電子商務(wù)安全技術(shù)及應(yīng)用課件

電子商務(wù)安全技術(shù)授課教師：張靜電子商務(wù)安全技術(shù)授課教師：張靜1電子商務(wù)的基本概念電子商務(wù)的形態(tài)電子商務(wù)的安全任務(wù)安全電子交易協(xié)議SET電子商務(wù)的基本概念2電子商務(wù)的基本概念電子商務(wù)的形態(tài)電子商務(wù)的安全任務(wù)安全電子交易協(xié)議SET電子商務(wù)的基本概念3電子商務(wù)的基本概念電子商務(wù)的概念主要由兩部分構(gòu)成，一是電子，二是商務(wù)。先說(shuō)電子，電子就是指通過(guò)計(jì)算機(jī)和網(wǎng)絡(luò)手段所完成的信息傳輸與處理過(guò)程。商務(wù)主要是指企業(yè)的經(jīng)營(yíng)活動(dòng)（當(dāng)然也包括參與企業(yè)經(jīng)營(yíng)活動(dòng)的個(gè)人消費(fèi)者的活動(dòng)）。企業(yè)的經(jīng)營(yíng)活動(dòng)范圍很廣，具體講有供應(yīng)（采購(gòu)）、生產(chǎn)、營(yíng)銷、財(cái)務(wù)、人事（人力資源）、信息采集與傳遞、廣告宣傳。此外還有企業(yè)的并購(gòu)以及證券活動(dòng)。電子商務(wù)的基本概念電子商務(wù)的概念主要由兩部分構(gòu)成，一是電子，4電子商務(wù)的基本概念凡是透過(guò)網(wǎng)際網(wǎng)路所完成的商業(yè)活動(dòng)皆可視為電子商務(wù)。電子商務(wù)是藉由通訊網(wǎng)絡(luò)所進(jìn)行的企業(yè)咨詢分享、企業(yè)關(guān)系維持、以及企業(yè)交易的執(zhí)行。電子商務(wù)的基本概念凡是透過(guò)網(wǎng)際網(wǎng)路所完成的商業(yè)活動(dòng)皆可視為電5財(cái)務(wù)

人事

原物料電子商務(wù)的基本概念企業(yè)、公司研發(fā)創(chuàng)新生產(chǎn)制造行銷品管市場(chǎng)、客戶服務(wù)產(chǎn)品業(yè)務(wù)供應(yīng)商企業(yè)內(nèi)部、企業(yè)與企業(yè)之間企業(yè)與供應(yīng)商企業(yè)與客戶網(wǎng)際網(wǎng)路財(cái)務(wù)人事電子商務(wù)的基本概念企業(yè)、公司研發(fā)創(chuàng)新生產(chǎn)6電子商務(wù)的基本概念電子商務(wù)的形態(tài)電子商務(wù)的安全任務(wù)安全電子交易協(xié)議SET電子商務(wù)的基本概念7電子商務(wù)的形態(tài)企業(yè)對(duì)顧客BtoC企業(yè)對(duì)企業(yè)BtoB電子交易市集C2CB2B企業(yè)內(nèi)部應(yīng)用電子商務(wù)的形態(tài)企業(yè)對(duì)顧客BtoC8BtoC網(wǎng)站實(shí)例BtoC網(wǎng)站實(shí)例9BtoC網(wǎng)站實(shí)例BtoC網(wǎng)站實(shí)例10BtoC網(wǎng)站實(shí)例BtoC網(wǎng)站實(shí)例11BtoB網(wǎng)站實(shí)例BtoB網(wǎng)站實(shí)例12BtoB網(wǎng)站實(shí)例BtoB網(wǎng)站實(shí)例13CtoC網(wǎng)站實(shí)例CtoC網(wǎng)站實(shí)例14CtoC網(wǎng)站實(shí)例CtoC網(wǎng)站實(shí)例15電子商務(wù)的基本概念電子商務(wù)的形態(tài)電子商務(wù)的安全任務(wù)安全電子交易協(xié)議SET電子商務(wù)的基本概念16監(jiān)聽(tīng)篡改攔截假冒監(jiān)聽(tīng)篡改攔截假冒17電子商務(wù)安全任務(wù)身份認(rèn)證（持卡者、商家、銀行）有效性機(jī)密性完整性抗抵賴電子商務(wù)安全任務(wù)身份認(rèn)證（持卡者、商家、銀行）18電子商務(wù)的基本概念電子商務(wù)的形態(tài)電子商務(wù)的安全任務(wù)安全電子交易協(xié)議SET電子商務(wù)的基本概念19電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求SET的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求20電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求SET的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求21安全電子交易協(xié)議SET

