电子商务(4)--电子商务的安全技术.ppt

《电子商务(4)--电子商务的安全技术.ppt》由会员分享，可在线阅读，更多相关《电子商务(4)--电子商务的安全技术.ppt（77页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第四章第四章 电子商务安全技术电子商务安全技术12/19/20221计算机网络安全：计算机网络设备计算机网络安全：计算机网络设备/系统安全、数据库安系统安全、数据库安 全等全等商务交易安全：围绕传统商务在互联网络上应用时产生的商务交易安全：围绕传统商务在互联网络上应用时产生的 各种安全问题各种安全问题4.1 电子商务安全电子商务安全4.1.1 电子商务的安全性问题电子商务的安全性问题电电子子商商务务安安全全12/19/20222一、电子商务的安全性问题一、电子商务的安全性问题1、信息安全问题、信息安全问题（1）信息的截获和窃取）信息的截获和窃取：银行帐号、密码以及商业机密等：银行帐号、密码以及

2、商业机密等（2）篡改）篡改:删除删除/插入插入（3）伪造电子邮件伪造电子邮件（4 4）假冒他人身份）假冒他人身份（5）信息丢失）信息丢失破坏完整性破坏完整性12/19/202232 2、信用安全问题、信用安全问题主要涉及交易抵赖主要涉及交易抵赖 (1)(1)发信者事后否认曾经发送过某条消息或内容发信者事后否认曾经发送过某条消息或内容 (2)(2)收信者事后否认曾经收到过某条消息或内容收信者事后否认曾经收到过某条消息或内容 (3)(3)购买者做了订货单不承认购买者做了订货单不承认(4)(4)商家卖出的商品因价格差而不承认原有的交易商家卖出的商品因价格差而不承认原有的交易12/19/202243

3、3、安全的管理问题、安全的管理问题4、安全的法律问题、安全的法律问题5、电脑病毒及黑客问题、电脑病毒及黑客问题12/19/20225（二）安全问题对电子商务的影响（二）安全问题对电子商务的影响（1）严重打击消费者对电子商务的信心）严重打击消费者对电子商务的信心（2）造成运营商巨大的经济损失）造成运营商巨大的经济损失（3）涉及的地域范围广）涉及的地域范围广（4）威胁个人及组织的资金安全、货物安全和信誉安全）威胁个人及组织的资金安全、货物安全和信誉安全12/19/20226 1、授权合法性、授权合法性:安全管理人员能够控制用户的权限、分配安全管理人员能够控制用户的权限、分配或终止用户的访问、操作、

4、接入等权利，被授权用户的访问不或终止用户的访问、操作、接入等权利，被授权用户的访问不能被拒绝。能被拒绝。2、不可抵赖性不可抵赖性(non-repudiation)4.1.2 电子商务对安全的基本要求电子商务对安全的基本要求数字签名、数字签名、CA证书证书 3、机密性机密性(confidentiality):信息发送和接收是在安全的信息发送和接收是在安全的通道进行，保证通信双方的信息保密。通道进行，保证通信双方的信息保密。加密技术加密技术防火墙技术、口令防火墙技术、口令12/19/202274、真实性、真实性(authenticity)数字签名、数字证书数字签名、数字证书5、信息的完整性、信息的

5、完整性(integrity)数字摘要、时间戳数字摘要、时间戳 6、存储信息的安全性、存储信息的安全性交易信息、交易方身份交易信息、交易方身份12/19/202284.1.3 电子商务交易安全措施电子商务交易安全措施（一）交易安全技术（一）交易安全技术（1 1）身份认证：确定贸易伙伴的真实性）身份认证：确定贸易伙伴的真实性 （2 2）数据加密和解密：保证电子单证的保密性）数据加密和解密：保证电子单证的保密性 （3 3）数字摘要技术）数字摘要技术 ：保证电子单证内容的完整性：保证电子单证内容的完整性 （4 4）数字签名技术：保证电子单证的真实性）数字签名技术：保证电子单证的真实性（5 5）CACA

