【正文】 。私鑰的安全保存非常 重要。 （ 2）補(bǔ)救措施： 因 SET可以用在系統(tǒng)的一部分或全部，所以可以考慮商家 與銀行的連接使用 SET，而商家與顧客的連接則使用 SSL 。 《 電子商務(wù)概論》 880 4. SET的缺陷及補(bǔ)救措施 （ 1）缺陷： ①要求在銀行網(wǎng)絡(luò)、商家服務(wù)器、顧客 PC機(jī)上安裝相應(yīng) 的軟件，這給各方增加了附加費用。 SSL中，商家的風(fēng)險： 無法保證購買者就是該信用卡的合法擁有者。 《 電子商務(wù)概論》 879 SSL與 SET協(xié)議的比較 3. 風(fēng)險性 SSL中，客戶的風(fēng)險： ①客戶信息的安全性完全依賴于商家的保密承諾。 2. 認(rèn)證機(jī)制 SSL中服務(wù)器需要認(rèn)證，客戶端認(rèn)證則是有選擇的。 《 電子商務(wù)概論》 877 客戶商家服務(wù)器$銀行支付網(wǎng)關(guān)發(fā)卡機(jī)構(gòu)Inter信息瀏覽訂單/支付信息處理訂單/支付信息結(jié)算和支付信息支付和授權(quán)信息確認(rèn)授權(quán)商品和服務(wù)信息發(fā)布/訂單處理/支付管理/貨款結(jié)算付款卡管理和確認(rèn)信息瀏覽訂單/支付信息處理協(xié)議轉(zhuǎn)換和數(shù)據(jù)接口安全及鑒別管理 《 電子商務(wù)概論》 878 SSL與 SET協(xié)議的比較 1. 連接性 SSL提供了兩臺機(jī)器之間的安全連接，是面向連接的。所有的支付過程都是在線的。為消費者、商家與支付網(wǎng)關(guān)等每個交易參與方都生成數(shù)字證書。客戶的資料加密或打包后通過商家到達(dá)銀行，但是商家不能看到客戶的賬戶和密碼信息。 《 電子商務(wù)概論》 876 SET協(xié)議 ? 保證信息在互聯(lián)網(wǎng)上安全傳輸。 ? SET協(xié)議是在應(yīng)用層的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議。 ? 由 VISA和 MasterCard共同制定， 1997年 5月推出。商家再通 知客戶購買成功，并將商品寄送客戶。 SSL協(xié)議的流程（如下圖）： 客戶信息首先傳到商家，商家閱讀后再傳到銀行。 《 電子商務(wù)概論》 871 SSL握手協(xié)議 SSL中的握手協(xié)議，是在客戶機(jī)和服務(wù)器之間交換消息的 強(qiáng)化性協(xié)議，一般有六個階段： （ 1）接通階段： （ 2）密鑰交換階段： （ 3）會話密鑰生成階段： （ 4）服務(wù)器證實階段： （ 5）客戶機(jī)認(rèn)證階段： （ 6）結(jié)束階段： 上述過程完成以后，雙方之間的信息傳送就會加以密碼， 另一端收到信息后，再將加密的信息還原。 SSL的具體功能：把要傳輸?shù)男畔⒎殖煽梢钥刂频臄?shù)據(jù) 段，對這些數(shù)據(jù)進(jìn)行壓縮、“文摘”、加密等操作（有的操作可 選），然后傳送結(jié)果。 握手層完成服務(wù)器和客戶之間的相互認(rèn)證、協(xié)商加密算法 和加密密鑰等發(fā)生在應(yīng)用協(xié)議層傳輸數(shù)據(jù)之前的事務(wù)。 SSL是一個層次化的協(xié)議，共分兩層： 記錄層（ RecordLayer）和握手層（ HandshakeLayer）。 除了 Netscape外，參與制定 SSL協(xié)議的廠商還包括： IBM, Microsoft, Spyglass，他們都將 SSL加入到自己的客戶 端和服務(wù)器的應(yīng)用方面。 廣東省電子商務(wù)認(rèn)證中心 () 《 電子商務(wù)概論》 869 安全應(yīng)用協(xié)議 ? 安全套接層協(xié)議 （ Secure Socked Layer, SSL） Inter上的安全套接層協(xié)議是 1994年底由 Nescape首先 引入的，目前已有 。 