電子商務(wù)支付與安全概述課件

電子商務(wù)支付與安全臧良運主編電子商務(wù)支付與安全臧良運主編1電子支付安全協(xié)議

技能精通，基礎(chǔ)先行，要成為高水平的電子商務(wù)人才，必須要精通電子支付與安全。模塊8電子支付安全協(xié)議技能精通，基礎(chǔ)先行，要成為高水平的電2學(xué)習(xí)目標(biāo)知識目標(biāo)：了解HTTP協(xié)議掌握SSL協(xié)議流程掌握SET協(xié)議流程了解其他電子支付協(xié)議能力目標(biāo)：掌握SSL協(xié)議的具體應(yīng)用掌握SET協(xié)議的具體應(yīng)用知道SSL協(xié)議與SET協(xié)議的優(yōu)缺點素質(zhì)目標(biāo)：培養(yǎng)時刻關(guān)注互聯(lián)網(wǎng)上的欺騙行為習(xí)慣培養(yǎng)并逐步具備管理、使用電子支付安全體系的能力養(yǎng)成嚴(yán)謹(jǐn)、規(guī)范的遵守安全協(xié)議的工作習(xí)慣學(xué)習(xí)目標(biāo)第1單元

安全協(xié)議概述情景案例張麗艷同學(xué)在淘寶網(wǎng)購買一本《電子商務(wù)支付與安全》的參考書，選擇好圖書并下了訂單后，利用支付寶，選擇中國郵政儲蓄銀行卡進行網(wǎng)上實時支付。張麗艷同學(xué)學(xué)習(xí)了模塊5《電子商務(wù)系統(tǒng)的安全》的內(nèi)容后，知道了網(wǎng)上交易安全面臨很多威脅，她擔(dān)心銀行卡資料會不會被支付平臺、賣家看到？會不會被黑客通過技術(shù)手段盜?。侩娮由虅?wù)網(wǎng)站如何保證數(shù)據(jù)傳輸?shù)臋C密性、完整性和支付的安全性呢？第1單元

安全協(xié)議概述情景案例任務(wù)思考在這一電子交易的過程中，如何確保張麗艷同學(xué)付款資料的隱密性及完整性？對持卡人、特約商店、收單銀行怎么認(rèn)證，如何保證電子交易的安全？不同廠商開發(fā)的應(yīng)用程序、不同的銀行卡在現(xiàn)存各種標(biāo)準(zhǔn)下應(yīng)構(gòu)建什么協(xié)定，允許在任何軟硬件平臺上執(zhí)行，使標(biāo)準(zhǔn)達到相容性與接受性目標(biāo)？任務(wù)思考任務(wù)分析為了保障電子商務(wù)交易安全，人們開發(fā)了各種用于加強電子商務(wù)安全的協(xié)議。這些協(xié)議主要有：安全套接層協(xié)議SSL、安全電子交易協(xié)議SET、超文本傳輸協(xié)議SHTTP、3-Dsecure協(xié)議和安全電子郵件協(xié)議(PEM、S/MIME)等。安全協(xié)議可用于保障計算機網(wǎng)絡(luò)信息系統(tǒng)中秘密信息的安全傳遞與處理，而安全協(xié)議的安全性分析驗證仍是一個懸而未決的問題。任務(wù)分析為了保障電子商務(wù)交易安全，人們開發(fā)了各種相關(guān)知識1．電子商務(wù)安全體系（1）電子商務(wù)安全體系的構(gòu)成。電子商務(wù)安全體系的基本構(gòu)成如圖8-1所示。相關(guān)知識1．電子商務(wù)安全體系（2）網(wǎng)絡(luò)服務(wù)層存在的安全隱患。網(wǎng)絡(luò)層為TCP/IP的Internet層或IP層的開放式的構(gòu)造，使得IP層很容易成為黑客攻擊的目標(biāo)。（3）安全協(xié)議。也稱作密碼協(xié)議，是以密碼學(xué)為基礎(chǔ)的消息交換協(xié)議，其目的是在網(wǎng)絡(luò)環(huán)境中提供各種安全服務(wù)。主要有：安全超文本傳輸協(xié)議（S—HTTP）、“安全套接層”協(xié)議（SSL：SecureSocketsLayer）、安全交易技術(shù)協(xié)議、安全電子交易協(xié)議（SET：SecureElectronicTransaction）等。

（2）網(wǎng)絡(luò)服務(wù)層存在的安全隱患。電子商務(wù)支付與安全概述課件

（1）http://：代表超文本傳輸協(xié)議，通知服務(wù)器顯示W(wǎng)eb頁，通常不用輸入

（3）M/：這是裝有網(wǎng)頁的服務(wù)器的域名，或站點服務(wù)器的名稱

（4）China/：為該服務(wù)器上的子目錄，就好像我們的文件夾

。

（5）Index.htm：index.htm是文件夾中的一個HTML文件（網(wǎng)頁）

（1）http://：代表超文本傳輸協(xié)議，通知micros（2）HTTP協(xié)議工作原理。HTTP協(xié)議是基于請求/響應(yīng)范式的（相當(dāng)于客戶機/服務(wù)器），一個客戶機與服務(wù)器建立連接后，發(fā)送一個請求給服務(wù)器，請求方式的格式為：統(tǒng)一資源標(biāo)識符（URL）、協(xié)議版本號，后邊是MIME信息包括請求修飾符、客戶機信息和可能的內(nèi)容。服務(wù)器接到請求后，給予相應(yīng)的響應(yīng)信息，其格式為一個狀態(tài)行，包括信息的協(xié)議版本號、一個成功或錯誤的代碼，后邊是MIME信息包括服務(wù)器信息、實體信息和可能的內(nèi)容。許多HTTP通訊是由一個用戶代理初始化的并且包括一個申請在源服務(wù)器上資源的請求。最簡單的情況可能是在用戶代理和服務(wù)器之間通過一個單獨的連接來完成。在Internet上，HTTP通訊通常發(fā)生在TCP/IP連接之上。缺省端口是TCP80，但其它的端口也是可用的。但這并不預(yù)示著HTTP協(xié)議在Internet或其它網(wǎng)絡(luò)的其它協(xié)議之上才能完成。HTTP只預(yù)示著一個可靠的傳輸。（2）HTTP協(xié)議工作原理。電子商務(wù)支付與安全概述課件實踐訓(xùn)練

1．課堂討論（1）電子商務(wù)安全體系有哪幾部分構(gòu)成？（2）什么是安全協(xié)議？（3）什么是HTTP協(xié)議？工作原理是什么？實踐訓(xùn)練

1．課堂討論2．案例分析

安全超文本轉(zhuǎn)移協(xié)議（SecureHypertextTransferProtocol,S-HTTP）是一種結(jié)合HTTP而設(shè)計的消息的安全通信協(xié)議。S-HTTP協(xié)議為HTTP客戶機和服務(wù)器提供了多種安全機制，這些安全服務(wù)選項是適用于Web上各類用戶的。還為客戶機和服務(wù)器提供了對稱能力（及時處理請求和恢復(fù)，及兩者的參數(shù)選擇）同時維持HTTP的通信模型和實施特征。S-HTTP不需要客戶方的公用密鑰證明，但它支持對稱密鑰的操作模式。這意味著在沒有要求用戶個人建立公用密鑰的情況下，會自發(fā)地發(fā)生私人交易。它支持端對端安全傳輸，客戶機可能首先啟動安全傳輸（使用報頭的信息），用來支持加密技術(shù)。在語法上，S-HTTP報文與HTTP相同，由請求行或狀態(tài)行組成，后面是信息頭和主體。請求報文的格式由請求行、通用信息頭、請求頭、實體頭、信息主體組成。響應(yīng)報文由響應(yīng)行、通用信息頭、響應(yīng)頭、實體頭、信息主體組成。

2．案例分析目前有兩種方法來建立連接：HTTPSURI方案（RFC2818[14]）和HTTP1.1請求頭（由RFC2817[15]引入）。由于瀏覽器對后者的幾乎沒有任何支持，因此HTTPSURI方案仍是建立安全超文本協(xié)議連接的主要手段。安全超文本連接協(xié)議使用https://代替http://。討論與分析：HTTP協(xié)議存在哪些不足？需要做哪些改進？S-HTTP協(xié)議有哪些優(yōu)勢？目前有兩種方法來建立連接：HTTPSURI方案（3．實務(wù)訓(xùn)練請上網(wǎng)查詢HTTP/1.1協(xié)議的特點和八種請求方法。實訓(xùn)說明：（1）本部分實訓(xùn)可在授課后集中或者分散進行實訓(xùn)。（2）討論HTTP協(xié)議的優(yōu)缺點。4．課后拓展上網(wǎng)查詢HTTP協(xié)議的詳細(xì)工作流程，進一步對HTTP協(xié)議的有所了解。電子商務(wù)支付與安全概述課件第2單元電子支付系統(tǒng)應(yīng)用情景案例

