《电子商务安全》第6章-安全电子交易协议资料.ppt

第第6章章 安全电子交易协议安全电子交易协议o本章主要内容n什么是SET协议nSET协议的目标和涉及的角色nSET协议相关的技术nSET协议的交易流程o本章重/难点n双重签名nSET协议的交易流程6.1 SET协议概述协议概述6.1.1 SET协议的由来协议的由来S E T协议协议Secure（安全）（安全）Electronic （电子）（电子）Transaction （交易）（交易） 协议协议是计算机网络中通信双方为是计算机网络中通信双方为了实现通信而必须遵守的规则和了实现通信而必须遵守的规则和约定。约定。SET协议是协议是应用层应用层的协议。的协议。 SET协议的由来协议的由来o安全电子交易安全电子交易(Secure Electronic Transaction)协议协议n在Internet上开发对所有公众开放的电子商务系统，从技术角度来看，关键的技术问题有两个：n一是信息传递的准确性；二是信息传递的安全可靠性。前者是各种数据交换协议已经解决了的问题；后者则是目前学术界、工商界和消费者最为关注的问题。SET协议的由来协议的由来o1996年提出年提出SET、SEPP等协议模式等协议模式o1997年年4月，月，IBM、Netscape、Master Card、Visa联手联手推出基于推出基于SET和和SEPP的网络商贸系统。的网络商贸系统。oSET的实质的实质密码技术密码技术+数字证书保护各方的安全。数字证书保护各方的安全。o版本版本 1997年年5月，月，1.0版本版本oSET管理机构管理机构SETCo SET协议的由来协议的由来o安全电子交易安全电子交易(Secure Electronic Transaction)协议协议n1997年由美国Visa和MasterCard两大信用卡公司共同制定实施oSET主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的 oSET协议确保了网上交易所需要的保密性、数据的完整性、交易的不可否认性和交易的身份认证。中国银行是国内第一家使用中国银行是国内第一家使用SET协议的金融机构协议的金融机构InternetInternetInternetInternet银行网络收单行发卡行WebWeb和商务服务器其他商业处理盘点、会计、行销等数据库服务器数据库服务器认证和安全认证和安全支付网关SETSET交易系统示意图交易系统示意图 SET协议的由来协议的由来oSET协议主要通过使用密码技术和数字证书的方式来保协议主要通过使用密码技术和数字证书的方式来保证信息的机密性和安全性。证信息的机密性和安全性。oSET协议的内容包括：协议的内容包括：nSET的交易流程n程序设计规格nSET协议的完整描述 SET协议的由来协议的由来在在SET协议中主要定义了以下内容：协议中主要定义了以下内容：o1）加密算法（如）加密算法（如RSA和和DES）的应用；）的应用；o2）证书消息和对象格式；）证书消息和对象格式；o3）购买消息和对象格式；）购买消息和对象格式；o4）请款消息和对象格式；）请款消息和对象格式；o5）参与者之间的消息协议。）参与者之间的消息协议。 SET协议的由来协议的由来SET协议中的核心技术主要有协议中的核心技术主要有o共享密钥加密技术共享密钥加密技术o公开密钥加密技术公开密钥加密技术o电子数字签名电子数字签名o数字信封技术数字信封技术 6.1.2 网上购物和现实中购物的比较网上购物和现实中购物的比较o在传统购物中，商家和消费者需要直接见面，交易过程在传统购物中，商家和消费者需要直接见面，交易过程中需要的信息传输手段往往也是多种多样的，如电话、中需要的信息传输手段往往也是多种多样的，如电话、传真、信件等。传真、信件等。o与传统购物一样，网上购物也分为查询、订货、交易等与传统购物一样，网上购物也分为查询、订货、交易等环节，但这种交易不需要消费者和商家之间直接见面，环节，但这种交易不需要消费者和商家之间直接见面，并且可以通过并且可以通过Internet这一媒介来进行。这一媒介来进行。