1 / 22

第 7 章 电子商务安全技术协议

第 7 章 电子商务安全技术协议. 电子商务安全. 本章主要内容:). 学习目标. 1.了解安全协议的意义和内容 2.了解电子商务安全协议的设计原则 3.熟悉SSL安全协议的工作机制 4.熟悉SET协议的工作原理 5.了解各种用于电子交易 与支付的安全协议. 电子商务安全. 7.1 安全协议概述. 7.1.1 安全协议概念.

zachery-ramos
Download Presentation

第 7 章 电子商务安全技术协议

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第7章 电子商务安全技术协议 电子商务安全 本章主要内容:) 学习目标 1.了解安全协议的意义和内容 2.了解电子商务安全协议的设计原则 3.熟悉SSL安全协议的工作机制 4.熟悉SET协议的工作原理 5.了解各种用于电子交易 与支付的安全协议

  2. 电子商务安全 7.1 安全协议概述 7.1.1安全协议概念 在电子商务中,要让两个身处异地的主体或代表主体的计算机终端协同完成一次交易,需要规范和统一通信系统中参与方的各种行为,使参与交易各方之间的行为遵循一定的规则,以保证各方的利益和安全,这些标准和规范就是各种支付协议。电子商务安全协议则是完成信息安全交换的共同约定的逻辑操作规则,是保证网上交易的机密性、数据完整性、身份的合法性和抗否认性的重要技术,协议是否完备成为它能否提供安全保障的关键。为了促进电子商务的发展,保障电子商务的安全,Internet电子商务安全协议的研究已成为热点。安全协议在电子支付中主要解决交易各方之间的安全通道问题,包括交易各方之间的相互确认、信息传送的可靠性与完整性等。

  3. 电子商务安全 7.1.2 电子商务安全协议的设计原则 不同的电子商务协议在方便性、安全性、风险等方面是不同的,不同的应用环境对协议目标的要求也不相同,但是电子商务协议需要遵守一些基本的设计原则,而这些原则的遵循需要考虑到以下几个方面: 1)匿名性 2)安全性 3)不可否认性 4)原子性 (1)钱原子性。 (2)商品原子性 (3)确认发送原子性。

  4. 电子商务安全 7.2 SSL协议 7.2.1 SSL协议概念 SSL协议,即安全套接层(secure sockets layer)协议,是对Internet上计算机之间对话进行加密的协议,相当于在消费者和商家之间建立一条“保密通道”以传递金融信息,同时使用公共密钥和私有密钥加密技术,凡是那些不希望被他人知道的机密数据可以通过这个“秘密通道”传送,这样一来,即使是数据必须要通过公开的通路(如互联网)传输,也不用担心数据会被别人偷窥了。SSL协议由网景(Netscape )公司推出,目的是为用户提供互联网和企业内联网上的安全通信服务,是国际上最早应用于电子商务的一种安全协议,目前仍然广泛流行,目前绝大部分的网络服务器和浏览器都支持SSL协议。凡是使用Netscape和IE浏览器的用户,都可将其信用卡信息安全的发送到网络服务器上。

  5. 电子商务安全 7.2 SSL协议 SSL协议内容 SSL协议可以分为两个子协议: SSL握手协议和SSL记录协议。

  6. OSI系统

  7. 电子商务安全 7.2 SSL协议 SSL握手协议四个步骤 SSL记录协议中数据项的格式

  8. 电子商务安全 7.2.2 SSL协议的安全机制 1)SSL协议提供的安全服务 SSL协议对计算机之间的各种通信HTTP、Telnet等都提供安全保护。SSL协议主要提供如下三方面的服务。 (1)用户和服务器的合法性认证。 (2)信息加密服务。 (3)保护数据的完整性。 2)SSL的安全措施 SSL协议采用对称密码技术和公开密码技术相结合,采用密码和证书实现通信数据完整性、认证性等安全服务。其安全措施如下: (1)加密算法和会话密钥。 (2)认证算法。 (3)服务器的认证。 (4)客户的认证。

