電子商務(wù)安全技術(shù)及應(yīng)用

1、電子商務(wù)安全技術(shù)授課教師：張靜 電子商務(wù)的基本概念電子商務(wù)的基本概念 電子商務(wù)的形態(tài)電子商務(wù)的形態(tài) 電子商務(wù)的安全任務(wù)電子商務(wù)的安全任務(wù) 安全電子交易協(xié)議安全電子交易協(xié)議SET 電子商務(wù)的基本概念電子商務(wù)的基本概念 電子商務(wù)的形態(tài)電子商務(wù)的形態(tài) 電子商務(wù)的安全任務(wù)電子商務(wù)的安全任務(wù) 安全電子交易協(xié)議安全電子交易協(xié)議SET電子商務(wù)的基本概念 電子商務(wù)的概念主要由兩部分構(gòu)成，一是電子，電子商務(wù)的概念主要由兩部分構(gòu)成，一是電子，二是商務(wù)。先說電子，電子就是指通過計(jì)算機(jī)和二是商務(wù)。先說電子，電子就是指通過計(jì)算機(jī)和網(wǎng)絡(luò)手段所完成的信息傳輸與處理過程。網(wǎng)絡(luò)手段所完成的信息傳輸與處理過程。 商務(wù)主要是指企業(yè)

2、的經(jīng)營活動(dòng)（當(dāng)然也包括參與商務(wù)主要是指企業(yè)的經(jīng)營活動(dòng)（當(dāng)然也包括參與企業(yè)經(jīng)營活動(dòng)的個(gè)人消費(fèi)者的活動(dòng)）。企業(yè)的經(jīng)企業(yè)經(jīng)營活動(dòng)的個(gè)人消費(fèi)者的活動(dòng)）。企業(yè)的經(jīng)營活動(dòng)范圍很廣，具體講有供應(yīng)（采購）、生產(chǎn)、營活動(dòng)范圍很廣，具體講有供應(yīng)（采購）、生產(chǎn)、營銷、財(cái)務(wù)、人事（人力資源）、信息采集與傳營銷、財(cái)務(wù)、人事（人力資源）、信息采集與傳遞、廣告宣傳。此外還有企業(yè)的并購以及證券活遞、廣告宣傳。此外還有企業(yè)的并購以及證券活動(dòng)。動(dòng)。電子商務(wù)的基本概念 凡是凡是透過網(wǎng)際網(wǎng)路透過網(wǎng)際網(wǎng)路所完成的所完成的商業(yè)活動(dòng)商業(yè)活動(dòng)皆可皆可視為電子商務(wù)。視為電子商務(wù)。 電子商務(wù)電子商務(wù)是藉由是藉由通訊網(wǎng)絡(luò)所進(jìn)行通訊網(wǎng)絡(luò)所進(jìn)行的的企

3、業(yè)咨企業(yè)咨詢詢分享、分享、企業(yè)關(guān)系維持企業(yè)關(guān)系維持、以及、以及企業(yè)交易企業(yè)交易的的執(zhí)行。執(zhí)行。財(cái)務(wù)人事原原物料物料電子商務(wù)的基本概念企業(yè)企業(yè)、公司、公司研發(fā)創(chuàng)新生產(chǎn)制造行銷品管市市場場、客戶客戶服務(wù)服務(wù)產(chǎn)品產(chǎn)品業(yè)務(wù)供應(yīng)商供應(yīng)商企業(yè)內(nèi)部、企業(yè)與企業(yè)之間企業(yè)內(nèi)部、企業(yè)與企業(yè)之間企業(yè)與供應(yīng)商企業(yè)與供應(yīng)商企業(yè)與客戶企業(yè)與客戶網(wǎng)際網(wǎng)際網(wǎng)路網(wǎng)路 電子商務(wù)的基本概念電子商務(wù)的基本概念 電子商務(wù)的形態(tài)電子商務(wù)的形態(tài) 電子商務(wù)的安全任務(wù)電子商務(wù)的安全任務(wù) 安全電子交易協(xié)議安全電子交易協(xié)議SET電子商務(wù)的形態(tài) 企業(yè)對(duì)顧客企業(yè)對(duì)顧客B to C 企業(yè)對(duì)企業(yè)企業(yè)對(duì)企業(yè)B to B 電子交易市集電子交易市集 C2C B

