電子商務(wù)安全協(xié)議課件

第七章電子商務(wù)安全協(xié)議

第七章電子商務(wù)安全協(xié)議第七章安全電子交易協(xié)議SET

7.1電子商務(wù)安全協(xié)議概述7.2安全電子交易協(xié)議7.3安全套接層協(xié)議7.4安全超文本傳輸協(xié)議7.5EDI協(xié)議第七章安全電子交易協(xié)議SET7.1電子商務(wù)安全協(xié)議概電子商務(wù)安全協(xié)議是保證網(wǎng)上交易的機(jī)密性、信息完整性、身份合法性和不可否認(rèn)性的基礎(chǔ)完成信息安全交換共同約定的邏輯操作規(guī)則。包括：安全電子交易協(xié)議SET、安全套階層協(xié)議SSL、安全超文本傳輸協(xié)議S-HTTP、電子數(shù)據(jù)交換EDI和IP安全協(xié)議IPsec7.1電子商務(wù)安全協(xié)議概述電子商務(wù)安全協(xié)議是保證網(wǎng)上交易的機(jī)密性、信息完整性、身份合法7.2安全電子交易協(xié)議安全電子交易協(xié)議SET(SecureElectronicTransaction)是由Visa和MasterCard所開發(fā)的，是為了在Internet上進(jìn)行在線交易時(shí)，保證信用卡支付的安全而設(shè)計(jì)開發(fā)的一個(gè)開放的規(guī)范。由于得到了IBM、HP、Microsoft、NetScape、GTE、Verisign等很多大公司的支持，它已成了事實(shí)上的工業(yè)標(biāo)準(zhǔn)，目前它已獲得IEEE標(biāo)準(zhǔn)的認(rèn)可。SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了網(wǎng)上交易數(shù)據(jù)的保密性、數(shù)據(jù)的完整性及交易的不可抵賴性。特別是能保證不將消費(fèi)者銀行卡號(hào)暴露給商家，不將消費(fèi)者的購物內(nèi)容暴露給銀行等優(yōu)點(diǎn)，SET在一些國家中得到很好的應(yīng)用。SET采用公鑰密碼體制，遵循X.509數(shù)字證書標(biāo)準(zhǔn)。7.2安全電子交易協(xié)議安全電子交易協(xié)議SET(SecureSET協(xié)議使用加密技術(shù)提供信息的機(jī)密性，保證支付的完整性，驗(yàn)證商家和持卡者。SET是一種網(wǎng)絡(luò)銀行卡付款機(jī)制。是基于可信第三方認(rèn)證中心的方案。支付安全的目標(biāo)是：保證信息機(jī)交易過程安全。支持應(yīng)用的互操作性。實(shí)現(xiàn)可推廣性。7.2安全電子交易協(xié)議SET協(xié)議使用加密技術(shù)提供信息的機(jī)密性，保證支付的完整性，驗(yàn)在SET協(xié)議中主要定義了以下內(nèi)容。(1)加密算法的應(yīng)用(如RSA和DES)。(2)證書消息和對象格式。(3)購買消息和對象格式。(4)請款消息和對象格式。(5)參與者之間的消息協(xié)議。7.2安全電子交易協(xié)議在SET協(xié)議中主要定義了以下內(nèi)容。7.2安全電子交易協(xié)議7.2安全電子交易協(xié)議7.2安全電子交易協(xié)議第7章-電子商務(wù)安全協(xié)議課件7.2.2SET交易的參與者電子交易處理開始于持卡者。(1)持卡者(Cardholder)。在電子商務(wù)環(huán)境中，消費(fèi)者和團(tuán)體購買者通過計(jì)算機(jī)與商家進(jìn)行交互，持卡者使用一個(gè)發(fā)卡行發(fā)行的支付卡。(2)發(fā)卡行(Issuer)。一個(gè)發(fā)卡行是一個(gè)金融機(jī)構(gòu)，為持卡者建立一個(gè)賬戶并發(fā)行支付卡，一個(gè)發(fā)卡行保證對經(jīng)過授權(quán)的交易進(jìn)行付款。(3)商家(Merchant)。商家提供商品和服務(wù)，在SET中，商家與持卡者可以進(jìn)行安全電子交易，一個(gè)商家必須與相關(guān)的收單行達(dá)成協(xié)議，保證可以接收支付卡付款。7.2安全電子交易協(xié)議7.2.2SET交易的參與者7.2安全電子交易協(xié)議(4)收單行(Acquirer)。一個(gè)收單行是一個(gè)金融機(jī)構(gòu)，為商家建立一個(gè)賬戶并處理支付卡授權(quán)和支付。(5)支付網(wǎng)關(guān)(PaymentGateway)。一個(gè)支付網(wǎng)關(guān)是一個(gè)由收單行操作的設(shè)備，或者是指定的第三方，用于處理支付卡授權(quán)和支付。(6)認(rèn)證中心(CA)。負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)。采用多層分級結(jié)構(gòu)，負(fù)責(zé)發(fā)放和撤銷持卡人、商家和支付網(wǎng)關(guān)的證書。(7)第三方(ThirdParties)。發(fā)卡行和收單行有時(shí)指定第三方來處理支付卡交易，在SET協(xié)議中沒有區(qū)分金融機(jī)構(gòu)和交易處理者，認(rèn)為是一家。7.2安全電子交易協(xié)議(4)收單行(Acquirer)。一個(gè)收單行是一個(gè)金融機(jī)構(gòu)，7.2安全電子交易協(xié)議7.2安全電子交易協(xié)議7.2.3SET協(xié)議的相關(guān)技術(shù)在SET中所涉及到的技術(shù)主要有加密技術(shù)和身份認(rèn)證技術(shù)，其中加密技術(shù)是核心，包括：（1）對稱加密技術(shù)（2）非對稱加密技術(shù)（7）消息摘要技術(shù)（4）數(shù)字簽名（5）數(shù)字信封（6）雙重?cái)?shù)字簽名（7）數(shù)字證書7.2安全電子交易協(xié)議7.2.3SET協(xié)議的相關(guān)技術(shù)7.2安全電子交易協(xié)議7.2安全電子交易協(xié)議7.2安全電子交易協(xié)議對于一些信息的流動(dòng)必須要做到端對端加密。但有些信息端對端加密還不夠，如銀行卡中與資金有關(guān)的數(shù)據(jù)，持卡人就不想讓商戶看到；而購物有關(guān)的數(shù)據(jù)，商戶又不想讓收單銀行看到，但端對端加密辦法就做不到這一點(diǎn)。一個(gè)完整的購買交易所需的信息包括：交易開始(PInitReq/PInitRes)購買指令(PReq／PRes)授權(quán)請求(AuthReq／AuthRes)支付指令(CapReq／CapRes)持卡人查詢(InqReq／lnqRes)7.2安全電子交易協(xié)議對于一些信息的流動(dòng)必須要做到端對端加密。但有些信息端對端加密持卡人商戶支付網(wǎng)關(guān)（收單銀行）PInitReqPInitResPReqPResIngReqIngResPReq之后時(shí)間可選AuthReqAuthResCapReqCapResSET交易步驟7.2安全電子交易協(xié)議持卡人商戶支付網(wǎng)關(guān)（收單銀行）PInitReqPInitPIData….…OIDataTransIDBrandIDDateChall_CChall_MODsalt(nonce)H(OIData)H(PIData)HashOIOIDataDualSigH2Sign{H2}Sigc訂貨信息結(jié)構(gòu)7.2安全電子交易協(xié)議PIDataOIDataH(OIData)H(PID雙重?cái)?shù)字簽名-生成OIPIB:訂貨信息C:支付信息MDBMDCMDBCDSPVARSA雙重?cái)?shù)字簽名C(PI)DSMDB