  9. 电子商务安全 7.2.3 SSL安全协议的应用 1)SSL协议的应用现状 中国目前多家银行采用SSL协议,如在目前中国的电子商务系统中能完成实时支付,用得最多的招行一网通采用的就是SSL协议。所以,从目前实际使用的情况看,SSL还是人们比较信赖的协议。

  10. 电子商务安全 7.2.3 SSL安全协议的应用 2)SSL安全协议的电子交易过程 (1)建立连接:消费者向商家发送一个客户方的问候消息,商家以服务方的问候消息应答,这个信息包括服务器所持有的证书、加密规则和连接标识; (2)消费者利用商家的问候消息产生一个密钥; (3)消费者和商家交换双方认可的密码并产生彼此交谈的会谈密码; (4)检验密码; (5)商家检验客户的可信度;电子支付协议及其公平非否认性研究; (6)商家和消费者之间相互交换结束信息;这时双方之间就可以开始传输交易的信息了。 (7)消费者将自己的信用卡号用传输密钥加密后传送给商家,商家再将信息转发给银行,银行对信息进行验证,一旦通过验证通知商家和消费者付款成功,商家再通知消费者交易成功,将商品寄送消费者。

  11. 电子商务安全 7.2.3 SSL安全协议的应用 3)基于SSL的银行卡支付过程 基于SSL的银行卡支付系统利用SSL协议、RSA加密算法、数字签名和防火墙等保证交易的安全。系统的参与者有持卡人、商户、支付网关和发卡银行。通常基于SSL的银行卡支付流程包括如下步骤: (1)持卡人登录发布站点,验证商户身份。 (2)持卡人决定购买,向商户发出购买请求。 (3)商户返回同意支付等信息。 (4)持卡人验证支付网关的身份,填写支付信息,将订购信息和支付信息通过SSL传给商户,但支付信息被支付网关的公开密钥加密过,对商户来说是不可读的。 (5)商户用支付网关的公开密钥加密支付信息等,传给支付网关,要求支付。 (6)支付网关解密商户传来的信息,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并即时划账。 (7)支付网关用它的私有密钥加密结果,把结果返回商户。 (8)商户用支付网关的公开密钥解密后返回信息给持卡人,送货,交易结束。

  12. 电子商务安全 7.2.4 SSL协议的应用前景 1)SSL安全协议的缺陷 目前我国开发的电子支付系统,无论是中国银行的长城卡电子支付系统,还是上海长途电信局的网上支付系统,均没有采用SSL协议,主要原因就是无法保证客户资金的安全性。 (1)在SSL协议中,消费者无法保证商家能够对他们的信用卡信息保密,也无法保证商家是该支付卡的特约商家;同时,商家也无法确定消费者是该信用卡的合法拥有者。 (2)消费者的信息先到商家,让商家阅读,这样,消费者信息的安全性就得不到保证,SSL只能保证信息传递过程的安全,而传递过程是否有人截取就无法保证了。所以,SSL并没有实现电子支付所要求的保密性、完整性,而且多方相互认证也是困难的。 (3)SSL协议只能做到资料保密,而厂商无法确定是谁填写了这份资料,另外给银行的清算问题也没有解决,因此,SSL协议只适合普通安全级别的小型交易。SSL提供的保密连接有很大的漏洞。SSL除了传输过程以外不能提供任何安全保证,SSL并不能使客户确信商家接收信用卡支付是得到授权的。即使是一个诚实的网上商家,在收到客户的信用卡号码后如果没有采用好的方法保证其安全性,那么信用卡号也很容易被黑客通过商家服务器窃取。SSL协议的安全性系于商家的承诺基础之上。所以说SSL协议是一个有利于商家而不利于顾客的协议。 (4)此外,该协议最大的弱点是不能做数字签名,因此不支持不可否认性。另外,它不能对商家进行认证,不能防止网上欺诈行为。

