依賴于密鑰序列，密鑰序列是通過密鑰序列產(chǎn)生器產(chǎn)生的大量偽隨機序列。序列密碼的優(yōu)點是:處理速度快、錯誤傳播小。上一頁下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù) 4.分組密碼分組密碼的加密方法是:先將明文序列以固定長度進行分組，每一組字符用相同的密鑰和加密函數(shù)進行運算。加密函數(shù)重復(fù)地使用替換和易位兩種基本的加密變換，以達到對信息的“打亂”和“擴散”效果。這樣就無明顯的統(tǒng)計規(guī)律可循，使之難以找到破解的切入點。但分組密碼也有缺點，它加密速度慢，還

9、可能產(chǎn)生錯誤擴散和傳播。上一頁下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù)三、加密基本技術(shù) 1.對稱加密技術(shù)所謂對稱加密技術(shù)，通常是指信息加密和解密使用相同的密鑰。當(dāng)一個信息需要加密傳遞時，該信息明文用密鑰加密成密文，密文在信道上傳遞，收到密文后用同一個密鑰將密文解密，還原成信息原文。對稱加密解密過程如圖5 -3所示。對稱加密通常有兩個安全要求:對稱加密需要有強大的加密算法。發(fā)送方和接收方必須用安全的方式來獲得保密密鑰的副本，確保密鑰的安全。上一頁下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù)2.非對稱加密技術(shù)所謂非對稱加密技術(shù)，是指加密密鑰和解密密鑰雖然兩者之間存在一定的關(guān)系，但絕不能從一個密鑰推導(dǎo)出另一個密

10、鑰。因此，非對稱的兩個密鑰中的一個密鑰可以公開，我們稱為“公鑰”。而另一個密鑰對外保密，我們稱為“私鑰”。信息加密時，如用私鑰加密，則用公鑰解密;如用公鑰加密，則用私鑰解密，這同樣能起到加密作用。加密解密過程如圖5-4所示。非對稱的雙鑰加密體制，公鑰可以通過網(wǎng)絡(luò)的途徑傳送給客戶，也可以在網(wǎng)上公布自己的公開密鑰供任何商業(yè)伙伴從網(wǎng)上下載。上一頁下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù)從事電子商務(wù)的企業(yè)傳遞信息時，發(fā)送方用對方公開密鑰給發(fā)出的信息進行加密，接受方用其自己的私鑰解密，實現(xiàn)一對一的信息傳遞;也可以是發(fā)送方用其自己的私鑰給發(fā)出的信息進行加密，接受方用發(fā)送方公開密鑰解密，實現(xiàn)一對多的信息傳遞。對

11、稱數(shù)據(jù)加密技術(shù)和非對稱數(shù)據(jù)加密技術(shù)的區(qū)別如表5 -3所示。公鑰密碼體系中加密算法使用最多的是RSA算法。目前，RSA被廣泛應(yīng)用于網(wǎng)絡(luò)安全和電子商務(wù)的認證領(lǐng)域。如Web服務(wù)器和瀏覽器信息安全、E-mail的安全和認證、遠程登錄的安全保證和信用卡系統(tǒng)等。RSA公開密鑰算法有如下特點:上一頁下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù)RSA公開密鑰算法同時產(chǎn)生一對密鑰，即加密密鑰Ke和解密密鑰Kd。加密密鑰Ke與加密解密算法一起公開，只對解密密鑰Kd進行保密。由已知加密密鑰Ke不能推導(dǎo)出解密密鑰Kd。加密密鑰Ke不能用于解密。解密密鑰Kd和解密算法一起使用才能解讀密文。RSA算法是第一個能同時用于加密和數(shù)字