4、2B 企業(yè)內(nèi)部應(yīng)用企業(yè)內(nèi)部應(yīng)用B to C網(wǎng)站實(shí)例B to C網(wǎng)站實(shí)例B to C網(wǎng)站實(shí)例B to B網(wǎng)站實(shí)例B to B網(wǎng)站實(shí)例C to C 網(wǎng)站實(shí)例網(wǎng)站實(shí)例C to C網(wǎng)站實(shí)例 電子商務(wù)的基本概念電子商務(wù)的基本概念 電子商務(wù)的形態(tài)電子商務(wù)的形態(tài) 電子商務(wù)的安全任務(wù)電子商務(wù)的安全任務(wù) 安全電子交易協(xié)議安全電子交易協(xié)議SET監(jiān)聽篡改攔截?cái)r截假冒假冒電子商務(wù)安全任務(wù) 身份認(rèn)證（持卡者、商家、銀行） 有效性 機(jī)密性 完整性 抗抵賴 電子商務(wù)的基本概念電子商務(wù)的基本概念 電子商務(wù)的形態(tài)電子商務(wù)的形態(tài) 電子商務(wù)的安全任務(wù)電子商務(wù)的安全任務(wù) 安全電子交易協(xié)議安全電子交易協(xié)議SET電子安全交易協(xié)議B TO

5、 C支付交易過程支付交易過程電子交易中的安全需求電子交易中的安全需求SET的關(guān)鍵技術(shù)的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用的目標(biāo)、角色和安全保障作用電子安全交易協(xié)議B TO C支付交易過程支付交易過程電子交易中的安全需求電子交易中的安全需求SET的關(guān)鍵技術(shù)的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用的目標(biāo)、角色和安全保障作用安全電子交易協(xié)議SET 電子交易中的安全支付問題電子交易中的安全支付問題 1. 電子商務(wù)中的電子商務(wù)中的B to C交易過程交易過程 交易指雙方買賣雙方之間進(jìn)行商品買賣的行為。交易指雙方買賣雙方之間進(jìn)行商品買賣的行為。廣義的交易是一個(gè)復(fù)雜的過程。在電子商務(wù)中，廣義的交易是

6、一個(gè)復(fù)雜的過程。在電子商務(wù)中，由于參與方不同等原因，會(huì)形成不同的交易過程，由于參與方不同等原因，會(huì)形成不同的交易過程，如如B to B（Business to Business，企業(yè)間電子，企業(yè)間電子商務(wù)，也縮寫作商務(wù)，也縮寫作B2B）的交易過程、）的交易過程、B to C（Business to Consumer，企業(yè)對(duì)消費(fèi)者的電，企業(yè)對(duì)消費(fèi)者的電子商務(wù)）的交易過程等。子商務(wù)）的交易過程等。 下面主要介紹下面主要介紹B to C的交易過程的交易過程 在在B to C的交易過程中，主要角色有：的交易過程中，主要角色有： 商家（商家（Merchant）：商品或服務(wù)的提供者。）：商品或服務(wù)的提供者

7、。 銀行（銀行（Acquirer）：為在線交易者開設(shè)賬號(hào)，并處理支付）：為在線交易者開設(shè)賬號(hào)，并處理支付卡的認(rèn)證和支付業(yè)務(wù)?？ǖ恼J(rèn)證和支付業(yè)務(wù)。 支付網(wǎng)關(guān)（支付網(wǎng)關(guān)（Payment gateway）：將）：將Internet上的傳輸數(shù)上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)據(jù)。據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)據(jù)。 持卡者（持卡者（Cardholder）：消費(fèi)者，可以使用付款卡結(jié)算。）：消費(fèi)者，可以使用付款卡結(jié)算。 發(fā)卡機(jī)構(gòu)（發(fā)卡機(jī)構(gòu)（Issuer）：為每一個(gè)建立了賬戶的客戶頒發(fā)付）：為每一個(gè)建立了賬戶的客戶頒發(fā)付款卡，也可以由指派的第三方處理商家支付信息和客戶支款卡，也可以由指派的第三方處理商家支付信息和客戶支