  13. 电子商务安全 7.2.4 SSL协议的应用前景 2)SSL安全协议的改进 对金额不等的交易,协议要求也不一样,像对小额交易时,就不需要作太多更改,可直接使用SSL安全协议,作大型高额交易时,SSL安全协议就需提高其安全性,提供完善的身份认证。例如交易参与各方都需具备证书,以提供相互认证;消费者对订单和支付命令进行双向签名;在支付机构通知商家支付确认后,商家向消费者提供商品或服务,款项从消费者户头里拨出,在一定的时间内允许消费者提意见,如果消费者没表示不满,则银行将款项转到商家账户,否则,一旦消费者提出不满,则由仲裁中心来进行仲裁。

  14. 电子商务安全 7.3 安全电子交易SET协议 7.3.1 SET协议概述 安全电子交易协议(secure electronic transaction,SET)是Visa和MasterCard这两家世界最大的信用卡公司在IBM,Netscape等多家计算机公司的支持下于1996年推出的信用卡网上结算协议,是为了在Internet上进行在线交易时,保证信用卡支付的安全而设计开发的一个开放的规范。它已成了事实上的国际标准。 SET协议能提供的安全服务 SET协议的安全措施 SET协议的优势

  15. 电子商务安全 7.3.2 SET协议应用 1)SET在电子支付中的应用 (1)中国银行的SET协议解决方案 (2)中国银行基于SET标准的交易程序 2)基于SET协议的电子交易过程 (1)SET支付系统中的参与方 (2)SET协议的工作流程

  16. 电子商务安全 7.3.2 SET协议应用 1)SET在电子支付中的应用 (1)中国银行的SET协议解决方案 (2)中国银行基于SET标准的交易程序 2)基于SET协议的电子交易过程 (1)SET支付系统中的参与方 (2)SET协议的工作流程

  17. 电子商务安全 7.3.3 SET协议应用前景 (1)SET协议只满足“钱原子性”,而不满足“商品原子性”及“确认发送原子性”。 SET 协议存在的问题 (2)SET没有解决交易中证据的生成和保留问题。SET协议仅解决了支付信息的认证。 (3)SET协议非常复杂,成本很高,处理速度慢,没有对时间进行控制,可能会出现由于时间的延误而导致的纠纷。 SSL协议与SET协议比较

  18. 电子商务安全 7.4 其他安全协议 7.4.1 用于信息安全传输的协议 用 于 信 息 安 全 传 输 的 协 议 1. PGP协议 2. S/MIME协议 3. S-HTTP协议

  19. 电子商务安全 7.4.2 用于安全电子交易与支付的协议 用 于 安 全 电 子 交 易 与 支 付 的 协 议 1. Digicash协议 2. First Virtual协议 3. Net bill协议 4. 3-D Secure协议 5.iKP协议

  20. 电子商务安全 本章小结 电子商务安全协议是完成信息安全交换的一系列操作规则,是保证网上交易的机密性、数据完整性、身份的合法性和抗否认性的重要技术。为了促进电子商务的发展,保障电子交易的安全和交易系统的可靠,人们为互联网上从事商务活动研究和制定安全协议作了大量的工作。本章介绍安全协议的内容和电子商务安全协议的设计原则,重点介绍了当前广泛应用、在技术上比较成熟的SSL协议的概念和安全机制,用于信用卡支付的安全电子交易SET协议的应用,最后介绍了用于信息安全传输,以及用于安全电子交易与支付等的其他安全协议。

  21. 电子商务安全 复习思考题 1.安全协议的主要内容是什么? 2.简述电子商务安全协议的设计原则。 3.说明SSL安全协议的工作机制。 4.说明SET协议的工作原理。 5.用于信息安全传输的几种协议各具 有什么特点? 6.Digicash协议是如何工作的? 7.请说明3-D Secure安全协议的特点。 8.试对SSL协议和SET协议进行技术 层面上的比较。 9.请调查SET协议在中国银行的应用 现状,并讨论其发展趋势。

  22. 电子商务安全 希望本章的内容对您有所帮助,谢谢。 本章内容结束

More Related