電子交易中的安全支付問(wèn)題1.電子商務(wù)中的BtoC交易過(guò)程交易指雙方買賣雙方之間進(jìn)行商品買賣的行為。廣義的交易是一個(gè)復(fù)雜的過(guò)程。在電子商務(wù)中，由于參與方不同等原因，會(huì)形成不同的交易過(guò)程，如BtoB（BusinesstoBusiness，企業(yè)間電子商務(wù)，也縮寫(xiě)作B2B）的交易過(guò)程、BtoC（BusinesstoConsumer，企業(yè)對(duì)消費(fèi)者的電子商務(wù)）的交易過(guò)程等。

安全電子交易協(xié)議SET電子交易中的安全支付問(wèn)題22下面主要介紹BtoC的交易過(guò)程在BtoC的交易過(guò)程中，主要角色有：商家（Merchant）：商品或服務(wù)的提供者。銀行（Acquirer）：為在線交易者開(kāi)設(shè)賬號(hào)，并處理支付卡的認(rèn)證和支付業(yè)務(wù)。支付網(wǎng)關(guān)（Paymentgateway）：將Internet上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)據(jù)。持卡者（Cardholder）：消費(fèi)者，可以使用付款卡結(jié)算。發(fā)卡機(jī)構(gòu)（Issuer）：為每一個(gè)建立了賬戶的客戶頒發(fā)付款卡，也可以由指派的第三方處理商家支付信息和客戶支付命令。下面主要介紹BtoC的交易過(guò)程23BtoC的基本交易過(guò)程①消費(fèi)者上網(wǎng)，查看企業(yè)和商家網(wǎng)頁(yè)，選擇商品；消費(fèi)者通過(guò)對(duì)話框填寫(xiě)訂貨單（姓名、地址、品種、規(guī)格、數(shù)量、價(jià)格）給商家。②商家核對(duì)消費(fèi)者訂貨單后，向用戶發(fā)出付款通知，同時(shí)向銀行發(fā)出轉(zhuǎn)賬請(qǐng)求。③消費(fèi)者選擇支付方式，如向發(fā)卡機(jī)構(gòu)提交付款卡。④發(fā)卡機(jī)構(gòu)驗(yàn)證消費(fèi)者付款卡后，將卡號(hào)加密傳向銀行（支付網(wǎng)關(guān)）。銀行審查消費(fèi)者付款卡（有效、款夠等）合格后，進(jìn)行轉(zhuǎn)賬。⑤轉(zhuǎn)賬成功，向商家發(fā)出和發(fā)卡機(jī)構(gòu)出轉(zhuǎn)賬成功回執(zhí)。⑥發(fā)卡機(jī)構(gòu)向消費(fèi)者發(fā)出支付收據(jù)。

⑦商家向消費(fèi)者付貨。BtoC的基本交易過(guò)程①消費(fèi)者上網(wǎng)，查看企業(yè)和商家網(wǎng)24電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求SET的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求25

支付是交易的重要環(huán)節(jié)。由于電子支付的虛擬性，它的安全倍受人們關(guān)注，也是電子商務(wù)安全的最重要和最困難環(huán)節(jié)。電子支付的問(wèn)題表現(xiàn)在支付的每一個(gè)方面和每一個(gè)步驟中。歸納起來(lái)，主要表現(xiàn)為有如下一些安全需求：