6、认证认证 ：不可抵赖性：不可抵赖性 (6)(6)时间戳、消息的流水作业号：保证被传输的业务单时间戳、消息的流水作业号：保证被传输的业务单 证不会丢失证不会丢失 12/19/20229（二）安全交易标准和技术（二）安全交易标准和技术（1 1）安全超文本传输协议（）安全超文本传输协议（S-HTTPS-HTTP）保障保障WEBWEB站点间的交易信息传输的安全性站点间的交易信息传输的安全性 （2 2）安全套接层协议（）安全套接层协议（SSLSSL，Secure Sockets Layer ）提供加密、认证服务和保证报文的完整性提供加密、认证服务和保证报文的完整性 (3)(3)安全电子交易协议（安全电子

7、交易协议（SETSET，Secure Electronic Secure Electronic TransactionTransaction）信用卡网上交易安全，提高网络支付服务的质量信用卡网上交易安全，提高网络支付服务的质量12/19/2022104.2 防火墙技术防火墙技术4.2.1 防火墙的含义及其分类防火墙的含义及其分类 1、防火墙（、防火墙（Firewall）：指）：指 Internet上广泛应用的一上广泛应用的一种安全措施，是指设置在互联网种安全措施，是指设置在互联网(Internet)与内部网与内部网(Intranet)之间系统，通过控制内外网络间信息的流动，提高内部网络的之间系

8、统，通过控制内外网络间信息的流动，提高内部网络的安全性。安全性。防防火火墙墙可可以以阻阻止止外外界界对对内内部部资资源源的的非非法法访访问问，也也可可以以防防止止内部对外部的不安全访问。内部对外部的不安全访问。12/19/202211内内网网防火墙系统组成示意图：防火墙系统组成示意图：Internet12/19/202212Web Server处于防火墙内防火墙防火墙Internet安全边界安全边界 WEBSERVER主机主机主机主机主机服务器12/19/2022132、防火墙的分类、防火墙的分类网络层防火墙：过滤性网关（对数据包的过滤）网络层防火墙：过滤性网关（对数据包的过滤）应用层防火墙应

9、用层防火墙应用层网关（对协议的过滤）应用层网关（对协议的过滤）电路层网关（设置代理服务器，内外部网络间电路层网关（设置代理服务器，内外部网络间 不能直接接触）不能直接接触）12/19/202214 （1）保护那些易受攻击的服务）保护那些易受攻击的服务 （2）控制对特殊站点的访问）控制对特殊站点的访问 （3）集中化的安全管理）集中化的安全管理 （4）对网络访问进行记录和统计）对网络访问进行记录和统计3、防火墙的功能、防火墙的功能12/19/2022154.2.2 防火墙技术防火墙技术1、防火墙系统设计、防火墙系统设计（1）机构）机构 的整体安全策略的整体安全策略（2）防火墙的经济费用）防火墙的经

10、济费用（3）防火墙系统的组成）防火墙系统的组成(路由器、应用层网关、电路层网关路由器、应用层网关、电路层网关)12/19/2022162、包过滤路由器、包过滤路由器 （1）包过滤技术（）包过滤技术（Packet Filtering）是一个网络安全保护）是一个网络安全保护机制，它用来控制流出和流入网络的数据。过滤的项目有：机制，它用来控制流出和流入网络的数据。过滤的项目有：IP地址（源地址、目的地址）地址（源地址、目的地址）端口号（源端口、目的端口）端口号（源端口、目的端口）协议号（协议号（TCP、UDP、ICMP）连接状态、连接状态、IP包文的标志位包文的标志位12/19/202217某一网络

11、级防火墙的访问控制规则某一网络级防火墙的访问控制规则允许网络允许网络123.1.0使用使用FTP(21口口)访问主机访问主机150.0.0.1；允许允许IP地址为地址为202.103.1.18和和202.103.1.14的用户到主的用户到主机机150.0.0.2上；上；允许任何地址的允许任何地址的Email(25口口)进入主机进入主机150.0.0.3；允许任何允许任何WWW数据（数据（80口）通过；口）通过；不允许其他数据包进入。不允许其他数据包进入。12/19/20221812/19/202219 （2）包过滤防火墙：逻辑简单、价格便宜、易于安装和）包过滤防火墙：逻辑简单、价格便宜、易于安

