【正文】 》 865 數(shù)字證書類型 ? 不同類型的數(shù)字證書內(nèi)容也不同 ? 證書包含的內(nèi)容越多， CA認(rèn)證中心需要驗(yàn)證的內(nèi)容就越多，那么證書對(duì)于驗(yàn)證用戶身份的作用就越大。 《 電子商務(wù)概論》 866 個(gè)人證書 《 電子商務(wù)概論》 867 認(rèn)證中心與數(shù)字證書 ? 所謂證書是一些電子信息，它將公開密鑰與其所有者和證書頒發(fā)者聯(lián)系起來(lái)。然而，證書本身并無(wú)法保證其所有者的身份，要使別人認(rèn)可，證書必須由可信任的權(quán)威機(jī)構(gòu) —— 認(rèn)證中心（ CA）實(shí)施數(shù)字簽名以后才能發(fā)布。任何獲得這個(gè)證書的用戶只要通過 CA的簽名就可以驗(yàn)證公鑰的有效性。 認(rèn)證中心(CA) 公開鑰匙持有證書 序號(hào) :1238038 持有者 :張三 公共鑰匙 :36567566565 有效日期 : 發(fā)證機(jī)關(guān)簽名 :563563566 公開鑰匙持有證書 序號(hào) :12380567 持有者 :李六 公共鑰匙 :66576675675 有效日期 : 發(fā)證機(jī)關(guān)簽名 :566567876 Inter 《 電子商務(wù)概論》 868 CA中心簡(jiǎn)介 ? 國(guó)內(nèi)常見的 CA有中國(guó)商務(wù)在線 中國(guó)數(shù)字認(rèn)證網(wǎng) （ ），數(shù)字認(rèn)證，數(shù)字簽名， CA認(rèn)證， CA證書，數(shù)字證書，安全電子商務(wù)。 北京數(shù)字證書認(rèn)證中心 （ ） 為網(wǎng)上電子政務(wù)和電子商務(wù)活動(dòng)提供數(shù)字證書服務(wù) 。 廣東省電子商務(wù)認(rèn)證中心 () 《 電子商務(wù)概論》 869 安全應(yīng)用協(xié)議 ? 安全套接層協(xié)議 （ Secure Socked Layer, SSL） Inter上的安全套接層協(xié)議是 1994年底由 Nescape首先 引入的，目前已有 。 其主要目的是解決 Web上信息傳輸?shù)陌踩檻]。 除了 Netscape外，參與制定 SSL協(xié)議的廠商還包括： IBM, Microsoft, Spyglass，他們都將 SSL加入到自己的客戶 端和服務(wù)器的應(yīng)用方面。 SSL構(gòu)架在可靠傳輸層協(xié)議（ TCP）和應(yīng)用層協(xié)議之間。 SSL是一個(gè)層次化的協(xié)議，共分兩層： 記錄層（ RecordLayer）和握手層（ HandshakeLayer）。 《 電子商務(wù)概論》 870 安全套接層協(xié)議 記錄層用于封裝上層協(xié)議數(shù)據(jù)。 握手層完成服務(wù)器和客戶之間的相互認(rèn)證、協(xié)商加密算法 和加密密鑰等發(fā)生在應(yīng)用協(xié)議層傳輸數(shù)據(jù)之前的事務(wù)。還負(fù)責(zé) 協(xié)調(diào)客戶端和服務(wù)器之間的狀態(tài)。 SSL的具體功能：把要傳輸?shù)男畔⒎殖煽梢钥刂频臄?shù)據(jù) 段，對(duì)這些數(shù)據(jù)進(jìn)行壓縮、“文摘”、加密等操作（有的操作可 選），然后傳送結(jié)果。另一方面，對(duì)收到的數(shù)據(jù)進(jìn)行解密、檢 驗(yàn)、解壓等操作后，把數(shù)據(jù)產(chǎn)給上層協(xié)議。 《 電子商務(wù)概論》 871 SSL握手協(xié)議 SSL中的握手協(xié)議，是在客戶機(jī)和服務(wù)器之間交換消息的 強(qiáng)化性協(xié)議，一般有六個(gè)階段： （ 1）接通階段： （ 2）密鑰交換階段： （ 3）會(huì)話密鑰生成階段： （ 4）服務(wù)器證實(shí)階段： （ 5）客戶機(jī)認(rèn)證階段： （ 6）結(jié)束階段： 上述過程完成以后，雙方之間的信息傳送就會(huì)加以密碼， 另一端收到信息后，再將加密的信息還原。 《 電子商務(wù)概論》 872 SSL協(xié)議運(yùn)行基點(diǎn)是商家對(duì)客戶信息保密的承諾。 