4[1].4 电子商务安全---set安全电子交易协议【课件幻灯片】.ppt

Page: SSL协议和SET协议 SSL协议是工作于网络会话层（Socket Layer）的网络安全协议。 特性 SSL协议使用通信双方的客户证书以及CA根证书，允许客户/服务器应用以一种不能被偷听的方式通信，在通信双方间建立起了一条安全的、可信任的通信通道。 SSL的应用 许多网上的商店应用了SSL协议 SSL当初并不是为支持电子商务而设计的，所以在电子商务系统的应用中还存在很多弊端: SSL是一个面向连接的协议，在涉及多方的电子交易中，只能提供交易中客户与服务器间的双方认证，而电子商务往往是客户、网站、银行三家协作完成, SSL协议并不能协调各方间的安全传输和信任关系； 购货时客户要输入通信地址，这样将可能使得客户收到大量垃圾信件。 随着电子商务参与方的迅速增加，认证问题越来越突出，SSL协议的缺点完全暴露出来。SSL协议逐渐被新的SET协议所取代。 目前我国开发的电子支付系统，无论是中国银行的长城卡电子支付系统，还是上海长途电信局的网上支付系统，均没有采用SSL协议，主要原因就是无法保证客户资金的安全性。 网上购物的异地支付流程 网上购物在异地支付过程存在的问题 持卡人希望在交易中必威体育官网网址自己的帐户信息使之不被人盗用 商家则希望客户的定单不可抵赖 在交易过程中交易各方都希望验明其他方的身份以防止被欺骗 问题的解决 进行身份认证 建立一套安全交易的规则（协议）保证交易过程的安全 SET协议 什么是SET协议 SET协议：概述 安全电子交易(Secure Electronic Transaction)协议 1997年由美国Visa和MasterCard两大信用卡公司共同制定实施 SET主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的 是一种为基于信用卡而进行的电子交易提供安全措施的规则 它采用公钥密码体制和X.509数字证书标准 主要应用于BtoC模式中保障网上购物信息的安全性 SET协议的作用 保障付款安全 确保支付信息的隐密性及完整性 提供持卡人、网络商家、支付网关的认证 定义所需要的算法及相关协定 提供一个开放的协议标准。规范协议和格式，促使不同厂家开发的软件具有兼容性 SET协议交易流程 SET协议中的参与方 下面以中国银行SET电子钱包为例说明SET协议的购物流程 选择新东方在线为在线商店 第一步：选购新东方在线的产品，并选择中国银行支付方式，并点击确认，到下面这个页面。 中国银行SET电子钱包购物流程 第二步：根据您所在的区域，输入卡号、密码即可进入电子钱包。 中国银行SET电子钱包购物流程 第三步：进入“电子钱包”后在“订单说明”处，你会看到你购买的商品的订单描述。如：购买金额、商城名称、订购单号、商品描述等信息 中国银行SET电子钱包购物流程 第四步：点按“确定”按钮后，这时要求你输入你卡的PIN，密码输入完成后，点按“确定”按钮。 中国银行SET电子钱包购物流程 第五步：点按“确定”按钮后，屏幕返回交易状态。这时候，电子钱包软件开始与商家交换支付信息，并通过商家与银行支付网关交换支付信息。 总结 SET协议每一步骤都通过数字证书验证对方身份，保证持卡人和商家身份的合法性. 实现订单信息和个人帐号信息的分离，安全性很高。 协议复杂，数据处理时间较长，成本高 简答题 1.SET协议和SSL协议的主要区别是什么？ （1）SSL协议主要是在通信双方建立安全的通道，保证信息传递的安全，而SET协议主要指针对信用卡支付而开发的协议，实现较为复杂； （2）SET协议参与交易时，客户的订单信息和个人账号相隔离，商家只能看到订单而看不到账号信息，而SSL协议不能保证商家不阅读客户的账号信息； （3）SET协议参与交易时，商家和持卡人可以相互确定双方的身份，而SSL协议只有商家和银行对客户身份的认证，缺少客户对商家的认证； （4）SET协议要求软件遵循相同的协议和报文格式，是不同的软件与邮件融合得操作功能，并可以运行在不同的软件和操作平台上。 4. SET的含义是 ( ) A．安全电子支付协议 B．安全电子交易协议 C．安全电子邮件协议 D．安全套接层协议 5. 关于SET协议，以下说法不正确的是（ ） SET是“安全电子交易”的英文缩写 属于网络对话层标准协议 与SSL协议一起同时在被应用D.规定了交易各方进行交易结算时的具体流程和安全控制策略 6.为网站和银行之间通过互联网传输结算卡结算信息提供安全保证的协议是( ) A. DES B. SET C. SMTP D. Email 7．下列选项中不属于Internet攻击类型的是（ ） A．截断信息 B.伪造 C．纂改