12、簽名的算法，RSA算法等公開密鑰加密體制有兩種基本模型，一種是加密模型，另一種是認證模型。以A和B表示從事電子商務(wù)交易的雙方，加密模型如圖5 -5所示，認證模型如圖5 -6所示。上一頁下一頁返回第二節(jié)電子商務(wù)數(shù)據(jù)加密技術(shù)3. Hash加密技術(shù)Hash加密技術(shù)也稱為散列技術(shù)，這是一個簡單的不可逆的函數(shù)過程。Hash算法在保證信息的完整性、不可篡改性方面有很好的應(yīng)用。一般是在傳遞信息的明文后再附加一個由Hash函數(shù)生成的密文一起發(fā)出。上一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)一、關(guān)于身份認證身份認證是判明和確認交易雙方真實身份的重要手段。只有采用可靠的身份識別技術(shù)，才能防止電子商務(wù)交易的欺詐行為和抵賴行

13、為。只有這樣，才能營造安全的電子商務(wù)交易環(huán)境。1.身份認證的目的認證信息的來源。確保信息的完整性，使信息在傳遞過程中不被篡改、延遲和替換。下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)防止抵賴行為，使信息的發(fā)送方不能否認信息發(fā)出或收到的事實。訪問控制，允許合法用戶對系統(tǒng)的訪問，拒絕非法用戶對系統(tǒng)的訪問。2.身份認證的基本方法(1)口令認證方式 這是用戶身份認證的最簡單、最原始、使用最廣泛的方法。(2)標記認證方式 標記是一種用戶所持有的秘密信息(硬件)，上面記錄著用于系統(tǒng)識別的個人信息。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)(3)人體生物特征認證方式 某些人體生物特征，如指紋、聲音、DNA、視網(wǎng)膜掃

14、描圖案等，可以直接用于身份鑒別和身份認證。但這種方法成本較高，僅用于保密程度很高的場合。二、數(shù)字摘要1.數(shù)字摘要的概念 所謂數(shù)字摘要，是對原文信息使用單向Hash算法，將其“摘要”成一串固定位數(shù)(通常為128位)的散列值。因為Hash函數(shù)是一種單向加密運算過程，即使知道了數(shù)字摘要也不能反演出信息原文。所以，應(yīng)用數(shù)字摘要技術(shù)可以確保信息的完整性。數(shù)字摘要主要用于解決信息的完整性問題，其對信息內(nèi)容并不保密。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)2.數(shù)字摘要的使用方法發(fā)送方對信息原文使用單向Hash函數(shù)得到數(shù)字摘要1。將數(shù)字摘要1與原文一起發(fā)送給接收方。接收方對接收到的信息原文應(yīng)用Hash函數(shù)得

15、到數(shù)字摘要2。接收方將產(chǎn)生的數(shù)字摘要2與從發(fā)送方傳來的數(shù)字摘要1進行對比。數(shù)字摘要的使用過程如圖5 -7所示。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)三、數(shù)字簽名1.數(shù)字簽名的概念所謂數(shù)字簽名是建立在公鑰加密體制基礎(chǔ)上的公鑰加密技術(shù)的另一類應(yīng)用。它是將公鑰加密技術(shù)與數(shù)字摘要結(jié)合起來，而形成的數(shù)字簽名技術(shù)。數(shù)字簽名主要用于解決對網(wǎng)上交易的要約承諾的不可否認性。2.數(shù)字簽名的形成機制數(shù)字簽名的形成機制如圖5 -8所示。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù) 3.數(shù)字簽名形成過程中密鑰的使用數(shù)字簽名使用了公鑰加密體系，但它使用的是發(fā)送方自己的“密鑰對”。具體說，就是發(fā)送方先用自己的私鑰為數(shù)字摘