传统购物流程传统购物流程协商协商卖方卖方买方买方一手交钱一手交钱一手交货一手交货网上购物流程网上购物流程卖方卖方协商协商银行银行收帐收帐支付支付买方买方发货发货能收到钱能收到钱吗？吗？能收到货吗？能收到货吗？密码安密码安全吗？全吗？6.1.3 SET协议的主要目标协议的主要目标oSET是一个基于可信的第三方认证中心的方案，它要实是一个基于可信的第三方认证中心的方案，它要实现的主要目标有下列三个方面：现的主要目标有下列三个方面：（1）保障付款安全）保障付款安全（2）确定应用的互通性）确定应用的互通性 （3）达到全球市场的接受性）达到全球市场的接受性6.1.3 SET协议的主要目标协议的主要目标 机密性机密性 数数据完整性据完整性 身身份认证份认证 不可否不可否认认性性6.1.4 SET协议中的参与方协议中的参与方买方买方持卡人持卡人发卡银行发卡银行认证中心认证中心收单银行收单银行卖方卖方在线商家在线商家支付网关支付网关SET协议协议中的角色中的角色6.1.4 SET协议中的参与方协议中的参与方o消费者：消费者：在电子商务环境中，消费者和团体购买者通过计算机与商家交流，消费者通过由发卡机构颁发的付款卡(例如信用卡、借记卡)进行结算。在消费者和商家的会话中，SET可以保证消费者的个人账号信息不被泄露。o发卡机构发卡机构：它是一个金融机构，为每一个建立了账户的顾客颁发付款卡。o商家：商家：提供商品或服务，使用SET，就可以保证消费者个人信息的安全。接受卡支付的商家必须和银行有关系。6.1.4 SET协议中的参与方协议中的参与方o银行：银行：在线交易的商家在银行开立账号，并且处理支付在线交易的商家在银行开立账号，并且处理支付卡的认证和支付。卡的认证和支付。o支付网关：支付网关：是由银行操作的，将是由银行操作的，将InternetInternet上的传输数上的传输数据转换为金融机构内部数据的设备，或由指派的第三方据转换为金融机构内部数据的设备，或由指派的第三方处理商家支付信息和顾客的支付指令。处理商家支付信息和顾客的支付指令。o认证中心：认证中心：负责签发数字证书给持卡人、商家和支付网负责签发数字证书给持卡人、商家和支付网关，让持卡人、商家和支付网关之间通过数字证书进行关，让持卡人、商家和支付网关之间通过数字证书进行认证。认证。6.1.4 SET协议中的参与方协议中的参与方oSETSET是针对信用卡支付的网上交易而设计的支付规范，是针对信用卡支付的网上交易而设计的支付规范，对不用卡支付的交易方式，像货到付款方式、邮局汇款对不用卡支付的交易方式，像货到付款方式、邮局汇款方式则与方式则与SETSET无关。另外像网上商店的页面安排、保密无关。另外像网上商店的页面安排、保密数据在购买者计算机上如何保存等，也与数据在购买者计算机上如何保存等，也与SETSET无关。无关。6.2 SET协议的相关技术协议的相关技术6.2 SET协议的相关技术协议的相关技术SET协议中的核心技术主要有协议中的核心技术主要有o共享密钥加密技术共享密钥加密技术o公开密钥加密技术公开密钥加密技术o电子数字签名电子数字签名o数字信封技术数字信封技术6.2.1 SET的双重签名技术的双重签名技术双重签名示意图双重签名示意图6.2.2 SET的协议的认证技术的协议的认证技术o1.身份验证问题身份验证问题o2.电子证书电子证书n持卡人证书持卡人证书n商家证书商家证书n支付网关证书支付网关证书n收单行证书收单行证书n发卡行证书发卡行证书1）持卡人证书）持卡人证书持卡人证书表示持卡人合法拥有支付卡。持卡人证书表示持卡人合法拥有支付卡。持卡人的发卡金融机构对用户验证并同意以后，向持卡人发持卡人的发卡金融机构对用户验证并同意以后，向持卡人发放证书。放证书。持卡人证书中包含一个利用单向散列算法计算出的一个秘密持卡人证书中包含一个利用单向散列算法计算出的一个秘密值，不包含账号信息和过期时间。值，不包含账号信息和过期时间。在在SET协议中，持卡人向支付网关提供帐号信息和秘密值用协议中，持卡人向支付网关提供帐号信息和秘密值用于验证。于验证。在电子商务交易中，持卡人证书连同购买请求和加密后的支在电子商务交易中，持卡人证书连同购买请求和加密后的支付指令一同传送给商家。