电子支付安全协议学习目标 知识目标： 了解HTTP协议 掌握SSL协议流程 掌握SET协议流程 了解其他电子支付协议 能力目标： 掌握SSL协议的具体应用 掌握SET协议的具体应用 知道SSL协议与SET协议的优缺点 素质目标： 培养时刻关注互联网上的欺骗行为习惯 培养并逐步具备管理、使用电子支付安全体系的能力 养成严谨、规范的遵守安全协议的工作习惯第1单元安全协议概述任务分析相关知识（2）网络服务层存在的安全隐患。 网络层为TCP/IP的Internet层或IP层的开放式的构造，使得IP层很容易成为黑客攻击的目标。 （3）安全协议。 也称作密码协议，是以密码学为基础的消息交换协议，其目的是在网络环境中提供各种安全服务。 主要有：安全超文本传输协议（S—HTTP）、“安全套接层”协议（SSL：SecureSocketsLayer）、安全交易技术协议、安全电子交易协议（SET：SecureElectronicTransaction）等。 （2）HTTP协议工作原理。 HTTP协议是基于请求/响应范式的（相当于客户机/服务器），一个客户机与服务器建立连接后，发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。 许多HTTP通讯是由一个用户代理初始化的并且包括一个申请在源服务器上资源的请求。最简单的情况可能是在用户代理和服务器之间通过一个单独的连接来完成。在Internet上，HTTP通讯通常发生在TCP/IP连接之上。缺省端口是TCP80，但其它的端口也是可用的。但这并不预示着HTTP协议在Internet或其它网络的其它协议之上才能完成。HTTP只预示着一个可靠的传输。实践训练2．案例分析 安全超文本转移协议（SecureHypertextTransferProtocol,S-HTTP）是一种结合HTTP而设计的消息的安全通信协议。S-HTTP协议为HTTP客户机和服务器提供了多种安全机制，这些安全服务选项是适用于Web上各类用户的。还为客户机和服务器提供了对称能力（及时处理请求和恢复，及两者的参数选择）同时维持HTTP的通信模型和实施特征。 S-HTTP不需要客户方的公用密钥证明，但它支持对称密钥的操作模式。这意味着在没有要求用户个人建立公用密钥的情况下，会自发地发生私人交易。它支持端对端安全传输，客户机可能首先启动安全传输（使用报头的信息），用来支持加密技术。 在语法上，S-HTTP报文与HTTP相同，由请求行或状态行组成，后面是信息头和主体。请求报文的格式由请求行、通用信息头、请求头、实体头、信息主体组成。响应报文由响应行、通用信息头、响应头、实体头、信息主体组成。 3．实务训练 请上网查询HTTP/1.1协议的特点和八种请求方法。 实训说明： （1）本部分实训可在授课后集中或者分散进行实训。 （2）讨论HTTP协议的优缺点。 4．课后拓展 上网查询HTTP协议的详细工作流程，进一步对HTTP协议的有所了解。第2单元电子支付系统应用任务分析 HTTP协议先天固有的安全缺陷可对web服务器的安全性造成重大的影响。有可能导致服务器被入侵、传输信息被截取、客户端被攻击、服务被拒绝等情况。 为了加强web服务的安全性，最初有Netscape提出了HTTPS协议，用来提供安全可靠的数据传输。针对HTTP协议的安全缺陷，HTTPS通过在TCP层与HTTP层之间增加了一个SSL（SecureSocketLayer）来加强安全性，数据传输过程中，加密解密均由SSL进行，与上层的HTTP无关，对HTTP来说是透明的。HTTPS增强的安全性表现在其双向的身份认证确保身份都是真实可靠的，其数据传输的机密性提高，数据完整性检验更严格，数据报被重放攻击的可能性降低。相关知识2．SSL协议流程 （1）SSL的运行步骤。 SSL采用了公开密钥和专有密钥两种加密：在建立连接过程中采用公开密钥；在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。 SSL安全协议的工作流程如图8-3所示（2）SSL协议的握手过程。 ①客户端的浏览器向服务器传送客户端SSL协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。 ②服务器向客户端传送SSL协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。 ③客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括