1 / 73

商学院电子商务专业本科生课程

商学院电子商务专业本科生课程. 《 电子商务系统 开发与管理 》. 主讲教师:文燕平 上海师范大学商学院工商管理系 ypwen@shnu.edu.cn 办公室电话: 64324951. 本讲主题. 安全交易协议. 本讲主要内容. 01. 上次课要点回顾. 02. 为什么需要安全交易协议. 03. 安全交易协议之 一 ——SSL. 04. 安全交易协议之 二 ——SET. 05. 案例分析与讨论. 一、上次课要点回顾. 电子商务安全要求. 电子商务 安全体系. 安全防范 技术及应用. 交易双方身份认证. 数据安全 传输.

fadey
Download Presentation

商学院电子商务专业本科生课程

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 商学院电子商务专业本科生课程 《电子商务系统 开发与管理》 主讲教师:文燕平 上海师范大学商学院工商管理系 ypwen@shnu.edu.cn 办公室电话:64324951

  2. 本讲主题 安全交易协议

  3. 本讲主要内容 01 上次课要点回顾 02 为什么需要安全交易协议 03 安全交易协议之一——SSL 04 安全交易协议之二——SET 05 案例分析与讨论

  4. 一、上次课要点回顾 电子商务安全要求 电子商务 安全体系 安全防范 技术及应用

  5. 交易双方身份认证 数据安全传输 二、为什么需要安全交易协议

  6. 安全交易协议 SSL SET 二、为什么需要安全交易协议

  7. 三、安全交易协议之一——SSL • SSL协议的产生与发展 • SSL协议分析 • 架设SSL安全站点

  8. 1、SSL协议的产生及发展 CommerceNet consortium在上个世纪90年代 首次提出HTTP安全传输协议(S-HTTP), 应用于早期的Mosaic浏览器。 90年代初期,Netscape公司发展了SSL协议用以推进浏览器技术的发展。相对于CommerceNet,Netscape公司比它更成功的原因在于它将SSL协议随浏览器四处免费传播,并且让公众可以下载和了解SSL协议的细节。 1994年11月第一次公开发行了SSL协议规格2.0版。 1996年五月发布了SSL 3.0版。

  9. 2、SSL协议的分析 SSL • 2.1 什么是SSL • 由Netscape开发的一种国际标准的加密及身份认证通信协议,并内置于其浏览器中( 3.0版本以上的I.E.或Netscape浏览器即可支持SSL),它的作用是应用端和服务器端之间建立一条相对独立的、安全的通道,并利用自身的数学加密算法对来往的信息进行严格加密,从而保证数据在此通道内传输时拥有足够的安全性。

  10. 2、SSL协议的分析 SSL • 2.2 SSL的构成 SSL记录协议 SSL握手协议 SSL记录协议(SSL Record Protocol):在SSL协议中,所有的传输数据都被封装在记录中。记录是由记录头和记录数据组成的。所有的SSL通信包括握手消息、安全空白记录和应用数据都使用SSL记录层。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 10

  11. SSL 2、SSL协议的分析 • 2.2 SSL的构成 SSL运行在一种可靠的通信协议之上,比如说TCP。SSL的上层是HTTP等应用层,SSL为其提供安全通信。SSL协议使用X.509来认证,RSA作为公钥算法,可选用RC4-128、RC-128、DES或IDES作为数据加密算法。SSL的两层记录层和握手层中,每层使用下层服务,并为上层服务,它们介于ISO模型的应用层和传输层之间。

  12. SSL 2、SSL协议的分析 • 2.2 SSL的构成 疑问:作为用户来说,如何判断所访问的网站是在HTTP协议中加入了SSL协议的支持呢?其协议名称是否会发生改变? 在HTTP的基础上加入了SSL层,则用HTTPS表示,它是HTTP协议的安全版本。HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。

  13. SSL 2、SSL协议的分析 • 2.2 SSL的构成 •  网络上,https和ssl随处可见。当访问一些银行网站,尤其是需要你输入一些私密信息比如帐号、密码的时候,地址栏最左边则为https。任务栏右下角则会看见锁状图标。 • 以招商银行为例,我们进入招行主页http://www.cmbchina.com/点击页面右边的【个人银行大众版】,即https://pbsz.ebank.cmbchina.com/CmbBank_GenShell/UI/GenShellPC/Login/Login.aspx • 左侧的HTTPS开头的地址表明此时网页传输协议用的就是HTTPS安全协议,右侧那把黄色的小锁表明已经启用了SSL链接。

