深圳信息职业技术学院《电子商务基础》课程组版权所有 《电子商务基础与实操》 万守付 主编 第3部分 电子商务安全 深圳信息职业技术学院 2007-08-20 深圳信息职业技术学院《电子商务基础》课程组版权所有 下页
第3部分 电子商务安全 目 录 3.1 电子商务系统的安全要求 3.2 数据加密技术 3.3 认证技术 3.4 电子商务的安全交易标准 下页
3.4 电子商务的安全交易标准 3.4.1 安全套接层协议 (SSL) 3.4.2 安全电子交易协议 (SET)
深圳信息职业技术学院《电子商务基础》课程组版权所有 电子商务实施初期 采用的安全措施 部分告知(partial order)。在网上交易中将最关键的数据,如信用卡帐号及交易金额等略去,然后再用电话告知,以防泄密。 另行确认 (order confirmation)。在网上传输交易信息之后,再用电子邮件对交易进行确认,才认为有效。 在线服务 (online service)。为了保证信息传输的安全,用企业提供的内部网来提供联机服务。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 3.4.1 安全套接层协议 SSL (secure sockets layer)是由Netscape 公司是由设计开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 SSL是一种利用公共密钥技术的工业标准,已经广泛用于Internet,它使用的是RSA数字签名算法,可以支持X.509证书和多种保密密钥加密算法。 其运行机制是:在建立连接过程中采用公共密钥;在回话过程中采用专有密钥;加密的类型和强度则在两端之间建立连接的过程中判断决定。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 1、SSL提供的基本服务功能 信息保密。使用公共密钥和对称密钥技术实现信息保密。SSL客户机和SSL服务器之间的所有业务都使用在SSL握手过程中建立的密钥和算法进行加密,这样就防止了某些用户进行非法窃听。 信息完整性。SSL利用机密共享和Hash函数组提供信息完整性服务。 相互认证。是客户机和服务器相互识别的过程。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 2. SSL协议通信过程 ① 接通阶段:客户机呼叫服务器,服务器回应客户。 ② 认证阶段:服务器向客户机发送服务器证书和公钥;如果服务器需要双方认证,还要向对方提出认证请求;客户机用服务器公钥加密向服务器发送自己的公钥,并根据服务器是否需要认证客户身份,向服务器发送客户端证书。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 ③确立会话密钥阶段:客户和服务器之间协议确立会话密钥。 ④会话阶段:客户机与服务器使用会话密钥加密交换会话信息。 ⑤结束阶段:客户机与服务器交换结束信息,通信结束。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 凡是支持送SSL协议的网页,都会以https://作为URL的开头。客户在与服务器进行SSL会话中,如果使用的是微软的IE浏览器,可以在右下方状态栏中看到一只金黄色的锁形安全标志,用鼠标双击该标志,就会弹出服务器证书信息。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 SSL的安全性服务对终端用户尽可能透明。 与标准的HTTP连接申请不同,支持SSL的典型网络主机接收SSL连接的默认端口是443。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 当客户机连接该端口时,首先初始化握手协议,建立一个SSL对话时段。握手结束后,将对通信加密,并检查信息完整性,直到这个对话时段结束为止。每个SSL对话时段只发生一次握手。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 4、SSL协议的电子交易过程 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 交易过程的步骤 ①客户购买的信息首先发往商家; ②商家再将信息转发银行; ③④银行验证客户信息的合法性后,再通知客户和商家付款成功; ⑤商家再通知客户购买成功。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 当用于银行卡网上支付流程时的缺点 首先,客户的银行资料信息先送到商家,让商家阅读,这样,客户银行资料的安全性就得不到保证。 其次,SSL协议虽然提供了资料传递过程的安全通道,但SSL协议安全方面有缺少数字签名功能、没有授权和存取控制、多方互相认证困难、不能抗抵赖、用户身份可能被冒充等弱点。