26確定交易過(guò)程中交易伙伴的真實(shí)性。保證電子單據(jù)的隱秘性，防范被無(wú)關(guān)者竊取。保證業(yè)務(wù)單據(jù)不丟失，即使丟失也可察覺(jué)。驗(yàn)證電子單據(jù)內(nèi)容的完整性。驗(yàn)證電子單據(jù)內(nèi)容的真實(shí)性。具有防抵賴性和可仲裁性。保證存儲(chǔ)的交易信息的安全性。確定交易過(guò)程中交易伙伴的真實(shí)性。27電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求SET的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求28SET的目標(biāo)、角色和安全保障作用

SET（SecureElectricTransaction，安全電子交換）協(xié)議是一種利用加密技術(shù)（Cryptography），以確保信用卡消費(fèi)者、銷售上及金融機(jī)構(gòu)在Internet上從事電子交易的安全性和隱私性的協(xié)議。它是由兩大信用卡公司——VISA和Master在GTE、IBM、Microsoft\、Netscape、SAIC、TerisaSystem、Verisign等著名IT公司的支持下開(kāi)發(fā)的。于1996年2月1日正式發(fā)表。SET的目標(biāo)、角色和安全保障作用SET（S29SET的目標(biāo)1.SET的主要目標(biāo)是：（1）保證數(shù)據(jù)在Internet上安全傳輸，不被竊取。（2）訂單信息與賬號(hào)信息隔離，如把包含消費(fèi)者賬號(hào)信息的訂單送給商家時(shí)，商家應(yīng)看不到消費(fèi)者賬號(hào)信息。（3）消費(fèi)與商家可以互相認(rèn)證（一般由第三方提供信用擔(dān)保），確定通信雙方身份。（4）采用統(tǒng)一的協(xié)議和數(shù)據(jù)格式，使不同廠家開(kāi)發(fā)的軟件具有兼容性和互操作性，并可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。SET的目標(biāo)1.SET的主要目標(biāo)是：30SET的參與角色

一個(gè)SET交易過(guò)程可能會(huì)涉及如下6種角色：（1）消費(fèi)者，即持卡人，必須持有發(fā)卡機(jī)構(gòu)支付卡賬號(hào)；認(rèn)證機(jī)構(gòu)頒發(fā)的身份證書(shū)；上網(wǎng)條件。SET的參與角色一個(gè)SET交易過(guò)程可能會(huì)涉及如下6種角色：31（2）商家，即經(jīng)營(yíng)者，必須持有：網(wǎng)上經(jīng)營(yíng)許可權(quán)；經(jīng)過(guò)銀行委托授權(quán)機(jī)構(gòu)（認(rèn)證中心、CA）頒發(fā)的數(shù)字證書(shū)；相應(yīng)的電子商務(wù)平臺(tái)：處理消費(fèi)者申請(qǐng)、與支付網(wǎng)關(guān)通信、存儲(chǔ)自身公鑰簽名、存儲(chǔ)自己的公鑰交換私鑰、存儲(chǔ)交易參與方的公鑰交換私鑰、申請(qǐng)和接受認(rèn)證、與后臺(tái)數(shù)據(jù)庫(kù)通信等。（3）銀行：給在線交易參與者建立賬號(hào)，處理轉(zhuǎn)賬業(yè)務(wù)。（4）發(fā)卡機(jī)構(gòu)：金融機(jī)構(gòu)，為建立了賬號(hào)的消費(fèi)者發(fā)卡。（2）商家，即經(jīng)營(yíng)者，必須持有：32（5）支付網(wǎng)關(guān)，實(shí)際上是一臺(tái)可以處理SET協(xié)議數(shù)據(jù)的計(jì)算機(jī)，可在SET協(xié)議和銀行交易系統(tǒng)之間進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換，實(shí)現(xiàn)傳統(tǒng)銀行網(wǎng)上支付功能的延伸。支付網(wǎng)關(guān)有如下服務(wù)：確定商家和消費(fèi)者身份；解密持卡人的支付指令；簽署數(shù)字響應(yīng)。（5）支付網(wǎng)關(guān)，實(shí)際上是一臺(tái)可以處理SET協(xié)議數(shù)據(jù)的計(jì)算機(jī)33支付網(wǎng)關(guān)必須具有：銀行授權(quán)；CA頒發(fā)的數(shù)字證書(shū)。（6）認(rèn)證機(jī)構(gòu)，是參與交易各方都信任的第三方，可以接受發(fā)卡行和收單行的委托，對(duì)持卡人、商家和支付網(wǎng)關(guān)完成數(shù)字證書(shū)的發(fā)放。支付網(wǎng)關(guān)必須具有：343.SET的安全保障作用（1）基于持卡人的安全保障對(duì)賬號(hào)數(shù)據(jù)保密；對(duì)交易數(shù)據(jù)保密；持卡人對(duì)商家的認(rèn)證。