8、付命令。付命令。 B to C的基本交易過程 消費(fèi)者上網(wǎng)，查看企業(yè)和商家網(wǎng)消費(fèi)者上網(wǎng)，查看企業(yè)和商家網(wǎng)頁，選擇商品；消費(fèi)者通過對(duì)話頁，選擇商品；消費(fèi)者通過對(duì)話框填寫訂貨單（姓名、地址、品框填寫訂貨單（姓名、地址、品種、規(guī)格、數(shù)量、價(jià)格）給商家。種、規(guī)格、數(shù)量、價(jià)格）給商家。 商家核對(duì)消費(fèi)者訂貨單商家核對(duì)消費(fèi)者訂貨單后，向用戶發(fā)出付款通后，向用戶發(fā)出付款通知，同時(shí)向銀行發(fā)出轉(zhuǎn)知，同時(shí)向銀行發(fā)出轉(zhuǎn)賬請(qǐng)求。賬請(qǐng)求。 消費(fèi)者選擇支付方式，消費(fèi)者選擇支付方式，如向發(fā)卡機(jī)構(gòu)提交付如向發(fā)卡機(jī)構(gòu)提交付款卡?？羁?。 發(fā)卡機(jī)構(gòu)驗(yàn)證消費(fèi)者付款發(fā)卡機(jī)構(gòu)驗(yàn)證消費(fèi)者付款卡后，將卡號(hào)加密傳向銀卡后，將卡號(hào)加密傳向銀行（支付

9、網(wǎng)關(guān)）。銀行審行（支付網(wǎng)關(guān)）。銀行審查消費(fèi)者付款卡（有效、查消費(fèi)者付款卡（有效、款夠等）合格后，進(jìn)行轉(zhuǎn)款夠等）合格后，進(jìn)行轉(zhuǎn)賬。賬。 轉(zhuǎn)賬成功，向商轉(zhuǎn)賬成功，向商家發(fā)出和發(fā)卡機(jī)家發(fā)出和發(fā)卡機(jī)構(gòu)出轉(zhuǎn)賬成功回構(gòu)出轉(zhuǎn)賬成功回執(zhí)。執(zhí)。 發(fā)卡機(jī)構(gòu)向發(fā)卡機(jī)構(gòu)向消費(fèi)者發(fā)出消費(fèi)者發(fā)出支付收據(jù)。支付收據(jù)。 商家向消商家向消費(fèi)者付貨。費(fèi)者付貨。電子安全交易協(xié)議B TO C支付交易過程支付交易過程電子交易中的安全需求電子交易中的安全需求SET的關(guān)鍵技術(shù)的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用的目標(biāo)、角色和安全保障作用 支付是交易的重要環(huán)節(jié)。由于電子支付的虛擬性，它的安全倍受人們關(guān)注，也是電子商務(wù)安全的最重要和最困

10、難環(huán)節(jié)。 電子支付的問題表現(xiàn)在支付的每一個(gè)方面和每一個(gè)步驟中。歸納起來，主要表現(xiàn)為有如下一些安全需求： 確定交易過程中交易伙伴的真實(shí)性。確定交易過程中交易伙伴的真實(shí)性。 保證電子單據(jù)的隱秘性，防范被無關(guān)者竊取。保證電子單據(jù)的隱秘性，防范被無關(guān)者竊取。 保證業(yè)務(wù)單據(jù)不丟失，即使丟失也可察覺。保證業(yè)務(wù)單據(jù)不丟失，即使丟失也可察覺。 驗(yàn)證電子單據(jù)內(nèi)容的完整性。驗(yàn)證電子單據(jù)內(nèi)容的完整性。 驗(yàn)證電子單據(jù)內(nèi)容的真實(shí)性。驗(yàn)證電子單據(jù)內(nèi)容的真實(shí)性。 具有防抵賴性和可仲裁性。具有防抵賴性和可仲裁性。 保證存儲(chǔ)的交易信息的安全性。保證存儲(chǔ)的交易信息的安全性。電子安全交易協(xié)議B TO C支付交易過程支付交易過程電子