12、装和使用、网络性能和透明性好。使用、网络性能和透明性好。5、缺点、缺点（1）设置的规则复杂，不易验证其正确性）设置的规则复杂，不易验证其正确性（2）安全性能不高）安全性能不高（3）数据包的过滤项目很容易被窃听或假冒，形成安全）数据包的过滤项目很容易被窃听或假冒，形成安全漏洞漏洞（4）内外网络间直接建立连接内外网络间直接建立连接12/19/2022203 3、应用层网关防火墙、应用层网关防火墙 应用网关技术：是建立在网络应用层上的应用网关技术：是建立在网络应用层上的协议协议过滤，针过滤，针对特定的应用层服务协议。对特定的应用层服务协议。依靠特定的逻辑判定是否允许数据通过。一旦满足逻辑，依靠特定的

13、逻辑判定是否允许数据通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系。则防火墙内外的计算机系统建立直接联系。防火墙外部的用户便有可能直接了解防火墙内部的网络结防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。构和运行状态，这有利于实施非法访问和攻击。12/19/202221应用网关技术工作原理应用网关技术工作原理12/19/2022224、电路层防火墙、电路层防火墙 采用代理服务技术，提供内部和外部系统之间可控网络的采用代理服务技术，提供内部和外部系统之间可控网络的代理。代理。基于应用代理的防火墙可以在网络应用层基于应用代理的防火墙可以在网络应

14、用层提供授权检查提供授权检查及代理服务。及代理服务。可以成功实现防火墙内外计算机系统的隔离可以成功实现防火墙内外计算机系统的隔离12/19/202223提供代理服务提供代理服务12/19/2022244.2.3 4.2.3 防火墙的安全策略及局限性防火墙的安全策略及局限性1 1、防火墙的安全策略、防火墙的安全策略只有防火墙所定义的合法访问才被允许通过只有防火墙所定义的合法访问才被允许通过 （1 1）一切未被允许的就是禁止的（安全性能高，用户使用一切未被允许的就是禁止的（安全性能高，用户使用的范围受限）的范围受限）（2 2）一切未被禁止的就是允许的（安全性能低，但更灵活）一切未被禁止的就是允许的

15、（安全性能低，但更灵活）12/19/2022252、防火墙的局限性、防火墙的局限性 （1）不能阻止来自内部的攻击）不能阻止来自内部的攻击（2）不能保护绕过它的连接）不能保护绕过它的连接（3）无法阻止新出现的网络威胁）无法阻止新出现的网络威胁（4）不能防止病毒防护（病毒可通过）不能防止病毒防护（病毒可通过FTP或其他工具传入）或其他工具传入）12/19/2022264.3 数据加密技术数据加密技术4.3.1 数据加密、解密基本过程数据加密、解密基本过程 加密技术加密技术：解决数据的加密及其解密的技术，整个过程：解决数据的加密及其解密的技术，整个过程组成一个加密系统。组成一个加密系统。加密：就是把

16、信息转换为不可辨识的形式的过程。加密：就是把信息转换为不可辨识的形式的过程。解密：将信息内容转变为明文的过程解密：将信息内容转变为明文的过程 明文明文 密文密文密文密文 明文明文12/19/202227明文明文P加密算加密算法法E加密密钥加密密钥Ke解密密钥解密密钥Kd解密算解密算法法D明文明文P密文密文C 明文明文 密文密文 算法算法 密钥（加密密钥（加密/解密密钥）解密密钥）加密系统加密系统加密算法加密算法解密算法解密算法12/19/202228对称密钥加密对称密钥加密(Symmetric Cryptography)非对称密钥加密非对称密钥加密(Asymmetric Cryptograph

17、y)加密技术加密技术（公开密钥加密）（公开密钥加密）12/19/202229安全与密码学术机构安全与密码学术机构国际密码研究协会国际密码研究协会四大洲密码协会（亚，欧，美，澳）四大洲密码协会（亚，欧，美，澳）中国密码研究协会（中国密码研究协会（CACRCACR）12/19/2022304.3.2 对称密钥加密技术对称密钥加密技术 1、对称密钥加密技术：加密和解密均采用、对称密钥加密技术：加密和解密均采用同一把密钥同一把密钥，而，而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。且通信双方必须都要获得这把钥匙并保持钥匙的秘密。这时的密钥称为对称密钥，并且不对外发布，也称为私钥这时的密钥称为对称密

