电子商务安全技术及应用17628.pptx

《电子商务安全技术及应用17628.pptx》由会员分享，可在线阅读，更多相关《电子商务安全技术及应用17628.pptx（46页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子商务安全技术授课教师：张静电子商务的基本概念电子商务的基本概念电子商务的形态电子商务的形态电子商务的安全任务电子商务的安全任务安全电子交易协议安全电子交易协议SET电子商务的基本概念电子商务的基本概念电子商务的形态电子商务的形态电子商务的安全任务电子商务的安全任务安全电子交易协议安全电子交易协议SET电子商务的基本概念电子商务的概念主要由两部分构成，一是电子，电子商务的概念主要由两部分构成，一是电子，二是商务。先说电子，电子就是指通过计算机和二是商务。先说电子，电子就是指通过计算机和网络手段所完成的信息传输与处理过程。网络手段所完成的信息传输与处理过程。商务主要是指企业的经营活动（当然也包

2、括参与商务主要是指企业的经营活动（当然也包括参与企业经营活动的个人消费者的活动）。企业的经企业经营活动的个人消费者的活动）。企业的经营活动范围很广，具体讲有供应（采购）、生产、营活动范围很广，具体讲有供应（采购）、生产、营销、财务、人事（人力资源）、信息采集与传营销、财务、人事（人力资源）、信息采集与传递、广告宣传。此外还有企业的并购以及证券活递、广告宣传。此外还有企业的并购以及证券活动。动。电子商务的基本概念凡是透过网际网路所完成的商业活动皆可凡是透过网际网路所完成的商业活动皆可视为电子商务。视为电子商务。电子商务是藉由通讯网络所进行的企业咨电子商务是藉由通讯网络所进行的企业咨询分享、企业关

3、系维持、以及企业交易的询分享、企业关系维持、以及企业交易的执行。执行。财务人事原物料原物料电子商务的基本概念企业企业、公司、公司研发创新生产制造行销品管市场、客户市场、客户服务服务产品产品业务供应商供应商企业内部、企业与企业之间企业内部、企业与企业之间企业与供应商企业与供应商企业与客户企业与客户网际网际网路网路电子商务的基本概念电子商务的基本概念电子商务的形态电子商务的形态电子商务的安全任务电子商务的安全任务安全电子交易协议安全电子交易协议SET电子商务的形态企业对顾客企业对顾客B to C企业对企业企业对企业B to B电子交易市集电子交易市集C2CB2B企业内部应用企业内部应用B to C

4、网站实例B to C網站實例B to C网站实例B to B网站实例B to B网站实例C to C 网站实例网站实例C to C网站实例电子商务的基本概念电子商务的基本概念电子商务的形态电子商务的形态电子商务的安全任务电子商务的安全任务安全电子交易协议安全电子交易协议SET监听篡改拦截拦截假冒假冒电子商务安全任务身份认证（持卡者、商家、银行）有效性机密性完整性抗抵赖电子商务的基本概念电子商务的基本概念电子商务的形态电子商务的形态电子商务的安全任务电子商务的安全任务安全电子交易协议安全电子交易协议SET电子安全交易协议B TO C支付交易过程支付交易过程电子交易中的安全需求电子交易中的安全需求

5、SET的关键技术的关键技术SET的目标、角色和安全保障作用的目标、角色和安全保障作用电子安全交易协议B TO C支付交易过程支付交易过程电子交易中的安全需求电子交易中的安全需求SET的关键技术的关键技术SET的目标、角色和安全保障作用的目标、角色和安全保障作用安全电子交易协议SET 电子交易中的安全支付问题电子交易中的安全支付问题 1.电子商务中的电子商务中的B to C交易过程交易过程 交易指双方买卖双方之间进行商品买卖的行为。交易指双方买卖双方之间进行商品买卖的行为。广义的交易是一个复杂的过程。在电子商务中，广义的交易是一个复杂的过程。在电子商务中，由于参与方不同等原因，会形成不同的交易过