上個單元的案例討論與分析中提出了一個問題：HTTP協(xié)議存在哪些不足？張艷麗同學(xué)課后學(xué)習(xí)發(fā)現(xiàn)，HTTP協(xié)議雖然使用極為廣泛，但是卻存在不小的安全缺陷，主要是其數(shù)據(jù)的明文傳送和消息的完整性檢測的缺乏，而這兩點恰好是網(wǎng)絡(luò)支付、網(wǎng)絡(luò)交易應(yīng)用中安全方面最需要關(guān)注的。如何為通信雙方提供安全可靠的通信協(xié)議服務(wù)，在通信雙方間建立一個傳輸層安全通道，安全套接層協(xié)議SSL彌補了HTTP協(xié)議存在的不足，是保證通信安全、支付安全的重要協(xié)議。第2單元電子支付系統(tǒng)應(yīng)用任務(wù)思考什么是安全套接層協(xié)議SSL？它的工作流程是什么？SSL是如何保證通信安全的呢？任務(wù)思考任務(wù)分析

HTTP協(xié)議先天固有的安全缺陷可對web服務(wù)器的安全性造成重大的影響。有可能導(dǎo)致服務(wù)器被入侵、傳輸信息被截取、客戶端被攻擊、服務(wù)被拒絕等情況。為了加強web服務(wù)的安全性，最初有Netscape提出了HTTPS協(xié)議，用來提供安全可靠的數(shù)據(jù)傳輸。針對HTTP協(xié)議的安全缺陷，HTTPS通過在TCP層與HTTP層之間增加了一個SSL（SecureSocketLayer）來加強安全性，數(shù)據(jù)傳輸過程中，加密解密均由SSL進行，與上層的HTTP無關(guān)，對HTTP來說是透明的。HTTPS增強的安全性表現(xiàn)在其雙向的身份認(rèn)證確保身份都是真實可靠的，其數(shù)據(jù)傳輸?shù)臋C密性提高，數(shù)據(jù)完整性檢驗更嚴(yán)格，數(shù)據(jù)報被重放攻擊的可能性降低。任務(wù)分析相關(guān)知識相關(guān)知識（1）SSL協(xié)議構(gòu)成。SSL實際上是由共同工作的兩層協(xié)議組成，如圖8-2所示。①SSL修改密文協(xié)議。②SSL報警協(xié)議。③SSL握手協(xié)議。④SSL記錄協(xié)議。握手協(xié)議修改密文協(xié)議報警協(xié)議SSL記錄協(xié)議TCPIP握手修改密文協(xié)議報警協(xié)議SSL記錄協(xié)議TCPIP（2）SSL協(xié)議的服務(wù)。SSL提供的服務(wù)可以歸納為如下三個方面：①用戶和服務(wù)器的合法性認(rèn)證。②加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。③維護數(shù)據(jù)的完整性。（2）SSL協(xié)議的服務(wù)。2．SSL協(xié)議流程（1）SSL的運行步驟。SSL采用了公開密鑰和專有密鑰兩種加密：在建立連接過程中采用公開密鑰；在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務(wù)器間事務(wù)的安全性。SSL安全協(xié)議的工作流程如圖8-3所示2．SSL協(xié)議流程電子商務(wù)支付與安全概述課件（2）SSL協(xié)議的握手過程。①客戶端的瀏覽器向服務(wù)器傳送客戶端SSL協(xié)議的版本號，加密算法的種類，產(chǎn)生的隨機數(shù)，以及其他服務(wù)器和客戶端之間通訊所需要的各種信息。②服務(wù)器向客戶端傳送SSL協(xié)議的版本號，加密算法的種類，隨機數(shù)以及其他相關(guān)信息，同時服務(wù)器還將向客戶端傳送自己的證書。③客戶利用服務(wù)器傳過來的信息驗證服務(wù)器的合法性，服務(wù)器的合法性包括：證書是否過期，發(fā)行服務(wù)器證書的CA是否可靠，發(fā)行者證書的公鑰能否正確解開服務(wù)器證書的“發(fā)行者的數(shù)字簽名”，服務(wù)器證書上的域名是否和服務(wù)器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續(xù)進行第四步。④用戶端隨機產(chǎn)生一個用于后面通訊的“對稱密碼”，然后用服務(wù)器的公鑰（服務(wù)器的公鑰從步驟②中的服務(wù)器的證書中獲得）對其加密，然后將加密后的“預(yù)主密碼”傳給服務(wù)器。⑤如果服務(wù)器要求客戶的身份認(rèn)證（在握手過程中為可選），用戶可以建立一個隨機數(shù)然后對其進行數(shù)據(jù)簽名，將這個含有簽名的隨機數(shù)和客戶自己的證書以及加密過的“預(yù)主密碼”一起傳給服務(wù)器。（2）SSL協(xié)議的握手過程。⑥如果服務(wù)器要求客戶的身份認(rèn)證，服務(wù)器必須檢驗客戶證書和簽名隨機數(shù)的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的CA是否可靠，發(fā)行CA的公鑰能否正確解開客戶證書的發(fā)行CA的數(shù)字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，服務(wù)器將用自己的私鑰解開加密的“預(yù)主密碼”，然后執(zhí)行一系列步驟來產(chǎn)生主通訊密碼（客戶端也將通過同樣的方法產(chǎn)生相同的主通訊密碼）。⑦服務(wù)器和客戶端用相同的主密碼即“通話密碼”，一個對稱密鑰用于SSL協(xié)議的安全數(shù)據(jù)通訊的加解密通訊。同時在SSL通訊過程中還要完成數(shù)據(jù)通訊的完整性，防止數(shù)據(jù)通訊中的任何變化。⑧客戶端向服務(wù)器端發(fā)出信息，指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知服務(wù)器客戶端的握手過程結(jié)束。⑨服務(wù)器向客戶端發(fā)出信息，指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務(wù)器端的握手過程結(jié)束。⑩SSL的握手部分結(jié)束，SSL安全通道的數(shù)據(jù)通訊開始，客戶和服務(wù)器開始使用相同的對稱密鑰進行數(shù)據(jù)通訊，同時進行通訊完整性的檢驗。⑥如果服務(wù)器要求客戶的身份認(rèn)證，服務(wù)器必須檢驗客戶證書和簽名（3）SSL應(yīng)用情況。SSL安全協(xié)議是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議，至今仍然有許多網(wǎng)絡(luò)商店在使用。SSL提供的保密連接有很大的漏洞，SSL除了傳輸過程以外不能提供任何安全保證，SSL并不能使客戶確信此公司接收信用卡支付是得到授權(quán)的。SSL位于TCP層之上，應(yīng)用層之下，它相對于應(yīng)用層來說是獨立的，應(yīng)用層是直接建立在SSL上的。在實際應(yīng)用中，SSL可保證信息的真實性、完整性和保密性，卻無法提供交易的不可否認(rèn)性，這是由于SSL不對應(yīng)用層的消息進行數(shù)字簽名。為解決這一問題，Netscape公司在推出Web瀏覽器Communicator3.0版本時，在瀏覽器中引入“表單簽名”功能，以彌補這一缺陷。在國內(nèi)，開展網(wǎng)上銀行業(yè)務(wù)的銀行對安全標(biāo)準(zhǔn)的選擇也不一致，中國銀行網(wǎng)上支付的安全協(xié)議采用的是SET標(biāo)準(zhǔn)，而建設(shè)銀行、招商銀行采用的是SSL協(xié)議。（3）SSL應(yīng)用情況。實踐訓(xùn)練1．課堂討論（1）什么是SSL協(xié)議？由幾部分構(gòu)成？（2）SSL協(xié)議的工作流程是什么？（3）SSL協(xié)議有哪些優(yōu)缺點？實踐訓(xùn)練1．課堂討論2．案例分析

以往，電子商務(wù)的許多應(yīng)用是不進行客戶機認(rèn)證的。不過，目前各公司都將SSL作為一項協(xié)議供數(shù)據(jù)中心里的新應(yīng)用使用。對于基于SSL的VPN，以及那些需要對終端用戶進行額外認(rèn)證的應(yīng)用而言，客戶機認(rèn)證正在成為一種趨勢?？蛻魴C認(rèn)證使得服務(wù)器可以使用與允許客戶機對服務(wù)器進行認(rèn)證相同的技術(shù)，在協(xié)議之內(nèi)對用戶身份進行確認(rèn)。盡管兩者認(rèn)證的信息流極為不同，但是從概念上來看，其過程與服務(wù)器認(rèn)證是相同的。這一過程同樣也會在SSL握手子協(xié)議之內(nèi)進行。在這種情況下，客戶機必須向服務(wù)器提供有效的證書。服務(wù)器可以通過使用公共密鑰密碼學(xué)的標(biāo)準(zhǔn)技術(shù)對終端用戶的有效性進行認(rèn)證。SSL所具有的靈活性和強勁的生命力使其無所不在。可以預(yù)言的是，在SSL成為企業(yè)應(yīng)用、無線訪問設(shè)備、Web服務(wù)以及安全訪問管理的關(guān)鍵性協(xié)議的同時，SSL的應(yīng)用將繼續(xù)大幅度增長。討論與分析：什么是客戶機認(rèn)證？它對提高電子商務(wù)支付的安全性有何作用？2．案例分析3．實務(wù)訓(xùn)練目前我國開發(fā)的許多電子支付系統(tǒng)，比如中國銀行的長城卡電子支付系統(tǒng)，為什么沒有采用SSL協(xié)議？實訓(xùn)說明：（1）本部分實訓(xùn)在授課后集中或者分散實訓(xùn)（2）上網(wǎng)查詢相關(guān)知識，進行課堂討論。4．課后拓展SSL還存在哪些不足？需要做哪些改進？3．實務(wù)訓(xùn)練第3單元SET協(xié)議情景案例信用卡是最為常見的網(wǎng)上支付工具，信用卡的泄密、被盜等現(xiàn)象也是屢見不鮮。張麗艷同學(xué)在上個單元的學(xué)習(xí)中，對SSL協(xié)議有了較深的了解，但是中國銀行的長城卡電子支付系統(tǒng)為什么沒有采用SSL協(xié)議呢？一定還會有其他的電子支付安全協(xié)議，通過課后學(xué)習(xí)，了解到中國銀行的長城卡電子支付系統(tǒng)采用的是SET協(xié)議。這是為什么呢？第3單元SET協(xié)議情景案例任務(wù)思考那么，什么是SET安全協(xié)議？它的特點是什么？SET協(xié)議是如何保證通信安全的呢？SET協(xié)議與SSL協(xié)議有什么不同？等等。任務(wù)思考任務(wù)分析

