第5章 电子商务交易安全14927.pptx

《第5章 电子商务交易安全14927.pptx》由会员分享，可在线阅读，更多相关《第5章 电子商务交易安全14927.pptx（90页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、CompanyLOGO第第5章章 电子商务交易安全电子商务交易安全第第5章章 电子商务交易安全电子商务交易安全 电子商务安全概述电子商务安全概述5.1电子商务安全技术电子商务安全技术5.2电子商务安全交易协议电子商务安全交易协议5.3Company Logov2009年年4月月24日，瑞星公司市场总监马日，瑞星公司市场总监马刚在接受采访时称刚在接受采访时称,木马已经成为互联木马已经成为互联网的最大威胁网的最大威胁,虽然该公司的绞杀计划虽然该公司的绞杀计划初见成效初见成效,但木马问题不可能在短时间但木马问题不可能在短时间内得以解决。内得以解决。Company Logov瑞星公司近日公布的一项安全

2、报告从瑞星公司近日公布的一项安全报告从数量上阐释了这个产业的庞大。该报告数量上阐释了这个产业的庞大。该报告称称,20092009年年1 1月至月至3 3月月,互联网上出现的互联网上出现的”挂马挂马”网页累计达网页累计达1.91.9亿多个亿多个,平均每天平均每天有有589589万余人次网民访问这些网页万余人次网民访问这些网页,累计累计有有8 8亿人次网民遭木马攻击。亿人次网民遭木马攻击。Company Logov据金山毒霸据金山毒霸“云安全云安全”中心检测数据数中心检测数据数据显示，据显示，20082008年，中国新增计算机病毒、年，中国新增计算机病毒、木马数量呈爆炸式增长，总数量已突破木马数量

3、呈爆炸式增长，总数量已突破千万。千万。Company LogoCompany LogoCompany Logov病毒制造者的病毒制造者的“逐利性逐利性”依旧没有改依旧没有改变，变，网页挂马、漏洞攻击网页挂马、漏洞攻击成为黑客获利成为黑客获利的主要渠道。的主要渠道。Company Logo近年重大病毒及损失代价近年重大病毒及损失代价年份年份病毒名称病毒名称损失金额损失金额（亿美元）（亿美元）感染电脑数目感染电脑数目（万台）（万台）2001CodeRed（红色警戒）（红色警戒）26.21002002Klez（求职信）（求职信）906002003Blaster（冲击波）（冲击波）20100Compa

4、ny Logov据美联社报道据美联社报道,为应对每日数以百为应对每日数以百万计的网络攻击和欺诈万计的网络攻击和欺诈,美国联邦美国联邦政府正在积极寻找黑客高手政府正在积极寻找黑客高手,这次这次不是为了抓捕他们而是向他们支付不是为了抓捕他们而是向他们支付费用保护国家网络。费用保护国家网络。（2009.4.202009.4.20）Company Logo 网络安全企业网络安全企业公司公司成立时间成立时间总部总部赛门铁克赛门铁克(Symantec)1982美国美国趋势科技（趋势科技（TrendMicro）1988美国美国卡巴斯基（卡巴斯基（KasperskyLab）1997俄罗斯俄罗斯比特梵德比特梵德

5、(BitDefender)2001罗马尼亚罗马尼亚金山金山1989深圳深圳江民科技江民科技1996北京北京瑞星瑞星1997北京北京Company Logo 5.1 电子商务安全概述电子商务安全概述一、电子商务安全问题一、电子商务安全问题 网民中网络安全问题发生的比率网民中网络安全问题发生的比率Company Logo 网民网民2007年下半年网络安全问题发生的频次年下半年网络安全问题发生的频次Company Logo 网民发生帐号或密码被盗的场所网民发生帐号或密码被盗的场所Company Logo电子商务安全隐患及防范措施电子商务安全隐患及防范措施问题问题问题问题数据被非法截获、读取或者修改数