付指令一同传送给商家。商家接收到持卡人证书后，能够在最低程度上验证该帐号。商家接收到持卡人证书后，能够在最低程度上验证该帐号。2）商家证书）商家证书商家证书表明商家同金融机构有一定的关系，能够商家证书表明商家同金融机构有一定的关系，能够接受支付卡品牌支付。接受支付卡品牌支付。商家证书由商家金融机构数字签名，商家证书不能商家证书由商家金融机构数字签名，商家证书不能被任何第三方修改，并且只能由金融机构产生。被任何第三方修改，并且只能由金融机构产生。每个商家对每个它接受的支付卡品牌拥有一对证书。每个商家对每个它接受的支付卡品牌拥有一对证书。3）支付网关证书）支付网关证书支付网关证书由收单行或处理授权和请款消息的受支付网关证书由收单行或处理授权和请款消息的受理系统拥有。理系统拥有。持卡人从支付网关证书中获取其加密密钥，用于加持卡人从支付网关证书中获取其加密密钥，用于加密持卡人账号信息。这样，只有支付网关才能看到密持卡人账号信息。这样，只有支付网关才能看到持卡人的账号信息。持卡人的账号信息。4）收单行证书）收单行证书收单行必须有收单行证书才能接收并处理商家的证收单行必须有收单行证书才能接收并处理商家的证书请求。书请求。收单行从支付卡品牌接收证书。收单行从支付卡品牌接收证书。5）发卡行证书）发卡行证书发卡行必须有发卡行证书才能接收并处理持卡人的发卡行必须有发卡行证书才能接收并处理持卡人的证书请求。证书请求。发卡行从支付卡品牌接收证书。发卡行从支付卡品牌接收证书。3.认证中心认证中心 4.国内国内CA现状现状o为促进电子商务在中国的顺利开展，一些行业都已建成了自己的一套CA体系，如中国电信CA安全认证体系（CTCA）、中国金融认证中心（CFCA）等；还有一些行政区也建立了或正在建立区域性的CA体系，如上海电子商务CA认证中心（SHECA）、广东省电子商务认证中心（CNCA）、海南省电子商务认证中心（CNCA）、云南省电子商务认证中心（CNCA）。 6.3 SET6.3 SET购物与支付处理流程购物与支付处理流程SET协议交易流程协议交易流程支 付 网 关收 单 银 行发 卡 银 行认 证 中 心持 卡 人在 线 商 店订单请求请求确认确认协商确认审核认证认证认证发货第一阶段：支付申请阶段第二阶段：身份认证阶段第三阶段：支付审核阶段第四阶段：支付确认阶段支付网关是银行金融网络系统和Internet网络之间的接口，是由银行操作的将Internet上传输的数据转换为金融机构内部数据的一组服务器设备，或由指派的第三方处理商家支付信息和顾客的支付指令。 下面以中国银行SET电子钱包为例说明SET协议的购物流程选择新东方在线为在线商店选择新东方在线为在线商店o第一步第一步：选购新东方在线的产品，并选择中国银行支付方式，并点击确选购新东方在线的产品，并选择中国银行支付方式，并点击确认，到下面这个页面。认，到下面这个页面。 中国银行SET电子钱包购物流程o第二步：根据您所在的区域，输入卡号、密码即可进入电子钱包。第二步：根据您所在的区域，输入卡号、密码即可进入电子钱包。中国银行SET电子钱包购物流程o第三步：进入第三步：进入“电子钱包电子钱包”后在后在“订单说明订单说明”处，你会看到你购处，你会看到你购买的商品的订单描述。如：购买金额、商城名称、订购单号、商买的商品的订单描述。如：购买金额、商城名称、订购单号、商品描述等信息品描述等信息订单详情订单详情信用卡详情信用卡详情中国银行SET电子钱包购物流程o第四步：点按第四步：点按“确定确定”按钮后，这时要求你输入你卡的按钮后，这时要求你输入你卡的PIN，密，密码输入完成后，点按码输入完成后，点按“确定确定”按钮。按钮。中国银行SET电子钱包购物流程o第五步：点按第五步：点按“确定确定”按钮后，屏幕返回交易状态。这时候，电按钮后，屏幕返回交易状态。这时候，电子钱包软件开始与商家交换支付信息，并通过商家与银行支付网子钱包软件开始与商家交换支付信息，并通过商家与银行支付网关交换支付信息。关交换支付信息。