第 7 章 电子商务安全技术协议
DESCRIPTION
第 7 章 电子商务安全技术协议. 电子商务安全. 本章主要内容:). 学习目标. 1.了解安全协议的意义和内容 2.了解电子商务安全协议的设计原则 3.熟悉SSL安全协议的工作机制 4.熟悉SET协议的工作原理 5.了解各种用于电子交易 与支付的安全协议. 电子商务安全. 7.1 安全协议概述. 7.1.1 安全协议概念. - PowerPoint PPT PresentationTRANSCRIPT
第 7 章 电子商务安全技术协议
学习目标
1 .了解安全协议的意义和内容
2 .了解电子商务安全协议的设计原则
3 .熟悉 SSL 安全协议的工作机制
4 .熟悉 SET 协议的工作原理
5 .了解各种用于电子交易 与支付的安全协议
电子商务安全
电子商务安全
7.1 安全协议概述
7.1.1 安全协议概念
在电子商务中,要让两个身处异地的主体或代表主体的计算机终端协同完成一次交易,需要规范和统一通信系统中参与方的各种行为,使参与交易各方之间的行为遵循一定的规则,以保证各方的利益和安全,这些标准和规范就是各种支付协议。电子商务安全协议则是完成信息安全交换的共同约定的逻辑操作规则,是保证网上交易的机密性、数据完整性、身份的合法性和抗否认性的重要技术,协议是否完备成为它能否提供安全保障的关键。为了促进电子商务的发展,保障电子商务的安全, Internet 电子商务安全协议的研究已成为热点。安全协议在电子支付中主要解决交易各方之间的安全通道问题,包括交易各方之间的相互确认、信息传送的可靠性与完整性等。
电子商务安全
7.1.2 电子商务安全协议的设计原则
不同的电子商务协议在方便性、安全性、风险等方面是不同的,不同的应用环境对协议目标的要求也不相同,但是电子商务协议需要遵守一些基本的设计原则,而这些原则的遵循需要考虑到以下几个方面:
1 )匿名性2 )安全性3 )不可否认性4 )原子性( 1 )钱原子性。( 2 )商品原子性( 3 )确认发送原子性。
电子商务安全
7.2 SSL 协议7.2.1 SSL 协议概念
SSL 协议,即安全套接层( secure sockets layer )协议,是对 Internet 上计算机之间对话进行加密的协议,相当于在消费者和商家之间建立一条“保密通道”以传递金融信息,同时使用公共密钥和私有密钥加密技术,凡是那些不希望被他人知道的机密数据可以通过这个“秘密通道”传送,这样一来,即使是数据必须要通过公开的通路(如互联网)传输,也不用担心数据会被别人偷窥了。 SSL 协议由网景( Netscape )公司推出,目的是为用户提供互联网和企业内联网上的安全通信服务,是国际上最早应用于电子商务的一种安全协议,目前仍然广泛流行,目前绝大部分的网络服务器和浏览器都支持 SSL 协议。凡是使用 Netscape 和 IE 浏览器的用户,都可将其信用卡信息安全的发送到网络服务器上。
电子商务安全
7.2 SSL 协议
SSL 协议内容
SSL 协议可以分为两个子协议:SSL 握手协议和 SSL 记录协议。
OSI 系统
电子商务安全
7.2 SSL 协议
SSL 握手协议四个步骤
SSL 记录协议中数据项的格式
电子商务安全
7.2.2 SSL 协议的安全机制
1 ) SSL 协议提供的安全服务SSL 协议对计算机之间的各种通信 HTTP 、 Telnet 等都提供安全保护。SSL 协议主要提供如下三方面的服务。( 1 )用户和服务器的合法性认证。( 2 )信息加密服务。( 3 )保护数据的完整性。
2 ) SSL 的安全措施SSL 协议采用对称密码技术和公开密码技术相结合,采用密码和证书实现通信数据完整性、认证性等安全服务。其安全措施如下:( 1 )加密算法和会话密钥。( 2 )认证算法。( 3 )服务器的认证。( 4 )客户的认证。
电子商务安全