PBA

EMCSK2DESDECSK2PBCB(OI)DSMDC

PBA

EMBSK1DESDEBSK1PBB雙重?cái)?shù)字簽名-生成OIPIB:訂貨信息C:支付信息MDBMD雙重?cái)?shù)字簽名-生成B(OI)DSMDC

PBA

EMBSK1DESDEBSK1PBBC(PI)DSMDB

PBA

EMCSK2DESDECSK2PBC發(fā)送給商戶B的信息發(fā)送給銀行C的信息雙重?cái)?shù)字簽名-生成B(OI)DSMDCPBAE雙重?cái)?shù)字簽名—B驗(yàn)證EMBDMBEMCDMCEMBB(OI)DSMDCPBASK1DESMDBMDBC’DSMDBC比較PBARSADEBPVBRSASK1雙重?cái)?shù)字簽名—B驗(yàn)證EMBDMBEMCDMCEMBB(OI)雙重?cái)?shù)字簽名—C驗(yàn)證EMBDMBEMCDMCEMCC(PI)DSMDBPBASK2DESMDCMDBC’DSMDBC比較PBARSADECPVCRSASK2雙重?cái)?shù)字簽名—C驗(yàn)證EMBDMBEMCDMCEMCC(PI)消費(fèi)者（持卡人）認(rèn)證中心CA電子錢包網(wǎng)上商店支付網(wǎng)關(guān)發(fā)卡行銀行卡總中心ISO8583銀行網(wǎng)絡(luò)SETSETSETSET電子商務(wù)環(huán)境7.2安全電子交易協(xié)議消費(fèi)者（持卡人）認(rèn)證中心CA電子錢包網(wǎng)上商店支付網(wǎng)關(guān)發(fā)卡行銀7.2.4SET的交易流程采用SET的電子商務(wù)交易分為3個(gè)階段：（1）信用卡持有者與商家協(xié)商交易商品列表及所采用的支付方式。（2）信用卡持有者發(fā)送支付貨款指令，商家與銀行核實(shí)付款。（3）商家向銀行出示所有交易細(xì)節(jié)，銀行以適當(dāng)?shù)姆绞较蛏碳肄D(zhuǎn)移貨款。7.2安全電子交易協(xié)議7.2.4SET的交易流程7.2安全電子交易協(xié)議7.2.4SET交易流程7.2安全電子交易協(xié)議7.2.4SET交易流程7.2安全電子交易協(xié)議7.3安全套接層協(xié)議SSL是提供Internet上的通信隱私性的安全協(xié)議。該協(xié)議允許客戶端／服務(wù)器應(yīng)用之間進(jìn)行防竊聽、防消息篡改及消息偽造的安全的通信。TCP／IP是整個(gè)Internet數(shù)據(jù)傳輸和通信所使用的最基本的控制協(xié)議。SSL協(xié)議可以有效地避免網(wǎng)上信息的偷聽、篡改以及消息的偽造。TCP/IPLayerSecureSocketsLayer網(wǎng)絡(luò)通信層…應(yīng)用層HTTPLDAPIMAP7.3安全套接層協(xié)議SSL是提供Internet上的通信隱SSL標(biāo)準(zhǔn)的關(guān)鍵是要解決以下幾個(gè)問題。(1)客戶對服務(wù)器的身份確認(rèn)：SSL服務(wù)器允許客戶的瀏覽器使用標(biāo)準(zhǔn)的公鑰加密技術(shù)和一些可靠的認(rèn)證中心(CA)的證書，來確認(rèn)服務(wù)器的合法性(檢驗(yàn)服務(wù)器的證書和ID的合法性)。對于用戶服務(wù)器身份的確認(rèn)與否是非常重要的，因?yàn)榭蛻艨赡芟蚍?wù)器發(fā)送自己的信用卡密碼。7.3安全套接層協(xié)議SSL標(biāo)準(zhǔn)的關(guān)鍵是要解決以下幾個(gè)問題。7.3安全套接層協(xié)議(2)服務(wù)器對客戶的身份確認(rèn)：允許SSL服務(wù)器確認(rèn)客戶的身份，SSL協(xié)議允許客戶服務(wù)器的軟件通過公鑰技術(shù)和可信賴的證書，來確認(rèn)客戶的身份(客戶的證書client’scertificate)。對于服務(wù)器客戶身份的確認(rèn)與否是非常重要的，因?yàn)榫W(wǎng)上銀行可能要向客戶發(fā)送機(jī)密的金融信息。(3)建立起服務(wù)器和客戶之間安全的數(shù)據(jù)通道：SSL要求客戶和服務(wù)器之間的所有的發(fā)送數(shù)據(jù)都被發(fā)送端加密，所有的接收數(shù)據(jù)都被接收端解密，這樣才能提供一個(gè)高水平的安全保證。同時(shí)SSL協(xié)議會(huì)在傳輸過程中檢查數(shù)據(jù)是否被中途修改。7.3安全套接層協(xié)議(2)服務(wù)器對客戶的身份確認(rèn)：7.3安全套接層協(xié)議SSL協(xié)議的工作流程：