交易状态交易状态总结nSET协议每一步骤都通过数字证书验证对方身份，保证持卡人和商家身份的合法性.n实现实现订单信息和个人帐号信息的分离订单信息和个人帐号信息的分离，安全性很高。，安全性很高。n协议复杂，数据处理时间较长，成本高协议复杂，数据处理时间较长，成本高简答题1.SET协议和SSL协议的主要区别是什么？（1）SSL协议主要是在通信双方建立安全的通道，保证信息传递的安全，而SET协议主要指针对信用卡支付而开发的协议，实现较为复杂；（2）SET协议参与交易时，客户的订单信息和个人账号相隔离，商家只能看到订单而看不到账号信息，而SSL协议不能保证商家不阅读客户的账号信息；（3）SET协议参与交易时，商家和持卡人可以相互确定双方的身份，而SSL协议只有商家和银行对客户身份的认证，缺少客户对商家的认证；（4）SET协议要求软件遵循相同的协议和报文格式，是不同的软件与邮件融合得操作功能，并可以运行在不同的软件和操作平台上。1. SET用户证书不包括( )。A.持卡人证书 B.商家证书C.支付网关 D.企业证书2数字证书不包含以下哪部分信息（）。A. 用户公钥 B. 用户身份信息C. CA签名 D. 工商或公安部门签章3电子商务安全协议SET主要用于（）。A. 信用卡安全支付B. 数据加密B. 交易认证 D. 电子支票支付单选题：单选题：DDA4. SET的含义是 ( ) A安全电子支付协议 B安全电子交易协议 C安全电子邮件协议 D安全套接层协议 5. 关于SET协议，以下说法不正确的是（ ）SET是“安全电子交易”的英文缩写属于网络对话层标准协议与SSL协议一起同时在被应用D.规定了交易各方进行交易结算时的具体流程和安全控制策略6.为网站和银行之间通过互联网传输结算卡结算信息提供安全保证的协议是( ) A. DES B. SET C. SMTP D. EmailBBB7下列选项中不属于Internet攻击类型的是（ ）A截断信息B.伪造C纂改 D.磁盘损坏8下列选项中不属于VPN（虚拟专用网）的优点的是( )A传输速度快 B.网络结构灵活C管理简单 D.成本较低DA9认证机构通过电子证书机制来保证网上通信的合法身份，其提供的服务不包括( )A证书颁发 B.证书更新C证书归档 D.证书制作l0下列选项中，不属于CFCA体系结构的是（ ）A根CA B.目录CAC政策CA D.运营CADCA中心的主要职责是中心的主要职责是颁发和管理数字证书颁发和管理数字证书。 BCFCA 中国金融认证中心（China Financial Certification Authority),是由中国人民银行牵头14家商业银行共同建立的国家级权威金融认证机构 。11SSL协议可以插入到Internet的应用协议中，它位于Internet TCPIP协议的哪个协议之上?（ ） ATCP B.IP CFTP D.HTTP应用层表示层会话层传输层网络层数据链路层物理链路层OSI/RM模型应用层传输层网络层数据链路层物理链路层TCP/IP协议模型AHTTP/Telnet/SMTP/FTPSSLTCPIPAPPLICATIONAPPLICATIONTCPTCPIPIPSSLSSL填空题1电子商务安全协议主要有( )和( )两个协议。2SSL协议由( )和( )两个协议构成。SSLSET握手协议握手协议消息加密协议消息加密协议完完oSSL协议运行的基点是商家对客户信息保密的承诺。但在上述流程中SSL协议有利于商家而不利于客户。客户的信息首先传到商家，商家阅读后再传到银行，这样，客户资料的安全性便受到威胁。返回返回7/11/2022Page:52n OSI/RM模型国际标准化组织ISO提出了开放系统互联参考模型OSI/RM(Open System Interconnection/ Reference Model)，作为提出各种计算机网络系统网络协议时建议遵守的基本模型。应用层表示层会话层传输层网络层数据链路层物理链路层关心原始数据的传输关心网络中的应用程序n OSI/RM模型-会话层 会话层协议允许不同计算机上的两个应用程序建立、使用和结束会话连接，包括会话的建立、会话的控制（例如允许信息双向传输或某一时刻只能单向传输），以及结束会话连接等。返回返回结束结束