3.SET的安全保障作用35（2）基于商家的安全保障對(duì)交易數(shù)據(jù)完整性的認(rèn)證；對(duì)持卡人賬戶數(shù)據(jù)的認(rèn)證；對(duì)持卡人的認(rèn)證；對(duì)銀行端的認(rèn)證；對(duì)交易數(shù)據(jù)保密；提供交易數(shù)據(jù)的佐證。

（2）基于商家的安全保障36（3）基于銀行（支付網(wǎng)關(guān)）的安全保障對(duì)消費(fèi)者賬號(hào)數(shù)據(jù)的認(rèn)證；對(duì)交易數(shù)據(jù)的間接認(rèn)證；對(duì)交易數(shù)據(jù)完整性的認(rèn)證；提供交易數(shù)據(jù)的佐證。（3）基于銀行（支付網(wǎng)關(guān)）的安全保障37電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求SET的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求38SET關(guān)鍵技術(shù)1.雙重簽名SET有一個(gè)基本性能：不需要讓某個(gè)角色知道的其他角色的機(jī)密。例如：只與持卡人和商家之間的交易有關(guān)的機(jī)密數(shù)據(jù)，不必要，也不可以讓銀行知道。持卡者的賬戶數(shù)據(jù)也是持卡者的個(gè)人秘密數(shù)據(jù)，不必要，也不可以讓廠商知道。SET關(guān)鍵技術(shù)1.雙重簽名39

但是，在不知道他人機(jī)密的情況下，還要對(duì)其數(shù)據(jù)的正確性進(jìn)行認(rèn)證。例如，在商家不知道持卡者賬戶數(shù)據(jù)，銀行也不知道持卡者與商家之間的交易數(shù)據(jù)的情況下，讓商家和銀行都可以確定這些數(shù)據(jù)確實(shí)由持卡者產(chǎn)生、送出的，還可以間接、直接地對(duì)這些數(shù)據(jù)進(jìn)行認(rèn)證。這一性能，在SET中使用雙重簽名（DualSignature）技巧解決。但是，在不知道他人機(jī)密的情況下，還要對(duì)其數(shù)40下面介紹用雙重簽名實(shí)現(xiàn)這一性能的過(guò)程。①持卡者（C）產(chǎn)生兩個(gè)簽名：CSig(H(H(OI)),H(PI)))：持卡者對(duì)交易數(shù)據(jù)（OI）和賬戶數(shù)據(jù)（PI）的簽名。CSig(H(OI))：持卡者對(duì)交易數(shù)據(jù)（OI）的簽名。將兩個(gè)簽名、賬戶數(shù)據(jù)雜湊值H（PI）和交易數(shù)據(jù)（OI）都傳送給商家。

下面介紹用雙重簽名實(shí)現(xiàn)這一性能的過(guò)程。41②商家（M）操作：驗(yàn)證CSig(H(H(OI),H(PI)))、CSig(H(OI))和H（PI），確定是否持卡者的簽名。生成對(duì)交易數(shù)據(jù)的簽名MSig(H(OI))。將MSig(H(OI))、CSig(H(H(OI),H(PI)))一同送銀行（支付網(wǎng)關(guān)）。②商家（M）操作：42