服務(wù)器認(rèn)證階段：1）客戶端向服務(wù)器發(fā)送一個(gè)開始信息“Hello”以便開始一個(gè)新的會(huì)話連接；2）服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息；3）客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；7.3安全套接層協(xié)議SSL協(xié)議的工作流程：

服務(wù)器認(rèn)證階段：7.3安全套接層協(xié)4）服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。用戶認(rèn)證階段：在此之前，服務(wù)器已經(jīng)通過了客戶認(rèn)證，這一階段主要完成對客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。7.3安全套接層協(xié)議4）服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息SSL協(xié)議提供的服務(wù)可以歸納為如下：1．用戶和服務(wù)器的合法性認(rèn)證（認(rèn)證性）使得用戶和服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上?？蛻魴C(jī)和服務(wù)器都有各自的識(shí)別號(hào)，由公開密鑰編排。為了驗(yàn)證用戶，安全套接層協(xié)議要求在握手交換數(shù)據(jù)中做數(shù)字認(rèn)證，以此來確保用戶的合法性。7.3安全套接層協(xié)議SSL協(xié)議提供的服務(wù)可以歸納為如下：7.3安全套接層協(xié)議2．加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)（秘密性）安全套接層協(xié)議采用的加密技術(shù)既有對稱密鑰，也有公開密鑰。具體來說，就是客戶機(jī)與服務(wù)器交換數(shù)據(jù)之前，先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術(shù)，以保證其機(jī)密性和數(shù)據(jù)的完整性，并且經(jīng)數(shù)字證書鑒別。這樣就可以防止非法用戶破譯。3．維護(hù)數(shù)據(jù)的完整性（完整性）安全套接層協(xié)議采用Hash函數(shù)和機(jī)密共享的方法，提供完整信息性的服務(wù)，來建立客戶機(jī)與服務(wù)器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)在傳輸過程中都能完整準(zhǔn)確無誤地到達(dá)目的地。7.3安全套接層協(xié)議2．加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)（秘密性）7.3安全套接層協(xié)SSL協(xié)議主要包含握手協(xié)議(handshakeprotocol)和記錄協(xié)議(recordprotocol)，記錄協(xié)議確定數(shù)據(jù)安全傳輸?shù)哪Ｊ剑帐謪f(xié)議用于客戶和服務(wù)器建立起安全連接之前交換一系列的安全信息，這些安全信息主要包括以下內(nèi)容：(1)客戶確定服務(wù)器的身份。(2)允許客戶和服務(wù)器選擇雙方共同支持的一系列加密算法。(3)服務(wù)器確定客戶的身份(可選)。(4)通過公鑰密碼技術(shù)產(chǎn)生雙方共同的密鑰。(5)建立SSL的加密安全通道。7.3安全套接層協(xié)議SSL協(xié)議主要包含握手協(xié)議(handshakeprotoc7.3安全套接層協(xié)議7.3安全套接層協(xié)議客戶機(jī)發(fā)出安全會(huì)話請求（hello）服務(wù)器發(fā)送X.509證書（包含服務(wù)器的公鑰）客戶機(jī)生成隨機(jī)對稱密鑰，并用服務(wù)器的公鑰加密客戶機(jī)與服務(wù)器用隨機(jī)對稱密鑰加密會(huì)話期間的數(shù)據(jù)客戶機(jī)將隨機(jī)對稱密鑰發(fā)送給服務(wù)器7.3安全套接層協(xié)議客戶機(jī)發(fā)出安全會(huì)話請求（hello）服務(wù)器發(fā)送X.509證書7.3安全套接層協(xié)議7.3安全套接層協(xié)議SSL記錄層協(xié)議限定了所有發(fā)送和接收數(shù)據(jù)的打包，它提供了通信、身份認(rèn)證功能，它是一個(gè)在面向連接的可靠傳輸協(xié)議，如TCP／IP上提供安全保護(hù)。在SSL中，所有數(shù)據(jù)被封裝在記錄中。一個(gè)記錄由兩部分組成：記錄頭和非零長度的數(shù)據(jù)。記錄頭可以是2字節(jié)或3字節(jié)(當(dāng)有填充數(shù)據(jù)時(shí)使用)。SSL握手層協(xié)議的報(bào)文要求必須放在一個(gè)SSL記錄層的記錄里，但應(yīng)用層協(xié)議的報(bào)文允許占用多個(gè)SSL記錄來傳送。