16、要加密形成數(shù)字簽名，然后接收方用發(fā)送方的公鑰對數(shù)字簽名進行解密。這是一對多的關(guān)系。因此，網(wǎng)上的任一貿(mào)易伙伴均可驗證該數(shù)字簽名的真?zhèn)?。而前面介紹的，單純信息加密和解密過程正好與數(shù)字簽名的形成過程中對“密鑰對”的使用相反，它使用的是接收方的“密鑰對”，這是一對一的關(guān)系，第三方不能解密信息原文。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)四、數(shù)字時間戳1.數(shù)字時間戳的概念所謂數(shù)字時間戳，是由DTS服務(wù)機構(gòu)提供的電子商務(wù)安全服務(wù)項目，是一個經(jīng)過加密后形成的平整文檔，專用于證明信息的發(fā)送時間。數(shù)字時間戳簡稱DTS，數(shù)字時間戳技術(shù)是數(shù)字簽名技術(shù)的變相應(yīng)用。2.數(shù)字時間戳的形成過程數(shù)字時間戳的形成過程如圖5

17、-9所示。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)3.數(shù)字時間戳的要素需要加上時間的文件的數(shù)字摘要。DTS服務(wù)機構(gòu)收到文件摘要的日期和時間。DTS服務(wù)機構(gòu)的數(shù)字簽名。五、認證中心我們通常所說的認證中心，也稱電子商務(wù)認證中心。它承擔(dān)網(wǎng)上安全電子商務(wù)交易的認證服務(wù)，即負責(zé)簽發(fā)數(shù)字證書，確定用戶身份。它扮演著與具體交易行為無關(guān)的第三方權(quán)威機構(gòu)的角色。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù) 具體來講，認證中心的主要任務(wù)就是受理數(shù)字證書的申請、簽發(fā)和管理證書。其核心是公鑰基礎(chǔ)設(shè)施(PKI )，這是一種易于管理的、集約化的網(wǎng)上安全保障措施。認證中心支持多種形式的數(shù)字認證、數(shù)據(jù)加密、數(shù)字簽名、身份鑒別

18、、密鑰管理等)它在整個電子商務(wù)安全環(huán)境中，處于一個至關(guān)重要的核心位置，是整個電子商務(wù)活動得以開展的基礎(chǔ)。其本身的安全性、其認證的權(quán)威性構(gòu)筑了電子商務(wù)活動中交易各方、交易的各個環(huán)節(jié)之間的相互信任的橋梁。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù) 1.認證中心的主要功能認證中心的核心職能是發(fā)放和管理用戶的數(shù)字證書。認證中心必須能方便用戶查詢各種證書;能夠有效地管理證書和密鑰，確保其安全。(1)證書發(fā)放(2)證書更新(3)證書驗證(4)證書撤銷上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)2.認證體系結(jié)構(gòu)目前，國際上還沒有統(tǒng)一的認證機構(gòu)，許多國家都在建立自己的認證機構(gòu)。 1996年2月，VISA和Mas

19、ter Card兩大信用卡國際組織共同發(fā)起制定了保證在Internet上進行的安全電子交易協(xié)議(SET) , 1997年5月SET協(xié)議正式出臺。該協(xié)議適用于B2C電子商務(wù)模式。1997年12月，VISA和Master Card兩大組織共同成立了安全電子交易公司，即SETCO專門從事管理與促進SET安全電子交易協(xié)議的全球推廣。該公司被賦予代表上述兩組織頒發(fā)具有最高權(quán)威登記的根認證(RCA)的特許權(quán)利。在根認證下，可以建立分層結(jié)構(gòu)的認證體系。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)這里就以SET認證體系的樹型驗證結(jié)構(gòu)為例做一簡要說明能不同可劃分成不同的等級，不同的認證中心負責(zé)頒發(fā)不同的證書。SE

20、T的認證體系如圖5-10所示。 一般來講，CA體系分為SET CA和非SET CA兩類。SET CA又分為兩種:一個是采用SET標準，支持B2C的電子商務(wù)模式;一個是采用SSLPKI等標準，能同時支持B2B的電子商務(wù)模式。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)六、數(shù)字證書1.關(guān)于數(shù)字證書所謂數(shù)字證書，也就是我們所說的為數(shù)字憑證、數(shù)字標識，即表明從事網(wǎng)上電子商務(wù)的用戶身份的一系列數(shù)字信息。具體講，就是用于證明某一交易主體(也包括個人用戶和電子商務(wù)網(wǎng)站服務(wù)器)的身份及其公鑰的合法性的一種權(quán)威性電子文檔，它由具權(quán)威性的第三方機構(gòu)(認證中心)負責(zé)頒發(fā)。數(shù)字證書提供了一種在網(wǎng)上驗證身份的有效途徑。上