18、钥，并且不对外发布，也称为私钥密码。密码。2、最典型的对称密钥加密算法：美国数据加密标准最典型的对称密钥加密算法：美国数据加密标准 （DES：Data Encrypt Standard）。）。12/19/202231图4-2 对称加密示意图 12/19/20223212/19/202233例子：例子：明文：明文：a，b，c，d，w，x，y，z 密文：密文：D，E，F，G，Z，A，B，C（即相差（即相差3个字符）个字符）若明文为若明文为student则对应的密文为则对应的密文为VWXGHQW（此（此时密钥为时密钥为3）。）。由于英文字母中各字母出现的频度早已有人进行过由于英文字母中各字母出现的频

19、度早已有人进行过统计，所以根据字母频度表可以很容易对这种代替密码统计，所以根据字母频度表可以很容易对这种代替密码进行破译。进行破译。12/19/2022343、优点：加密速度快，适于大量数据的加密处理。、优点：加密速度快，适于大量数据的加密处理。4、缺点、缺点 （1）密钥需传递给接受方，传递过程中的安全性得不到）密钥需传递给接受方，传递过程中的安全性得不到保证。保证。（2）密钥数量急剧增加）密钥数量急剧增加 （3）要求通信双方相互认识，保守密钥。）要求通信双方相互认识，保守密钥。12/19/2022352、公开密钥体系（非对称密钥加密体系）、公开密钥体系（非对称密钥加密体系）1 1、信息加密和

20、解密使用的是不同的两个密钥，称为信息加密和解密使用的是不同的两个密钥，称为“密钥对密钥对”公开密钥（公钥公开密钥（公钥PK）：加密）：加密私用密钥（私钥私用密钥（私钥SK）：）：解密解密 2、RSA加密算法（加密算法（1979年）年）12/19/20223612/19/20223712/19/202238两个密钥两个密钥 加密密钥不能用来解密加密密钥不能用来解密公开密钥不需要管理，直接在网络上公开传输公开密钥不需要管理，直接在网络上公开传输加密速度较慢加密速度较慢3、特点、特点 4、优点、优点 （1）密钥少便于管理）密钥少便于管理 （2）密钥分配简单）密钥分配简单 （3）不需要秘密的通道和复杂

21、的协议来传送密钥）不需要秘密的通道和复杂的协议来传送密钥 （4）可实现数字签名和数字鉴别）可实现数字签名和数字鉴别12/19/202239在网络上，什么样的信息交流才是安全的呢？在网络上，什么样的信息交流才是安全的呢？只有接收方才能解读信息，只有接收方才能解读信息，保密性保密性接收方看到的信息未被篡改或替换，接收方看到的信息未被篡改或替换，完整性完整性加密加密！还差什么？还差什么？建立信任和信任验证机制建立信任和信任验证机制身份验证身份验证交易不可抵赖交易不可抵赖4.4 认证技术认证技术数字证书数字证书CA认证认证12/19/202240 数字证书数字证书：网络通信中标志通信各方身份信息的一系

22、列：网络通信中标志通信各方身份信息的一系列数据。数据。用电子手段来证实用户的身份及分配公开密钥用电子手段来证实用户的身份及分配公开密钥 数字证书类型数字证书类型个人数字证书个人数字证书企业（服务器企业（服务器)证书证书开发者证书开发者证书4.4.1 基本概念基本概念1、数字证书（、数字证书（digital ID）12/19/202241数字证书的内容数字证书的内容 （1）凭证拥有者的姓名：证明用户身份）凭证拥有者的姓名：证明用户身份 （2）凭证拥有者的公共密钥：用于对每笔交易数据进行）凭证拥有者的公共密钥：用于对每笔交易数据进行加密和数字签名，可以保证每笔交易的安全和不可抵赖；加密和数字签名，

