【文章內(nèi)容簡(jiǎn)介】 lman 密鑰交換和驗(yàn)證。 ④ FORTEZZA （ 2） 版本重放攻擊 （ 3） 檢測(cè)對(duì)握手協(xié)議的攻擊 （ 4） 會(huì)話的恢復(fù) （ 5） 散列算法 2. 應(yīng)用數(shù)據(jù)保護(hù) 系統(tǒng)的安全性取決于最弱的密鑰交換和驗(yàn)證算法，只有可以信賴的加密功能才能使用。應(yīng)該謹(jǐn)慎使用較短的公鑰密碼、 40 位的加密密鑰。證書(shū)和證書(shū)驗(yàn)證至關(guān)重要，一個(gè)不誠(chéng)實(shí)的 CA將產(chǎn)生巨大的破壞。 根據(jù)應(yīng)用場(chǎng)合不同， SSL協(xié)議有多種應(yīng)用模式。 1. 匿名 SSL連接 2. 對(duì)等安全服務(wù) 3. 電子商務(wù) 4. 網(wǎng)上交易的安全方案如圖 。 SSL應(yīng)用 網(wǎng)上交易安全方案 兩大信用卡組織 —— Visa和MasterCard—— 聯(lián)合開(kāi)發(fā)了 SET (Security Electric Transaction，安全電子交易系統(tǒng) )。 安全電子交易是基于 Inter的卡基支付，是授權(quán)業(yè)務(wù)信息傳輸?shù)陌踩珮?biāo)準(zhǔn)。 安全電子交易系統(tǒng) SET概述 圖 。 SET的基本概念 圖 網(wǎng)上交易的安全方案 SET協(xié)議中的角色有： 持卡人 發(fā)卡銀行（ Issuer） 收單銀行 商家 支付網(wǎng)關(guān) 認(rèn)證中心 電子錢(qián)包 SET規(guī)范涉及的范圍包括： 加密算法的應(yīng)用 (例如 RSA和 DES)； 證書(shū)信息和對(duì)象格式； 購(gòu)買(mǎi)信息和對(duì)象格式； 認(rèn)證信息和對(duì)象格式； 劃賬信息和對(duì)象格式； 交易實(shí)體之間消息的傳輸協(xié)議。 信息對(duì)稱密鑰 A l i c e 的 簽名私鑰 Alice 的 簽名公鑰加密方法小結(jié)發(fā)送者 A l i c e 接收者 B o b消息摘要 數(shù)字簽名數(shù)字信封B ob 的交換私鑰數(shù)字簽名Bob 的密鑰交換公鑰加密信息加密信息對(duì)稱密鑰加密信息數(shù)字信封信息摘要 M1信息摘要 M2比較數(shù)字信封加密加密加密解密解密解密圖 61 加密方法示例 加密算法示例 SET提供的安全服務(wù)主要如下： 機(jī)密性 認(rèn)證 完整性 關(guān)聯(lián)： 非否認(rèn)： 其中證書(shū)的主要類(lèi)型如下： （ 1） 持卡者證書(shū) （ 2） 商家證書(shū) （ 3） 支付網(wǎng)關(guān)證書(shū) （ 4） 證書(shū)鏈確認(rèn) （ 5） 品牌的證書(shū)注銷(xiāo)列表標(biāo)識(shí) 1． 基本流程 SET協(xié)議的工作程序分為下面 7個(gè)步驟（如圖 )。 支付處理流程 圖 SET系統(tǒng) 發(fā) 卡 銀 行收 單 銀 行消 費(fèi) 者C AI n t e r n e t金 融 現(xiàn) 有 網(wǎng) 絡(luò)支 付 網(wǎng) 關(guān)電 子 錢(qián) 包 商 家S E T 系 統(tǒng) 電子錢(qián)包及電子證書(shū)核發(fā)流程如下： ① 持卡人填送 SET協(xié)議書(shū)至發(fā)卡銀行。 ② 發(fā)卡銀行審核通過(guò)后，寄發(fā)電子錢(qián)包及相關(guān)須知給持卡人。 ③ 發(fā)卡銀行傳送持卡人認(rèn)證資料至認(rèn)證中心以供其核對(duì)。 ④ 持卡人通過(guò) Inter連線到認(rèn)證中心的網(wǎng)址，提出證書(shū)申請(qǐng)。 ⑤ 使用者閱讀并接受認(rèn)證中心的合約書(shū)后，進(jìn)入認(rèn)證注冊(cè)，填寫(xiě)基本資料及發(fā)卡銀行提供的密碼，并傳回認(rèn)證中心確認(rèn)。 ⑥ 認(rèn)證中心將持卡人的認(rèn)證資料與發(fā)卡行送來(lái)的資料核對(duì)無(wú)誤后，發(fā)出一張電子證書(shū)給持卡人。 ⑦ 同時(shí)認(rèn)證中心提供核發(fā)電子證書(shū)的資料給發(fā)卡銀行。 證書(shū) 描述了持卡人通過(guò) SET協(xié)議申請(qǐng)證書(shū)的流程。 圖 63 申請(qǐng)證書(shū)的流程 持卡人的注冊(cè)持卡人的計(jì)算機(jī) 發(fā)出請(qǐng)求認(rèn)證機(jī)構(gòu)處理持卡人要求注冊(cè)認(rèn)證機(jī)構(gòu)發(fā)出響應(yīng)持卡人獲得響應(yīng)并請(qǐng)求注冊(cè)表格持卡人收到表格并請(qǐng)求證書(shū) 持卡人 收到證書(shū)認(rèn)證機(jī)構(gòu)處理請(qǐng)求和發(fā)出注冊(cè)表格認(rèn)證機(jī)構(gòu)處請(qǐng)求和創(chuàng)建證書(shū) 請(qǐng)求響應(yīng)注 冊(cè) 表格請(qǐng)求 注冊(cè)表格 持卡人的證書(shū)請(qǐng)求持卡人的證書(shū) 具體過(guò)程如下： 1．啟動(dòng)電子錢(qián)包，發(fā)送初始請(qǐng)求 認(rèn)證機(jī)構(gòu) ( CA ) 處理過(guò)程初始化請(qǐng)求初始化響應(yīng) 2 ． CA 接受初始化請(qǐng)求。3 ．認(rèn)證機(jī)構(gòu)產(chǎn)生響應(yīng)消息及響應(yīng)消息的信息摘要并用其簽名私鑰加密來(lái)生成數(shù)字簽名。 4 ． CA 將響應(yīng)消息連同證書(shū)發(fā)送給 持卡人。2． CA發(fā)送響應(yīng) 3．接收響應(yīng) 接收響應(yīng)過(guò)程 5 ．持卡人的軟件收到初始化響應(yīng)消息 并遍歷信任鏈以校驗(yàn)證書(shū)。 9 ．持卡人用一個(gè)隨機(jī)產(chǎn)生的對(duì)稱密鑰 （ 1 ）來(lái)加密請(qǐng)求信息，并將其連同持 卡人的賬號(hào)一起用認(rèn)證機(jī)構(gòu)的公開(kāi)密鑰 交換密鑰加密。 持卡人的計(jì)算機(jī) 6 ．持卡人的軟件用認(rèn)證機(jī)構(gòu)的簽名公 鑰解密其數(shù)字簽名并將結(jié)果與新產(chǎn)生的 響應(yīng)消息的 Hash 值比較來(lái)驗(yàn)證 CA 簽名。 7 ．持卡人輸入賬號(hào)。 8 ．持卡人的軟件產(chǎn)生注冊(cè)請(qǐng)求。 10 ．持卡人軟件把加密的注冊(cè)表請(qǐng) 求消息傳輸給 CA 。 