SSL協(xié)議的流程（如下圖）： 客戶信息首先傳到商家，商家閱讀后再傳到銀行。 銀行驗(yàn)證客戶信息合法性后，通知商家付款成功。商家再通 知客戶購(gòu)買成功，并將商品寄送客戶。 客戶 商家 銀行 SSL協(xié)議流程圖 《 電子商務(wù)概論》 873 《 電子商務(wù)概論》 874 SSL應(yīng)用廣泛 《 電子商務(wù)概論》 875 SET協(xié)議 ? SET協(xié)議是一個(gè)在互聯(lián)網(wǎng)上實(shí)現(xiàn)安全電子交易的協(xié)議標(biāo)準(zhǔn)。 ? 由 VISA和 MasterCard共同制定， 1997年 5月推出。 ? 主要目的 是解決通過互聯(lián)網(wǎng)使用信用卡付款結(jié)算的安全保障性問題 。 ? SET協(xié)議是在應(yīng)用層的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議。 ? SET協(xié)議主要使用的技術(shù)：對(duì)稱密鑰加密、公共密鑰加密、 HASH算法、數(shù)字簽名等。 《 電子商務(wù)概論》 876 SET協(xié)議 ? 保證信息在互聯(lián)網(wǎng)上安全傳輸。 ? 保證交易參與者信息的相互隔離?？蛻舻馁Y料加密或打包后通過商家到達(dá)銀行，但是商家不能看到客戶的賬戶和密碼信息。 ? 解決網(wǎng)上認(rèn)證問題。為消費(fèi)者、商家與支付網(wǎng)關(guān)等每個(gè)交易參與方都生成數(shù)字證書。 ? 保證網(wǎng)上交易的實(shí)時(shí)性。所有的支付過程都是在線的。 ? 使不同廠家開發(fā)的軟件具有兼容性和互操作功能，且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。 《 電子商務(wù)概論》 877 客戶商家服務(wù)器$銀行支付網(wǎng)關(guān)發(fā)卡機(jī)構(gòu)Inter信息瀏覽訂單/支付信息處理訂單/支付信息結(jié)算和支付信息支付和授權(quán)信息確認(rèn)授權(quán)商品和服務(wù)信息發(fā)布/訂單處理/支付管理/貨款結(jié)算付款卡管理和確認(rèn)信息瀏覽訂單/支付信息處理協(xié)議轉(zhuǎn)換和數(shù)據(jù)接口安全及鑒別管理 《 電子商務(wù)概論》 878 SSL與 SET協(xié)議的比較 1. 連接性 SSL提供了兩臺(tái)機(jī)器之間的安全連接，是面向連接的。 SET是一個(gè)多方的消息報(bào)文協(xié)議，它定義了銀行、商家、 持卡人之間必須符合的報(bào)文規(guī)范，各方之間的報(bào)文交換不要求 是實(shí)時(shí)的。 2. 認(rèn)證機(jī)制 SSL中服務(wù)器需要認(rèn)證，客戶端認(rèn)證則是有選擇的。 SET中所有成員都必須先申請(qǐng)數(shù)字證書來(lái)識(shí)別身份。 《 電子商務(wù)概論》 879 SSL與 SET協(xié)議的比較 3. 風(fēng)險(xiǎn)性 SSL中，客戶的風(fēng)險(xiǎn)： ①客戶信息的安全性完全依賴于商家的保密承諾。 ②缺少客戶對(duì)商家的認(rèn)證。 SSL中，商家的風(fēng)險(xiǎn)： 無(wú)法保證購(gòu)買者就是該信用卡的合法擁有者。（缺少第三方） SET提供了更完整的用于電子商務(wù)的卡支付系統(tǒng)，它定義了各方的互操作接口，降低了金融風(fēng)險(xiǎn)。 《 電子商務(wù)概論》 880 4. SET的缺陷及補(bǔ)救措施 （ 1）缺陷： ①要求在銀行網(wǎng)絡(luò)、商家服務(wù)器、顧客 PC機(jī)上安裝相應(yīng) 的軟件，這給各方增加了附加費(fèi)用。 ②要求必須給各方發(fā)放證書，不便客戶隨意使用。 （ 2）補(bǔ)救措施： 因 SET可以用在系統(tǒng)的一部分或全部，所以可以考慮商家 與銀行的連接使用 SET，而商家與顧客的連接則使用 SSL 。 在 SET中，交易憑證中有客戶簽名。私鑰的安全保存非常 重要。為避免操作系統(tǒng)的不安全性，智能卡提供了一種簡(jiǎn)便方 法，用它存儲(chǔ)私鑰和證書，不僅安全，而且容易攜帶。