电子商务的安全技术下.ppt

8.5 电子商务安全技术协议 电子商务实施初期采用的安全措施 部分告知（partial order）。在网上交易中将最关键的数据，如信用卡帐号及交易金额等略去，然后再用电话告知，以防泄密。 另行确认 (order confirmation)。在网上传输交易信息之后，再用电子邮件对交易进行确认，才认为有效。 在线服务 (online service)。为了保证信息传输的安全，用企业提供的内部网来提供联机服务。 一、安全套接层协议（SSL） ◆ SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的，其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是Web服务器）之间的安全通信。 ◆SSL是一种利用公共密钥技术的工业标准，已经广泛用于Internet，它使用的是RSA数字签名算法，可以支持X.509证书和多种必威体育官网网址密钥加密算法。 SSL的体系结构 一、安全套接层协议的工作原理 ◆ SSL需要认证服务器（客户机和服务器相互认证） ◆其运行机制是： SSL用公开密钥（非对称）加密和私有密钥（对称）加密来实现信息的必威体育官网网址。具体是：在建立连接过程中采用公共密钥（非对称）加密；在会话过程中采用私有密钥（对称）加密；加密的类型和强度则在两端之间建立连接的过程中判断决定。 二、 SSL协议通信过程 ① 接通阶段：客户机呼叫服务器，服务器回应客户。 ② 认证阶段：服务器向客户机发送服务器证书和公钥，如果服务器需要双方认证，还要向对方提出认证请求；客户根据服务器是否需要认证客户身份，向服务器发送客户端证书。 ③确立会话密钥阶段：客户和服务器之间协议确立会话密钥。 ④会话阶段：客户机与服务器使用会话密钥加密交换会话信息。 ⑤结束阶段：客户机与服务器交换结束信息，通信结束。 凡是支持送SSL协议的网页，都会以https://作为URL的开头。客户在与服务器进行SSL会话中，如果使用的是微软的IE浏览器，可以在右下方状态栏中看到一只金黄色的锁形安全标志，用鼠标双击该标志，就会弹出服务器证书信息。 四、建立SSL安全连接的过程 这时浏览器发出安全警报，开始建立安全连接，参见图2。 同时验证安全证书，参见图3。用户单击“确定”键即进入安全连接。 当加密方式传送结束后，浏览器会离开交换敏感信息的页面，自动断开安全连接。 五、SSL协议的电子交易过程 ①客户购买的信息首先发往商家； ②商家再将信息转发银行； ③④银行验证客户信息的合法性后，再通知客户和商家付款成功； ⑤商家再通知客户购买成功。 SSL协议电子交易流程的缺点： 二、安全电子交易协议（SET） 为了克服SSL安全协议的缺点，更为了达到交易安全及合乎成本效益之市场要求，VISA和MasterCard联合IBM、Microsoft等信息产业巨头于1997年6月,共同制定了安全电子交易（Secure Electronic Transaction，SET）协议。 SET的优点：1、SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。 2、在SET中采用了双重签名技术，支付信息和订单信息是分别签署的，这样保证了商家看不到支付信息，而只能看到订单信息。 一、SET协议应用的范围 1、SET协议用于支持B2C这种类型的电子商务模式，即消费者持卡在网上购物与交易的模式。 2、SET协议是一种支付协议，只是在持卡人向商家发送支付请求，商家向支付网关发送授权或获取请求，以及支付网关向商家发送授权或获取回应，商家向持卡人发送支付回应时才起作用，它并不包含商品选购，价格协调和支付方式选择等方面的协议。 二、SET为电子商务提供的功能P250 ①信息必威体育官网网址性。（信息加密并相互隔离） ②数据的完整性。(用数字摘要和数字签名技术来鉴别信息的真伪及其完整性) ③提供交易者的身份认证（多方认证）用数字证书和数字签名来实现 ④互操作性。（规范协议和信息格式使不同厂家开发的软件具有兼容性和互操作功能，并能运行在不同的硬件和操作系统上） 三、 SET协议所涉及的角色 ①持卡人：持信用卡在网上购物的人。 ②网上商店。 ③发卡银行。 ④收单银行。 ⑤支付网关。 ⑥CA认证中心。 P243 五.? SET标准的应用与局限性P251 应用现状： ◆SET 1.0版自1996年推出以来推广应用较慢，其发展没有达到预期的效果。最大的挑战在于定期进行网上购物的消费者极少，原因主要是SET协议为了保证安全性而牺牲了简便性、操作过于复杂、成本较高、具有较大竞争力的SSL协议的广泛应用以及部分经济发达国家的法律规定了持卡人承担较低的