為了克服SSL安全協(xié)議的缺點，VISA國際組織及其它公司如MasterCard、MicroSoft和IBM等共同制定了安全電子交易SET（SecureElectronicTransactions）協(xié)議。SET是一個為在線交易而設(shè)立的一個開放的以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于BtoC模式中保障支付信息的安全性。SET在保留對客戶信用卡認(rèn)證的前提下，又增加了對商家身份的認(rèn)證，這對于需要支付貨幣的交易來講是至關(guān)重要的。SET安全電子交易協(xié)議是一種基于消息流的協(xié)議，該協(xié)議主要是為了解決用戶、商家和銀行之間通過信用卡在線支付而設(shè)計的，以保證支付信息的機密、支付過程的完整、持卡人的合法身份以及可操作性，SET中的核心技術(shù)主要有公開密鑰加密、數(shù)字簽名、數(shù)字信封和數(shù)字證書等

電子商務(wù)支付與安全概述課件相關(guān)知識

1．SET協(xié)議簡介電子商務(wù)面臨的最大挑戰(zhàn)，即交易的安全問題。在網(wǎng)上購物的環(huán)境中，持卡人希望在交易中保密自己的帳戶信息，使之不被人盜用；商家則希望客戶的定單不可抵賴，并且在交易過程中，交易各方都希望驗明對方的身份，以防止被欺騙。1995年10月，包括Mastercard、Netscape和IBM在內(nèi)的聯(lián)盟開始著手進行安全電子支付協(xié)議（SEPP）的開發(fā)。隨后，Visa和微軟組成的聯(lián)盟開始開發(fā)另外一種不同的網(wǎng)絡(luò)支付規(guī)范，叫做安全交易技術(shù)（SecureElectronicTransaction，STT）。由于兩大信用卡組織Mastercard利Visa分別支持獨立的網(wǎng)絡(luò)支付解決方案，影響了網(wǎng)絡(luò)支付的發(fā)展，所以1996年1月，VISA和Mastercard聯(lián)合發(fā)起并推動了“安全電子交易”SET（SecureElectronicTransaction）協(xié)議的制定、測試和實施，并于1997年5月發(fā)布正式的1.0版本標(biāo)準(zhǔn)。相關(guān)知識

1．SET協(xié)議簡介SET協(xié)議即安全電子交易標(biāo)準(zhǔn)，利用RSA和DES技術(shù)實現(xiàn)安全性，用于支持使用信用卡進行交易的在線電子支付。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于BtoC模式中保障支付信息的安全性。SET提供了消費者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點，因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。中國銀行是國內(nèi)第一家使用SET協(xié)議的金融機構(gòu)。SET協(xié)議即安全電子交易標(biāo)準(zhǔn)，利用RSA和DES技術(shù)實現(xiàn)安全2．SET協(xié)議的目標(biāo)和特點（1）SET協(xié)議的目標(biāo)。①保證電子商務(wù)參與者信息的相互隔離，客戶的資料加密或打包后經(jīng)過商家到達銀行，但是商家不能看到客戶的賬戶和密碼信息；②保證信息在Internet上安全傳輸，防止數(shù)據(jù)被第三方竊??；③解決多方認(rèn)證問題，不僅要對消費者的信用卡認(rèn)證，而且要對在線商店的信譽程度認(rèn)證，同時還有消費者、在線商店與銀行間的認(rèn)證；④保證了網(wǎng)上交易的實時性，使所有的支付過程都是在線的；⑤規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。2．SET協(xié)議的目標(biāo)和特點（2）SET協(xié)議的特點。SET協(xié)議比SSL協(xié)議有了很大改進。其特點是：①保證信息在Internet上安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊聽。②訂單信息和個人賬號信息的隔離。在將包括持卡人賬號信息的訂單送到商家時，商家只能看到訂貨信息，而看不到持卡人的賬戶信息，從而保證電子商務(wù)參與者信息的相互隔離。③持卡人和商家的相互認(rèn)證，以確定通信雙方的身份，一般由第三方機構(gòu)負(fù)責(zé)為在線通信方雙方提供信用擔(dān)保，從而解決了多方認(rèn)證問題。④保證網(wǎng)上交易的實時性．使所有的支付過程都在網(wǎng)絡(luò)上進行。⑤要求軟件遵循相同的協(xié)議和消息格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。（2）SET協(xié)議的特點。3．SET安全協(xié)議涉及的對象和技術(shù)范圍（1）SET協(xié)議規(guī)范的對象。

①消費者

②在線商店

③支付網(wǎng)關(guān)

④收單銀行

⑤電子貨幣發(fā)行⑥認(rèn)證中心CA）3．SET安全協(xié)議涉及的對象和技術(shù)范圍①消費者②在線商店（2）SET協(xié)議規(guī)范的技術(shù)范圍。包括以下六個方面：①加密算法的應(yīng)用（例如RSA和DES）。②證書信息和對象格式。③購買信息和對象格式。④認(rèn)可信息和對象格式。⑤劃賬信息和對象格式。⑥對話實體之間消息的傳輸協(xié)議。（2）SET協(xié)議規(guī)范的技術(shù)范圍。4．SET安全協(xié)議的工作原理（1）SET協(xié)議的工作流程。分為下面七個步驟：①消費者在Internet上搜索所要購買的商品，通過計算機輸入訂貨單。②通過電子商務(wù)服務(wù)器與有關(guān)在線商店聯(lián)系，在線商店做出應(yīng)答，以確認(rèn)訂單條款的準(zhǔn)確性。③消費者選擇付款方式，確認(rèn)訂單，簽發(fā)付款指令。④消費者對訂單和付款指令進行數(shù)字簽名，同時利用雙重簽名技術(shù)保證商家看不到消費者的賬號信息。⑤在線商店接受訂單后，向消費者所在銀行請求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認(rèn)，批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。⑥在線商店發(fā)送訂單確認(rèn)信息給消費者。⑦在線商店發(fā)送貨物或提供服務(wù)，并通知收單銀行進行轉(zhuǎn)賬通知發(fā)卡行請求支付。4．SET安全協(xié)議的工作原理（2）SET支付流程。