7.2.3 SSL 安全协议的应用
1 ) SSL 协议的应用现状中国目前多家银行采用 SSL 协议,如在目前中国的电子商务系统中能完成实时支付,用得最多的招行一网通采用的就是 SSL 协议。所以,从目前实际使用的情况看, SSL还是人们比较信赖的协议。
电子商务安全
7.2.3 SSL 安全协议的应用2 ) SSL 安全协议的电子交易过程( 1 )建立连接:消费者向商家发送一个客户方的问候消息,商家以服务方的问候消息应答,这个信息包括服务器所持有的证书、加密规则和连接标识;( 2 )消费者利用商家的问候消息产生一个密钥;( 3 )消费者和商家交换双方认可的密码并产生彼此交谈的会谈密码;( 4 )检验密码;( 5 )商家检验客户的可信度;电子支付协议及其公平非否认性研究;( 6 )商家和消费者之间相互交换结束信息;这时双方之间就可以开始传输交易的信息了。( 7 )消费者将自己的信用卡号用传输密钥加密后传送给商家,商家再将信息转发给银行,银行对信息进行验证,一旦通过验证通知商家和消费者付款成功,商家再通知消费者交易成功,将商品寄送消费者。
电子商务安全
7.2.3 SSL 安全协议的应用3 )基于 SSL 的银行卡支付过程基于 SSL 的银行卡支付系统利用 SSL 协议、 RSA 加密算法、数字签名和防火墙等保证交易的安全。系统的参与者有持卡人、商户、支付网关和发卡银行。通常基于 SSL的银行卡支付流程包括如下步骤:( 1 )持卡人登录发布站点,验证商户身份。( 2 )持卡人决定购买,向商户发出购买请求。( 3 )商户返回同意支付等信息。( 4 )持卡人验证支付网关的身份,填写支付信息,将订购信息和支付信息通过 SSL传给商户,但支付信息被支付网关的公开密钥加密过,对商户来说是不可读的。( 5 )商户用支付网关的公开密钥加密支付信息等,传给支付网关,要求支付。( 6 )支付网关解密商户传来的信息,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并即时划账。( 7 )支付网关用它的私有密钥加密结果,把结果返回商户。( 8 )商户用支付网关的公开密钥解密后返回信息给持卡人,送货,交易结束。
电子商务安全
7.2.4 SSL 协议的应用前景1 ) SSL 安全协议的缺陷目前我国开发的电子支付系统,无论是中国银行的长城卡电子支付系统,还是上海长途电信局的网上支付系统,均没有采用 SSL 协议,主要原因就是无法保证客户资金的安全性。( 1 )在 SSL 协议中,消费者无法保证商家能够对他们的信用卡信息保密,也无法保证商家是该支付卡的特约商家;同时,商家也无法确定消费者是该信用卡的合法拥有者。( 2 )消费者的信息先到商家,让商家阅读,这样,消费者信息的安全性就得不到保证, SSL只能保证信息传递过程的安全,而传递过程是否有人截取就无法保证了。所以, SSL并没有实现电子支付所要求的保密性、完整性,而且多方相互认证也是困难的。( 3 ) SSL 协议只能做到资料保密,而厂商无法确定是谁填写了这份资料,另外给银行的清算问题也没有解决,因此, SSL 协议只适合普通安全级别的小型交易。 SSL 提供的保密连接有很大的漏洞。 SSL除了传输过程以外不能提供任何安全保证, SSL并不能使客户确信商家接收信用卡支付是得到授权的。即使是一个诚实的网上商家,在收到客户的信用卡号码后如果没有采用好的方法保证其安全性,那么信用卡号也很容易被黑客通过商家服务器窃取。 SSL协议的安全性系于商家的承诺基础之上。所以说 SSL 协议是一个有利于商家而不利于顾客的协议。( 4 )此外,该协议最大的弱点是不能做数字签名,因此不支持不可否认性。另外,它不能对商家进行认证,不能防止网上欺诈行为。
电子商务安全
7.2.4 SSL 协议的应用前景