23、可以保证每笔交易的安全和不可抵赖；（3）公共密钥的有效期）公共密钥的有效期 （4）颁发数字凭证的单位：证书的来源）颁发数字凭证的单位：证书的来源 （5）证书的编号：保证证书的真实性）证书的编号：保证证书的真实性12/19/202242对数字证书的验证对数字证书的验证 CACA签名真实？签名真实？证书在有效期内？证书在有效期内？证书在证书在CACA发布的发布的证书撤消列表内？证书撤消列表内？Y伪造的证书伪造的证书N失效的证书失效的证书NY失效的证书失效的证书YN有效的证书有效的证书12/19/2022432、RA:证书发放审核部门证书发放审核部门3、CP：证书发放执行部门：证书发放执行部门4、R

24、S：证书的受理者（接受用户的证书申请请求）：证书的受理者（接受用户的证书申请请求）5、CRL：证书作废表，记录尚未过期但已声明作废的用户：证书作废表，记录尚未过期但已声明作废的用户证书的序列号证书的序列号12/19/202244 6、CA 认证中心认证中心(Certificate Authority)：承担网上安全：承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。务机构。证书发放证书发放证书更新证书更新证书撤销证书撤销证书验证证书验证CA的四大职能的四大职能12/19/202245尚没有明确国家级尚没有明确国家级C

25、A安全认证系统安全认证系统行业性行业性CA安全认证系统：安全认证系统：中国人民银行联合中国人民银行联合12家银行建立的金融家银行建立的金融CFCA安全认证安全认证中心中心 中国电信建立的中国电信建立的CTCA安全认证系统安全认证系统 国家外贸部国家外贸部EDI中心建立的国富安中心建立的国富安CA安全认证中心安全认证中心中国中国CA认证中心的建设认证中心的建设12/19/202246中国知名的认证中心中国知名的认证中心 中国数字认证网（中国数字认证网（）中国金融认证中心（中国金融认证中心（）中中国国电电子子邮邮政政安安全全证证书书管管理理中中心心（）北京数字证书认证中心（北京数字证书认证中心（）

26、广东省电子商务认证中心（广东省电子商务认证中心（）12/19/202247 （1）“数字信封数字信封”：是用加密技术来保证只有规定的特定是用加密技术来保证只有规定的特定收信人才能阅读信息。收信人才能阅读信息。数字信封数字信封4.4.2 基本认证技术基本认证技术1、数字信封、数字信封（2）具体做法）具体做法 发送方采用对称密钥加密信息发送方采用对称密钥加密信息 将此将此对称密钥对称密钥用接收用接收方的公开密钥加密之后，将它和信息一起发送给接收方方的公开密钥加密之后，将它和信息一起发送给接收方 接收方先用相应的私有密钥打开数字信封，得到对称密钥接收方先用相应的私有密钥打开数字信封，得到对称密钥 使

27、用对称密钥解开信息使用对称密钥解开信息12/19/202248发送端发送端接收端接收端原原信信息息密密文文对称对称密钥密钥加密加密internet密密文文数字数字信封信封原原信信息息对称对称密钥密钥解密解密接收者接收者公钥加公钥加密密数字数字信封信封对称对称密钥密钥接收者接收者私钥解私钥解密密对称对称密钥密钥internet12/19/2022492、数字签名、数字签名（1）什么是数字签名）什么是数字签名 Digital Signature 数字签名是通过一个单向函数对要传送的报文进行处理得数字签名是通过一个单向函数对要传送的报文进行处理得到的用以到的用以认证报文来源并核实报文是否发生变化认证

28、报文来源并核实报文是否发生变化的一个字母数的一个字母数字串。字串。（2）数字签名的作用）数字签名的作用保证信息完整保证信息完整 信息发送者身份的验证信息发送者身份的验证实现的基础实现的基础加密技术加密技术12/19/202250发送端发送端接收端接收端原原信信息息摘摘要要Hash函数函数加密加密数数字字签签名名发送者发送者私钥加私钥加密密internetinternet原原信信息息数数字字签签名名摘摘要要摘摘要要Hash函函数加密数加密发送者发送者公钥解公钥解密密对比对比12/19/202251 数字签名具有易更换、难伪造、可进行远程线路传递等优点。数字签名具有易更换、难伪造、可进行远程线路传