③支付網(wǎng)關(guān)（P）操作：驗(yàn)證MSig(H(OI))，確定H(OI)為交易數(shù)據(jù)的雜湊值。用已知的PI，驗(yàn)證CSig(H(H(OI),H(PI)))的正確性，確認(rèn)交易數(shù)據(jù)和賬戶數(shù)據(jù)都是正確的。根據(jù)政策，確認(rèn)此筆交易是否成功。③支付網(wǎng)關(guān)（P）操作：43SET交易過(guò)程SET交易過(guò)程44SET認(rèn)證中心

為了使交易參加方有一個(gè)可信的第三方，建立了一個(gè)認(rèn)證中心CA來(lái)為消費(fèi)者、商家和銀行頒布數(shù)字證書(shū)，分配密鑰。SET認(rèn)證中心采用層次結(jié)構(gòu)。其最高層CA（既RootCA）的安全維系著整個(gè)SET協(xié)議的安全。為了防止RootCA遭破解，SET將其密鑰長(zhǎng)度定在2048，比一般用戶的密鑰長(zhǎng)度1024長(zhǎng)一倍。SET認(rèn)證中心為了使交易參加方有一個(gè)可信45作業(yè)：請(qǐng)?jiān)敿?xì)描述SET交易過(guò)程。作業(yè)：請(qǐng)?jiān)敿?xì)描述SET交易過(guò)程。46電子商務(wù)安全技術(shù)授課教師：張靜電子商務(wù)安全技術(shù)授課教師：張靜47電子商務(wù)的基本概念電子商務(wù)的形態(tài)電子商務(wù)的安全任務(wù)安全電子交易協(xié)議SET電子商務(wù)的基本概念48電子商務(wù)的基本概念電子商務(wù)的形態(tài)電子商務(wù)的安全任務(wù)安全電子交易協(xié)議SET電子商務(wù)的基本概念49電子商務(wù)的基本概念電子商務(wù)的概念主要由兩部分構(gòu)成，一是電子，二是商務(wù)。先說(shuō)電子，電子就是指通過(guò)計(jì)算機(jī)和網(wǎng)絡(luò)手段所完成的信息傳輸與處理過(guò)程。商務(wù)主要是指企業(yè)的經(jīng)營(yíng)活動(dòng)（當(dāng)然也包括參與企業(yè)經(jīng)營(yíng)活動(dòng)的個(gè)人消費(fèi)者的活動(dòng)）。企業(yè)的經(jīng)營(yíng)活動(dòng)范圍很廣，具體講有供應(yīng)（采購(gòu)）、生產(chǎn)、營(yíng)銷、財(cái)務(wù)、人事（人力資源）、信息采集與傳遞、廣告宣傳。此外還有企業(yè)的并購(gòu)以及證券活動(dòng)。電子商務(wù)的基本概念電子商務(wù)的概念主要由兩部分構(gòu)成，一是電子，50電子商務(wù)的基本概念凡是透過(guò)網(wǎng)際網(wǎng)路所完成的商業(yè)活動(dòng)皆可視為電子商務(wù)。電子商務(wù)是藉由通訊網(wǎng)絡(luò)所進(jìn)行的企業(yè)咨詢分享、企業(yè)關(guān)系維持、以及企業(yè)交易的執(zhí)行。電子商務(wù)的基本概念凡是透過(guò)網(wǎng)際網(wǎng)路所完成的商業(yè)活動(dòng)皆可視為電51財(cái)務(wù)