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 3.4.2 安全电子交易协议 (Secure Electronic Transaction,SET) 背景:网上消费者发出的支付指令在由商户送到支付网关之前,是在公用网上传送的,这一点与持卡POS消费者有着本质的不同。因此,在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要的因素之一,SET正是在这种需求的推动下应运而生的。 它是由VISA和MasterCard两大信用卡公司发起,会同IBM、Microsoft等信息产业巨头于1997年6月正式制定发布的用于因特网事务处理的一种标准。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 SET协议是信用卡在因特网上进行支付的一种开放式 该标准采用RSA公开密钥体制对通信双方进行认证,采用DES等对称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,包括了信用卡在电子商务中的交易协定和信息保密、信息完整、身份认证、数字签名等技术,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 1.SET协议的规范及功能 ①加密算法的应用(例如RSA和DES); ②证书信息和对象格式; ③购买信息和对象格式; ④认可信息和对象格式; ⑤划账信息和对象格式; ⑥对话实体之间信息的传输协议。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 SET协议交互操作是通过特定的协议和信息格式设定的。SET中包含多种协议,每一协议用于处理一个事务的不同阶段,通过复用公共密钥和私有密钥技术,单个SET事务最多可用六个不同的公共密钥加密,从而实现了信息集成、全部金融数据的证实和敏感数据的加密等工作。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 SET为电子商务提供的功能 ①信息保密性。 ②数据的完整性。 ③提供交易者的身份认证和担保。 ④互操作性。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 2.SET协议所涉及的角色 ①持卡人。 ②网上商店。 ③发卡银行。 ④收单银行。 ⑤支付网关。 ⑥CA认证中心。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 3.应用SET的购物流程 使用SET的网上购物流程: ①客户通过网络浏览器浏览在线商家的商品目录。 ②选择要购买的商品; ③填写订单,包括欲购商品名称、规格、数量、交货时间及地点等信息。订单通过因特网发送给商家,商家进行应答,并告知以上订单货物单价、应付款数额和交货方式; ④消费者选择付款方式,此时SET开始介入; 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 ⑤消费者发送给商家一个完整的订单及其要求付款的指令。在SET中,订单和付款指令由消费者进行数字签名;同时利用双重身份签名技术,保证商家看不到消费者的账号信息。 ⑥在线商家接受订单后,向客户开户银行请求支付,此信息通过支付网关送达收单银行,并进一步提交发卡银行确认。确认批准后,发卡银行返回确认信息,经收单银行通过支付网关发给在线商家; ⑦在线商家发送订单确认信息给客户,客户端记录交易日志,以备日后查考; ⑧在线商家发送商品或提供服务,并通知收单银行将货款从客户账号转移到商家账号,或通知发卡银行请求支付。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 4.SET标准的应用与局限性 SET 1.0版自1997年推出以来推广应用较慢,没有达到预期的效果。 最大的挑战在于定期进行网上购物的消费者极少,原因主要是SET协议为了保证安全性而牺牲了简便性、操作过于复杂、成本较高、具有较大竞争力的SSL协议的广泛应用以及部分经济发达国家的法律规定了持卡人承担较低的信用卡风险等。SET协议提供了多层次安全保障,复杂程度显著增加;这些安全环节在一定程度上增加了交易的复杂性。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 另外,SET协议目前只局限于银行卡的网上支付,对其他方式的支付没有给出很好的解决方案。SET协议只支持B2C模式的电子商务,而不支持目前最具有前途和影响力的B2B电子商务交易。 SET由于其高度的安全性和规范性,使其逐步发展成为目前安全电子支付的国际标准。 深圳信息职业技术学院《电子商务基础》课程组版权所有
深圳信息职业技术学院《电子商务基础》课程组版权所有 谢谢观赏! 制作人:万守付 深圳信息职业技术学院 2007-08-20 深圳信息职业技术学院《电子商务基础》课程组版权所有