3.5电子商务安全协议

7.2 SET——提供安全的电子商务数据交换
➢对安全有非常高的要求敏感的部门，SSL 安全协议有缺点，不足以担此重任。
➢提出了有重大实用价值和深远影响的安 全电子交易 (Secure Electronic Transaction，SET) 。SET协议得到了许 多大公司的支持，已成为事实上的工业 标准。
（3） 再单击“详细信息”按钮，出现证书服务界面，安装 证书服务时有两个选项。
① 证书服务CA电子商务的安全性：构建CA的证书服务。
② 证书服务Web注册支持电子商务的安全性：客户机通 过Web页面提交数字证书申请，获取数字证书的Web 网站。
(4) 单击“下一步”按钮，出现图所示的“CA类型”对话框， 有4种类型。
(2) 出现Web服务器证书向导的欢迎界面， 提示Web服务器没有安装证书，单击“下 一步”按钮。
(3) 出现图6.13所示的“服务器证书”对话框， 有5种获取服务器证书的方法。
① 新建证书：新建立一个证书申请。
② 分配现有证书：为站点分配一个已经存在的 证书。
③ 从密钥管理器备份文件导入证书： 从密钥备 份文件导入证书。
(7) 弹出图6.17所示的“单位信息”对话框，在“单 位”和“部门”文本框中按照需要设置，单击“下 一步”按钮。
(8) 弹出图6.18所示的“站点公用名称”对话框。在“公用名 称”文本框中输入有效的DNS域名或者NetBIOS名称， 该名称与站点是唯一对应的，如果站点名称发生变化， 必须申请新的数字证书，完成设置后单击“下一步”按 钮。
④ 从.pfx文件导入证书：从一种特定的证书文件 导入证书。
⑤ 将远程服务器站点的证书复制或移动到此站 点：复制或移动远程服务器站点的证书。
这里选中“新建证书”单选按钮，单击“下一步” 按钮。
(4) 出现图6.14所示的“延迟或立即请求”对 话框，用于选择发送证书请求的方法。 选中“现在准备证书请求，但稍后发送” 单选按钮，单击“下一步”按钮。
1. SET的主要目标
(1) 信息传输的安全性：信息在因特网上安全传 输，保证不被外部或内部窃取。
(2) 信息的相互隔离：订单信息和个人账号信息 的隔离。
(3) 多方认证的解决：①要对消费者的信用卡认 证；②要对网上商店进行认证；③消费者、 商店与银行之间的认证。
(4) 效仿EDI贸易形式，要求软件遵循相同协议和 报文格式，使不同厂家开发的软件具有兼容和 互操作功能。
➢ SET有一个开放工具SET Toolkit，任何 电子商务系统都可以利用它来处理操作 过程中的安全和保密问题。
➢ 其中支付(Payment)和认证(Certificate) 是SET Toolkit向系统开始者提供的两大 主要功能。
目前的主要安全保障来自以下3个方面：
(1) 将所有消息文本用双钥密码体制加密。
➢ SET是一种以信用卡为基础的、在因特 网上交易的付款协议书，是授权业务信 息传输安全的标准，它采用RSA密码算 法，利用公钥体系对通信双方进行认证， 用DES等标准加密算法对信息加密传输， 并用散列函数来鉴别信息的完整性。
➢ 在SET的交易环境中，比现实社会中多 一个电子商务的安全性认证中心——电 子商务的安全性CA参与其中，在SET 交易中认证是很关键的。
第3章 电子商务安全协议
➢电子商务的SSL、SET协议
7.1 SSL——提供网上购物安全的协议
➢ 安全套接层(Secure Sockets Layer，SSL)是一 种传输层技术，可以实现浏览器和服务器之间 的安全通信。SSL协议是目前网上购物网站中 常使用的一种安全协议。
➢ 所谓SSL就是在和另一方通信前先讲好的一套 方法，这个方法能够在它们之间建立一个电子 商务的安全性秘密信道，确保电子商务的安全 性，凡是不希望被别人看到的机密数据，都可 通过这个秘密信道传送给对方，即使通过公共 线路传输，也不必担心别人的偷窥。
对和CA证书”复选框表明自定义CA的密钥生成算法， 单击“下一步”按钮。
(5) 出现“公钥/私钥”对话框，可以进行的设 置包括以下几方面。
