【正文】 》 865 數(shù)字證書類型 ? 不同類型的數(shù)字證書內(nèi)容也不同 ? 證書包含的內(nèi)容越多， CA認證中心需要驗證的內(nèi)容就越多，那么證書對于驗證用戶身份的作用就越大。 《 電子商務概論》 866 個人證書 《 電子商務概論》 867 認證中心與數(shù)字證書 ? 所謂證書是一些電子信息，它將公開密鑰與其所有者和證書頒發(fā)者聯(lián)系起來。然而，證書本身并無法保證其所有者的身份，要使別人認可，證書必須由可信任的權(quán)威機構(gòu) —— 認證中心（ CA）實施數(shù)字簽名以后才能發(fā)布。任何獲得這個證書的用戶只要通過 CA的簽名就可以驗證公鑰的有效性。 認證中心(CA) 公開鑰匙持有證書 序號 :1238038 持有者 :張三 公共鑰匙 :36567566565 有效日期 : 發(fā)證機關(guān)簽名 :563563566 公開鑰匙持有證書 序號 :12380567 持有者 :李六 公共鑰匙 :66576675675 有效日期 : 發(fā)證機關(guān)簽名 :566567876 Inter 《 電子商務概論》 868 CA中心簡介 ? 國內(nèi)常見的 CA有中國商務在線 中國數(shù)字認證網(wǎng) （ ），數(shù)字認證，數(shù)字簽名， CA認證， CA證書，數(shù)字證書，安全電子商務。 北京數(shù)字證書認證中心 （ ） 為網(wǎng)上電子政務和電子商務活動提供數(shù)字證書服務 。 廣東省電子商務認證中心 () 《 電子商務概論》 869 安全應用協(xié)議 ? 安全套接層協(xié)議 （ Secure Socked Layer, SSL） Inter上的安全套接層協(xié)議是 1994年底由 Nescape首先 引入的，目前已有 。 其主要目的是解決 Web上信息傳輸?shù)陌踩檻]。 除了 Netscape外，參與制定 SSL協(xié)議的廠商還包括： IBM, Microsoft, Spyglass，他們都將 SSL加入到自己的客戶 端和服務器的應用方面。 SSL構(gòu)架在可靠傳輸層協(xié)議（ TCP）和應用層協(xié)議之間。 SSL是一個層次化的協(xié)議，共分兩層： 記錄層（ RecordLayer）和握手層（ HandshakeLayer）。 《 電子商務概論》 870 安全套接層協(xié)議 記錄層用于封裝上層協(xié)議數(shù)據(jù)。 握手層完成服務器和客戶之間的相互認證、協(xié)商加密算法 和加密密鑰等發(fā)生在應用協(xié)議層傳輸數(shù)據(jù)之前的事務。還負責 協(xié)調(diào)客戶端和服務器之間的狀態(tài)。 SSL的具體功能：把要傳輸?shù)男畔⒎殖煽梢钥刂频臄?shù)據(jù) 段，對這些數(shù)據(jù)進行壓縮、“文摘”、加密等操作（有的操作可 選），然后傳送結(jié)果。另一方面，對收到的數(shù)據(jù)進行解密、檢 驗、解壓等操作后，把數(shù)據(jù)產(chǎn)給上層協(xié)議。 《 電子商務概論》 871 SSL握手協(xié)議 SSL中的握手協(xié)議，是在客戶機和服務器之間交換消息的 強化性協(xié)議，一般有六個階段： （ 1）接通階段： （ 2）密鑰交換階段： （ 3）會話密鑰生成階段： （ 4）服務器證實階段： （ 5）客戶機認證階段： （ 6）結(jié)束階段： 上述過程完成以后，雙方之間的信息傳送就會加以密碼， 另一端收到信息后，再將加密的信息還原。 