如圖8-4所示，一個完整的SET支付流程如下：

（2）SET支付流程。

如圖8-4所示，一個完整的SET支付①支付初始化請求和響應(yīng)階段。當(dāng)客戶決定要購買商家的商品并使用SET錢夾付錢時，商家服務(wù)器上POS軟件發(fā)報文給客戶的瀏覽器SET錢夾付錢，SET錢夾則要求客戶輸入口令然后與商家服務(wù)器交換“握手”信息，使客戶和商家相互確認(rèn)，即客戶確認(rèn)商家被授權(quán)可以接受信用卡，同時商家也確認(rèn)客戶是一個合法的持卡人。②支付請求階段。客戶發(fā)一報文，包括訂單和支付命令。在訂單和支付命令中必須有客戶的數(shù)字簽名，同時利用雙重簽名技術(shù)保證商家看不到客戶的賬號信息。只有位于商家開戶行的被稱為支付網(wǎng)關(guān)的另外一個服務(wù)器可以處理支付命令中的信息。③授權(quán)請求階段。商家收到訂單后，POS組織一個授權(quán)請求報文，其中包括客戶的支付命令，發(fā)送給支付網(wǎng)關(guān)。支付網(wǎng)關(guān)是一個Internet服務(wù)器，是連接Internet和銀行內(nèi)部網(wǎng)絡(luò)的接口。授權(quán)請求報文通過到達收單銀行后，收單銀行再到發(fā)卡銀行確認(rèn)。④授權(quán)響應(yīng)階段。收單銀行得到發(fā)卡銀行的批準(zhǔn)后，通過支付網(wǎng)關(guān)發(fā)給商家授權(quán)響應(yīng)報文。⑤支付響應(yīng)階段。商家發(fā)送訂單確認(rèn)信息給顧客，顧客端軟件可記錄交易日志，以備將來查詢。同時商家給客戶裝運貨物，或完成訂購的服務(wù)。①支付初始化請求和響應(yīng)階段。當(dāng)客戶決定要購買商家的商品并使用5．SET安全協(xié)議的不足之處（1）協(xié)議并沒有說明收單銀行給在線商店付款前，是否必須收到消費者的貨物接受證書，如果在線商店提供貨物不符合質(zhì)量標(biāo)準(zhǔn)，消費者提出疑義，責(zé)任該由誰來承擔(dān)。（2）協(xié)議沒有擔(dān)?！胺蔷芙^行為”，這意味著在線商店沒有辦法證明訂購是不是由簽署證書的消費者發(fā)出的。（3）SET技術(shù)規(guī)范沒有提及事務(wù)處理完成后，如何安全地保存或銷毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費者、在線商店或收單銀行的計算機里，這些漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。（4）SET協(xié)議過于復(fù)雜，使用麻煩，成本高，數(shù)據(jù)處理時間相對較長，而且只適用于客戶具有電子錢包的場合。（5）SET的證書格式比較特殊，雖然也遵循X.509標(biāo)準(zhǔn)，但它主要是由Visa和MasterCard開發(fā)并按信用卡支付方式進行定義的，因而SET主要支持卡支付業(yè)務(wù)，對其它支付方式存在一定的限制。（6）在SET協(xié)議中，雖然用戶賬號不會明文傳遞，通常采用1024位RSA不對稱密鑰加密，但在實際應(yīng)用中發(fā)現(xiàn)大多數(shù)商戶都收到了持卡人的賬號，所以用戶賬號泄漏問題仍然存在。5．SET安全協(xié)議的不足之處6．SSL和SET協(xié)議比較SET與SSL相比具有如下優(yōu)點：（1）SET為商家提供了保護自己的手段，使商家免受欺詐的困擾，使商家的運營成本降低。（2）對消費者而言，SET保證了商家的合法性，并且用戶的信用卡號不會被竊取，SET替消費者保守了更多的秘密使其在線購物更加輕松。（3）銀行和發(fā)卡機構(gòu)以及各種信用卡組織來說，因為SET可以幫助它們將業(yè)務(wù)擴展到Internet這個廣闊的空間，從而使得信用卡網(wǎng)上支付具有更低的欺騙概率，這使得它比其他支付方式具有更大的競爭力。（4）SET對于參與交易的各方定義了互操作接口，一個系統(tǒng)可以由不同廠商的產(chǎn)品構(gòu)筑。6．SSL和SET協(xié)議比較實踐訓(xùn)練1．課堂討論（1）什么是SET協(xié)議？有什么特點？（2）SET協(xié)議的工作流程是什么？（3）SSL協(xié)議有哪些優(yōu)點和不足？實踐訓(xùn)練2．案例分析SET協(xié)議的擴展（1）商家初始授權(quán)擴展（TheMerchantInitiatedAuthorizationExtension）版本。標(biāo)準(zhǔn)的SET協(xié)議，其授權(quán)是從持卡人采用SET協(xié)議開始的。而商家初始授權(quán)擴展允許一個商家為非SET的訂購進行授權(quán)和請款（CaptureRequest）。這些訂購是由持卡人采用非SET的傳輸方式完成的，如采用電話、傳真、SSL等方式通知商家支付信息，由商家采用SET協(xié)議向銀行發(fā)出授權(quán)請求。該擴展拓寬了SET協(xié)議的應(yīng)用場合，實現(xiàn)了現(xiàn)有電子商務(wù)的支付方式向SET模式的平滑過渡。（2）在線個人識別號擴展（OnlinePINExtensiontoSET1.0）版本。個人識別號PIN是用戶為支付卡設(shè)定的個人密碼。SET協(xié)議在線個人識別號擴展版本定義了兩種使用PIN的擴展方式。一是持卡人通過任何方式（包括鍵盤）來輸入PIN；二是通過安全設(shè)備來輸入PIN。在實際應(yīng)用中，根據(jù)支付卡的政策決定使用方式。該擴展版本增強了信用卡的認(rèn)證信息，為借記卡和IC卡采用SET協(xié)議提供了新的用戶信息識別方式。（3）芯片卡擴展（CommonChipExtension）版本。芯片卡（如IC卡）與磁卡相比，具有存儲信息容量大、安全性能高、使用快捷方便等優(yōu)點。SET1.0標(biāo)準(zhǔn)出臺時沒有考慮對芯片卡的支持。1999年9月，SETC0批準(zhǔn)公布了EuropeInternational、MasterCardInternational、VISAInternational提交的“CommonChipExtensionSET1.0”，支持芯片卡采用SET協(xié)議進行安全電子交易，并使SET具有處理芯片卡數(shù)據(jù)的通用擴展性能。討論與分析：SET協(xié)議的擴展對提高電子商務(wù)支付的安全性有何作用？2．案例分析SET協(xié)議的擴展3．實務(wù)訓(xùn)練上網(wǎng)和和查閱其他參考書，查找哪些銀行使用SSL協(xié)議，哪些使用SET協(xié)議，比較兩個協(xié)議的優(yōu)缺點，說明兩種協(xié)議并存的原因。實訓(xùn)說明：本部分實訓(xùn)在授課后分散實訓(xùn)。4．課后拓展SET協(xié)議還存在哪些不足？需要做哪些改進？3．實務(wù)訓(xùn)練電子商務(wù)支付與安全概述課件知識小結(jié)電子支付是電子商務(wù)得以實現(xiàn)的重要條件。是消費者、商家和金融機構(gòu)之間使用安全電子手段交換商品或服務(wù)，實現(xiàn)支付的綜合系統(tǒng)。是融購物流程、支付工具、安全技術(shù)、認(rèn)證體系、信用體系以及現(xiàn)在的金融體系為一體的綜合大系統(tǒng)。電子支付的一個重要條件就是必須允許將電子貨幣從一個系統(tǒng)轉(zhuǎn)移到另一個系統(tǒng)，支付系統(tǒng)具有：使用數(shù)字簽名和數(shù)字證書實現(xiàn)對各方的認(rèn)證、使用加密技術(shù)對業(yè)務(wù)進行加密、使用消息摘要算法以確認(rèn)業(yè)務(wù)的完整性、當(dāng)交易雙方出現(xiàn)糾紛時，保證對業(yè)務(wù)的不可否認(rèn)性的功能。電子支付工具大致可以分為三大類：電子信用卡類，包括智能卡、信用卡、借記卡、電話卡等；電子貨幣類，如電子現(xiàn)金、電子錢包等；電子支票類，如電子支票、電子匯款（EFT）、電子劃款等。ATM系統(tǒng)、POS系統(tǒng)、電子匯兌系統(tǒng)、網(wǎng)上支付系統(tǒng)是電子支付系統(tǒng)的具體應(yīng)用。第三方支付平臺是指與銀行（通常是多家銀行）簽約，并具備一定實力和信譽保障的第三方獨立機構(gòu)提供的交易支持平臺。第三方支付平臺的功能大致可歸納為3項：第一，接收、處理、并向開戶銀行傳遞網(wǎng)上客戶的支付指令；第二，進行跨行之間的資金清算（清分）；第三，代替銀行，開展金融增值服務(wù)。

第三方支付使商家看不到客戶的信用卡信息，同時又避免了信用卡信息在網(wǎng)絡(luò)多次公開傳輸而導(dǎo)致的信用卡被竊事件。相對于其它的資金支付結(jié)算方式，第三方支付可以比較有效地保障了貨物質(zhì)量、交易誠信、退換要求等環(huán)節(jié)。移動支付是目前發(fā)展最快的一種支付系統(tǒng)，具有除存取現(xiàn)金外的銀行ATM機的所有功能。知識小結(jié)第4單元

其他電子支付協(xié)議簡介情景案例

張麗艷同學(xué)上網(wǎng)查找發(fā)現(xiàn)，中國工商銀行網(wǎng)上銀行采用的是SSL協(xié)議，而中國銀行網(wǎng)上銀行采用的是SET協(xié)議，是否還有其他電子支付協(xié)議呢？任務(wù)思考除了上面學(xué)習(xí)的SSL協(xié)議和SET協(xié)議以外，其他的電子支付協(xié)議都有哪些？有什么特點呢？第4單元