① 在CSP列表框中选择加密服务提供程序 (CSP)，默认值为：Microsoft Strong CryptographicHale Waihona Puke BaiduProvider。
② 在“散列算法”列表框中选择要使用的散 列算法，默认值为SHA-1。
7.3 证书服务的安装与管理
➢ 实训内容: ➢ 1.证书服务的安装与管理 ➢ 2.建立SSL网站
环境要求如下：
(1) Web服务器：IIS 6.0，IP地址为 192.168.20.124，计算机名为SZY。
(2) 证书服务器：SZY的独立根CA，与 Web服务器在同一台物理计算机上。
(3) 浏览器：IE 6.0，与Web服务器在同一 物理计算机上。
(5) 交易的实时性：所有的支付过程都是在线的。
2. SET的交易成员
(1) 持卡人——消费者：持信用卡购买商品的人， 包括个人消费者和团体消费者，按照网上商店 的表单填写，通过由发卡银行发行的信用卡进 行付费。
(2) 网上商家：在网上的符合SET规格的电子商店， 提供商品或服务，它必须是具备相应电子货币 使用的条件，从事商业交易的公司组织。
(5) 发卡银行——在交易过程开始前，发卡银行 负责查验持卡人的数据，如果查验有效，整个 交易才能成立。在交易过程中负责处理电子货 币的审核和支付工作。
(6) 认证中心CA——可信赖、公正的组织：接受 持卡人、商店、银行以及支付网关的数字认证 申请书，并管理数字证书的相关事宜。
3. SET安全协议工作原理
(6) 成功安装数字证书服务后出现完成界面， 单击“完成”按钮，这样一个独立的要CA 就构建完成。
2 . 生成Web服务器数字证书申请文件
➢ 首先要生成使用SSL的Web服务器数字证书申请文件。
(1) 在桌面上单击“开始”按钮，在弹出的菜单中执行“程 序”→“管理工具”→“Internet信息服务管理器”命令，选 择相应的站点后右击它，在出现的快捷菜单中执行“属 性”命令，弹出图6.12所示的“默认网站属性”对话框， 打开“目录安全性”选项卡，单击“安全通信”区域中的 “服务器证书”按钮。
(11) 弹出图6.21所示的“请求文件摘要”对话 框，列举了证书的设置参数，确认无误 后单击“下一步”按钮。
(12) 弹出图6.22所示的证书请求完成对话框， 单击“完成”按钮。
① 企业根CA：安装企业根CA，如果服务器是域控制器， 且安装Active Directory，该选项将被激活。
② 企业从属CA：安装企业从属CA，如果服务器是域成 员服务器，该选项将被激活。
③ 独立根CA：安装独立根CA。 ④ 独立从属CA：安装独立从属CA。 选中“独立根CA”单选按钮，选中“用自定义设置生成密钥
(1)消费者选购商品，下电子订单
(2) 网上商场做出应答，返回订单情况
(3) 消费者选择付款方式，确认订单，签发付款 指令
(4) 消费者对订单和付款指令进行数字签名，利 用双重签名技术使商家看不到账号信息
(5) 向消费者所在银行请求支付认可，返回确认 信息给在线商店
(5) 在线商店发送订单确认信息给消费者，消费 者进行电子记录
(6) 弹出图6.19所示的“地理信息”对话框， 在“国家(地区)”下拉列表框中选择“CN(中 国)”，在“省/自治区”和“市县”文本框中按 照需要设置，单击“下一步”按钮。
(10) 弹出图6.20所示“证书请求文件名”对话 框。在“文件名”文本框中输入保存证书
请求的文件路径及名称，完成设置后单 击“下一步”按钮。
1.证书服务的安装与管理
(1) 打开控制面板，单击“添加/删除程序”按 钮，再单击“添加/删除Windows组件”按 钮，弹出图示的“Windows组件向导”对 话框，选中“证书服务”复选框。
（2）弹出图示的提示信息对话框，提示安装证书服务后， 计算机名称和域成员身份将不可再改变，单击“是”按 钮。
(4) 通过特殊的协议和消息形式确保动态交互式系统的可 操作性。
➢ 通常网站上标明所采用的付款系统，如 SSL、SET，但这样是可靠的吗？如何 可以确切地知道某个网站是否支持SET 交易呢？