6、程，由于参与方不同等原因，会形成不同的交易过程，如如B to B（Business to Business，企业间电子，企业间电子商务，也缩写作商务，也缩写作B2B）的交易过程、）的交易过程、B to C（Business to Consumer，企业对消费者的电，企业对消费者的电子商务）的交易过程等。子商务）的交易过程等。下面主要介绍下面主要介绍B to C的交易过程的交易过程 在在B to C的交易过程中，主要角色有：的交易过程中，主要角色有：商家（商家（Merchant）：商品或服务的提供者。）：商品或服务的提供者。银行（银行（Acquirer）：为在线交易者开设账号，并处理支付）：为在

7、线交易者开设账号，并处理支付卡的认证和支付业务。卡的认证和支付业务。支付网关（支付网关（Payment gateway）：将）：将Internet上的传输数上的传输数据转换为金融机构内部数据。据转换为金融机构内部数据。持卡者（持卡者（Cardholder）：消费者，可以使用付款卡结算。）：消费者，可以使用付款卡结算。发卡机构（发卡机构（Issuer）：为每一个建立了账户的客户颁发付）：为每一个建立了账户的客户颁发付款卡，也可以由指派的第三方处理商家支付信息和客户支款卡，也可以由指派的第三方处理商家支付信息和客户支付命令。付命令。B to C的基本交易过程 消费者上网，查看企业和商家网消费者上网

8、，查看企业和商家网页，选择商品；消费者通过对话页，选择商品；消费者通过对话框填写订货单（姓名、地址、品框填写订货单（姓名、地址、品种、规格、数量、价格）给商家。种、规格、数量、价格）给商家。商家核对消费者订货单商家核对消费者订货单后，向用户发出付款通知，后，向用户发出付款通知，同时向银行发出转账请求。同时向银行发出转账请求。消费者选择支付方式，消费者选择支付方式，如向发卡机构提交付如向发卡机构提交付款卡。款卡。发卡机构验证消费者付款发卡机构验证消费者付款卡后，将卡号加密传向银卡后，将卡号加密传向银行（支付网关）。银行审行（支付网关）。银行审查消费者付款卡（有效、查消费者付款卡（有效、款够等）合

9、格后，进行转款够等）合格后，进行转账。账。转账成功，向商转账成功，向商家发出和发卡机家发出和发卡机构出转账成功回构出转账成功回执。执。发卡机构向发卡机构向消费者发出消费者发出支付收据。支付收据。商家向消商家向消费者付货。费者付货。电子安全交易协议B TO C支付交易过程支付交易过程电子交易中的安全需求电子交易中的安全需求SET的关键技术的关键技术SET的目标、角色和安全保障作用的目标、角色和安全保障作用 支付是交易的重要环节。由于电子支付的虚拟性，它的安全倍受人们关注，也是电子商务安全的最重要和最困难环节。电子支付的问题表现在支付的每一个方面和每一个步骤中。归纳起来，主要表现为有如下一些安全需

10、求：确定交易过程中交易伙伴的真实性。确定交易过程中交易伙伴的真实性。保证电子单据的隐秘性，防范被无关者窃取。保证电子单据的隐秘性，防范被无关者窃取。保证业务单据不丢失，即使丢失也可察觉。保证业务单据不丢失，即使丢失也可察觉。验证电子单据内容的完整性。验证电子单据内容的完整性。验证电子单据内容的真实性。验证电子单据内容的真实性。具有防抵赖性和可仲裁性。具有防抵赖性和可仲裁性。保证存储的交易信息的安全性。保证存储的交易信息的安全性。电子安全交易协议B TO C支付交易过程支付交易过程电子交易中的安全需求电子交易中的安全需求SET的关键技术的关键技术SET的目标、角色和安全保障作用的目标、角色和安全

11、保障作用SET的目标、角色和安全保障作用 SET（Secure Electric Transaction，安全电子交换）协议是一种利用加密技术安全电子交换）协议是一种利用加密技术（Cryptography），以确保信用卡消费者、），以确保信用卡消费者、销售上及金融机构在销售上及金融机构在Internet上从事电子交上从事电子交易的安全性和隐私性的协议。它是由两大易的安全性和隐私性的协议。它是由两大信用卡公司信用卡公司VISA和和Master在在GTE、IBM、Microsoft、Netscape、SAIC、Terisa System、Verisign等著名等著名IT公司的公司的支持下开发的。于

