第七章网上支付的安全.pptVIP

第7章 网上支付的安全 ;教学目的与要求: 了解电子商务网上支付所面临的安全现状，掌握电子交易安全协议SSL和SET的基本概念和原理 教学重点与难点： 重点：掌握电子交易协议SSL和SET的不同 难点：金融安全认证技术的组成与运作方法 ;7.1.1 网上支付所面临的安全问题;7.1.2 网上支付安全的主要内容 ;商务交易安全是指在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，实现电子商务交易支付结算的必威体育官网网址性、完整性、可鉴别性、不可伪造性和不可抵赖性。 包括交易支付过程中的各种交易安全技术，如SET、SSL、安全认证手段和CA体系等。;7．2 网上支付安全协议 ;SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。 SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。 ;1) SSL协议提供的基本服务 （1）认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器。 （2）加密数据以隐藏被传送的数据。 （3）维护数据的完整性，确保数据在传输过程中不被改变。;　2）SSL协议的工作流程： 　　服务器认证阶段： 1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接； 2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则在响应客户的“Hello”信息时将包含生成主密钥所需的信息； 3）客户根据收到的响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器； 4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。 　;　用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。 概括为以下阶段： （1）接通阶段。（2）密码交换阶段。 （3）会谈密码阶段。（4）检验阶段。 （5）客户认证阶段。（6）结束阶段。; 存在的问题（1）： 从SSL 协议提供的服务及工作流程看出，SSL协议运行的基础是商家对消费者信息必威体育官网网址的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。 虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和 MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。;3 )SSL协议的应用 SSL协议是国际上最早应用于电子商务的一种网络安全协议，至今仍然有许多网上商店在使用，也经常应用于点对点的网上银行业务。 世界上一些大型公司，如Microsoft、IBM等提供的客户机、服务器以及相关的软件都支持SSL协议，它已经成为一个事实上的工业标准。;SSL协议与电子支付 SSL协议下的电子交易过程;SSL协议交易流程的缺陷 客户的银行资料信息先送到商家，让商家阅读，故客户银行资料的安全性得不到保证。 SSＬ只能保证资料传递过程的安全，而传输过程是否有人截取就无法保障。;7.2.2 SET协议 ;1) SET协议的研发与应用 在开放的互联网上处理电子商务，如何保证买卖双方传输数据的安全已经成为电子商务能否顺利实现的最重要的问题之一。 1995年信用卡国际组织、资讯业者及网络安全专业团体等开始组成策略联盟，共同研发用于电子商务的安全交易系统。 1996年，Marster Card和Visa国际信用卡组织与技术合作伙伴GTE、Netscape、IBM、Terisa System、Versign、Microsoft、SAIC等一批跨国公司共同开发了安全电子规范（SET协议）。;2)SET 协议的主要目标 1. 防止数据被非法用户窃取，保证信息在互联网上安全传输。 2. SET 中使用了一种双签名技术保证电子商务参与者信息的相互隔离。客户的资料加密后通过商家到达银行，但是商家不能看到客户的帐户和密码信息