电子商务|2022年信息安全工程师考试知识点：电子商务安全( 二 ) 交易|安全工程师|信息安全|网

15．SET 协议是一个基于可信的第三方认证中心的方案，其主要的实现目标是：
① 保证电子离务参与者信息的相互隔离；
② 保证信息在Internet 上安全传输；
③ 解决多方认证问题；
④ 保证网上交易的实时性；
⑤ 提供一个开放式的标准。
16．SET交易的参与方包括持卡人、发卡机构、离家、收单银行、支付网关和数字证书认证中心CA 。
17．SET 协议分为三个部分：
① 商业描述；② 程序员指导；③ 正式的协议定义。
18．SET 协议是一种电子支付系统的安全协议，因此它涉及加密、认证等多种技术。
① 加密技术：加密技术是SET 协议中的核心技术，在SET 中使用的主要包括对称加密、非对称加密、数字签名、消息摘要、数字信封、双重签名等。
② 认证技术：网上交易的买卖双方在进行每一笔交易时，为了保证交易的可靠性，买方和卖方都要鉴别对方的身份。
19．CA的主要功能有：收注册请求处理、批准/拒绝请求、发行证书。
20．认证技术具体涉及以下一些内容：
① 证书信息：
持卡人证书：持卡人证书表明持卡人拥有的支付卡是合法的，它是由权威的金融机构数字签署的，不能由其他非法第三方产生。
商家证书：商家证书与持卡人证书基本一样。
支付网关证书：支付网关证书由收单行或收单行的处理系统拥有。
收单行证书：一个收单银行必须拥有证书，才能使一个CA 接收和处理商家从公共和专用网络发出的证书请求。
发卡行证书：一个发卡银行必须拥有证书，CA 才能接收和处理来自持卡人的证书请求(通过公共或专用网络) ，那些选择支付卡品牌来代理处理证书请求的发卡行不需要证书。
② 证书的发行。
③ 认证信息和验证结构：
认证信息：在SET 中，交易双方的身份必须要验证，CA 是提供身份验证的第三方机构。
21．SET协议主要是通过使用密码技术和数字证书方式来保证信息的机密性和安全性，它实现了电子交易的机密性、数据完整性、身份的合法性和不可否认性。
22．SSL 安全套接层协议是安全通信协议。在SSL中，采用了公开密钥和私有密钥两种加密方式，它对计算机之间整个会话进行加密，从而保证了安全传输。 SSL 的安全服务位于TCP 和应用层之间，可为应用层(如HTTP 、FTP 、SMTP) 提供安全业务，服务对象主要是Web 应用，即客户浏览器和服务器。
23．SSL 服务器认证允许用户确认服务器身份。 SSL 客户机认证允许服务器确认用户身份。
24．一个加密的SSL 连接要求所有在客户机与服务器之间发送的信息由发送方软件加密和由接受方软件解密，对称加密法用于数据如密(如用DES 和RC4 等) ，从而连接是保密的。
25．SSL主要工作流程包括：网络连接建立；与该连接柜关的加密方式和压缩方式选择；双方的身份识别；本次传输密钙的确定；加密的数据传输；网络连接的关闭。
26．SSL是一个两层协议，包括SSL 握手层协议和SSL 记录层协议。
27．SSL协议提供的服务可以归纳为如下三个方面：
① 用户和服务器的合法性认证；
② 加密数据以隐藏被传送的数据；
③ 维护数据的完整性。
28．SSL 协议自身的缺陷：
① 客户端假冒；
② SSL 协议无法提供基于四P 应用的安全保护；
③ SSL 协议不能对抗通信流量分析；
④ 可能受到针对基于公钥加密标准（PKCS) 的协议的自适应选择密文攻击；
⑤ 进程中的主密钥泄漏；
⑥ 磁盘上的临时文件可能遭受攻击。