12、支持下开发的。于1996年年2月月1日正式发表。日正式发表。SET的目标 1.SET的主要目标是：的主要目标是：（1）保证数据在）保证数据在Internet上安全传输，不被窃取。上安全传输，不被窃取。（2）订单信息与账号信息隔离，如把包含消费者）订单信息与账号信息隔离，如把包含消费者账号信息的订单送给商家时，商家应看不到消费账号信息的订单送给商家时，商家应看不到消费者账号信息。者账号信息。（3）消费与商家可以互相认证（一般由第三方提）消费与商家可以互相认证（一般由第三方提供信用担保），确定通信双方身份。供信用担保），确定通信双方身份。（4）采用统一的协议和数据格式，使不同厂家开）采用统一的协议

13、和数据格式，使不同厂家开发的软件具有兼容性和互操作性，并可以运行在发的软件具有兼容性和互操作性，并可以运行在不同的硬件和操作系统平台上。不同的硬件和操作系统平台上。SET的参与角色 一个一个SET交易过程可能会涉及如下交易过程可能会涉及如下6种角色：种角色：（1）消费者，即持卡人，必须持有）消费者，即持卡人，必须持有发卡机构支付卡账号；发卡机构支付卡账号；认证机构颁发的身份证书；认证机构颁发的身份证书；上网条件。上网条件。（2）商家，即经营者，必须持有：）商家，即经营者，必须持有：网上经营许可权；网上经营许可权；经过银行委托授权机构（认证中心、经过银行委托授权机构（认证中心、CA）颁发的）颁发

14、的数字证书；数字证书；相应的电子商务平台：处理消费者申请、与支付相应的电子商务平台：处理消费者申请、与支付网关通信、存储自身公钥签名、存储自己的公钥网关通信、存储自身公钥签名、存储自己的公钥交换私钥、存储交易参与方的公钥交换私钥、申交换私钥、存储交易参与方的公钥交换私钥、申请和接受认证、与后台数据库通信等。请和接受认证、与后台数据库通信等。（3）银行：给在线交易参与者建立账号，处理转）银行：给在线交易参与者建立账号，处理转账业务。账业务。（4）发卡机构：金融机构，为建立了账号的消费）发卡机构：金融机构，为建立了账号的消费者发卡。者发卡。（5）支付网关，实际上是一台可以处理）支付网关，实际上是一

15、台可以处理SET协议数据的计算机，可在协议数据的计算机，可在SET协议和银行交协议和银行交易系统之间进行数据格式转换，实现传统易系统之间进行数据格式转换，实现传统银行网上支付功能的延伸。银行网上支付功能的延伸。支付网关有如下服务：支付网关有如下服务：确定商家和消费者身份；确定商家和消费者身份；解密持卡人的支付指令；解密持卡人的支付指令；签署数字响应。签署数字响应。支付网关必须具有：支付网关必须具有：银行授权；银行授权；CA颁发的数字证书。颁发的数字证书。（6）认证机构，是参与交易各方都信任的）认证机构，是参与交易各方都信任的第三方，可以接受发卡行和收单行的委托，第三方，可以接受发卡行和收单行的

16、委托，对持卡人、商家和支付网关完成数字证书对持卡人、商家和支付网关完成数字证书的发放。的发放。3.SET的安全保障作用的安全保障作用（1）基于持卡人的安全保障）基于持卡人的安全保障对账号数据保密；对账号数据保密；对交易数据保密；对交易数据保密；持卡人对商家的认证。持卡人对商家的认证。（2）基于商家的安全保障）基于商家的安全保障对交易数据完整性的认证；对交易数据完整性的认证；对持卡人账户数据的认证；对持卡人账户数据的认证；对持卡人的认证；对持卡人的认证；对银行端的认证；对银行端的认证；对交易数据保密；对交易数据保密；提供交易数据的佐证。提供交易数据的佐证。（3）基于银行（支付网关）的安全保障）基