11、交易中的安全需求電子交易中的安全需求SET的關(guān)鍵技術(shù)的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用的目標(biāo)、角色和安全保障作用SET的目標(biāo)、角色和安全保障作用 SET（Secure Electric Transaction，安全電子交換）協(xié)議是一種利用加密技術(shù)安全電子交換）協(xié)議是一種利用加密技術(shù)（Cryptography），以確保信用卡消費(fèi)者、），以確保信用卡消費(fèi)者、銷售上及金融機(jī)構(gòu)在銷售上及金融機(jī)構(gòu)在Internet上從事電子交上從事電子交易的安全性和隱私性的協(xié)議。它是由兩大易的安全性和隱私性的協(xié)議。它是由兩大信用卡公司信用卡公司VISA和和Master在在GTE、IBM、Microsoft、Ne

12、tscape、SAIC、Terisa System、Verisign等著名等著名IT公司的公司的支持下開發(fā)的。于支持下開發(fā)的。于1996年年2月月1日正式發(fā)表。日正式發(fā)表。SET的目標(biāo) 1. SET的主要目標(biāo)是：的主要目標(biāo)是： （1）保證數(shù)據(jù)在）保證數(shù)據(jù)在Internet上安全傳輸，不被竊取。上安全傳輸，不被竊取。 （2）訂單信息與賬號(hào)信息隔離，如把包含消費(fèi)者）訂單信息與賬號(hào)信息隔離，如把包含消費(fèi)者賬號(hào)信息的訂單送給商家時(shí)，商家應(yīng)看不到消費(fèi)賬號(hào)信息的訂單送給商家時(shí)，商家應(yīng)看不到消費(fèi)者賬號(hào)信息。者賬號(hào)信息。 （3）消費(fèi)與商家可以互相認(rèn)證（一般由第三方提）消費(fèi)與商家可以互相認(rèn)證（一般由第三方提供信

13、用擔(dān)保），確定通信雙方身份。供信用擔(dān)保），確定通信雙方身份。 （4）采用統(tǒng)一的協(xié)議和數(shù)據(jù)格式，使不同廠家開）采用統(tǒng)一的協(xié)議和數(shù)據(jù)格式，使不同廠家開發(fā)的軟件具有兼容性和互操作性，并可以運(yùn)行在發(fā)的軟件具有兼容性和互操作性，并可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。不同的硬件和操作系統(tǒng)平臺(tái)上。SET的參與角色 一個(gè)一個(gè)SET交易過程可能會(huì)涉及如下交易過程可能會(huì)涉及如下6種角色：種角色： （1）消費(fèi)者，即持卡人，必須持有）消費(fèi)者，即持卡人，必須持有 發(fā)卡機(jī)構(gòu)支付卡賬號(hào)；發(fā)卡機(jī)構(gòu)支付卡賬號(hào)； 認(rèn)證機(jī)構(gòu)頒發(fā)的身份證書；認(rèn)證機(jī)構(gòu)頒發(fā)的身份證書； 上網(wǎng)條件。上網(wǎng)條件。 （2）商家，即經(jīng)營者，必須持有：）商家，即

14、經(jīng)營者，必須持有： 網(wǎng)上經(jīng)營許可權(quán)；網(wǎng)上經(jīng)營許可權(quán)； 經(jīng)過銀行委托授權(quán)機(jī)構(gòu)（認(rèn)證中心、經(jīng)過銀行委托授權(quán)機(jī)構(gòu)（認(rèn)證中心、CA）頒發(fā)的）頒發(fā)的數(shù)字證書；數(shù)字證書； 相應(yīng)的電子商務(wù)平臺(tái)：處理消費(fèi)者申請(qǐng)、與支付相應(yīng)的電子商務(wù)平臺(tái)：處理消費(fèi)者申請(qǐng)、與支付網(wǎng)關(guān)通信、存儲(chǔ)自身公鑰簽名、存儲(chǔ)自己的公鑰網(wǎng)關(guān)通信、存儲(chǔ)自身公鑰簽名、存儲(chǔ)自己的公鑰交換私鑰、存儲(chǔ)交易參與方的公鑰交換私鑰、申交換私鑰、存儲(chǔ)交易參與方的公鑰交換私鑰、申請(qǐng)和接受認(rèn)證、與后臺(tái)數(shù)據(jù)庫通信等。請(qǐng)和接受認(rèn)證、與后臺(tái)數(shù)據(jù)庫通信等。 （3）銀行：給在線交易參與者建立賬號(hào)，處理轉(zhuǎn)）銀行：給在線交易參與者建立賬號(hào)，處理轉(zhuǎn)賬業(yè)務(wù)。賬業(yè)務(wù)。 （4）發(fā)卡機(jī)構(gòu)：