其他電子支付協(xié)議簡介情景案例項目任務(wù)分析SSL協(xié)議和SET協(xié)議是應(yīng)用最為廣泛的電子支付安全協(xié)議，除此之外，像Digicash協(xié)議、FirstVirtual協(xié)議、Netbill協(xié)議和iKP協(xié)議等也是應(yīng)用比較多的安全支付協(xié)議。在不同的交易方式、交易對象和交易額度方面有不同的優(yōu)缺點，下面做一簡單介紹。項目任務(wù)分析相關(guān)知識1．Digicash協(xié)議Digicash協(xié)議是位于荷蘭的Digicash公司的產(chǎn)品，是一個匿名的數(shù)字現(xiàn)金協(xié)議。所謂匿名是指消費者在消費中不會暴露其身份，例如現(xiàn)金交易（雖然鈔票有號碼，但交易中一般不會加以記錄）。該協(xié)議的步驟如下：（1）消費者從銀行取款，他收到一個加密的數(shù)字現(xiàn)金（Token），此Token可當(dāng)錢用；（2）消費者對該Token作加密變換，使之仍能被商家檢驗其有效性，但已不能追蹤消費者的身份；（3）消費者在某商家消費即使用該Token購物或購買服務(wù)，消費者進一步對該Token密碼變換以納入商家的身份；（4）商家檢驗該Token以確認(rèn)以前未收到過此Token；（5）商家給消費者發(fā)貨；（6）商家將該電子Token送銀行；（7）銀行檢驗該Token的唯一性，至此消費者的身份仍保密，除非銀行查出該Token被消費者重復(fù)使用，則消費者的身份將會被暴露，消費者的欺詐行為也就暴露了。相關(guān)知識1．Digicash協(xié)議2．FirstVirtual協(xié)議FirstVisual方案是為低中價軟件銷售，服務(wù)費信息購買，和其它類型的可通過Internet發(fā)送的“無形”貨物設(shè)計的。在用FirstCirtual系統(tǒng)購物之前，顧客先要到FirstVirtual的節(jié)點填寫聯(lián)機申請表，取得一個FirstCirtual賬號。然后顧客用電話完成整個過程。在申請時他提供信用卡號碼和聯(lián)系信息，并獲得一個FirstVirtual個人識別碼（PIN）。以后用戶向某個在線廠商購買的時候，就提供他的FirstVirtualPIN來代替他的信用卡號碼信息。之后FirstVirtual會用e-mail與他聯(lián)系，在信用卡劃賬前給他一個同意或反悔的機會。客戶只要一次性付2.00美元就可以開一個FirstVirtual賬號。沒有附加費用，在用戶端也不需要特殊的軟件。2．FirstVirtual協(xié)議3．Netbill協(xié)議Netbill協(xié)議涉及三方：客戶、商家及Netbill服務(wù)器。協(xié)議步驟如下：（1）客戶向商家查詢某商品價格。（2）商家向該客戶報價。（3）客戶告知商家他是否接受該報價，如果接受則繼續(xù)下一步。（4）商家將所請求的信息商品用密鑰K加密后發(fā)送給客戶。（5）客戶準(zhǔn)備一份電子采購訂單（ElectronicPurchaseOrder，EPO），即三元格式（價格、加密商品的密碼單據(jù)、超時值）的數(shù)字簽名值，客戶將該已數(shù)字簽名的EPO發(fā)送給商家。（6）商家會簽該EPO，商家也簽上K的值，然后將此二者送給Netbill服務(wù)器（7）Netbill服務(wù)器驗證EPO簽名和會簽。然后檢查客戶的賬號，保證有足夠的資金以便批準(zhǔn)該交易，同時檢查EPO上的超時值以驗證其是否過期。確認(rèn)沒有問題時，Netbill服務(wù)器即從客戶的賬號上將相當(dāng)于商品價格的資金劃往商家的賬號上，并存貯密鑰K和加密商品的密碼單據(jù)。然后準(zhǔn)備一份包含值K的簽好的收據(jù)，將該收據(jù)發(fā)給商家。（8）商家記下該收據(jù)單傳給客戶，然后客戶將第④步收到的加密信息商品解密。3．Netbill協(xié)議實踐訓(xùn)練

1．課堂討論其他的電子支付協(xié)議都有哪些？2．案例分析通過安全協(xié)議的學(xué)習(xí)，張麗艷的同學(xué)小王認(rèn)為，有了上面的這些安全協(xié)議保駕護航，電子支付的安全性就高枕無憂了，你同意小王的看法嗎？為什么？每種網(wǎng)絡(luò)安全協(xié)議都有各自的優(yōu)缺點，實際應(yīng)用中要根據(jù)不同情況選擇恰當(dāng)協(xié)議并注意加強協(xié)議間的互通與互補，以進一步提高網(wǎng)絡(luò)的安全性。另外現(xiàn)在的網(wǎng)絡(luò)安全協(xié)議雖已實現(xiàn)了安全服務(wù)，但無論哪種安全協(xié)議建立的安全系統(tǒng)都不可能抵抗所有攻擊，要充分利用密碼技術(shù)的新成果，在分析現(xiàn)有安全協(xié)議的基礎(chǔ)上不斷探索安全協(xié)議的應(yīng)用模式和領(lǐng)域。討論與分析：你對小王有什么建議？實踐訓(xùn)練

1．課堂討論3．實務(wù)訓(xùn)練上網(wǎng)查詢了解iKP協(xié)議的相關(guān)內(nèi)容。實訓(xùn)說明：本部分實訓(xùn)在授課后分散實訓(xùn)。4．課后拓展說明為什么沒有一個統(tǒng)一使用的安全協(xié)議？3．實務(wù)訓(xùn)練知識小結(jié)知識小結(jié)電子商務(wù)支付與安全臧良運主編電子商務(wù)支付與安全臧良運主編58電子支付安全協(xié)議

技能精通，基礎(chǔ)先行，要成為高水平的電子商務(wù)人才，必須要精通電子支付與安全。模塊8電子支付安全協(xié)議技能精通，基礎(chǔ)先行，要成為高水平的電59學(xué)習(xí)目標(biāo)知識目標(biāo)：了解HTTP協(xié)議掌握SSL協(xié)議流程掌握SET協(xié)議流程了解其他電子支付協(xié)議能力目標(biāo)：掌握SSL協(xié)議的具體應(yīng)用掌握SET協(xié)議的具體應(yīng)用知道SSL協(xié)議與SET協(xié)議的優(yōu)缺點素質(zhì)目標(biāo)：培養(yǎng)時刻關(guān)注互聯(lián)網(wǎng)上的欺騙行為習(xí)慣培養(yǎng)并逐步具備管理、使用電子支付安全體系的能力養(yǎng)成嚴(yán)謹(jǐn)、規(guī)范的遵守安全協(xié)議的工作習(xí)慣學(xué)習(xí)目標(biāo)第1單元

安全協(xié)議概述情景案例張麗艷同學(xué)在淘寶網(wǎng)購買一本《電子商務(wù)支付與安全》的參考書，選擇好圖書并下了訂單后，利用支付寶，選擇中國郵政儲蓄銀行卡進行網(wǎng)上實時支付。張麗艷同學(xué)學(xué)習(xí)了模塊5《電子商務(wù)系統(tǒng)的安全》的內(nèi)容后，知道了網(wǎng)上交易安全面臨很多威脅，她擔(dān)心銀行卡資料會不會被支付平臺、賣家看到？會不會被黑客通過技術(shù)手段盜取？電子商務(wù)網(wǎng)站如何保證數(shù)據(jù)傳輸?shù)臋C密性、完整性和支付的安全性呢？第1單元

安全協(xié)議概述情景案例任務(wù)思考在這一電子交易的過程中，如何確保張麗艷同學(xué)付款資料的隱密性及完整性？對持卡人、特約商店、收單銀行怎么認(rèn)證，如何保證電子交易的安全？不同廠商開發(fā)的應(yīng)用程序、不同的銀行卡在現(xiàn)存各種標(biāo)準(zhǔn)下應(yīng)構(gòu)建什么協(xié)定，允許在任何軟硬件平臺上執(zhí)行，使標(biāo)準(zhǔn)達到相容性與接受性目標(biāo)？任務(wù)思考任務(wù)分析為了保障電子商務(wù)交易安全，人們開發(fā)了各種用于加強電子商務(wù)安全的協(xié)議。這些協(xié)議主要有：安全套接層協(xié)議SSL、安全電子交易協(xié)議SET、超文本傳輸協(xié)議SHTTP、3-Dsecure協(xié)議和安全電子郵件協(xié)議(PEM、S/MIME)等。安全協(xié)議可用于保障計算機網(wǎng)絡(luò)信息系統(tǒng)中秘密信息的安全傳遞與處理，而安全協(xié)議的安全性分析驗證仍是一個懸而未決的問題。任務(wù)分析為了保障電子商務(wù)交易安全，人們開發(fā)了各種相關(guān)知識1．電子商務(wù)安全體系（1）電子商務(wù)安全體系的構(gòu)成。電子商務(wù)安全體系的基本構(gòu)成如圖8-1所示。相關(guān)知識1．電子商務(wù)安全體系（2）網(wǎng)絡(luò)服務(wù)層存在的安全隱患。網(wǎng)絡(luò)層為TCP/IP的Internet層或IP層的開放式的構(gòu)造，使得IP層很容易成為黑客攻擊的目標(biāo)。（3）安全協(xié)議。也稱作密碼協(xié)議，是以密碼學(xué)為基礎(chǔ)的消息交換協(xié)議，其目的是在網(wǎng)絡(luò)環(huán)境中提供各種安全服務(wù)。主要有：安全超文本傳輸協(xié)議（S—HTTP）、“安全套接層”協(xié)議（SSL：SecureSocketsLayer）、安全交易技術(shù)協(xié)議、安全電子交易協(xié)議（SET：SecureElectronicTransaction）等。