初始化響應(yīng) 注冊(cè)表請(qǐng)求 4． CA處理請(qǐng)求并發(fā)送注冊(cè)表 注冊(cè)表 認(rèn)證機(jī)構(gòu)處理過(guò)程 注冊(cè)表請(qǐng)求 1 1 ． CA 用其私有密鑰交換密鑰解密持卡人賬號(hào)及對(duì)稱密鑰 （ 1 ），然后用對(duì)稱密鑰 （ 1 ）解密注冊(cè)表請(qǐng)求。 12 ． CA 確定適當(dāng)?shù)淖?cè)表， 然后產(chǎn)生注冊(cè)表的消息摘 要，并用其私有簽名密鑰 生成其數(shù)字簽名。 13 ． CA 將注冊(cè)表和 CA 的證 書(shū)發(fā)送給持卡人。CA處理請(qǐng)求并發(fā)送注冊(cè)表過(guò)程 持卡人的計(jì)算機(jī) 16 ．持卡人的軟件產(chǎn)生簽名密鑰對(duì) 。 14 ．持卡人的軟件收到注冊(cè)表 并且通過(guò)信任鏈追溯到根 CA的 公鑰來(lái)驗(yàn)證 CA 證書(shū)。 15 ．持卡人的軟件用 CA 的簽名公鑰來(lái)解 密 CA 的簽名并將結(jié)果與新生成的注冊(cè)表 的 Hash 值比較以驗(yàn)證 CA 的簽名。 17 ．持卡人填寫(xiě)注冊(cè)表。 18 ．持卡人的軟件產(chǎn)生證書(shū)請(qǐng)求，包括 填入注冊(cè)表的信息。 19 ．持卡人的軟件將證書(shū)請(qǐng)求、持卡人 的簽名公鑰及新產(chǎn)生的對(duì)稱密鑰 （ 2 ） 一起組成信息，然后生成證書(shū)請(qǐng)求的 信息摘要并用持卡人的簽名私鑰加密來(lái) 創(chuàng)建數(shù)字簽名。 20 ．持卡人軟件用一個(gè)隨機(jī)產(chǎn)生的 對(duì)稱密鑰 （ 3 ）加密信息。這個(gè)密 鑰連同持卡人賬戶信息一起用 CA 的 密鑰交換公鑰加密。 21 ．持卡人軟件把加密的 證書(shū)請(qǐng)求信息傳送給 CA 。 注冊(cè)表 持卡人的 證書(shū)請(qǐng)求 5．持卡人接收注冊(cè)表并請(qǐng)求證書(shū) 6．CA處理請(qǐng)求并產(chǎn)生證書(shū) 產(chǎn)生證書(shū)過(guò)程 持卡人 證書(shū)請(qǐng)求 持卡人證書(shū)22 ． CA 用其私有交換密鑰解密對(duì)稱密鑰 （ 3 ），然后用對(duì)稱密鑰 （ 3 ）解密證書(shū)請(qǐng)求。 2 3 ． CA 用持卡人簽名公鑰解密持卡人簽名并將結(jié)果與新產(chǎn)生的證書(shū)請(qǐng)求的 Hash 值進(jìn)行比較，來(lái)校驗(yàn)持卡人簽名。24 ． CA 用持卡人賬戶信息和注冊(cè)表格上的信息校驗(yàn)其與證書(shū)請(qǐng)求信息是否一致。 2 5 . 一旦通過(guò)校驗(yàn)， CA 創(chuàng)建持卡 人證書(shū)，并用其私有簽名密鑰簽 署證書(shū)。26 ． CA 產(chǎn)生證書(shū)響應(yīng)信息，然后生成響應(yīng)信息摘要，并用其私有簽名密鑰加密來(lái)創(chuàng)建數(shù)字簽名。27 ． CA 用來(lái)自持卡人請(qǐng)求信息中的密鑰加密證書(shū)請(qǐng)求。 2 8 ． CA 把證書(shū)響應(yīng)傳送給持卡人。 認(rèn)證機(jī)構(gòu) （ CA ）處理 購(gòu)買(mǎi)請(qǐng)求的過(guò)程如下圖所示 。