21、一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù) 2.數(shù)字證書的要素數(shù)字證書的內(nèi)容格式是遵循X. 509標準的。這是由國際電信聯(lián)盟所制定的數(shù)字證書標準。根據(jù)這個標準，數(shù)字證書既包括證書持有人的信息，也包括證書頒發(fā)機構(gòu)的信息。具體體現(xiàn)在以下幾個方面:證書擁有者的姓名。證書的版本信息。證書的序列號，每個證書都是唯一的序列號。額外信氰的特別擴展上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)證書所使用的簽名算法。證書的主題名稱。證書頒發(fā)機構(gòu)的名稱。證書的有效期限。證書持有人的公開密鑰，包括公鑰算法等。證書頒發(fā)機構(gòu)對證書的簽名。3.數(shù)字證書的類型(1)個人證書 個人證書又分為個人身份證書和個人安全電子郵件證書兩種。

22、個人身份證書是用來向?qū)Ψ奖砻骱万炞C個人的身份，同時也可以通過個人證書從系統(tǒng)中獲得用戶的其他信息，個人身份證書可存放于計算機磁盤、智能卡或USB電子密鑰中。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)(2)單位證書 單位證書又分為單位證書和單位員工證書兩種。其是頒發(fā)給獨立的單位、組織，以用于證明其身份的證書。單位證書對外代表整個單位;單位員工證書是用于代表單位來從事處理具體電子商務(wù)事宜的某一員工的憑證。(3)服務(wù)器證書 服務(wù)器證書主要頒發(fā)給電子商務(wù)Web站點或其他需要安全鑒別的服務(wù)器，以證明服務(wù)器的真實身份信息。(4)代碼簽名證書 代碼簽名證書是用于證明軟件開發(fā)者的身份，為軟件開發(fā)提供對軟件代碼數(shù)

23、字簽名的簽名技術(shù)。上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù) 4.證書申請安裝操作方法我們以廣東省電子商務(wù)認證中心()個人證書的申請安裝操作流程為例，進行介紹，如圖5-11所示。(1)用戶首先訪問電子商務(wù)網(wǎng)站(2)先將電子商務(wù)認證中心CA的根證書鏈安裝添加到根證書存儲區(qū)(3)在線填寫并提交申請表(4)提交個人數(shù)字證書申請表上一頁下一頁返回第三節(jié) 電子商務(wù)的認證技術(shù)(5)下載并打印、填寫申請表(6)到RA業(yè)務(wù)點接受身份審核(7)認證中心或RA營業(yè)點在通過身份審核后(8)用戶下載并安裝數(shù)字證書上一頁返回第四節(jié) 電子商務(wù)安全交易標準一、電子商務(wù)安全套接層協(xié)議安全套接層協(xié)議SSL是由網(wǎng)景(NETSCA

24、P)公司研制推出的安全通信協(xié)議，該協(xié)議是對計算機終端之間進行會話加密的協(xié)議。它主要用于WEB瀏覽器與服務(wù)器之間的身份認證和數(shù)據(jù)加密傳遞，目前可以對信用卡及用戶個人信息提供較強的安全保護。1. SSL的基本功能SSL提供了3種基本服務(wù)功能，這些功能都應(yīng)用了公開密鑰加密技術(shù)。(1)信息完整性功能下一頁返回第四節(jié) 電子商務(wù)安全交易標準(2)信息保密功能(3)用戶和服務(wù)器相互認證功能 2. SSL記錄協(xié)議SSL記錄協(xié)議建立在可靠的傳輸協(xié)議之上，為更高層協(xié)議提供數(shù)據(jù)封裝、壓縮和加密等基本功能的支持。SSL記錄協(xié)議位于SSL協(xié)議的底層，它從更高層那里接受初始信息塊進行處理，提供認證功能。并在可靠的傳輸協(xié)議