人事

原物料電子商務(wù)的基本概念企業(yè)、公司研發(fā)創(chuàng)新生產(chǎn)制造行銷品管市場(chǎng)、客戶服務(wù)產(chǎn)品業(yè)務(wù)供應(yīng)商企業(yè)內(nèi)部、企業(yè)與企業(yè)之間企業(yè)與供應(yīng)商企業(yè)與客戶網(wǎng)際網(wǎng)路財(cái)務(wù)人事電子商務(wù)的基本概念企業(yè)、公司研發(fā)創(chuàng)新生產(chǎn)52電子商務(wù)的基本概念電子商務(wù)的形態(tài)電子商務(wù)的安全任務(wù)安全電子交易協(xié)議SET電子商務(wù)的基本概念53電子商務(wù)的形態(tài)企業(yè)對(duì)顧客BtoC企業(yè)對(duì)企業(yè)BtoB電子交易市集C2CB2B企業(yè)內(nèi)部應(yīng)用電子商務(wù)的形態(tài)企業(yè)對(duì)顧客BtoC54BtoC網(wǎng)站實(shí)例BtoC網(wǎng)站實(shí)例55BtoC網(wǎng)站實(shí)例BtoC網(wǎng)站實(shí)例56BtoC網(wǎng)站實(shí)例BtoC網(wǎng)站實(shí)例57BtoB網(wǎng)站實(shí)例BtoB網(wǎng)站實(shí)例58BtoB網(wǎng)站實(shí)例BtoB網(wǎng)站實(shí)例59CtoC網(wǎng)站實(shí)例CtoC網(wǎng)站實(shí)例60CtoC網(wǎng)站實(shí)例CtoC網(wǎng)站實(shí)例61電子商務(wù)的基本概念電子商務(wù)的形態(tài)電子商務(wù)的安全任務(wù)安全電子交易協(xié)議SET電子商務(wù)的基本概念62監(jiān)聽(tīng)篡改攔截假冒監(jiān)聽(tīng)篡改攔截假冒63電子商務(wù)安全任務(wù)身份認(rèn)證（持卡者、商家、銀行）有效性機(jī)密性完整性抗抵賴電子商務(wù)安全任務(wù)身份認(rèn)證（持卡者、商家、銀行）64電子商務(wù)的基本概念電子商務(wù)的形態(tài)電子商務(wù)的安全任務(wù)安全電子交易協(xié)議SET電子商務(wù)的基本概念65電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求SET的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求66電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求SET的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求67安全電子交易協(xié)議SET

電子交易中的安全支付問(wèn)題1.電子商務(wù)中的BtoC交易過(guò)程交易指雙方買賣雙方之間進(jìn)行商品買賣的行為。廣義的交易是一個(gè)復(fù)雜的過(guò)程。在電子商務(wù)中，由于參與方不同等原因，會(huì)形成不同的交易過(guò)程，如BtoB（BusinesstoBusiness，企業(yè)間電子商務(wù)，也縮寫(xiě)作B2B）的交易過(guò)程、BtoC（BusinesstoConsumer，企業(yè)對(duì)消費(fèi)者的電子商務(wù)）的交易過(guò)程等。

安全電子交易協(xié)議SET電子交易中的安全支付問(wèn)題68下面主要介紹BtoC的交易過(guò)程在BtoC的交易過(guò)程中，主要角色有：商家（Merchant）：商品或服務(wù)的提供者。銀行（Acquirer）：為在線交易者開(kāi)設(shè)賬號(hào)，并處理支付卡的認(rèn)證和支付業(yè)務(wù)。支付網(wǎng)關(guān)（Paymentgateway）：將Internet上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)據(jù)。持卡者（Cardholder）：消費(fèi)者，可以使用付款卡結(jié)算。發(fā)卡機(jī)構(gòu)（Issuer）：為每一個(gè)建立了賬戶的客戶頒發(fā)付款卡，也可以由指派的第三方處理商家支付信息和客戶支付命令。下面主要介紹BtoC的交易過(guò)程69BtoC的基本交易過(guò)程①消費(fèi)者上網(wǎng)，查看企業(yè)和商家網(wǎng)頁(yè)，選擇商品；消費(fèi)者通過(guò)對(duì)話框填寫(xiě)訂貨單（姓名、地址、品種、規(guī)格、數(shù)量、價(jià)格）給商家。②商家核對(duì)消費(fèi)者訂貨單后，向用戶發(fā)出付款通知，同時(shí)向銀行發(fā)出轉(zhuǎn)賬請(qǐng)求。③消費(fèi)者選擇支付方式，如向發(fā)卡機(jī)構(gòu)提交付款卡。④發(fā)卡機(jī)構(gòu)驗(yàn)證消費(fèi)者付款卡后，將卡號(hào)加密傳向銀行（支付網(wǎng)關(guān)）。銀行審查消費(fèi)者付款卡（有效、款夠等）合格后，進(jìn)行轉(zhuǎn)賬。⑤轉(zhuǎn)賬成功，向商家發(fā)出和發(fā)卡機(jī)構(gòu)出轉(zhuǎn)賬成功回執(zhí)。⑥發(fā)卡機(jī)構(gòu)向消費(fèi)者發(fā)出支付收據(jù)。