29、递等优点。数字签名12/19/202252 （1）采用单向）采用单向Hash函数对文件进行变换运算得到摘要函数对文件进行变换运算得到摘要码，并把摘要码和文件一同送给接收方码，并把摘要码和文件一同送给接收方 （2）接收方接到文件后，用相同的方法对文件进行变）接收方接到文件后，用相同的方法对文件进行变换计算换计算 （3）用得出的摘要码与发送来的摘要码进行比较来断）用得出的摘要码与发送来的摘要码进行比较来断定文件是否被篡改。定文件是否被篡改。保证数据的完整性、真实性保证数据的完整性、真实性3、数字摘要、数字摘要12/19/202253原原信信息息发送端发送端接收端接收端摘摘要要Hash函函数加密数加

30、密摘摘要要Hash函函数数加加密密对比原原信信息息摘摘要要internetinternet12/19/2022544、数字时间戳（、数字时间戳（Digital Time-Stamp，DTS）时间戳：提供电子文件发表时间的安全保护，是一个经时间戳：提供电子文件发表时间的安全保护，是一个经过加密后形成的凭证文档。过加密后形成的凭证文档。需加时间戳的文件摘要需加时间戳的文件摘要DTS收到文件的日期和时间收到文件的日期和时间DTS的数字签名的数字签名保证文件签署日期的真实性保证文件签署日期的真实性12/19/202255时间戳产生过程：时间戳产生过程：用户将需加时间戳的文件用用户将需加时间戳的文件用H

31、ASH编码加密形成摘要编码加密形成摘要 将其发送到将其发送到DTS DTS在加入了收到日期和时间信在加入了收到日期和时间信息后再对该文件加密和数字签名息后再对该文件加密和数字签名 返回用户返回用户 12/19/2022565、虚拟专用网（、虚拟专用网（VPN，Virtual Private Network）（1）虚拟专用网（虚拟专用网（VPN，Virtual Private Network）：）：利用公共网络来构建的专用网络。主要利用公共网络来构建的专用网络。主要通过加密通信数据和通过加密通信数据和双方的网络地址，实现在公用网上传输私有数据，并可达到双方的网络地址，实现在公用网上传输私有数据，

32、并可达到私有网络的安全级别，是一种经济、安全的网络通信。功能：私有网络的安全级别，是一种经济、安全的网络通信。功能：加密数据加密数据信息认证和身份认证信息认证和身份认证提供访问控制：不同用户有不同的访问权限提供访问控制：不同用户有不同的访问权限12/19/202257虚拟专用网虚拟专用网12/19/2022584.5 4.5 安全技术协议安全技术协议4.5.1 4.5.1 安全套接层协议（安全套接层协议（SSLSSL）(一一)SSL)SSL协议概述协议概述 1 1、SSL(Secure Sockets Layer)SSL(Secure Sockets Layer)，称为安全套接层协议，称为安全

33、套接层协议，是一种安全通信协议。是一种安全通信协议。（1 1）提供了客户机与服务器之间的安全连接，对整个会）提供了客户机与服务器之间的安全连接，对整个会话进行了加密，从而保证了安全传输。话进行了加密，从而保证了安全传输。（2 2）对服务器进行认证，还可选择对客户机进行认证。）对服务器进行认证，还可选择对客户机进行认证。应用层应用层传输层传输层SSL12/19/202259 实现实现SSL协议的是协议的是HTTP的安全版，名为的安全版，名为HTTPS。12/19/202260 HTTP、FTP SSL握手协议（握手协议（协商密钥协商密钥）SSL记录协议（记录协议（定义传输格式定义传输格式）TCP

34、/IP协议协议2、SSL协议分为两层：协议分为两层：SSL握手协议和握手协议和SSL记录协议记录协议12/19/202261 3、SSL协议是目前电子商务中应用最为广泛的安全协协议是目前电子商务中应用最为广泛的安全协议之一。议之一。（1）应用范围广：几乎所有操作平台上的）应用范围广：几乎所有操作平台上的WEB浏览器浏览器（IE、Netscape）以及）以及Web服务器都支持服务器都支持SSL协议。协议。（2）被大部分）被大部分WEB浏览器和服务器所内置浏览器和服务器所内置12/19/202262（二）（二）SSL协议的功能协议的功能1、SSL服务器认证：客户机对服务器数字证书的检查服务器认证：