7.3安全套接層協(xié)議SSL記錄層協(xié)議限定了所有發(fā)送和接收數(shù)據(jù)的打包，它提供了通信記錄頭類型記錄長度MAC數(shù)據(jù)記錄頭類型Escape位填充長度記錄長度MAC數(shù)據(jù)填充數(shù)據(jù)2字節(jié)頭記錄3字節(jié)頭記錄7.3安全套接層協(xié)議記錄頭類型記錄長度MAC數(shù)據(jù)記錄頭類型Escape位填充長度SSL的記錄頭可以是兩個(gè)或三個(gè)字節(jié)長的編碼。SSL記錄頭包含的信息有記錄頭的長度、記錄數(shù)據(jù)的長度、記錄數(shù)據(jù)中是否有填充數(shù)據(jù)。其中填充數(shù)據(jù)是在使用塊加密(blockencryption)算法時(shí)，填充實(shí)際數(shù)據(jù)，使其長度恰好是塊的整數(shù)倍。最高位為1時(shí)，不含有填充數(shù)據(jù)，記錄頭的長度為兩個(gè)字節(jié)，記錄數(shù)據(jù)的最大長度為32767個(gè)字節(jié)；最高位為0時(shí)，含有填充數(shù)據(jù)，記錄頭的長度為三個(gè)字節(jié)，記錄數(shù)據(jù)的最大長度為16383個(gè)字節(jié)。7.3安全套接層協(xié)議SSL的記錄頭可以是兩個(gè)或三個(gè)字節(jié)長的編碼。SSL記錄頭包含SSL記錄數(shù)據(jù)部分有三個(gè)分量：MAC-DATA、ACTUAL-DATA、PADDING-DATA。MAC數(shù)據(jù)用于數(shù)據(jù)完整性檢查。計(jì)算MAC所用的散列函數(shù)由握手協(xié)議中的CIPHER-CHOICE消息確定。若使用MD2和MD5算法，則MAC數(shù)據(jù)長度是16個(gè)字節(jié)。MAC的計(jì)算公式：MAC數(shù)據(jù)：Hash[密鑰，實(shí)際數(shù)據(jù)，填充數(shù)據(jù)，序號(hào)]。ACTUAL-DATA是被傳送的應(yīng)用數(shù)據(jù)，PADDING-DATA是當(dāng)采用分組碼時(shí)所需要的填充數(shù)據(jù)，在明文傳送下只有第二項(xiàng)。7.3安全套接層協(xié)議SSL記錄數(shù)據(jù)部分有三個(gè)分量：MAC-DATA、ACTUAL7.3.4SSL協(xié)議與SET協(xié)議的比較SSL協(xié)議實(shí)現(xiàn)簡單、使用方便、成本較低，易推廣普及。SET協(xié)議實(shí)施成本較高，要依賴于可信任第三方認(rèn)證機(jī)構(gòu)，運(yùn)行機(jī)制復(fù)雜。SSL協(xié)議是面向連接的協(xié)議，無法實(shí)現(xiàn)多方認(rèn)證，而SET能對所有參與者進(jìn)行身份認(rèn)證。SET對各個(gè)參與者之間的信息流必須采用加密和認(rèn)證制定了嚴(yán)密的標(biāo)準(zhǔn)，而SET只對客戶端與服務(wù)器之間的信息交換進(jìn)行加密保護(hù)。7.3安全套接層協(xié)議7.3.4SSL協(xié)議與SET協(xié)議的比較7.3安全套接層協(xié)7.3.4SSL協(xié)議與SET協(xié)議的比較SSL協(xié)議是基于傳輸層的安全協(xié)議，而SET協(xié)議位于應(yīng)用層。SET協(xié)議安全機(jī)制很完善，因此對網(wǎng)絡(luò)和計(jì)算機(jī)的處理能力要求較高，導(dǎo)致性能不及SSL協(xié)議，而SSL協(xié)議配置簡單，傳輸性能較高。SSL協(xié)議主要應(yīng)用于web,能勝任只通過web或電子郵件就能完成的電子商務(wù)，而SET能為大量應(yīng)用的信用卡支付提供安全。7.3安全套接層協(xié)議7.3.4SSL協(xié)議與SET協(xié)議的比較7.3安全套接層協(xié)S-HTTP是HTTP協(xié)議的擴(kuò)充，增加了報(bào)文的安全性。目的是為了再互聯(lián)網(wǎng)上進(jìn)行文件的安全交換。S-HTTP協(xié)議為客戶端和服務(wù)器提供了相同的性能。S-HTTP協(xié)議不需要客戶端公鑰認(rèn)證，支持對稱密鑰的操作模式，且不依賴于認(rèn)證系統(tǒng)。S-HTTP協(xié)議提供了完整的加密算法及相關(guān)參數(shù)。S-HTTP協(xié)議主要是保護(hù)單一的處理請求或響應(yīng)消息。S-HTTP協(xié)議以一個(gè)“shttp://”開頭的URL來說明。7.4安全超文本傳輸協(xié)議S-HTTP是HTTP協(xié)議的擴(kuò)充，增加了報(bào)文的安全性。目的是EDI：指按照同一規(guī)定的一套通用標(biāo)準(zhǔn)格式，將標(biāo)準(zhǔn)的經(jīng)濟(jì)信息，通過通信網(wǎng)絡(luò)傳輸，在貿(mào)易伙伴的電子計(jì)算機(jī)系統(tǒng)之間進(jìn)行數(shù)據(jù)交換和自動(dòng)處理。