25、之上提供保護。其主要過程如下:將來自更高層的初始數(shù)據(jù)分片或組合，生成新的數(shù)據(jù)單元SSLCompressed。上一頁下一頁返回第四節(jié) 電子商務(wù)安全交易標準壓縮新生成的數(shù)據(jù)單元，得到壓縮后的數(shù)據(jù)單元SSLCompressed。生成用于數(shù)據(jù)的完整性驗證的消息認證碼(MLA) 。加密壓縮后的數(shù)據(jù)單元和消息掩碼，生成新的數(shù)據(jù)單元SSLCiphertext。將新生成的數(shù)據(jù)單元SSLCiphertext發(fā)送給網(wǎng)絡(luò)的下級，并安全傳遞。3. SSL握手協(xié)議SSL握手協(xié)議建立在SSL記錄協(xié)議之上，其作用是產(chǎn)生會話狀態(tài)下的各種安全參數(shù)。具體來講是指用于在實際的數(shù)據(jù)傳輸開始前，通信雙方進行身份認證、協(xié)商加密算法、交換

26、會話使用的密鑰等。上一頁下一頁返回第四節(jié) 電子商務(wù)安全交易標準SSL握手協(xié)議是在SSL記錄協(xié)議層的頂部操作的。當(dāng)一個客戶機與服務(wù)器首次開始通信時，他們需要就協(xié)議版本、加密算法的選擇、是否驗證對方身份及公鑰加密技術(shù)的應(yīng)用進行協(xié)商以產(chǎn)生共享的密鑰。這一協(xié)商和處理過程是由SSL握手協(xié)議自動完成的。具體說SSL協(xié)議的通信過程通過以下6個階段來實現(xiàn):(1)接通階段 接通階段對保密和認證所使用的算法達成協(xié)議的階段。(2)交換階段 客戶機和服務(wù)器之間交換建立主密鑰。(3)會話密鑰生成階段 在會話密鑰生成階段，從客戶機選擇的數(shù)據(jù)中推導(dǎo)出會話密鑰后，由客戶機向服務(wù)器發(fā)送，服務(wù)器用公開密鑰加密。上一頁下一頁返回第

27、四節(jié) 電子商務(wù)安全交易標準(4)服務(wù)器驗證階段 采用RSA密鑰交換時才執(zhí)行此階段的步驟，目的是證實主密鑰和服務(wù)器得到的密鑰。(5)客戶機認證階段服 務(wù)器需要客戶機的證書，客戶機再進行響應(yīng)。(6)結(jié)束階段 在結(jié)束階段，客戶機和服務(wù)器交換各自的結(jié)束消息。4.采用SSL協(xié)議的電子商務(wù)交易采用SSL協(xié)議的電子商務(wù)交易過程如下:首先，用戶將購買商品的信息發(fā)往商家，商家再將信息轉(zhuǎn)發(fā)給銀行，銀行驗證客戶信息的合法性后通知客戶和商家付款成功，最后商家通知客戶交易成功，并按照協(xié)商好的途徑將商品送給客戶。上一頁下一頁返回第四節(jié) 電子商務(wù)安全交易標準二、電子商務(wù)安全電子交易協(xié)議為了滿足電子商務(wù)發(fā)展的需要，保證消費者使用銀行卡進行網(wǎng)上購物的安全性，VISA和Master Card等國際金融組織與其他公司聯(lián)合推出了安全電子交易協(xié)議SET,該協(xié)議主要是為了解決從事電子商務(wù)用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的。1. SET協(xié)議的要素加密算法(如RSA算法和DES算法)的應(yīng)用。證書消息和對象格式。上一頁下一頁返回第四節(jié) 電子商務(wù)安全交易標準購買商品消息和對象格式。參與者之間的消息協(xié)議。欠