第7章电子商务安全协议.pptx

第七章 电子商务安全协议 ;第七章 安全电子交易协议SET ;电子商务安全协议是保证网上交易的机密性、信息完整性、身份合法性和不可否认性的基础 完成信息安全交换共同约定的逻辑操作规则。 包括：安全电子交易协议SET、安全套阶层协议SSL、安全超文本传输协议S-HTTP、电子数据交换EDI和IP安全协议IPsec;7.2 安全电子交易协议;SET协议使用加密技术提供信息的机密性，保证支付的完整性，验证商家和持卡者。 SET是一种网络银行卡付款机制。是基于可信第三方认证中心的方案。 支付安全的目标是： 保证信息机交易过程安全。 支持应用的互操作性。 实现可推广性。;在SET协议中主要定义了以下内容。 (1)加密算法的应用(如RSA和DES)。 (2)证书消息和对象格式。 (3)购买消息和对象格式。 (4)请款消息和对象格式。 (5)参与者之间的消息协议。 ;7.2 安全电子交易协议;;7.2.2 SET交易的参与者 电子交易处理开始于持卡者。 (1)持卡者(Cardholder)。在电子商务环境中，消费者和团体购买者通过计算机与商家进行交互，持卡者使用一个发卡行发行的支付卡。 (2)发卡行(Issuer)。一个发卡行是一个金融机构，为持卡者建立一个账户并发行支付卡，一个发卡行保证对经过授权的交易进行付款。 (3)商家(Merchant)。商家提供商品和服务，在SET中，商家与持卡者可以进行安全电子交易，一个商家必须与相关的收单行达成协议，保证可以接收支付卡付款。 ;(4)收单行(Acquirer)。一个收单行是一个金融机构，为商家建立一个账户并处理支付卡授权和支付。 (5)支付网关(Payment Gateway)。一个支付网关是一个由收单行操作的设备，或者是指定的第三方，用于处理支付卡授权和支付。 (6)认证中心(CA)。负责发放和管理数字证书的权威机构。采用多层分级结构，负责发放和撤销持卡人、商家和支付网关的证书。 (7)第三方(Third Parties)。发卡行和收单行有时指定第三方来处理支付卡交易，在SET协议中没有区分金融机构和交易处理者，认为是一家。 ;7.2 安全电子交易协议;7.2.3 SET协议的相关技术 在SET中所涉及到的技术主要有加密技术和身份认证技术，其中加密技术是核心，包括： （1）对称加密技术 （2）非对称加密技术 （7）消息摘要技术 （4）数字签名 （5）数字信封 （6）双重数字签名 （7）数字证书;7.2 安全电子交易协议;对于一些信息的流动必须要做到端对端加密。但有些信息端对端加密还不够，如银行卡中与资金有关的数据，持卡人就不想让商户看到；而购物有关的数据，商户又不想让收单银行看到，但端对端加密办法就做不到这一点。 一个完整的购买交易所需的信息包括： 交易开始(PInit Req/PInit Res) 购买指令(PReq／PRes) 授权请求(AuthReq／AuthRes) 支付指令(Cap Req／CapRes) 持卡人查询(InqReq／lnq Res);持卡人;PI Data …. …;双重数字签名-生成;双重数字签名-生成;双重数字签名—B验证;双重数字签名—C验证;消费者（持卡人）;7.2.4 SET的交易流程 采用SET的电子商务交易分为3个阶段： （1）信用卡持有者与商家协商交易商品列表及所采用的支付方式。 （2）信用卡持有者发送支付货款指令，商家与银行核实付款。 （3）商家向银行出示所有交易细节，银行以适当的方式向商家转移货款。;7.2.4 SET交易流程;7.3 安全套接层协议;SSL标准的关键是要解决以下几个问题。 (1)客户对服务器的身份确认： SSL服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心(CA)的证书，来确认服务器的合法性(检验服务器的证书和ID的合法性)。对于用户服务器身份的确认与否是非常重要的，因为客户可能向服务器发送自己的信用卡密码。;(2)服务器对客户的身份确认： 允许SSL服务器确认客户的身份，SSL协议允许客户服务器的软件通过公钥技术和可信赖的证书，来确认客户的身份(客户的证书client’s certificate)。对于服务器客户身份的确认与否是非常重要的，因为网上银行可能要向客户发送机密的金融信息。 (3)建立起服务器和客户之间安全的数据通道： SSL要求客户和服务器之间的所有的发送数据都被发送端加密，所有的接收数据都被接收端解密，这样才能提供一个高水平的安全保证。同时SSL协议会在传输过程中检查数据是否被中途修改。 ;SSL协议的工作流程：服务器认证阶段： 1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接； 2）服务器根据客户的信息确定是否需要生成新的主密钥