包括：買賣雙方數(shù)據(jù)交換和企業(yè)內(nèi)部數(shù)據(jù)交換。特點(diǎn)：（1）應(yīng)用在不同企業(yè)組織之間，是企業(yè)間的信息交流方式。（2）傳送的報(bào)文是格式化的，有企業(yè)間的專用網(wǎng)絡(luò)傳輸。數(shù)據(jù)由收發(fā)雙發(fā)的計(jì)算機(jī)系統(tǒng)直接發(fā)送，不需人工干預(yù)。7.5EDI協(xié)議EDI：指按照同一規(guī)定的一套通用標(biāo)準(zhǔn)格式，將標(biāo)準(zhǔn)的經(jīng)濟(jì)信息，優(yōu)點(diǎn)：(1)降低了紙張文件的消費(fèi)。(2)減少了許多重復(fù)勞動(dòng)，提高了工作效率。(3)使得貿(mào)易雙方能夠以更迅速、有效的方式進(jìn)行貿(mào)易，大大簡化了訂貨過程或存貨過程，使雙方能及時(shí)地充分利用各自的人力和物力資源。(4)可以改善貿(mào)易雙方的關(guān)系，廠商可以準(zhǔn)確地估計(jì)日后商品的需求量，貨運(yùn)代理商可以簡化大量的出口文書工作，商業(yè)用戶可以提高存貨的效率，提高他們的競爭能力。7.5EDI協(xié)議優(yōu)點(diǎn)：7.5EDI協(xié)議第七章電子商務(wù)安全協(xié)議