（2）網(wǎng)絡(luò)服務(wù)層存在的安全隱患。電子商務(wù)支付與安全概述課件

（1）http://：代表超文本傳輸協(xié)議，通知服務(wù)器顯示W(wǎng)eb頁，通常不用輸入

（3）M/：這是裝有網(wǎng)頁的服務(wù)器的域名，或站點服務(wù)器的名稱

（4）China/：為該服務(wù)器上的子目錄，就好像我們的文件夾

。

（5）Index.htm：index.htm是文件夾中的一個HTML文件（網(wǎng)頁）

（1）http://：代表超文本傳輸協(xié)議，通知micros（2）HTTP協(xié)議工作原理。HTTP協(xié)議是基于請求/響應(yīng)范式的（相當(dāng)于客戶機/服務(wù)器），一個客戶機與服務(wù)器建立連接后，發(fā)送一個請求給服務(wù)器，請求方式的格式為：統(tǒng)一資源標(biāo)識符（URL）、協(xié)議版本號，后邊是MIME信息包括請求修飾符、客戶機信息和可能的內(nèi)容。服務(wù)器接到請求后，給予相應(yīng)的響應(yīng)信息，其格式為一個狀態(tài)行，包括信息的協(xié)議版本號、一個成功或錯誤的代碼，后邊是MIME信息包括服務(wù)器信息、實體信息和可能的內(nèi)容。許多HTTP通訊是由一個用戶代理初始化的并且包括一個申請在源服務(wù)器上資源的請求。最簡單的情況可能是在用戶代理和服務(wù)器之間通過一個單獨的連接來完成。在Internet上，HTTP通訊通常發(fā)生在TCP/IP連接之上。缺省端口是TCP80，但其它的端口也是可用的。但這并不預(yù)示著HTTP協(xié)議在Internet或其它網(wǎng)絡(luò)的其它協(xié)議之上才能完成。HTTP只預(yù)示著一個可靠的傳輸。（2）HTTP協(xié)議工作原理。電子商務(wù)支付與安全概述課件實踐訓(xùn)練

1．課堂討論（1）電子商務(wù)安全體系有哪幾部分構(gòu)成？（2）什么是安全協(xié)議？（3）什么是HTTP協(xié)議？工作原理是什么？實踐訓(xùn)練

1．課堂討論2．案例分析

安全超文本轉(zhuǎn)移協(xié)議（SecureHypertextTransferProtocol,S-HTTP）是一種結(jié)合HTTP而設(shè)計的消息的安全通信協(xié)議。S-HTTP協(xié)議為HTTP客戶機和服務(wù)器提供了多種安全機制，這些安全服務(wù)選項是適用于Web上各類用戶的。還為客戶機和服務(wù)器提供了對稱能力（及時處理請求和恢復(fù)，及兩者的參數(shù)選擇）同時維持HTTP的通信模型和實施特征。S-HTTP不需要客戶方的公用密鑰證明，但它支持對稱密鑰的操作模式。這意味著在沒有要求用戶個人建立公用密鑰的情況下，會自發(fā)地發(fā)生私人交易。它支持端對端安全傳輸，客戶機可能首先啟動安全傳輸（使用報頭的信息），用來支持加密技術(shù)。在語法上，S-HTTP報文與HTTP相同，由請求行或狀態(tài)行組成，后面是信息頭和主體。請求報文的格式由請求行、通用信息頭、請求頭、實體頭、信息主體組成。響應(yīng)報文由響應(yīng)行、通用信息頭、響應(yīng)頭、實體頭、信息主體組成。

2．案例分析目前有兩種方法來建立連接：HTTPSURI方案（RFC2818[14]）和HTTP1.1請求頭（由RFC2817[15]引入）。由于瀏覽器對后者的幾乎沒有任何支持，因此HTTPSURI方案仍是建立安全超文本協(xié)議連接的主要手段。安全超文本連接協(xié)議使用https://代替http://。討論與分析：HTTP協(xié)議存在哪些不足？需要做哪些改進？S-HTTP協(xié)議有哪些優(yōu)勢？目前有兩種方法來建立連接：HTTPSURI方案（3．實務(wù)訓(xùn)練請上網(wǎng)查詢HTTP/1.1協(xié)議的特點和八種請求方法。實訓(xùn)說明：（1）本部分實訓(xùn)可在授課后集中或者分散進行實訓(xùn)。（2）討論HTTP協(xié)議的優(yōu)缺點。4．課后拓展上網(wǎng)查詢HTTP協(xié)議的詳細(xì)工作流程，進一步對HTTP協(xié)議的有所了解。電子商務(wù)支付與安全概述課件第2單元電子支付系統(tǒng)應(yīng)用情景案例

上個單元的案例討論與分析中提出了一個問題：HTTP協(xié)議存在哪些不足？張艷麗同學(xué)課后學(xué)習(xí)發(fā)現(xiàn)，HTTP協(xié)議雖然使用極為廣泛，但是卻存在不小的安全缺陷，主要是其數(shù)據(jù)的明文傳送和消息的完整性檢測的缺乏，而這兩點恰好是網(wǎng)絡(luò)支付、網(wǎng)絡(luò)交易應(yīng)用中安全方面最需要關(guān)注的。如何為通信雙方提供安全可靠的通信協(xié)議服務(wù)，在通信雙方間建立一個傳輸層安全通道，安全套接層協(xié)議SSL彌補了HTTP協(xié)議存在的不足，是保證通信安全、支付安全的重要協(xié)議。第2單元電子支付系統(tǒng)應(yīng)用任務(wù)思考什么是安全套接層協(xié)議SSL？它的工作流程是什么？SSL是如何保證通信安全的呢？任務(wù)思考任務(wù)分析

HTTP協(xié)議先天固有的安全缺陷可對web服務(wù)器的安全性造成重大的影響。有可能導(dǎo)致服務(wù)器被入侵、傳輸信息被截取、客戶端被攻擊、服務(wù)被拒絕等情況。為了加強web服務(wù)的安全性，最初有Netscape提出了HTTPS協(xié)議，用來提供安全可靠的數(shù)據(jù)傳輸。針對HTTP協(xié)議的安全缺陷，HTTPS通過在TCP層與HTTP層之間增加了一個SSL（SecureSocketLayer）來加強安全性，數(shù)據(jù)傳輸過程中，加密解密均由SSL進行，與上層的HTTP無關(guān)，對HTTP來說是透明的。HTTPS增強的安全性表現(xiàn)在其雙向的身份認(rèn)證確保身份都是真實可靠的，其數(shù)據(jù)傳輸?shù)臋C密性提高，數(shù)據(jù)完整性檢驗更嚴(yán)格，數(shù)據(jù)報被重放攻擊的可能性降低。任務(wù)分析相關(guān)知識相關(guān)知識（1）SSL協(xié)議構(gòu)成。SSL實際上是由共同工作的兩層協(xié)議組成，如圖8-2所示。①SSL修改密文協(xié)議。②SSL報警協(xié)議。③SSL握手協(xié)議。④SSL記錄協(xié)議。握手協(xié)議修改密文協(xié)議報警協(xié)議SSL記錄協(xié)議TCPIP握手修改密文協(xié)議報警協(xié)議SSL記錄協(xié)議TCPIP（2）SSL協(xié)議的服務(wù)。SSL提供的服務(wù)可以歸納為如下三個方面：①用戶和服務(wù)器的合法性認(rèn)證。②加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。③維護數(shù)據(jù)的完整性。（2）SSL協(xié)議的服務(wù)。2．SSL協(xié)議流程（1）SSL的運行步驟。SSL采用了公開密鑰和專有密鑰兩種加密：在建立連接過程中采用公開密鑰；在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務(wù)器間事務(wù)的安全性。SSL安全協(xié)議的工作流程如圖8-3所示2．SSL協(xié)議流程電子商務(wù)支付與安全概述課件（2）SSL協(xié)議的握手過程。①客戶端的瀏覽器向服務(wù)器傳送客戶端SSL協(xié)議的版本號，加密算法的種類，產(chǎn)生的隨機數(shù)，以及其他服務(wù)器和客戶端之間通訊所需要的各種信息。②服務(wù)器向客戶端傳送SSL協(xié)議的版本號，加密算法的種類，隨機數(shù)以及其他相關(guān)信息，同時服務(wù)器還將向客戶端傳送自己的證書。③客戶利用服務(wù)器傳過來的信息驗證服務(wù)器的合法性，服務(wù)器的合法性包括：證書是否過期，發(fā)行服務(wù)器證書的CA是否可靠，發(fā)行者證書的公鑰能否正確解開服務(wù)器證書的“發(fā)行者的數(shù)字簽名”，服務(wù)器證書上的域名是否和服務(wù)器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續(xù)進行第四步。④用戶端隨機產(chǎn)生一個用于后面通訊的“對稱密碼”，然后用服務(wù)器的公鑰（服務(wù)器的公鑰從步驟②中的服務(wù)器的證書中獲得）對其加密，然后將加密后的“預(yù)主密碼”傳給服務(wù)器。⑤如果服務(wù)器要求客戶的身份認(rèn)證（在握手過程中為可選），用戶可以建立一個隨機數(shù)然后對其進行數(shù)據(jù)簽名，將這個含有簽名的隨機數(shù)和客戶自己的證書以及加密過的“預(yù)主密碼”一起傳給服務(wù)器。（2）SSL協(xié)議的握手過程。⑥如果服務(wù)器要求客戶的身份認(rèn)證，服務(wù)器必須檢驗客戶證書和簽名隨機數(shù)的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的CA是否可靠，發(fā)行CA的公鑰能否正確解開客戶證書的發(fā)行CA的數(shù)字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，服務(wù)器將用自己的私鑰解開加密的“預(yù)主密碼”，然后執(zhí)行一系列步驟來產(chǎn)生主通訊密碼（客戶端也將通過同樣的方法產(chǎn)生相同的主通訊密碼）。⑦服務(wù)器和客戶端用相同的主密碼即“通話密碼”，一個對稱密鑰用于SSL協(xié)議的安全數(shù)據(jù)通訊的加解密通訊。同時在SSL通訊過程中還要完成數(shù)據(jù)通訊的完整性，防止數(shù)據(jù)通訊中的任何變化。⑧客戶端向服務(wù)器端發(fā)出信息，指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知服務(wù)器客戶端的握手過程結(jié)束。⑨服務(wù)器向客戶端發(fā)出信息，指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務(wù)器端的握手過程結(jié)束。⑩SSL的握手部分結(jié)束，SSL安全通道的數(shù)據(jù)通訊開始，客戶和服務(wù)器開始使用相同的對稱密鑰進行數(shù)據(jù)通訊，同時進行通訊完整性的檢驗。⑥如果服務(wù)器要求客戶的身份認(rèn)證，服務(wù)器必須檢驗客戶證書和簽名（3）SSL應(yīng)用情況。SSL安全協(xié)議是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議，至今仍然有許多網(wǎng)絡(luò)商店在使用。SSL提供的保密連接有很大的漏洞，SSL除了傳輸過程以外不能提供任何安全保證，SSL并不能使客戶確信此公司接收信用卡支付是得到授權(quán)的。SSL位于TCP層之上，應(yīng)用層之下，它相對于應(yīng)用層來說是獨立的，應(yīng)用層是直接建立在SSL上的。在實際應(yīng)用中，SSL可保證信息的真實性、完整性和保密性，卻無法提供交易的不可否認(rèn)性，這是由于SSL不對應(yīng)用層的消息進行數(shù)字簽名。為解決這一問題，Netscape公司在推出Web瀏覽器Communicator3.0版本時，在瀏覽器中引入“表單簽名”功能，以彌補這一缺陷。在國內(nèi)，開展網(wǎng)上銀行業(yè)務(wù)的銀行對安全標(biāo)準(zhǔn)的選擇也不一致，中國銀行網(wǎng)上支付的安全協(xié)議采用的是SET標(biāo)準(zhǔn)，而建設(shè)銀行、招商銀行采用的是SSL協(xié)議。（3）SSL應(yīng)用情況。實踐訓(xùn)練1．課堂討論（1）什么是SSL協(xié)議？由幾部分構(gòu)成？（2）SSL協(xié)議的工作流程是什么？（3）SSL協(xié)議有哪些優(yōu)缺點？實踐訓(xùn)練1．課堂討論2．案例分析