《 電子商務概論》 872 SSL協(xié)議運行基點是商家對客戶信息保密的承諾。 SSL協(xié)議的流程（如下圖）： 客戶信息首先傳到商家，商家閱讀后再傳到銀行。 銀行驗證客戶信息合法性后，通知商家付款成功。商家再通 知客戶購買成功，并將商品寄送客戶。 客戶 商家 銀行 SSL協(xié)議流程圖 《 電子商務概論》 873 《 電子商務概論》 874 SSL應用廣泛 《 電子商務概論》 875 SET協(xié)議 ? SET協(xié)議是一個在互聯(lián)網(wǎng)上實現(xiàn)安全電子交易的協(xié)議標準。 ? 由 VISA和 MasterCard共同制定， 1997年 5月推出。 ? 主要目的 是解決通過互聯(lián)網(wǎng)使用信用卡付款結(jié)算的安全保障性問題 。 ? SET協(xié)議是在應用層的網(wǎng)絡標準協(xié)議。 ? SET協(xié)議主要使用的技術(shù)：對稱密鑰加密、公共密鑰加密、 HASH算法、數(shù)字簽名等。 《 電子商務概論》 876 SET協(xié)議 ? 保證信息在互聯(lián)網(wǎng)上安全傳輸。 ? 保證交易參與者信息的相互隔離?？蛻舻馁Y料加密或打包后通過商家到達銀行，但是商家不能看到客戶的賬戶和密碼信息。 ? 解決網(wǎng)上認證問題。為消費者、商家與支付網(wǎng)關(guān)等每個交易參與方都生成數(shù)字證書。 ? 保證網(wǎng)上交易的實時性。所有的支付過程都是在線的。 ? 使不同廠家開發(fā)的軟件具有兼容性和互操作功能，且可以運行在不同的硬件和操作系統(tǒng)平臺上。 《 電子商務概論》 877 客戶商家服務器$銀行支付網(wǎng)關(guān)發(fā)卡機構(gòu)Inter信息瀏覽訂單/支付信息處理訂單/支付信息結(jié)算和支付信息支付和授權(quán)信息確認授權(quán)商品和服務信息發(fā)布/訂單處理/支付管理/貨款結(jié)算付款卡管理和確認信息瀏覽訂單/支付信息處理協(xié)議轉(zhuǎn)換和數(shù)據(jù)接口安全及鑒別管理 《 電子商務概論》 878 SSL與 SET協(xié)議的比較 1. 連接性 SSL提供了兩臺機器之間的安全連接，是面向連接的。 SET是一個多方的消息報文協(xié)議，它定義了銀行、商家、 持卡人之間必須符合的報文規(guī)范，各方之間的報文交換不要求 是實時的。 2. 認證機制 SSL中服務器需要認證，客戶端認證則是有選擇的。 SET中所有成員都必須先申請數(shù)字證書來識別身份。 《 電子商務概論》 879 SSL與 SET協(xié)議的比較 3. 風險性 SSL中，客戶的風險： ①客戶信息的安全性完全依賴于商家的保密承諾。 ②缺少客戶對商家的認證。 SSL中，商家的風險： 無法保證購買者就是該信用卡的合法擁有者。（缺少第三方） SET提供了更完整的用于電子商務的卡支付系統(tǒng)，它定義了各方的互操作接口，降低了金融風險。 《 電子商務概論》 880 4. SET的缺陷及補救措施 （ 1）缺陷： ①要求在銀行網(wǎng)絡、商家服務器、顧客 PC機上安裝相應 的軟件，這給各方增加了附加費用。 ②要求必須給各方發(fā)放證書，不便客戶隨意使用。 （ 2）補救措施： 因 SET可以用在系統(tǒng)的一部分或全部，所以可以考慮商家 與銀行的連接使用 SET，而商家與顧客的連接則使用 SSL 。 在 SET中，交易憑證中有客戶簽名。私鑰的安全保存非常 重要。為避免操作系統(tǒng)的不安全性，智能卡提供了一種簡便方 法，用它存儲私鑰和證書，不僅安全，而且容易攜帶。