35、客户机对服务器数字证书的检查2、确认用户身份：服务器检查客户机数字证书的合法性、确认用户身份：服务器检查客户机数字证书的合法性3、保证数据传输的机密性和完整性：加密技术、保证数据传输的机密性和完整性：加密技术中国银行：中国银行：http:/ （1 1）显示在）显示在eCoin上在登陆（上在登陆（Login）用户名时即进入）用户名时即进入SSL安全连接安全连接12/19/202264 （2 2）这时浏览器发出安全警报，开始建立安全连接）这时浏览器发出安全警报，开始建立安全连接 浏览器开始建立安全连接12/19/202265 （3）同时验证安全证书，用户单击）同时验证安全证书，用户单击“确定确定”

36、键即进入安全连接键即进入安全连接浏览器验证服务器安全证书浏览器验证服务器安全证书12/19/202266 （4 4）显示在）显示在eCoineCoin上的安全连接已经建立，浏览器右下角状态上的安全连接已经建立，浏览器右下角状态栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密方式传送。方式传送。12/19/202267 （5 5）当加密方式传送结束后，浏览器会离开交换敏感信息当加密方式传送结束后，浏览器会离开交换敏感信息的页面，自动断开安全连接。的页面，自动断开安全连接。离开交换敏感信息的页面，浏览器自动断开安全连接12/19/

37、202268 1、SETSET协议是针对开放网络上安全、有效的银行卡交协议是针对开放网络上安全、有效的银行卡交易，由易，由VisaVisa和和MasterCardMasterCard联合研制的，制定的安全电子交易的联合研制的，制定的安全电子交易的一个国际标准。一个国际标准。主要目的是解决信用卡电子付款的安全保障性问题主要目的是解决信用卡电子付款的安全保障性问题 2 2、SET协议主要是针对协议主要是针对B to C电子商务的一个协议，而且电子商务的一个协议，而且依赖于银行卡这种目前使用较为广泛的支付工具。依赖于银行卡这种目前使用较为广泛的支付工具。4.6.2 安全电子交易规范（安全电子交易规范

38、（SET）12/19/2022693 3、SETSET的特点的特点 (1)(1)信息的机密性信息的机密性:对称密钥和非对称密钥相结合对称密钥和非对称密钥相结合 (2)(2)交易的不可否认性：数字证书交易的不可否认性：数字证书/签名签名 （3 3）数据的完整性）数据的完整性:数字签名数字签名 (4)(4)身份的验证身份的验证:保证信息的真实性保证信息的真实性 12/19/2022704、SET的目标的目标（1）订单和个人账号信息在）订单和个人账号信息在Internet上安全传输，保证网上安全传输，保证网上传输的数据不被黑客窃取。上传输的数据不被黑客窃取。（2）订单信息和个人账号信息的隔离订单信息

39、和个人账号信息的隔离（3）解决网络认证问题：消费者、商店、银行、网关）解决网络认证问题：消费者、商店、银行、网关（4）要求软件遵循相同协议和消息格式，使不同厂家开）要求软件遵循相同协议和消息格式，使不同厂家开发的软件具有兼容和互操作功能。发的软件具有兼容和互操作功能。12/19/202271 在在SETSET中采用了中采用了双重签名双重签名技术，支付信息和订单信息是分技术，支付信息和订单信息是分别签署。别签署。保证了商家看不到支付信息，而只能看到订单信息保证了商家看不到支付信息，而只能看到订单信息保证了银行看不到交易内容，只能看到帐户信息保证了银行看不到交易内容，只能看到帐户信息 帐户信息中包