⑦商家向消費(fèi)者付貨。BtoC的基本交易過(guò)程①消費(fèi)者上網(wǎng)，查看企業(yè)和商家網(wǎng)70電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求SET的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求71

支付是交易的重要環(huán)節(jié)。由于電子支付的虛擬性，它的安全倍受人們關(guān)注，也是電子商務(wù)安全的最重要和最困難環(huán)節(jié)。電子支付的問(wèn)題表現(xiàn)在支付的每一個(gè)方面和每一個(gè)步驟中。歸納起來(lái)，主要表現(xiàn)為有如下一些安全需求：

72確定交易過(guò)程中交易伙伴的真實(shí)性。保證電子單據(jù)的隱秘性，防范被無(wú)關(guān)者竊取。保證業(yè)務(wù)單據(jù)不丟失，即使丟失也可察覺(jué)。驗(yàn)證電子單據(jù)內(nèi)容的完整性。驗(yàn)證電子單據(jù)內(nèi)容的真實(shí)性。具有防抵賴性和可仲裁性。保證存儲(chǔ)的交易信息的安全性。確定交易過(guò)程中交易伙伴的真實(shí)性。73電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求SET的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求74SET的目標(biāo)、角色和安全保障作用

SET（SecureElectricTransaction，安全電子交換）協(xié)議是一種利用加密技術(shù)（Cryptography），以確保信用卡消費(fèi)者、銷售上及金融機(jī)構(gòu)在Internet上從事電子交易的安全性和隱私性的協(xié)議。它是由兩大信用卡公司——VISA和Master在GTE、IBM、Microsoft\、Netscape、SAIC、TerisaSystem、Verisign等著名IT公司的支持下開(kāi)發(fā)的。于1996年2月1日正式發(fā)表。SET的目標(biāo)、角色和安全保障作用SET（S75SET的目標(biāo)1.SET的主要目標(biāo)是：（1）保證數(shù)據(jù)在Internet上安全傳輸，不被竊取。（2）訂單信息與賬號(hào)信息隔離，如把包含消費(fèi)者賬號(hào)信息的訂單送給商家時(shí)，商家應(yīng)看不到消費(fèi)者賬號(hào)信息。（3）消費(fèi)與商家可以互相認(rèn)證（一般由第三方提供信用擔(dān)保），確定通信雙方身份。（4）采用統(tǒng)一的協(xié)議和數(shù)據(jù)格式，使不同廠家開(kāi)發(fā)的軟件具有兼容性和互操作性，并可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。SET的目標(biāo)1.SET的主要目標(biāo)是：76SET的參與角色