➢ 真正的SET网站，必须经过专门的测试 和鉴别，并给予一个SET特约商店的商 标。检查SET商店的商标就成为到SET 商店安全地购物的重要手段。
(5) 出现图6.15所示的“名称和安全性设置”对话框，在“名 称”文本框中输入Web服务器的数字证书名称，在“位 长”下拉列表框中选择生成的公钥和私钥的位长，默认 1024 位，选中“选择证书的加密服务提供程序(CSP)”复 选框自行选择CSP，单击“下一步”按钮。
注意：位越长，密钥越安全，但过长的位长将导致性能 下降。可选的位长为512、1024、2048、4096、8192、 16348(位为单位)。
(1)要求进行身份认证
(2)同意进行认证
A
B
(3)互相确认身份
(4)核查身确份认无误
➢SSL安全协议也有它的缺点，主要有：不 能自动更新证书；认证机构编码困难； 浏览器的口令具有随意性；不能自动检 测证书撤销表；用户的密钥信息在服务 器上是以明文方式存储的。客户的数据 都完全暴露在商家的面前。
➢但因操作容易，成本低，而且又在不断 改进，所以在欧美的商业网站上的应用 是较广泛的。
➢ SSL标准的工作流程主要包括以下几步： 1.SSL客户机向SSL服务器发出连接建立请求，SSL服 务器响应SSL客户机的请求； 2.SSL客户机与SSL服务器交换双方认可的密码，一般 采用的加密算法是RSA算法； 3.检验SSL服务器得到的密码是否正确，并验证SSL客 户机的可信程度；SSL客户机与SSL服务器交换结束的 信息。
(3) 收单银行：通过支付网关处理持卡人和商店 之间的交易付款问题事务。接受来自商店端送 来的交易付款数据，向发卡银行验证无误后， 取得信用卡付款授权以供商店清算。
(4) 支付网关：这是由支付者或指定的第三方完 成的功能。为了实现授权或支付功能，支付网 关将SET和现有的银行卡支付的网络系统作为 接口。
➢ SSL标准主要提供了3种服务：数据加密服务、 认证服务与数据完整性服务。
1.数据加密服务：采用的是对称加密技术与公开 密钥加密技术。
2.认证服务：SSL客户机与服务器都有各自的识别 号，这些识别号使用公开密钥进行加密。
3.数据完整性服务：采用哈希函数和机密共享的 方法提供完整信息性的服务，在客户机与服务 器之间建立安全通道，以保证数据在传输中完 整地到达目的地。
(2) 将上述密钥的公钥和私钥的字长增加到512B～2 048B。
(3) 采用联机动态的授权(Authority)和认证检查 (Certificate)，以确保交易过程的安全可靠。
上述有3个安全保障措施的技术基础如下所述：
(1) 通过加密方式确保信息机密性。
(2) 通过数字化签名确保数据的完整性。
(3) 通过数字化签名和商家认证确保交易各方身份的真实 性。
(6) 设置好后，单击“下一步”按钮，出现图 所示的“CA识别信息”对话框，输入识别 CA的信息，
(7) 出现图示的“证书数据库设置”对话框， 用于配置服务器上的数字证书数据库、 数据库日志和配置信息的存放位置，按 照默认设置就可以。单击“下一步”按钮。
(8) 出现图6.11所示的提示信息安装过程中 必须暂时停止IIS服务，单击“是”按钮。
(6) 弹出图6.16所示的“可用提供程序”对话框，在“选择提 供程序”列表框中选择一个CSP程序。默认有两个CSP 程序：
Microsoft DH Schannel Cryptographic Provider
Microsoft RSA Schannel Cryptographic Provider 完成选择后单击“下一步”按钮。
(6) 在线商店发送货物提供服务，通知发卡银行 进行支付
4. SET的技术范围 SET的技术范围包括以下几方面。 (1) 加密算法。 (2) 证书信息和对象格式。 (3) 购买信息和对象格式。 (4) 认可信息和对象格式。 (5) 划账信息和对象格式。 (6) 对话实体之间消息的传输协议。
6. SET协议的安全技术