40、括了交易帐户信息中包括了交易ID、交易金额、信用卡数据等信、交易金额、信用卡数据等信息，这些涉及到与银行业务相关的保密数据对支付网关是不息，这些涉及到与银行业务相关的保密数据对支付网关是不保密的，因此支付网关必须由保密的，因此支付网关必须由收单银行或其委托的信用卡组收单银行或其委托的信用卡组织织来担当。来担当。12/19/2022726、SET涉及的主要角色涉及的主要角色 （1）持卡人）持卡人:网上消费者或客户，首先应向发卡行提出申网上消费者或客户，首先应向发卡行提出申请，并安装电子钱包软件。请，并安装电子钱包软件。（2）商家：必须在收单行开设帐户并且安装）商家：必须在收单行开设帐户并且安装S

41、ET商家软件商家软件 （3）支付网关：收单银行或指定的第三方操作的专用系）支付网关：收单银行或指定的第三方操作的专用系统，用于处理支付授权和支付。统，用于处理支付授权和支付。银行金融网络银行金融网络公共网络公共网络支付网关支付网关12/19/202273（4）收单行：为商户建立帐户并处理支付授权和支付）收单行：为商户建立帐户并处理支付授权和支付（5）发卡行：为持卡人建立一个帐户并发行支付卡）发卡行：为持卡人建立一个帐户并发行支付卡（6）认证机构：向各交易主体颁发证书，进行身份识别）认证机构：向各交易主体颁发证书，进行身份识别12/19/202274发卡银行发卡银行持卡人持卡人银行网络银行网络收

42、单银行收单银行认证中心认证中心Internet在线商家在线商家支付网关支付网关12/19/202275SET的运作的运作流程流程、A先生进入网络商家订购书籍，并填写订购数量、送货日期等信息；先生进入网络商家订购书籍，并填写订购数量、送货日期等信息；、A先生准备结帐，这时计算机中具有先生准备结帐，这时计算机中具有SET规格的规格的“电子钱包电子钱包”软件自动软件自动启动，并将信用卡信息连同订单信息分别加密后传送给商家；启动，并将信用卡信息连同订单信息分别加密后传送给商家；、商家、商家B收到该订单及信用卡信息后，将信用卡信息原封不动的传给收收到该订单及信用卡信息后，将信用卡信息原封不动的传给收单银

43、行，以检查信用卡是否有效；单银行，以检查信用卡是否有效；、收单银行向发卡银行确认该信用卡数据无误后，发出信息通知商家可、收单银行向发卡银行确认该信用卡数据无误后，发出信息通知商家可以接下此笔订单；以接下此笔订单；、到了结帐日，、到了结帐日，A先生会接到发卡银行的信用帐单，而商家则可以拿信先生会接到发卡银行的信用帐单，而商家则可以拿信用卡授权码向收单银行划款。用卡授权码向收单银行划款。持持卡卡人人选购商品选购商品订单与信用卡信息订单与信用卡信息订单成立信息订单成立信息电电子子商商家家收收单单银银行行发发卡卡银银行行信用卡信息信用卡信息确认信息确认信息信用卡信息信用卡信息确认信息确认信息12/19

44、/202276SET与与SSL机制的比较机制的比较认证机制认证机制：SET要求所有参与交易各方均必须先申请数字证要求所有参与交易各方均必须先申请数字证书以识别身份，而书以识别身份，而SSL只有商家只有商家 的服务器需要认证，客户端的服务器需要认证，客户端的认证是可选择的（的认证是可选择的（optional）；）；设置成本设置成本：希望申请：希望申请SET交易者除必须申请数字证书之外，交易者除必须申请数字证书之外，也必须在计算机上安装符合也必须在计算机上安装符合SET规格的电子钱包软件，而规格的电子钱包软件，而SSL交易无须另外安装软件；交易无须另外安装软件；安全性安全性：SET的安全性比的安全性比SSL高，高，SSL的安全范围只限于持卡的安全范围只限于持卡人到商家的信息交换；人到商家的信息交换；目前采用率目前采用率：SET的成本较高，目前的成本较高，目前SSL的普及率较高。的普及率较高。比较项目比较项目SETSSL认证机制认证机制设置成本设置成本安全性安全性采用比率采用比率所有参与所有参与SET的成员的成员较高较高较高较高约约商家服务器商家服务器较低较低较低较低约约12/19/202277