《電子商務(wù)概論》課件項(xiàng)目8 任務(wù)2 電子商務(wù)支付安全協(xié)議

學(xué)習(xí)任務(wù)1

電子商務(wù)支付安全協(xié)議網(wǎng)銀有漏洞90后黑客盜騙十多萬(wàn)視頻：安全多級(jí)別網(wǎng)銀用戶細(xì)選擇在早期的電子交易中，曾采用過(guò)一些簡(jiǎn)易的安全措施，包括：1.部分告知（Partial

Order）即在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)如信用卡號(hào)碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。2.另行確認(rèn)（Order

Confirmation）即當(dāng)在網(wǎng)上傳輸交易信息后，再用電子郵件對(duì)交易做確認(rèn)，才認(rèn)為有效。一、早期的電子商務(wù)交易安全措施二、安全套接層協(xié)議（SSL）安全套接層協(xié)議（SSL：SecureSocketsLayer），它最早由美國(guó)網(wǎng)景（Netscape）公司于1994年提出的，主要用于提高應(yīng)用程序之間的數(shù)據(jù)安全系數(shù)，實(shí)現(xiàn)兼容瀏覽器和服務(wù)器（通常是WWW服務(wù)器）之間安全通信的協(xié)議，位于TCP／IP和HTTP或其他協(xié)議如SNMP或FTP之間，能提供保密性、鑒別和數(shù)據(jù)完整性。目前是Internet網(wǎng)上安全通訊與交易的標(biāo)準(zhǔn)。SSL支持許多加密算法。SSL分為兩層，一是握手層，二是記錄層。SSL握手協(xié)議描述建立安全連接的過(guò)程，在客戶和服務(wù)器傳送應(yīng)用層數(shù)據(jù)之前，完成諸如加密算法和會(huì)話密鑰的確定，通信雙方的身份驗(yàn)證等功能；SSL記錄協(xié)議則定義了數(shù)據(jù)傳送的格式。SSL提供的安全服務(wù)（1）用戶和服務(wù)器的合法性認(rèn)證。為使得用戶和服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上，客戶機(jī)和服務(wù)器都有各自的識(shí)別號(hào)，由公開密鑰編排。為了驗(yàn)證用戶，SSL要求在握手交換數(shù)據(jù)中做數(shù)字認(rèn)證，以此來(lái)確保用戶的合法性。（2）加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。SSL采用的加密技術(shù)既有對(duì)稱密鑰，也有公開密鑰。具體來(lái)說(shuō)，就是客戶機(jī)與服務(wù)器交換數(shù)據(jù)之前，先交換SSL初始握手信息，在SSL握手信息中采用了各種加密技術(shù)且經(jīng)數(shù)字證書鑒別，這樣就可以防止非法用戶破譯。（3）維護(hù)數(shù)據(jù)的完整性。客戶機(jī)和服務(wù)器之間通過(guò)密碼算法和密鑰的協(xié)商，建立起一個(gè)安全通道，以后在安全通道中傳輸?shù)乃行畔⒍冀?jīng)過(guò)了加密處理，網(wǎng)絡(luò)中的非法竊聽者所獲取的信息都將是無(wú)意義的密文信息，從而保證其機(jī)密性和數(shù)據(jù)的完整性，防止非法用戶破譯。SSL安全協(xié)議的運(yùn)行步驟（1）接通階段?？蛻敉ㄟ^(guò)網(wǎng)絡(luò)向服務(wù)商打招呼，服務(wù)商回應(yīng)；（2）密碼交換階段?？蛻襞c服務(wù)商之間交換雙方認(rèn)可的密碼；（3）會(huì)談密碼階段。客戶與服務(wù)商間產(chǎn)生彼此交談的會(huì)談密碼；（4）檢驗(yàn)階段。檢驗(yàn)服務(wù)商取得的密碼；（5）客戶認(rèn)證階段。驗(yàn)證客戶的可信度；（6）結(jié)束階段?？蛻襞c服務(wù)商之間相互交換結(jié)束的信息。三、安全電子交易協(xié)議（SET）安全電子交易協(xié)議（SET：SecureElectronicTransaction）是由Visa和MasterCard兩大信用卡組織于1997年5月提出的一種應(yīng)用在Internet上、以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，用來(lái)確保開放網(wǎng)絡(luò)持卡交易的安全性。它具有檢驗(yàn)購(gòu)物實(shí)際持卡人真實(shí)身份的能力，并對(duì)金融機(jī)構(gòu)、消費(fèi)者、零售商和銷售商從事網(wǎng)絡(luò)貿(mào)易提供了必要的安全保證。SET協(xié)議涉及的當(dāng)事人包括持卡人、發(fā)卡機(jī)構(gòu)、商家、銀行以及支付網(wǎng)關(guān)。SET協(xié)議提供的安全服務(wù)（1）保證在支付系統(tǒng)中支付信息和訂購(gòu)信息的安全性；（2）保證信息在傳輸過(guò)程中的完整性；（3）對(duì)持卡人身份的合法性檢查；（4）對(duì)商家身份的合法性檢查；（5）保護(hù)電子交易中合法用戶；（6）保證采用的通訊協(xié)議、信息格式和標(biāo)準(zhǔn)具有公共適應(yīng)性從SET安全電子交易運(yùn)作流程可以看出SET協(xié)議的作用有以下幾點(diǎn)：（1）SET協(xié)議解決了客戶資料的安全性問(wèn)題。雖然客戶資料要通過(guò)商家到達(dá)銀行，但是商家不能閱讀這些資料。（2）SET協(xié)議解決了多方認(rèn)證問(wèn)題，因?yàn)檎J(rèn)證不僅是客戶和銀行間的認(rèn)證，還有客戶和商家、商家與銀行間的認(rèn)證。（3）SET協(xié)議保證了網(wǎng)上交易的實(shí)時(shí)性，所有的支付過(guò)程都是在線的。①