17、于银行（支付网关）的安全保障对消费者账号数据的认证；对消费者账号数据的认证；对交易数据的间接认证；对交易数据的间接认证；对交易数据完整性的认证；对交易数据完整性的认证；提供交易数据的佐证。提供交易数据的佐证。电子安全交易协议B TO C支付交易过程支付交易过程电子交易中的安全需求电子交易中的安全需求SET的关键技术的关键技术SET的目标、角色和安全保障作用的目标、角色和安全保障作用SET关键技术 1.双重签名双重签名 SET有一个基本性能：不需要让某个角色知有一个基本性能：不需要让某个角色知道的其他角色的机密。道的其他角色的机密。例如：例如：只与持卡人和商家之间的交易有关的机密只与持卡人和商家

18、之间的交易有关的机密数据，不必要，也不可以让银行知道。数据，不必要，也不可以让银行知道。持卡者的账户数据也是持卡者的个人秘密持卡者的账户数据也是持卡者的个人秘密数据，不必要，也不可以让厂商知道。数据，不必要，也不可以让厂商知道。但是，在不知道他人机密的情况下，还但是，在不知道他人机密的情况下，还要对其数据的正确性进行认证。例如，在要对其数据的正确性进行认证。例如，在商家不知道持卡者账户数据，银行也不知商家不知道持卡者账户数据，银行也不知道持卡者与商家之间的交易数据的情况下，道持卡者与商家之间的交易数据的情况下，让商家和银行都可以确定这些数据确实由让商家和银行都可以确定这些数据确实由持卡者产生、

19、送出的，还可以间接、直接持卡者产生、送出的，还可以间接、直接地对这些数据进行认证。地对这些数据进行认证。这一性能，在这一性能，在SET中使用双重签名（中使用双重签名（Dual Signature）技巧解决。）技巧解决。下面介绍用双重签名实现这一性能的过程。下面介绍用双重签名实现这一性能的过程。持卡者（持卡者（C）产生两个签名：）产生两个签名：CSig(H(H(OI),H(PI)：持卡者对交易：持卡者对交易数据（数据（OI）和账户数据（）和账户数据（PI）的签名。）的签名。CSig(H(OI)：持卡者对交易数据（：持卡者对交易数据（OI）的签名。的签名。将两个签名、账户数据杂凑值将两个签名、账户

20、数据杂凑值H（PI）和交）和交易数据（易数据（OI）都传送给商家。）都传送给商家。商家（商家（M）操作：）操作：验证验证CSig(H(H(OI),H(PI)、CSig(H(OI)和和H（PI），确定是否持卡者的签名。），确定是否持卡者的签名。生成对交易数据的签名生成对交易数据的签名MSig(H(OI)。将将MSig(H(OI)、CSig(H(H(OI),H(PI)一同送银行（支付网关）。一同送银行（支付网关）。支付网关（支付网关（P）操作：）操作：验证验证MSig(H(OI)，确定，确定H(OI)为交易数为交易数据的杂凑值。据的杂凑值。用已知的用已知的PI，验证，验证CSig(H(H(OI),

21、H(PI)的正确性，确认交易数据和账户数据都的正确性，确认交易数据和账户数据都是正确的。是正确的。根据政策，确认此笔交易是否成功。根据政策，确认此笔交易是否成功。SET交易过程SET认证中心 为了使交易参加方有一个可信的第三方，为了使交易参加方有一个可信的第三方，建立了一个认证中心建立了一个认证中心CA来为消费者、商家来为消费者、商家和银行颁布数字证书，分配密钥。和银行颁布数字证书，分配密钥。SET认证中心采用层次结构。其最高层认证中心采用层次结构。其最高层CA（既（既Root CA）的安全维系着整个）的安全维系着整个SET协议的安全。为了防止协议的安全。为了防止Root CA遭破解，遭破解，SET将其密钥长度定在将其密钥长度定在2048，比一般用户，比一般用户的密钥长度的密钥长度1024长一倍。长一倍。作业：请详细描述作业：请详细描述SET交易过程。交易过程。