認(rèn)證中心(CA) 公開鑰匙持有證書 序號 :1238038 持有者 :張三 公共鑰匙 :36567566565 有效日期 : 發(fā)證機(jī)關(guān)簽名 :563563566 公開鑰匙持有證書 序號 :12380567 持有者 :李六 公共鑰匙 :66576675675 有效日期 : 發(fā)證機(jī)關(guān)簽名 :566567876 Inter 《 電子商務(wù)概論》 868 CA中心簡介 ? 國內(nèi)常見的 CA有中國商務(wù)在線 中國數(shù)字認(rèn)證網(wǎng) （ ），數(shù)字認(rèn)證，數(shù)字簽名， CA認(rèn)證， CA證書，數(shù)字證書，安全電子商務(wù)。然而，證書本身并無法保證其所有者的身份，要使別人認(rèn)可，證書必須由可信任的權(quán)威機(jī)構(gòu) —— 認(rèn)證中心（ CA）實施數(shù)字簽名以后才能發(fā)布。 《 電子商務(wù)概論》 864 ? 對數(shù)字證書的驗證包括以下幾個步驟： CA簽名真實？ 證書在有效期內(nèi)？ 證書在 CA發(fā)布的 證書撤消列表內(nèi)？ Y 偽造的證書 N 失效的證書 N Y 失效的證書 Y N 有效的證書 《 電子商務(wù)概論》 865 數(shù)字證書類型 ? 不同類型的數(shù)字證書內(nèi)容也不同 ? 證書包含的內(nèi)容越多， CA認(rèn)證中心需要驗證的內(nèi)容就越多，那么證書對于驗證用戶身份的作用就越大。所有 SET軟件都知道根認(rèn)證中心的公鑰，因此可以驗證各個機(jī)構(gòu)簽發(fā)的證書。證書正是通過信任層次來逐級驗證的。 《 電子商務(wù)概論》 862 ? 在網(wǎng)上進(jìn)行交易時，通過出示由某個認(rèn)證中心簽發(fā)的證書來證明自己的身份。 CA的數(shù)字簽名使攻擊者不能偽造和篡改數(shù)字證書。 是一個經(jīng)證書認(rèn)證中心（ CA）數(shù)字簽名的 是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件 。 《 電子商務(wù)概論》 861 數(shù)字證書的概念 ? 電子商務(wù)證書又稱 CA證書或數(shù)字證書。例如：首次登錄建設(shè)銀行的網(wǎng)上銀行，根據(jù)系統(tǒng)提示必須下載并安裝建行CA認(rèn)證中心頒發(fā)的根證書及您的客戶證書（二者缺一不可），以保證您網(wǎng)上交易的安全。 ? 根證書是 CA認(rèn)證中心給自己頒發(fā)的證書，是信任鏈的起始點。 《 電子商務(wù)概論》 860 認(rèn)證中心多層次結(jié)構(gòu) ? 根 CA 是一種特殊的 CA，它受到客戶無條件地信任，位于證書層次結(jié)構(gòu)的最高層。通過一個完整的 CA認(rèn)證體系，可以有效地實現(xiàn)對數(shù)字證書的驗證。 《 電子商務(wù)概論》 859 認(rèn)證中心多層次結(jié)構(gòu) ? 各級 CA中心的總體結(jié)構(gòu)是基本相同的。 ? 在實際的電子商務(wù)運作中，認(rèn)證中心可由交易各方都信任的一方承擔(dān)。 ? 數(shù)字信封的功能類似于普通信封，普通信封在法律的約束下保證只有收信人才能閱讀信的內(nèi)容；數(shù)字信封則采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容。 《 電子商務(wù)概論》 855 數(shù)字時間戳 明文 數(shù)字摘要 1 Hash函數(shù) 數(shù)字摘要 和時間信息 DTS機(jī)構(gòu) 數(shù)字摘要 2 Hash函數(shù) 數(shù)字時間戳 DTS機(jī)構(gòu)私鑰加密 《 電子商務(wù)概論》 856 數(shù)字信封 ? 數(shù)字信封，結(jié)合對稱密鑰和非對稱密鑰加密技術(shù)的優(yōu)點， 克服了對稱加密算法的密鑰分發(fā)難，以及公鑰密碼系統(tǒng)中加密所需時間較長的缺點 。 ? 該服務(wù)屬于網(wǎng)上安全服務(wù)項目，由 DTS專門機(jī)構(gòu)提供。 ? 一個用戶通常有兩個密鑰對，一個用來