消費(fèi)者②

在線商店③

收單銀行④

電子貨幣⑤

認(rèn)證中心（CA）SET協(xié)議規(guī)范所涉及的對(duì)象使用SET的網(wǎng)上購(gòu)物流程①客戶通過(guò)網(wǎng)絡(luò)瀏覽器瀏覽在線商家的商品目錄。②選擇要購(gòu)買的商品；③填寫訂單，包括欲購(gòu)商品名稱、規(guī)格、數(shù)量、交貨時(shí)間及地點(diǎn)等信息。訂單通過(guò)因特網(wǎng)發(fā)送給商家，商家進(jìn)行應(yīng)答，并告知以上訂單貨物單價(jià)、應(yīng)付款數(shù)額和交貨方式；④消費(fèi)者選擇付款方式，此時(shí)SET開始介入；⑤消費(fèi)者發(fā)送給商家一個(gè)完整的訂單及其要求付款的指令。在SET中，訂單和付款指令由消費(fèi)者進(jìn)行數(shù)字簽名；同時(shí)利用雙重身份簽名技術(shù)，保證商家看不到消費(fèi)者的賬號(hào)信息。⑥在線商家接受訂單后，向客戶開戶銀行請(qǐng)求支付，此信息通過(guò)支付網(wǎng)關(guān)送達(dá)收單銀行，并進(jìn)一步提交發(fā)卡銀行確認(rèn)。確認(rèn)批準(zhǔn)后，發(fā)卡銀行返回確認(rèn)信息，經(jīng)收單銀行通過(guò)支付網(wǎng)關(guān)發(fā)給在線商家；⑦在線商家發(fā)送訂單確認(rèn)信息給客戶，客戶端記錄交易日志，以備日后查考；⑧在線商家發(fā)送商品或提供服務(wù)，并通知收單銀行將貨款從客戶賬號(hào)轉(zhuǎn)移到商家賬號(hào)，或通知發(fā)卡銀行請(qǐng)求支付。3.SSL與SET的比較項(xiàng)目SSL協(xié)議SET協(xié)議工作層次傳輸層與應(yīng)用層之間應(yīng)用層是否透明透明不透明過(guò)程簡(jiǎn)單復(fù)雜效率高低安全性商家掌握消費(fèi)者PI消費(fèi)者PI對(duì)商家保密認(rèn)證機(jī)制雙方認(rèn)證多方認(rèn)證是否專為EC設(shè)計(jì)否是四、S-HTTP安全協(xié)議安全超文本傳輸協(xié)議（S-HTTP：SecureHyperTextTransferProtocol）是一種面向安全信息通信的協(xié)議。它是EIT公司結(jié)合HTTP而設(shè)計(jì)的一種消息安全通信協(xié)議，是HTTP的擴(kuò)展，僅適用于HTTP聯(lián)結(jié)上。S-HTTP安全協(xié)議的作用（1）S-HTTP支持公鑰加密和數(shù)字簽名，并具有保密性。（2）S-HTTP可提供通信保密、身份識(shí)別、可信賴的信息傳輸服務(wù)及數(shù)字簽名等。（3）S-HTTP提供了完整且靈活的加密算法及相關(guān)參數(shù)。選項(xiàng)協(xié)商用來(lái)確定客戶機(jī)和服務(wù)器在安全事務(wù)處理模式、加密算法（如用于簽名的非對(duì)稱算法RSA和DSA等、用于對(duì)稱加解密的DES和RC2等）及證書選擇等方面達(dá)成一致。（4）S-HTTP支持端對(duì)端安全傳輸，客戶機(jī)可能“首先”啟動(dòng)安全傳輸（使用報(bào)頭的信息），如它可以用來(lái)支持加密