第七章電子商務(wù)安全協(xié)議第七章安全電子交易協(xié)議SET

7.1電子商務(wù)安全協(xié)議概述7.2安全電子交易協(xié)議7.3安全套接層協(xié)議7.4安全超文本傳輸協(xié)議7.5EDI協(xié)議第七章安全電子交易協(xié)議SET7.1電子商務(wù)安全協(xié)議概電子商務(wù)安全協(xié)議是保證網(wǎng)上交易的機(jī)密性、信息完整性、身份合法性和不可否認(rèn)性的基礎(chǔ)完成信息安全交換共同約定的邏輯操作規(guī)則。包括：安全電子交易協(xié)議SET、安全套階層協(xié)議SSL、安全超文本傳輸協(xié)議S-HTTP、電子數(shù)據(jù)交換EDI和IP安全協(xié)議IPsec7.1電子商務(wù)安全協(xié)議概述電子商務(wù)安全協(xié)議是保證網(wǎng)上交易的機(jī)密性、信息完整性、身份合法7.2安全電子交易協(xié)議安全電子交易協(xié)議SET(SecureElectronicTransaction)是由Visa和MasterCard所開發(fā)的，是為了在Internet上進(jìn)行在線交易時(shí)，保證信用卡支付的安全而設(shè)計(jì)開發(fā)的一個(gè)開放的規(guī)范。由于得到了IBM、HP、Microsoft、NetScape、GTE、Verisign等很多大公司的支持，它已成了事實(shí)上的工業(yè)標(biāo)準(zhǔn)，目前它已獲得IEEE標(biāo)準(zhǔn)的認(rèn)可。SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了網(wǎng)上交易數(shù)據(jù)的保密性、數(shù)據(jù)的完整性及交易的不可抵賴性。特別是能保證不將消費(fèi)者銀行卡號(hào)暴露給商家，不將消費(fèi)者的購物內(nèi)容暴露給銀行等優(yōu)點(diǎn)，SET在一些國家中得到很好的應(yīng)用。SET采用公鑰密碼體制，遵循X.509數(shù)字證書標(biāo)準(zhǔn)。7.2安全電子交易協(xié)議安全電子交易協(xié)議SET(SecureSET協(xié)議使用加密技術(shù)提供信息的機(jī)密性，保證支付的完整性，驗(yàn)證商家和持卡者。SET是一種網(wǎng)絡(luò)銀行卡付款機(jī)制。是基于可信第三方認(rèn)證中心的方案。支付安全的目標(biāo)是：保證信息機(jī)交易過程安全。支持應(yīng)用的互操作性。實(shí)現(xiàn)可推廣性。7.2安全電子交易協(xié)議SET協(xié)議使用加密技術(shù)提供信息的機(jī)密性，保證支付的完整性，驗(yàn)在SET協(xié)議中主要定義了以下內(nèi)容。(1)加密算法的應(yīng)用(如RSA和DES)。(2)證書消息和對象格式。(3)購買消息和對象格式。(4)請款消息和對象格式。(5)參與者之間的消息協(xié)議。7.2安全電子交易協(xié)議在SET協(xié)議中主要定義了以下內(nèi)容。7.2安全電子交易協(xié)議7.2安全電子交易協(xié)議7.2安全電子交易協(xié)議第7章-電子商務(wù)安全協(xié)議課件7.2.2SET交易的參與者電子交易處理開始于持卡者。(1)持卡者(Cardholder)。在電子商務(wù)環(huán)境中，消費(fèi)者和團(tuán)體購買者通過計(jì)算機(jī)與商家進(jìn)行交互，持卡者使用一個(gè)發(fā)卡行發(fā)行的支付卡。(2)發(fā)卡行(Issuer)。一個(gè)發(fā)卡行是一個(gè)金融機(jī)構(gòu)，為持卡者建立一個(gè)賬戶并發(fā)行支付卡，一個(gè)發(fā)卡行保證對經(jīng)過授權(quán)的交易進(jìn)行付款。(3)商家(Merchant)。商家提供商品和服務(wù)，在SET中，商家與持卡者可以進(jìn)行安全電子交易，一個(gè)商家必須與相關(guān)的收單行達(dá)成協(xié)議，保證可以接收支付卡付款。7.2安全電子交易協(xié)議7.2.2SET交易的參與者7.2安全電子交易協(xié)議(4)收單行(Acquirer)。一個(gè)收單行是一個(gè)金融機(jī)構(gòu)，為商家建立一個(gè)賬戶并處理支付卡授權(quán)和支付。(5)支付網(wǎng)關(guān)(PaymentGateway)。一個(gè)支付網(wǎng)關(guān)是一個(gè)由收單行操作的設(shè)備，或者是指定的第三方，用于處理支付卡授權(quán)和支付。(6)認(rèn)證中心(CA)。負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)。采用多層分級結(jié)構(gòu)，負(fù)責(zé)發(fā)放和撤銷持卡人、商家和支付網(wǎng)關(guān)的證書。(7)第三方(ThirdParties)。發(fā)卡行和收單行有時(shí)指定第三方來處理支付卡交易，在SET協(xié)議中沒有區(qū)分金融機(jī)構(gòu)和交易處理者，認(rèn)為是一家。7.2安全電子交易協(xié)議(4)收單行(Acquirer)。一個(gè)收單行是一個(gè)金融機(jī)構(gòu)，7.2安全電子交易協(xié)議7.2安全電子交易協(xié)議7.2.3SET協(xié)議的相關(guān)技術(shù)在SET中所涉及到的技術(shù)主要有加密技術(shù)和身份認(rèn)證技術(shù)，其中加密技術(shù)是核心，包括：（1）對稱加密技術(shù)（2）非對稱加密技術(shù)（7）消息摘要技術(shù)（4）數(shù)字簽名（5）數(shù)字信封（6）雙重?cái)?shù)字簽名（7）數(shù)字證書7.2安全電子交易協(xié)議7.2.3SET協(xié)議的相關(guān)技術(shù)7.2安全電子交易協(xié)議7.2安全電子交易協(xié)議7.2安全電子交易協(xié)議對于一些信息的流動(dòng)必須要做到端對端加密。但有些信息端對端加密還不夠，如銀行卡中與資金有關(guān)的數(shù)據(jù)，持卡人就不想讓商戶看到；而購物有關(guān)的數(shù)據(jù)，商戶又不想讓收單銀行看到，但端對端加密辦法就做不到這一點(diǎn)。一個(gè)完整的購買交易所需的信息包括：交易開始(PInitReq/PInitRes)購買指令(PReq／PRes)授權(quán)請求(AuthReq／AuthRes)支付指令(CapReq／CapRes)持卡人查詢(InqReq／lnqRes)7.2安全電子交易協(xié)議對于一些信息的流動(dòng)必須要做到端對端加密。但有些信息端對端加密持卡人商戶支付網(wǎng)關(guān)（收單銀行）PInitReqPInitResPReqPResIngReqIngResPReq之后時(shí)間可選AuthReqAuthResCapReqCapResSET交易步驟7.2安全電子交易協(xié)議持卡人商戶支付網(wǎng)關(guān)（收單銀行）PInitReqPInitPIData….…OIDataTransIDBrandIDDateChall_CChall_MODsalt(nonce)H(OIData)H(PIData)HashOIOIDataDualSigH2Sign{H2}Sigc訂貨信息結(jié)構(gòu)7.2安全電子交易協(xié)議PIDataOIDataH(OIData)H(PID雙重?cái)?shù)字簽名-生成OIPIB:訂貨信息C:支付信息MDBMDCMDBCDSPVARSA雙重?cái)?shù)字簽名C(PI)DSMDB