15、金融機(jī)構(gòu)，為建立了賬號(hào)的消費(fèi)）發(fā)卡機(jī)構(gòu)：金融機(jī)構(gòu)，為建立了賬號(hào)的消費(fèi)者發(fā)卡。者發(fā)卡。 （5）支付網(wǎng)關(guān)，實(shí)際上是一臺(tái)可以處理）支付網(wǎng)關(guān)，實(shí)際上是一臺(tái)可以處理SET協(xié)議數(shù)據(jù)的計(jì)算機(jī)，可在協(xié)議數(shù)據(jù)的計(jì)算機(jī)，可在SET協(xié)議和協(xié)議和銀行交易系統(tǒng)之間進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換，實(shí)銀行交易系統(tǒng)之間進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換，實(shí)現(xiàn)傳統(tǒng)銀行網(wǎng)上支付功能的延伸?，F(xiàn)傳統(tǒng)銀行網(wǎng)上支付功能的延伸。 支付網(wǎng)關(guān)有如下服務(wù)：支付網(wǎng)關(guān)有如下服務(wù)： 確定商家和消費(fèi)者身份；確定商家和消費(fèi)者身份； 解密持卡人的支付指令；解密持卡人的支付指令； 簽署數(shù)字響應(yīng)。簽署數(shù)字響應(yīng)。支付網(wǎng)關(guān)必須具有：支付網(wǎng)關(guān)必須具有： 銀行授權(quán)；銀行授權(quán)； CA頒發(fā)的數(shù)字證書。頒

16、發(fā)的數(shù)字證書。 （6）認(rèn)證機(jī)構(gòu)，是參與交易各方都信任的）認(rèn)證機(jī)構(gòu)，是參與交易各方都信任的第三方，可以接受發(fā)卡行和收單行的委托，第三方，可以接受發(fā)卡行和收單行的委托，對(duì)持卡人、商家和支付網(wǎng)關(guān)完成數(shù)字證書對(duì)持卡人、商家和支付網(wǎng)關(guān)完成數(shù)字證書的發(fā)放。的發(fā)放。 3. SET的安全保障作用的安全保障作用 （1）基于持卡人的安全保障）基于持卡人的安全保障 對(duì)賬號(hào)數(shù)據(jù)保密；對(duì)賬號(hào)數(shù)據(jù)保密； 對(duì)交易數(shù)據(jù)保密；對(duì)交易數(shù)據(jù)保密； 持卡人對(duì)商家的認(rèn)證。持卡人對(duì)商家的認(rèn)證。 （2）基于商家的安全保障）基于商家的安全保障 對(duì)交易數(shù)據(jù)完整性的認(rèn)證；對(duì)交易數(shù)據(jù)完整性的認(rèn)證； 對(duì)持卡人賬戶數(shù)據(jù)的認(rèn)證；對(duì)持卡人賬戶數(shù)據(jù)的認(rèn)證；

