第五章_电子商务安全问题.pptVIP

5.支付授权的消息流程： POS软件组织授权请求报文（AuthReq），其中包括A君发给它的支付命令，发给支付网关。 支付网关是一个Internet服务器，是连接Internet与银行内部支付网络系统的桥梁。 在SET这个多方报文协议中的每一方都持有数字证书，该数字证书来源于一个公有SET密钥，这使得每一方都有办法确信其他各方具有得到授权的合法身份。 假如A君的信用卡没有透支的话，支付网关就发给SuperSoft授权响应报文，SuperSoft再组织一个购买响应报文（PRes）发给A君的钱夹。 然后A君的钱夹组织一个报文，这个报文中包括购买订单以及支付命令。支付命令中包括A君的信用卡号码，被加密保护以保证SuperSoft无法获取其中的信息。只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。 2. SET协议的核心技术 （1）采用DES算法的对称密钥技术。 （2）采用RSA算法的非对称密钥技术。 （3）采用电子数字签名。 （4）采用电子信封。 首先，在网上成立网络动态认证中心。 安全动态认证注册方法 所有希望参加电子商务并希望完成支付环节 的公司，都必须向网络动态认证中心进行网络 注册。 　注册完以后，网络会自动把个人私钥、加密算法、 解密算法等内容通过网络发到用户的计算机上。 3.ＳＥＴ协议的安全动态认证 持卡人在网上确定购买之后，订单信息通过Internet传送到商户的支付服务器，其支付信息从商户的支 付服务器上传送到金融机构的支付网关。在这一过程中，商户只能看到订单的购买信息，金融机构只能看到订单的帐户信息。 也就是说，每一方只能得到自己需要的信息，而看不到其它资料，以保证交易的安全。 此后，CA认证机构分别确认持卡人、 商户和金融机构的身份，若通过确认，则商户向持卡人确认购买完成，金融机构随即进行帐户扣款操作。在现场网上购书试验 中，电子钱包中记录了详细的资料，而银行帐号中则立刻减少了相应的金额。 中国银行的网上支付方案中，持卡人的款项实时从卡中扣除；在商户一边，交易信息保留在支付服务器上，每日 批处理结帐，统一与中国银行的进帐单和交易明晰对帐，之后银行进行对商户的入帐处理，目前这一过程最长不超过三天。由 此看来，电子支付对于持卡人而言，可以轻松的完成网上购物的结算过程，完全免去邮局汇款、信用卡授权等烦琐程序，将资 金结算时间减少到几乎为零，大大缩短了网上购物的周期；对于商户而言，能够在较短的时间内安全的收到货款，尽快组织货 源和发货，使持卡人尽早收到所订商品，树立网上商户良好的形象。 SSL协议与SET协议比较 相对于SSL协议来说，SET协议更为安全；但是SET协议过于复杂，处理速度慢，支持SET系统的费用较高。而使用SSL则较为便宜（被大部分Web浏览器所内置）。SET和SSL都要求使用密码技术和算法，都要增加计算机系统的负载，但与SSL比较， SET需要更高的处理能力。 SET还将引入除信用卡以外的结算方式，加上先进的加密算法，SET有可能在未来的电子商务中扮演更为重要的角色。然而由于SSL的简洁性及通用性，它也必然长期存在。 电子商务的飞速发展也相应的引发出一些Internet 安全问题。 　　概括起来，进行电子交易的互联网用户所面临的安全问题有： 　　一，必威体育官网网址性 ：如何保证电子商务中涉及的大量必威体育官网网址信息在公开网络的传输过程中不被窃取； 　　二，完整性 ：如何保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易； 　　三，身份认证与授权 ：在电子商务的交易过程中，如何对双方进行认证，以保证交易双方身份的正确性； 　　四，抗抵赖 ：在电子商务的交易完成后，如何保证交易的任何一方无法否认已发生的交易。这些安全问题将在很大程度上限制电子商务的进一步发展，因此如何保证Internet 网上信息传输的安全，已成为发展电子商务的重要环节。 PKI 为解决这些Internet 的安全问题，世界各国对其进行了多年的研究，初步形成了一套完 整的Internet 安全解决方案，即时下被广泛采用的PKI 技术(Public Key Infrastructure-公钥基 础设施)，PKI（公钥基础设施）技术采用证书管理公钥，通过第三方的可信任机构--认证中 心CA(Certificate Authority)，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份 证号等）捆绑在一起，在Internet 网上验证用户的身份。眼下，通用的办法是采用基于PKI 结构结合数字证书，通过把要传输的数字信息进行加密，保证信息传输的必威体育官网网址性、完整性，签名保证身份的真实性和抗抵赖。 PKI CA ： PKI（Public Key Infrastructure，公钥基础设施）是提供公钥