  14. 小案例——加密版Google搜索 • 加密版Google搜索https://www.google.com。通过加密搜索,用户发送的搜索关键字都会以加密方式传输,这可以确保在公众网络和安全性不高的网络里使用Google搜索,以降低安全风险。 目前,Google SSL搜索logo里有beta字样,也就是说Google还在进行完善。目前加密搜索只覆盖Google网页搜索,所以还看不到指向地图搜索和图片搜索的链接,因为它们还都不支持加密搜索。另外,由于SSL连接需要进行加密和解密,所以搜索速度可能会有所下降。另外需要注意的是,所谓的加密只是针对网络传输的过程加密,Google依然会存储用户搜索的内容,以提升搜索质量。

  15. SSL标记 你认为加密版Google搜索是对什么进行了加密? 加密版Google搜索:https://www.google.com

  16. Google只能确保使用者在google的https网页上的搜索过程是加密的,但目前大部份的网站都只在登陆页面采用加密技术,因此自Google搜索结果上连结的网页绝大多数是未加密的。只有所有的网站及服务都能增加对SSL的支持,才能真正提供一个安全的使用环境。Google只能确保使用者在google的https网页上的搜索过程是加密的,但目前大部份的网站都只在登陆页面采用加密技术,因此自Google搜索结果上连结的网页绝大多数是未加密的。只有所有的网站及服务都能增加对SSL的支持,才能真正提供一个安全的使用环境。

  17. 2、SSL协议的分析 SSL • 2.3 SSL提供的服务 1)认证用户和服务器,确保数据发送到正确的客户机和服务器; 2)加密数据以防止数据中途被窃取; 3)维护数据的完整性,确保数据在传输过程中不被改变。 17

  18. 2、SSL协议的分析 SSL • 2.3 SSL提供的服务 ——·私密性:在握手协议定义了会话密钥后,所有的消息都被加密。 ——.确认性:尽管会话的客户端认证是可选的,但是服务器端始终是被认证的。 ——·可靠性:传送的消息包括消息完整性检查。 18

  19. 2.4SSL的实现过程

  20. 2.4SSL的实现过程 SSL握手过程:SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:   ①客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。   ②服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。 ③客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。   

  21. 2.4SSL的实现过程 SSL握手过程④用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。 ⑤如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。 ⑥如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA 是否可靠,发行CA 的公钥能否正确解开客户证书的发行 CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。

  22. SSL握手过程⑦服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。 ⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。 ⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。⑩SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。 2.4SSL的实现过程

  23. 2.4SSL的实现过程 SSL会话过程  在SSL握手过程完成后,接着开始SSL的会话过程,在会话过程中,浏览器和服务器都使用在握手过程中生成的会话密钥对所发送的报文加密,从而实现安全的通信。

  24. 2.4SSL的实现过程 SSL的漏洞SSL提供的保密连接有根大的漏洞。SSL除了传输过程以外不能提供任何安全保证,SSL并不能使客户确信商家接收信用卡支付是得到授权的。在 Internet上,经常会出现一些陌生的店铺,正因如此,网上商店发生欺诈行为的可能性要比街头店铺大得多。进一步说,即使是一个诚实的网上商店,在收到客户的信用卡号码后如果没有采用好的方法保证其安全性,那么信用卡号也很容易被黑客通过商家服务器窃取。

  25. 通过学习,我们是否会产生这样一些疑问: • 如何来使用与设置SSL? • 在开发网站过程中,如何让我们开发的Web站点是支持SSL协议的? • 用户与商家在SSL的使用上是否一样? • …… 接下来,我们会解决这些问题。

  26. SSL 3、架设SSL安全站点 • 要想成功架设SSL安全站点,关键要具备以下几个条件: 1、需要从可信的证书颁发机构CA获取服务器证书。2、必须在WEB服务器上安装服务器证书。3、必须在WEB服务器上启用SSL功能。4、客户端(浏览器端)必须同WEB服务器信任同一个证书认证机构,即需要安装CA证书。

  27. 3、架设SSL安全站点 3.1准备工作 • 第一步:安装IIS组件 • 第二步:安装证书服务:通过控制面板中的添加/删除程序,选择添加/删除windows组件。在windows组件向导中找到“证书服务”,前面打勾后点“下一步”。

  28. 小提示:证书服务有两个子选项“证书服务Web注册支持”和“证书服务颁发机构(CA)”。为了方便这两个功能都需要安装。小提示:证书服务有两个子选项“证书服务Web注册支持”和“证书服务颁发机构(CA)”。为了方便这两个功能都需要安装。

  29. 安装证书服务 第三步:系统会弹出“安装证书服务后计算机名和区域成员身份会出现改变,是否继续”的提示,选“是”即可。(如图所示)