17、 對(duì)持卡人的認(rèn)證；對(duì)持卡人的認(rèn)證； 對(duì)銀行端的認(rèn)證；對(duì)銀行端的認(rèn)證； 對(duì)交易數(shù)據(jù)保密；對(duì)交易數(shù)據(jù)保密； 提供交易數(shù)據(jù)的佐證。提供交易數(shù)據(jù)的佐證。 （3）基于銀行（支付網(wǎng)關(guān)）的安全保障）基于銀行（支付網(wǎng)關(guān)）的安全保障 對(duì)消費(fèi)者賬號(hào)數(shù)據(jù)的認(rèn)證；對(duì)消費(fèi)者賬號(hào)數(shù)據(jù)的認(rèn)證； 對(duì)交易數(shù)據(jù)的間接認(rèn)證；對(duì)交易數(shù)據(jù)的間接認(rèn)證； 對(duì)交易數(shù)據(jù)完整性的認(rèn)證；對(duì)交易數(shù)據(jù)完整性的認(rèn)證； 提供交易數(shù)據(jù)的佐證。提供交易數(shù)據(jù)的佐證。電子安全交易協(xié)議B TO C支付交易過程支付交易過程電子交易中的安全需求電子交易中的安全需求SET的關(guān)鍵技術(shù)的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用的目標(biāo)、角色和安全保障作用SET關(guān)鍵技術(shù) 1.

18、雙重簽名雙重簽名 SET有一個(gè)基本性能：不需要讓某個(gè)角色有一個(gè)基本性能：不需要讓某個(gè)角色知道的其他角色的機(jī)密。知道的其他角色的機(jī)密。 例如：例如： 只與持卡人和商家之間的交易有關(guān)的機(jī)密只與持卡人和商家之間的交易有關(guān)的機(jī)密數(shù)據(jù)，不必要，也不可以讓銀行知道。數(shù)據(jù)，不必要，也不可以讓銀行知道。 持卡者的賬戶數(shù)據(jù)也是持卡者的個(gè)人秘密持卡者的賬戶數(shù)據(jù)也是持卡者的個(gè)人秘密數(shù)據(jù)，不必要，也不可以讓廠商知道。數(shù)據(jù)，不必要，也不可以讓廠商知道。 但是，在不知道他人機(jī)密的情況下，還但是，在不知道他人機(jī)密的情況下，還要對(duì)其數(shù)據(jù)的正確性進(jìn)行認(rèn)證。例如，在要對(duì)其數(shù)據(jù)的正確性進(jìn)行認(rèn)證。例如，在商家不知道持卡者賬戶數(shù)據(jù)，銀

19、行也不知商家不知道持卡者賬戶數(shù)據(jù)，銀行也不知道持卡者與商家之間的交易數(shù)據(jù)的情況下，道持卡者與商家之間的交易數(shù)據(jù)的情況下，讓商家和銀行都可以確定這些數(shù)據(jù)確實(shí)由讓商家和銀行都可以確定這些數(shù)據(jù)確實(shí)由持卡者產(chǎn)生、送出的，還可以間接、直接持卡者產(chǎn)生、送出的，還可以間接、直接地對(duì)這些數(shù)據(jù)進(jìn)行認(rèn)證。地對(duì)這些數(shù)據(jù)進(jìn)行認(rèn)證。 這一性能，在這一性能，在SET中使用雙重簽名（中使用雙重簽名（Dual Signature）技巧解決。）技巧解決。 下面介紹用雙重簽名實(shí)現(xiàn)這一性能的過程。下面介紹用雙重簽名實(shí)現(xiàn)這一性能的過程。 持卡者（持卡者（C）產(chǎn)生兩個(gè)簽名：）產(chǎn)生兩個(gè)簽名： CSig(H( H (OI), H ( PI )：持卡者對(duì)交易：持卡者對(duì)交易數(shù)據(jù)（數(shù)據(jù)（OI）和賬戶數(shù)據(jù)（）和賬戶數(shù)據(jù)（PI）的簽名。）的簽名。 CSig ( H (OI )：持卡者對(duì)交易數(shù)據(jù)（：持卡者對(duì)交易數(shù)據(jù)（OI）的簽名。的簽名。 將兩個(gè)簽名、賬戶數(shù)據(jù)雜湊值將兩個(gè)簽名、賬戶數(shù)據(jù)雜湊值H（PI）和交）和交易數(shù)據(jù)（易數(shù)據(jù)（OI）都傳送給商家。）都傳送給商家。 商家（商家（M）操作：）操作： 驗(yàn)證驗(yàn)證CSig(H ( H (OI), H