2 ) SSL 安全协议的改进对金额不等的交易,协议要求也不一样,像对小额交易时,就不需要作太多更改,可直接使用 SSL 安全协议,作大型高额交易时, SSL 安全协议就需提高其安全性,提供完善的身份认证。例如交易参与各方都需具备证书,以提供相互认证;消费者对订单和支付命令进行双向签名;在支付机构通知商家支付确认后,商家向消费者提供商品或服务,款项从消费者户头里拨出,在一定的时间内允许消费者提意见,如果消费者没表示不满,则银行将款项转到商家账户,否则,一旦消费者提出不满,则由仲裁中心来进行仲裁。
电子商务安全
7.3 安全电子交易 SET 协议
7.3.1 SET 协议概述安全电子交易协议( secure electronic transaction , SET )是 Visa 和MasterCard 这两家世界最大的信用卡公司在 IBM , Netscape等多家计算机公司的支持下于 1996年推出的信用卡网上结算协议,是为了在Internet 上进行在线交易时,保证信用卡支付的安全而设计开发的一个开放的规范。它已成了事实上的国际标准。
SET 协议能提供的安全服务
SET 协议的安全措施
SET 协议的优势
电子商务安全
7.3.2 SET 协议应用
1 ) SET 在电子支付中的应用( 1 )中国银行的 SET 协议解决方案( 2 )中国银行基于 SET 标准的交易程序
2 )基于 SET 协议的电子交易过程( 1 ) SET 支付系统中的参与方( 2 ) SET 协议的工作流程
电子商务安全
7.3.2 SET 协议应用
1 ) SET 在电子支付中的应用( 1 )中国银行的 SET 协议解决方案( 2 )中国银行基于 SET 标准的交易程序
2 )基于 SET 协议的电子交易过程( 1 ) SET 支付系统中的参与方( 2 ) SET 协议的工作流程
电子商务安全
7.3.3 SET 协议应用前景
协议存在的问
题SET
( 1 ) SET 协议只满足“钱原子性”,而不满足“商品原子性”及“确认发送原子性”。( 2 ) SET没有解决交易中证据的生成和保留问题。 SET 协议仅解决了支付信息的认证。
( 3 ) SET 协议非常复杂,成本很高,处理速度慢,没有对时间进行控制,可能会出现由于时间的延误而导致的纠纷。
SSL 协议与SET 协议比较
电子商务安全
7.4 其他安全协议
7.4.1 用于信息安全传输的协议
用于信息安全传输的协议
1. PGP 协议
2. S/MIME 协议
3. S-HTTP 协议
电子商务安全
7.4.2 用于安全电子交易与支付的协议
用于安全电子交易与支付的协议
1. Digicash 协议
2. First Virtual 协议
3. Net bill 协议
4. 3-D Secure 协议
5. iKP 协议
电子商务安全
电子商务安全协议是完成信息安全交换的一系列操作规则,是保证网上交易的机密性、数据完整性、身份的合法性和抗否认性的重要技术。为了促进电子商务的发展,保障电子交易的安全和交易系统的可靠,人们为互联网上从事商务活动研究和制定安全协议作了大量的工作。本章介绍安全协议的内容和电子商务安全协议的设计原则,重点介绍了当前广泛应用、在技术上比较成熟的 SSL 协议的概念和安全机制,用于信用卡支付的安全电子交易 SET 协议的应用,最后介绍了用于信息安全传输,以及用于安全电子交易与支付等的其他安全协议。
本章小结
电子商务安全
复习思考题
1. 安全协议的主要内容是什么?2.简述电子商务安全协议的设计原则。3.说明 SSL 安全协议的工作机制。4.说明 SET 协议的工作原理。5. 用于信息安全传输的几种协议各具 有什么特点?6.Digicash 协议是如何工作的?7.请说明 3-D Secure 安全协议的特点。8.试对 SSL 协议和 SET 协议进行技术 层面上的比较。9.请调查 SET 协议在中国银行的应用 现状,并讨论其发展趋势。
电子商务安全
希望本章的内容对您有所帮助,谢谢。