PBA

EMCSK2DESDECSK2PBCB(OI)DSMDC

PBA

EMBSK1DESDEBSK1PBB雙重?cái)?shù)字簽名-生成OIPIB:訂貨信息C:支付信息MDBMD雙重?cái)?shù)字簽名-生成B(OI)DSMDC

PBA

EMBSK1DESDEBSK1PBBC(PI)DSMDB

PBA

EMCSK2DESDECSK2PBC發(fā)送給商戶B的信息發(fā)送給銀行C的信息雙重?cái)?shù)字簽名-生成B(OI)DSMDCPBAE雙重?cái)?shù)字簽名—B驗(yàn)證EMBDMBEMCDMCEMBB(OI)DSMDCPBASK1DESMDBMDBC’DSMDBC比較PBARSADEBPVBRSASK1雙重?cái)?shù)字簽名—B驗(yàn)證EMBDMBEMCDMCEMBB(OI)雙重?cái)?shù)字簽名—C驗(yàn)證EMBDMBEMCDMCEMCC(PI)DSMDBPBASK2DESMDCMDBC’DSMDBC比較PBARSADECPVCRSASK2雙重?cái)?shù)字簽名—C驗(yàn)證EMBDMBEMCDMCEMCC(PI)消費(fèi)者（持卡人）認(rèn)證中心CA電子錢包網(wǎng)上商店支付網(wǎng)關(guān)發(fā)卡行銀行卡總中心ISO8583銀行網(wǎng)絡(luò)SETSETSETSET電子商務(wù)環(huán)境7.2安全電子交易協(xié)議消費(fèi)者（持卡人）認(rèn)證中心CA電子錢包網(wǎng)上商店支付網(wǎng)關(guān)發(fā)卡行銀7.2.4SET的交易流程采用SET的電子商務(wù)交易分為3個(gè)階段：（1）信用卡持有者與商家協(xié)商交易商品列表及所采用的支付方式。（2）信用卡持有者發(fā)送支付貨款指令，商家與銀行核實(shí)付款。（3）商家向銀行出示所有交易細(xì)節(jié)，銀行以適當(dāng)?shù)姆绞较蛏碳肄D(zhuǎn)移貨款。7.2安全電子交易協(xié)議7.2.4SET的交易流程7.2安全電子交易協(xié)議7.2.4SET交易流程7.2安全電子交易協(xié)議7.2.4SET交易流程7.2安全電子交易協(xié)議7.3安全套接層協(xié)議SSL是提供Internet上的通信隱私性的安全協(xié)議。該協(xié)議允許客戶端／服務(wù)器應(yīng)用之間進(jìn)行防竊聽、防消息篡改及消息偽造的安全的通信。TCP／IP是整個(gè)Internet數(shù)據(jù)傳輸和通信所使用的最基本的控制協(xié)議。SSL協(xié)議可以有效地避免網(wǎng)上信息的偷聽、篡改以及消息的偽造。TCP/IPLayerSecureSocketsLayer網(wǎng)絡(luò)通信層…應(yīng)用層HTTPLDAPIMAP7.3安全套接層協(xié)議SSL是提供Internet上的通信隱SSL標(biāo)準(zhǔn)的關(guān)鍵是要解決以下幾個(gè)問題。(1)客戶對服務(wù)器的身份確認(rèn)：SSL服務(wù)器允許客戶的瀏覽器使用標(biāo)準(zhǔn)的公鑰加密技術(shù)和一些可靠的認(rèn)證中心(CA)的證書，來確認(rèn)服務(wù)器的合法性(檢驗(yàn)服務(wù)器的證書和ID的合法性)。對于用戶服務(wù)器身份的確認(rèn)與否是非常重要的，因?yàn)榭蛻艨赡芟蚍?wù)器發(fā)送自己的信用卡密碼。7.3安全套接層協(xié)議SSL標(biāo)準(zhǔn)的關(guān)鍵是要解決以下幾個(gè)問題。7.3安全套接層協(xié)議(2)服務(wù)器對客戶的身份確認(rèn)：允許SSL服務(wù)器確認(rèn)客戶的身份，SSL協(xié)議允許客戶服務(wù)器的軟件通過公鑰技術(shù)和可信賴的證書，來確認(rèn)客戶的身份(客戶的證書client’scertificate)。對于服務(wù)器客戶身份的確認(rèn)與否是非常重要的，因?yàn)榫W(wǎng)上銀行可能要向客戶發(fā)送機(jī)密的金融信息。(3)建立起服務(wù)器和客戶之間安全的數(shù)據(jù)通道：SSL要求客戶和服務(wù)器之間的所有的發(fā)送數(shù)據(jù)都被發(fā)送端加密，所有的接收數(shù)據(jù)都被接收端解密，這樣才能提供一個(gè)高水平的安全保證。同時(shí)SSL協(xié)議會(huì)在傳輸過程中檢查數(shù)據(jù)是否被中途修改。7.3安全套接層協(xié)議(2)服務(wù)器對客戶的身份確認(rèn)：7.3安全套接層協(xié)議SSL協(xié)議的工作流程：

服務(wù)器認(rèn)證階段：1）客戶端向服務(wù)器發(fā)送一個(gè)開始信息“Hello”以便開始一個(gè)新的會(huì)話連接；2）服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息；3）客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；7.3安全套接層協(xié)議SSL協(xié)議的工作流程：

