第十二章-WEB电子商务安全.pptVIP

SSL协议体系结构 SSL可以作为具备安全能力的标准TCP/IP套接字API，因此理论上，SSL可以运行于任何TCP/IP应用程序之上，而不用对其做任何修改。事实上，SSL仅被广泛用于HTTP连接。SSL位于TCP和应用层协议(如HTTP)之间。 SSL的两个重要概念是SSL会话和SSL连接，具体定义如下： ● 连接：连接是能够提供合适服务类型的传输。对SSL，这种连接是对等的、暂时的。每个连接都和一个会话相关。 ● 会话：会话是指客户机和服务器之间的关联。会话由握手协议创建。会话定义了一组可以被多个连接共用的密码安全参数。对于每个连接，可以利用会话来避免对新的安全参数进行代价昂贵的协商。 理论上，双方可以存在多个同时的会话。但在实践上连接与会话大都是一对一关系。 会话状态包含下列元素： 会话标识符(Session Identifier) 对等实体证书(Peer Certificate) 压缩方法(Compression Method) 密码规范(Cipher Spec) 主秘密(Master Secret) 是否可恢复(Is Resumable) 连接状态包含下列元素： 服务器和客户机随机数(Server and Client Random) 服务器写MAC秘密(Server Write MAC Secret) 客户机写MAC秘密(Client Write MAC Secret) 服务器写密钥(Server Write Key) 客户机写密钥(Client Write Key) 初始化向量(Initialization Vectors) 序列号(Sequence Numbers) SSL记录协议 SSL协议的底层是记录协议层。SSL记录协议在客户机和服务器之间传输应用数据和SSL控制数据。 SSL记录协议报文格式 SSL记录协议的有效负载 改变密码规范协议的存在是为了密码策略的过渡。协议由单独的一条信息组成，这条消息是由当前连接状态(而非未决状态)加密和压缩的。该消息由值为1的单字节组成。 struct { enum { change_cipher_spec(1), (255) } type; } ChangeCipherSpec;  握手协议SSL中最复杂的部分就是握手协议。该协议允许客户和服务器相互验证、协商加密和MAC算法以及密钥，用来保护SSL记录发送的数据。 第四部分　安全技术和产品 第12章 Web电子商务安全 导读 随着互联网的发展，电子商务方兴未艾。也许你使用过网上银行业务，这就是一种电子商务。那么什么是电子商务？电子商务有哪些模式？电子商务是在开放的互联网上进行的，因此特别重要的是如何保障电子商务的安全？这些问题正是本章要讨论的问题。 内容 １２.１　电子商务概述 １２.２　电子商务的安全要求 １２.３　安全电子商务的体系结构 １２.４　电子商务中主要安全协议 １２.５　电子商务系统安全案例 １２.６　主页防修改技术 12.1.1 什么是电子商务 电子商务源于英文electronic commerce，简写为EC。顾名思义，其内容包含两个方面，一是电子方式，二是商贸活动。 电子商务指的是利用简单、快捷、低成本的电子通讯方式，买卖双方不谋面地进行各种商贸活动。电子商务可以通过多种电子通讯方式来完成。 12.1.2 电子商务的模式 总的来说，正如大家所熟知的那样，电子 商务可以分为: 企业(Business)对终端客户（Customer）的电子商务（即B2C） 企业对企业的电子商务（即B2B）两种主要模式。 电子商务系统的分类 1.按商业活动运作方式 　两类：完全电子商务和不完全电子商务 2.按电子商务应用服务的领域范围 　B2C和B2B 3.按开展电子交易的信息网络范围 （1）本地电子商务 （2）远程国内电子商务 （3）全球电子商务 4.按商贸处理的安全可靠程度 （1）普通电子商务系统 （2）基于安全数据交换协议和运作机制的电子商务系统 内容 １２.１　电子商务概述 １２.２　电子商务的安全要求 １２.３　安全电子商务的体系结构 １２.４　电子商务中主要安全协议 １２.５　电子商务系统安全案例 １２.６　主页防修改技术 12.2.1 电子商务的安全威胁 1.销售者面临的威胁 (1)中央系统安全性被破坏 (2)竞争者检索商品递送状况 (3)客户资料被竞争者获悉 (4)被他人假冒而损害公司的信誉 (5)消费者提交订单后不付款 (6)虚假订单 (7)获取他人的机密数据 2.购买者面临的威胁 　(1)虚假订单 　(2)付款后不能收到商品 　(3)机密性丧失