以往，電子商務(wù)的許多應(yīng)用是不進行客戶機認(rèn)證的。不過，目前各公司都將SSL作為一項協(xié)議供數(shù)據(jù)中心里的新應(yīng)用使用。對于基于SSL的VPN，以及那些需要對終端用戶進行額外認(rèn)證的應(yīng)用而言，客戶機認(rèn)證正在成為一種趨勢?？蛻魴C認(rèn)證使得服務(wù)器可以使用與允許客戶機對服務(wù)器進行認(rèn)證相同的技術(shù)，在協(xié)議之內(nèi)對用戶身份進行確認(rèn)。盡管兩者認(rèn)證的信息流極為不同，但是從概念上來看，其過程與服務(wù)器認(rèn)證是相同的。這一過程同樣也會在SSL握手子協(xié)議之內(nèi)進行。在這種情況下，客戶機必須向服務(wù)器提供有效的證書。服務(wù)器可以通過使用公共密鑰密碼學(xué)的標(biāo)準(zhǔn)技術(shù)對終端用戶的有效性進行認(rèn)證。SSL所具有的靈活性和強勁的生命力使其無所不在?？梢灶A(yù)言的是，在SSL成為企業(yè)應(yīng)用、無線訪問設(shè)備、Web服務(wù)以及安全訪問管理的關(guān)鍵性協(xié)議的同時，SSL的應(yīng)用將繼續(xù)大幅度增長。討論與分析：什么是客戶機認(rèn)證？它對提高電子商務(wù)支付的安全性有何作用？2．案例分析3．實務(wù)訓(xùn)練目前我國開發(fā)的許多電子支付系統(tǒng)，比如中國銀行的長城卡電子支付系統(tǒng)，為什么沒有采用SSL協(xié)議？實訓(xùn)說明：（1）本部分實訓(xùn)在授課后集中或者分散實訓(xùn)（2）上網(wǎng)查詢相關(guān)知識，進行課堂討論。4．課后拓展SSL還存在哪些不足？需要做哪些改進？3．實務(wù)訓(xùn)練第3單元SET協(xié)議情景案例信用卡是最為常見的網(wǎng)上支付工具，信用卡的泄密、被盜等現(xiàn)象也是屢見不鮮。張麗艷同學(xué)在上個單元的學(xué)習(xí)中，對SSL協(xié)議有了較深的了解，但是中國銀行的長城卡電子支付系統(tǒng)為什么沒有采用SSL協(xié)議呢？一定還會有其他的電子支付安全協(xié)議，通過課后學(xué)習(xí)，了解到中國銀行的長城卡電子支付系統(tǒng)采用的是SET協(xié)議。這是為什么呢？第3單元SET協(xié)議情景案例任務(wù)思考那么，什么是SET安全協(xié)議？它的特點是什么？SET協(xié)議是如何保證通信安全的呢？SET協(xié)議與SSL協(xié)議有什么不同？等等。任務(wù)思考任務(wù)分析

為了克服SSL安全協(xié)議的缺點，VISA國際組織及其它公司如MasterCard、MicroSoft和IBM等共同制定了安全電子交易SET（SecureElectronicTransactions）協(xié)議。SET是一個為在線交易而設(shè)立的一個開放的以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于BtoC模式中保障支付信息的安全性。SET在保留對客戶信用卡認(rèn)證的前提下，又增加了對商家身份的認(rèn)證，這對于需要支付貨幣的交易來講是至關(guān)重要的。SET安全電子交易協(xié)議是一種基于消息流的協(xié)議，該協(xié)議主要是為了解決用戶、商家和銀行之間通過信用卡在線支付而設(shè)計的，以保證支付信息的機密、支付過程的完整、持卡人的合法身份以及可操作性，SET中的核心技術(shù)主要有公開密鑰加密、數(shù)字簽名、數(shù)字信封和數(shù)字證書等

電子商務(wù)支付與安全概述課件相關(guān)知識

1．SET協(xié)議簡介電子商務(wù)面臨的最大挑戰(zhàn)，即交易的安全問題。在網(wǎng)上購物的環(huán)境中，持卡人希望在交易中保密自己的帳戶信息，使之不被人盜用；商家則希望客戶的定單不可抵賴，并且在交易過程中，交易各方都希望驗明對方的身份，以防止被欺騙。1995年10月，包括Mastercard、Netscape和IBM在內(nèi)的聯(lián)盟開始著手進行安全電子支付協(xié)議（SEPP）的開發(fā)。隨后，Visa和微軟組成的聯(lián)盟開始開發(fā)另外一種不同的網(wǎng)絡(luò)支付規(guī)范，叫做安全交易技術(shù)（SecureElectronicTransaction，STT）。由于兩大信用卡組織Mastercard利Visa分別支持獨立的網(wǎng)絡(luò)支付解決方案，影響了網(wǎng)絡(luò)支付的發(fā)展，所以1996年1月，VISA和Mastercard聯(lián)合發(fā)起并推動了“安全電子交易”SET（SecureElectronicTransaction）協(xié)議的制定、測試和實施，并于1997年5月發(fā)布正式的1.0版本標(biāo)準(zhǔn)。相關(guān)知識

1．SET協(xié)議簡介SET協(xié)議即安全電子交易標(biāo)準(zhǔn)，利用RSA和DES技術(shù)實現(xiàn)安全性，用于支持使用信用卡進行交易的在線電子支付。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于BtoC模式中保障支付信息的安全性。SET提供了消費者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點，因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。中國銀行是國內(nèi)第一家使用SET協(xié)議的金融機構(gòu)。SET協(xié)議即安全電子交易標(biāo)準(zhǔn)，利用RSA和DES技術(shù)實現(xiàn)安全2．SET協(xié)議的目標(biāo)和特點（1）SET協(xié)議的目標(biāo)。①保證電子商務(wù)參與者信息的相互隔離，客戶的資料加密或打包后經(jīng)過商家到達銀行，但是商家不能看到客戶的賬戶和密碼信息；②保證信息在Internet上安全傳輸，防止數(shù)據(jù)被第三方竊?。虎劢鉀Q多方認(rèn)證問題，不僅要對消費者的信用卡認(rèn)證，而且要對在線商店的信譽程度認(rèn)證，同時還有消費者、在線商店與銀行間的認(rèn)證；④保證了網(wǎng)上交易的實時性，使所有的支付過程都是在線的；⑤規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。2．SET協(xié)議的目標(biāo)和特點（2）SET協(xié)議的特點。SET協(xié)議比SSL協(xié)議有了很大改進。其特點是：①保證信息在Internet上安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊聽。②訂單信息和個人賬號信息的隔離。在將包括持卡人賬號信息的訂單送到商家時，商家只能看到訂貨信息，而看不到持卡人的賬戶信息，從而保證電子商務(wù)參與者信息的相互隔離。③持卡人和商家的相互認(rèn)證，以確定通信雙方的身份，一般由第三方機構(gòu)負(fù)責(zé)為在線通信方雙方提供信用擔(dān)保，從而解決了多方認(rèn)證問題。④保證網(wǎng)上交易的實時性．使所有的支付過程都在網(wǎng)絡(luò)上進行。⑤要求軟件遵循相同的協(xié)議和消息格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。（2）SET協(xié)議的特點。3．SET安全協(xié)議涉及的對象和技術(shù)范圍（1）SET協(xié)議規(guī)范的對象。