服務(wù)器認(rèn)證階段：7.3安全套接層協(xié)4）服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。用戶認(rèn)證階段：在此之前，服務(wù)器已經(jīng)通過了客戶認(rèn)證，這一階段主要完成對客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。7.3安全套接層協(xié)議4）服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息SSL協(xié)議提供的服務(wù)可以歸納為如下：1．用戶和服務(wù)器的合法性認(rèn)證（認(rèn)證性）使得用戶和服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。客戶機(jī)和服務(wù)器都有各自的識(shí)別號(hào)，由公開密鑰編排。為了驗(yàn)證用戶，安全套接層協(xié)議要求在握手交換數(shù)據(jù)中做數(shù)字認(rèn)證，以此來確保用戶的合法性。7.3安全套接層協(xié)議SSL協(xié)議提供的服務(wù)可以歸納為如下：7.3安全套接層協(xié)議2．加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)（秘密性）安全套接層協(xié)議采用的加密技術(shù)既有對稱密鑰，也有公開密鑰。具體來說，就是客戶機(jī)與服務(wù)器交換數(shù)據(jù)之前，先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術(shù)，以保證其機(jī)密性和數(shù)據(jù)的完整性，并且經(jīng)數(shù)字證書鑒別。這樣就可以防止非法用戶破譯。3．維護(hù)數(shù)據(jù)的完整性（完整性）安全套接層協(xié)議采用Hash函數(shù)和機(jī)密共享的方法，提供完整信息性的服務(wù)，來建立客戶機(jī)與服務(wù)器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)在傳輸過程中都能完整準(zhǔn)確無誤地到達(dá)目的地。7.3安全套接層協(xié)議2．加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)（秘密性）7.3安全套接層協(xié)SSL協(xié)議主要包含握手協(xié)議(handshakeprotocol)和記錄協(xié)議(recordprotocol)，記錄協(xié)議確定數(shù)據(jù)安全傳輸?shù)哪Ｊ?，握手協(xié)議用于客戶和服務(wù)器建立起安全連接之前交換一系列的安全信息，這些安全信息主要包括以下內(nèi)容：(1)客戶確定服務(wù)器的身份。(2)允許客戶和服務(wù)器選擇雙方共同支持的一系列加密算法。(3)服務(wù)器確定客戶的身份(可選)。(4)通過公鑰密碼技術(shù)產(chǎn)生雙方共同的密鑰。(5)建立SSL的加密安全通道。7.3安全套接層協(xié)議SSL協(xié)議主要包含握手協(xié)議(handshakeprotoc7.3安全套接層協(xié)議7.3安全套接層協(xié)議客戶機(jī)發(fā)出安全會(huì)話請求（hello）服務(wù)器發(fā)送X.509證書（包含服務(wù)器的公鑰）客戶機(jī)生成隨機(jī)對稱密鑰，并用服務(wù)器的公鑰加密客戶機(jī)與服務(wù)器用隨機(jī)對稱密鑰加密會(huì)話期間的數(shù)據(jù)客戶機(jī)將隨機(jī)對稱密鑰發(fā)送給服務(wù)器7.3安全套接層協(xié)議客戶機(jī)發(fā)出安全會(huì)話請求（hello）服務(wù)器發(fā)送X.509證書7.3安全套接層協(xié)議7.3安全套接層協(xié)議SSL記錄層協(xié)議限定了所有發(fā)送和接收數(shù)據(jù)的打包，它提供了通信、身份認(rèn)證功能，它是一個(gè)在面向連接的可靠傳輸協(xié)議，如TCP／IP上提供安全保護(hù)。在SSL中，所有數(shù)據(jù)被封裝在記錄中。一個(gè)記錄由兩部分組成：記錄頭和非零長度的數(shù)據(jù)。記錄頭可以是2字節(jié)或3字節(jié)(當(dāng)有填充數(shù)據(jù)時(shí)使用)。SSL握手層協(xié)議的報(bào)文要求必須放在一個(gè)SSL記錄層的記錄里，但應(yīng)用層協(xié)議的報(bào)文允許占用多個(gè)SSL記錄來傳送。7.3安全套接層協(xié)議SSL記錄層協(xié)議限定了所有發(fā)送和接收數(shù)據(jù)的打包，它提供了通信記錄頭類型記錄長度MAC數(shù)據(jù)記錄頭類型Escape位填充長度記錄長度MAC數(shù)據(jù)填充數(shù)據(jù)2字節(jié)頭記錄3字節(jié)頭記錄7.3安全套接層協(xié)議記錄頭類型記錄長度MAC數(shù)據(jù)記錄頭類型Escape位填充長度SSL的記錄頭可以是兩個(gè)或三個(gè)字節(jié)長的編碼。SSL記錄頭包含的信息有記錄頭的長度、記錄數(shù)據(jù)的長度、記錄數(shù)據(jù)中是否有填充數(shù)據(jù)。其中填充數(shù)據(jù)是在使用塊加密(blockencryption)算法時(shí)，填充實(shí)際數(shù)據(jù)，使其長度恰好是塊的整數(shù)倍。最高位為1時(shí)，不含有填充數(shù)據(jù)，記錄頭的長度為兩個(gè)字節(jié)，記錄數(shù)據(jù)的最大長