一個(gè)SET交易過(guò)程可能會(huì)涉及如下6種角色：（1）消費(fèi)者，即持卡人，必須持有發(fā)卡機(jī)構(gòu)支付卡賬號(hào)；認(rèn)證機(jī)構(gòu)頒發(fā)的身份證書(shū)；上網(wǎng)條件。SET的參與角色一個(gè)SET交易過(guò)程可能會(huì)涉及如下6種角色：77（2）商家，即經(jīng)營(yíng)者，必須持有：網(wǎng)上經(jīng)營(yíng)許可權(quán)；經(jīng)過(guò)銀行委托授權(quán)機(jī)構(gòu)（認(rèn)證中心、CA）頒發(fā)的數(shù)字證書(shū)；相應(yīng)的電子商務(wù)平臺(tái)：處理消費(fèi)者申請(qǐng)、與支付網(wǎng)關(guān)通信、存儲(chǔ)自身公鑰簽名、存儲(chǔ)自己的公鑰交換私鑰、存儲(chǔ)交易參與方的公鑰交換私鑰、申請(qǐng)和接受認(rèn)證、與后臺(tái)數(shù)據(jù)庫(kù)通信等。（3）銀行：給在線交易參與者建立賬號(hào)，處理轉(zhuǎn)賬業(yè)務(wù)。（4）發(fā)卡機(jī)構(gòu)：金融機(jī)構(gòu)，為建立了賬號(hào)的消費(fèi)者發(fā)卡。（2）商家，即經(jīng)營(yíng)者，必須持有：78（5）支付網(wǎng)關(guān)，實(shí)際上是一臺(tái)可以處理SET協(xié)議數(shù)據(jù)的計(jì)算機(jī)，可在SET協(xié)議和銀行交易系統(tǒng)之間進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換，實(shí)現(xiàn)傳統(tǒng)銀行網(wǎng)上支付功能的延伸。支付網(wǎng)關(guān)有如下服務(wù)：確定商家和消費(fèi)者身份；解密持卡人的支付指令；簽署數(shù)字響應(yīng)。（5）支付網(wǎng)關(guān)，實(shí)際上是一臺(tái)可以處理SET協(xié)議數(shù)據(jù)的計(jì)算機(jī)79支付網(wǎng)關(guān)必須具有：銀行授權(quán)；CA頒發(fā)的數(shù)字證書(shū)。（6）認(rèn)證機(jī)構(gòu)，是參與交易各方都信任的第三方，可以接受發(fā)卡行和收單行的委托，對(duì)持卡人、商家和支付網(wǎng)關(guān)完成數(shù)字證書(shū)的發(fā)放。支付網(wǎng)關(guān)必須具有：803.SET的安全保障作用（1）基于持卡人的安全保障對(duì)賬號(hào)數(shù)據(jù)保密；對(duì)交易數(shù)據(jù)保密；持卡人對(duì)商家的認(rèn)證。

3.SET的安全保障作用81（2）基于商家的安全保障對(duì)交易數(shù)據(jù)完整性的認(rèn)證；對(duì)持卡人賬戶數(shù)據(jù)的認(rèn)證；對(duì)持卡人的認(rèn)證；對(duì)銀行端的認(rèn)證；對(duì)交易數(shù)據(jù)保密；提供交易數(shù)據(jù)的佐證。

（2）基于商家的安全保障82（3）基于銀行（支付網(wǎng)關(guān)）的安全保障對(duì)消費(fèi)者賬號(hào)數(shù)據(jù)的認(rèn)證；對(duì)交易數(shù)據(jù)的間接認(rèn)證；對(duì)交易數(shù)據(jù)完整性的認(rèn)證；提供交易數(shù)據(jù)的佐證。（3）基于銀行（支付網(wǎng)關(guān)）的安全保障83電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求SET的關(guān)鍵技術(shù)SET的目標(biāo)、角色和安全保障作用電子安全交易協(xié)議BTOC支付交易過(guò)程電子交易中的安全需求84SET關(guān)鍵技術(shù)1.雙重簽名SET有一個(gè)基本性能：不需要讓某個(gè)角色知道的其他角色的機(jī)密。例如：只與持卡人和商家之間的交易有關(guān)的機(jī)密數(shù)據(jù)，不必要，也不可以讓銀行知道。持卡者的賬戶數(shù)據(jù)也是持卡者的個(gè)人秘密數(shù)據(jù)，不必要