  30. 安装证书服务 • 第四步: 选择CA类型 在windows组件向导CA类型设置窗口中选择独立根CA。

  31. 安装证书服务 • 第五步:CA识别信息处的CA公用名称输入本地计算机的IP地址,如10.91.30.45,其他设置保留默认信息即可。(如图5)

  32. 安装证书服务 • 第六步: 证书数据库设置 输入证书数据库等信息的保存路径,仍然选择默认位置系统目录的system32下的certlog即可。(如图)

  33. 安装证书服务 • 第七步:下一步后出现“要完成安装,证书服务必须暂时停止IIS服务”的提示。选择“是”后继续。(如图)

  34. 安装证书服务 • 第八步:开始复制组件文件到本地硬盘。(如图)

  35. 安装证书服务 • 第九步:安装过程中会出现缺少文件的提示,我们需要将windows2000系统光盘插入光驱中才能继续。(如图)

  36. 安装证书服务 • 第十步:继续复制文件完成windows组件的安装工作。

  37. 3、架设SSL安全站点 3.2生成证书请求文件 • 第一步:启动IIS编辑器。 • 第二步:在默认网站上点鼠标右键选择“属性”。(如图)

  38. 3、架设SSL安全站点 3.2生成证书请求文件 • 第三步:在默认网站属性窗口中点“目录安全性”标签,然后在安全通信处点“服务器证书”按钮。(

  39. 3、架设SSL安全站点 3.2生成证书请求文件 第四步:系统将自动打开WEB服务器证书向导。

  40. 3、架设SSL安全站点 3.2生成证书请求文件 • 第五步:服务器证书处选择“新建证书”,然后下一步继续。

  41. 3、架设SSL安全站点 3.2生成证书请求文件 • 第六步:延迟或立即请求处选择“现在准备证书请求,但稍后发送”。

  42. 3、架设SSL安全站点 3.2生成证书请求文件 • 第七步:设置证书的名称和特定位长,名称保持默认网站即可,在位长处我们通过下拉菜单选择512。

  43. 3、架设SSL安全站点 3.2生成证书请求文件 • 第八步:输入单位信息,包括单位和部门。

  44. 3、架设SSL安全站点 3.2生成证书请求文件 • 第九步:在站点公用名称窗口输入localhost或该网站的域名。

  45. 3、架设SSL安全站点 3.2生成证书请求文件 • 第十步:填写地理信息

  46. 3、架设SSL安全站点 3.2生成证书请求文件 • 第十一步:设置证书请求的文件名,我们可以将其保存到桌面以便下面步骤调用方便.

  47. 3、架设SSL安全站点 3.2生成证书请求文件 • 第十二步:完成了IIS证书向导配置工作,并按照要求将相应的证书文件保存到桌面。

  48. 3、架设SSL安全站点 3.3申请IIS网站证书 • 完成了证书请求文件的生成后,就能开始申请IIS网站证书了(我们在准备工作中已手工安装了证书服务(Certificate Services)。 • 完成了证书服务的安装后,就能开始申请IIS网站证书了。运行Internet Explorer浏览器,在地址栏中输入“http://localhost/CertSrv/default.asp”。接着在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接,然后在证书申请类型中点击“高级证书申请”链接,在高级证书申请窗口中点击“使用BASE64编码的 CMC或PKCS#10文件提交….”链接,接着将证书请求文件的内容复制到“保存的申请”输入框中,根据前面步骤选择证书请求文件内容保存的位置,最后点击“提交”按钮。

  49. 3、架设SSL安全站点 3.4 颁发IIS网站证书 • 虽然完成了IIS网站证书的申请,但这时它还处于挂起状态,需要颁发后才能生效。 • 在“控制面板→管理工具”中,运行“证书颁发机构”。在“证书颁发机构”左侧窗口中展开目录,选中“挂起的申请”目录,在右侧窗口找到刚才申请的证书,鼠标右键点击该证书,选择“所有任务→颁发”。 接着点击 “颁发的证书”目录,打开刚刚颁发成功的证书,在 “证书”对话框中转换到“周详信息”标签页。点击“复制到文件”按钮,弹出证书导出对话框,一路下一步,在“要导出的文件”栏中指定文件名,如可保存证书路径为“d:\cce.cer”,最后点击“完成”。

  50. 3、架设SSL安全站点 3.5导入IIS网站证书 • 在IIS管理器的“目录安全性”标签页中,点击“服务器证书”按钮,这时弹出“挂起的证书请求”对话框,选择“处理挂起的请求并安装证书”选项,点击 “下一步”后,指定好刚才导出的IIS网站证书文件的位置,接着指定SSL使用的端口,建议使用默认的“443”,最后点击“完成”按钮.

More Related