①消費者

②在線商店

③支付網(wǎng)關(guān)

④收單銀行

⑤電子貨幣發(fā)行⑥認(rèn)證中心CA）3．SET安全協(xié)議涉及的對象和技術(shù)范圍①消費者②在線商店（2）SET協(xié)議規(guī)范的技術(shù)范圍。包括以下六個方面：①加密算法的應(yīng)用（例如RSA和DES）。②證書信息和對象格式。③購買信息和對象格式。④認(rèn)可信息和對象格式。⑤劃賬信息和對象格式。⑥對話實體之間消息的傳輸協(xié)議。（2）SET協(xié)議規(guī)范的技術(shù)范圍。4．SET安全協(xié)議的工作原理（1）SET協(xié)議的工作流程。分為下面七個步驟：①消費者在Internet上搜索所要購買的商品，通過計算機輸入訂貨單。②通過電子商務(wù)服務(wù)器與有關(guān)在線商店聯(lián)系，在線商店做出應(yīng)答，以確認(rèn)訂單條款的準(zhǔn)確性。③消費者選擇付款方式，確認(rèn)訂單，簽發(fā)付款指令。④消費者對訂單和付款指令進行數(shù)字簽名，同時利用雙重簽名技術(shù)保證商家看不到消費者的賬號信息。⑤在線商店接受訂單后，向消費者所在銀行請求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認(rèn)，批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。⑥在線商店發(fā)送訂單確認(rèn)信息給消費者。⑦在線商店發(fā)送貨物或提供服務(wù)，并通知收單銀行進行轉(zhuǎn)賬通知發(fā)卡行請求支付。4．SET安全協(xié)議的工作原理（2）SET支付流程。

如圖8-4所示，一個完整的SET支付流程如下：

（2）SET支付流程。

如圖8-4所示，一個完整的SET支付①支付初始化請求和響應(yīng)階段。當(dāng)客戶決定要購買商家的商品并使用SET錢夾付錢時，商家服務(wù)器上POS軟件發(fā)報文給客戶的瀏覽器SET錢夾付錢，SET錢夾則要求客戶輸入口令然后與商家服務(wù)器交換“握手”信息，使客戶和商家相互確認(rèn)，即客戶確認(rèn)商家被授權(quán)可以接受信用卡，同時商家也確認(rèn)客戶是一個合法的持卡人。②支付請求階段?？蛻舭l(fā)一報文，包括訂單和支付命令。在訂單和支付命令中必須有客戶的數(shù)字簽名，同時利用雙重簽名技術(shù)保證商家看不到客戶的賬號信息。只有位于商家開戶行的被稱為支付網(wǎng)關(guān)的另外一個服務(wù)器可以處理支付命令中的信息。③授權(quán)請求階段。商家收到訂單后，POS組織一個授權(quán)請求報文，其中包括客戶的支付命令，發(fā)送給支付網(wǎng)關(guān)。支付網(wǎng)關(guān)是一個Internet服務(wù)器，是連接Internet和銀行內(nèi)部網(wǎng)絡(luò)的接口。授權(quán)請求報文通過到達收單銀行后，收單銀行再到發(fā)卡銀行確認(rèn)。④授權(quán)響應(yīng)階段。收單銀行得到發(fā)卡銀行的批準(zhǔn)后，通過支付網(wǎng)關(guān)發(fā)給商家授權(quán)響應(yīng)報文。⑤支付響應(yīng)階段。商家發(fā)送訂單確認(rèn)信息給顧客，顧客端軟件可記錄交易日志，以備將來查詢。同時商家給客戶裝運貨物，或完成訂購的服務(wù)。①支付初始化請求和響應(yīng)階段。當(dāng)客戶決定要購買商家的商品并使用5．SET安全協(xié)議的不足之處（1）協(xié)議并沒有說明收單銀行給在線商店付款前，是否必須收到消費者的貨物接受證書，如果在線商店提供貨物不符合質(zhì)量標(biāo)準(zhǔn)，消費者提出疑義，責(zé)任該由誰來承擔(dān)。（2）協(xié)議沒有擔(dān)保“非拒絕行為”，這意味著在線商店沒有辦法證明訂購是不是由簽署證書的消費者發(fā)出的。（3）SET技術(shù)規(guī)范沒有提及事務(wù)處理完成后，如何安全地保存或銷毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費者、在線商店或收單銀行的計算機里，這些漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。（4）SET協(xié)議過于復(fù)雜，使用麻煩，成本高，數(shù)據(jù)處理時間相對較長，而且只適用于客戶具有電子錢包的場合。（5）SET的證書格式比較特殊，雖然也遵循X.509標(biāo)準(zhǔn)，但它主要是由Visa和MasterCard開發(fā)并按信用卡支付方式進行定義的，因而SET主要支持卡支付業(yè)務(wù)，對其它支付方式存在一定的限制。（6）在SET協(xié)議中，雖然用戶賬號不會明文傳遞，通常采用1024位RSA不對稱密鑰加密，但在實際應(yīng)用中發(fā)現(xiàn)大多數(shù)商戶都收到了持卡人的賬號，所以用戶賬號泄漏問題仍然存在。5．SET安全協(xié)議的不足之處6．SSL和SET協(xié)議比較SET與SSL相比具有如下優(yōu)點：（1）SET為商家提供了保護自己的手段，使商家免受欺詐的困擾，使商家的運營成本降低。（2）對消費者而言，SET保證了商家的合法性，并且用戶的信用卡號不會被竊取，SET替消費者保守了更多的秘密使其在線購物更加輕松。（3）銀行和發(fā)卡機構(gòu)以及各種信用卡組織來說，因為SET可以幫助它們將業(yè)務(wù)擴展到Internet這個廣闊的空間，從而使得信用卡網(wǎng)上支付具有更低的欺騙概率，這使得它比其他支付方式具有更大的競爭力。（4）SET對于參與交易的各方定義了互操作接口，一個系統(tǒng)可以由不同廠商的產(chǎn)品構(gòu)筑。6．SSL和SET協(xié)議比較實踐訓(xùn)練1．課堂討論（1）什么是SET協(xié)議？有什么特點？（2）SET協(xié)議的工作流程是什么？（3）SSL協(xié)議有哪些優(yōu)點和不足？實踐訓(xùn)練2．案例分析SET協(xié)議的擴展（1）商家初始授權(quán)擴展（TheMerchantInitiatedAuthorizationExtension）版本。標(biāo)準(zhǔn)的SET協(xié)議，其授權(quán)是從持卡人采用SET協(xié)議開始的。而商家初始授權(quán)擴展允許一個商家為非SET的訂購進行授權(quán)和請款（CaptureRequest）。這些訂購是由持卡人采用非SET的傳輸方式完成的，如采用電話、傳真、SSL等方式通知商家支付信息，由商家采用SET協(xié)議向銀行發(fā)出授權(quán)請求。該擴展拓寬了SET協(xié)議的應(yīng)用場合，實現(xiàn)了現(xiàn)有電子商務(wù)的支付方式向SET模式的平滑過渡。（2）在線個人識別號擴展（OnlinePINExtensiontoSET1.0）版本。個人識別號PIN是用戶為支付卡設(shè)定的個人密碼。SET協(xié)議在線個人識別號擴展版本定義了兩種使用PIN的擴展方式。一是持卡人通過任何方式（包括鍵盤）來輸入PIN；二是通過安全設(shè)備來輸入PIN。在實際應(yīng)用中，根據(jù)支付卡的政策決定使用方式。該擴展版本增強了信用卡的認(rèn)證信息，為借記卡和IC卡采用SET協(xié)議提供了新的用戶信息識別方式。（3）芯片卡擴展（CommonChipExtension）版本。芯片卡（如IC卡）與磁卡相比，具有存儲信息容量大、安全性能高、使用快捷方便等優(yōu)點。SET1.0標(biāo)準(zhǔn)出臺時沒有考慮對芯片卡的支持。1999年9月，SETC0批準(zhǔn)公布了EuropeInternational、MasterCardInternational、VISAInternational提交的“CommonChipExtensionSET1.0”，支持芯片卡采用SET協(xié)議進行安全電子交易，并使SET具有處理芯片卡數(shù)據(jù)的通用擴展性能。討論與分析：SET協(xié)議的擴展對提高電子商務(wù)支付的安全性有何作用？2．案例分析SET協(xié)議的擴展3．實務(wù)訓(xùn)練上網(wǎng)和和查閱其他參考書，查找哪些銀行使用SSL協(xié)議，哪些使用SET協(xié)議，比較兩個協(xié)議的優(yōu)缺點，說明兩種協(xié)議并存的原因。實訓(xùn)說明：本部分實訓(xùn)在授課后分散實訓(xùn)。4．課后拓展SET協(xié)議還存在哪些不足？需要做哪些改