6、据被非法截获、读取或者修改数据被非法截获、读取或者修改数据被非法截获、读取或者修改 冒名顶替和否认行为冒名顶替和否认行为冒名顶替和否认行为冒名顶替和否认行为 一个网络的用户未经授权访问了一个网络的用户未经授权访问了一个网络的用户未经授权访问了一个网络的用户未经授权访问了另一个网络另一个网络另一个网络另一个网络 计算机病毒计算机病毒计算机病毒计算机病毒 措施措施措施措施数据加密数据加密数据加密数据加密 数字签名、加密、认证等数字签名、加密、认证等数字签名、加密、认证等数字签名、加密、认证等 防火墙防火墙防火墙防火墙计算机病毒防治措施计算机病毒防治措施计算机病毒防治措施计算机病毒防治措施 黑客恶意

7、攻击黑客恶意攻击黑客攻击防范措施黑客攻击防范措施Company Logo电子商务安全不单是技术问题1 机构机构 与与 管理管理2 法律法律与与法规法规3 技术技术与与人才人才Company Logov例如：例如：2727岁的赖某利用岁的赖某利用“木马木马”程序，程序，一个月内从他人网上银行账户中盗走一个月内从他人网上银行账户中盗走60006000余元，判处其有期徒刑一年零六个余元，判处其有期徒刑一年零六个月，缓刑两年，并处罚金月，缓刑两年，并处罚金1200012000元。元。Company Logo 安全性需要代价1 1安全性与便捷性安全性与便捷性2 2安全性与成本安全性与成本Company

8、Logo 二、电子商务的安全体系二、电子商务的安全体系电子商务电子商务交易安全交易安全电子商务电子商务安全体系安全体系计算机网计算机网络系统安络系统安全全Company Logo（一）（一）计算机网络系统的安全问题计算机网络系统的安全问题 1 1、物理实体的安全、物理实体的安全(硬件安全硬件安全)设备的功能失常设备的功能失常电源故障电源故障 由于电磁泄漏引起的信息失密由于电磁泄漏引起的信息失密 搭线窃听搭线窃听Company Logo2 2、自然灾害的威胁、自然灾害的威胁 各种自然灾害、风暴、泥石流、建各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对筑物破坏、火灾、水灾、空气污

9、染等对计算机网络系统都构成强大的威胁。计算机网络系统都构成强大的威胁。Company Logo3 3、黑客的恶意攻击、黑客的恶意攻击 所谓黑客，现在一般泛指计算机信息系所谓黑客，现在一般泛指计算机信息系统的非法入侵者。统的非法入侵者。主动攻击：主动攻击：它以各种方式有选择地破坏它以各种方式有选择地破坏信息的有效性和完整性；信息的有效性和完整性；被动攻击：被动攻击：它是在不影响网络正常工作它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重的情况下，进行截获、窃取、破译以获得重要机密信息。要机密信息。Company Logo4 4、软件的漏洞和、软件的漏洞和“后门后门”5 5、网络协议

10、的安全漏洞、网络协议的安全漏洞 6 6、计算机病毒的攻击、计算机病毒的攻击 Company Logo（二）计算机网络系统的安全管理制度（二）计算机网络系统的安全管理制度1 1、保密制度、保密制度绝密级：不在因特网上公开，只限高层管理人绝密级：不在因特网上公开，只限高层管理人员掌握；员掌握；机密级：只限公司中层管理人员以上使用；机密级：只限公司中层管理人员以上使用；秘密级：在因特网上公开，供消费者浏览，但秘密级：在因特网上公开，供消费者浏览，但必须有保护程序防止黑客侵入；必须有保护程序防止黑客侵入；Company Logo2 2、网络系统的日常维护、网络系统的日常维护硬件的日常管理和维护硬件的日

11、常管理和维护软件的日常管理和维护软件的日常管理和维护数据备份制度数据备份制度用户管理用户管理Company Logo3 3病毒防范制度病毒防范制度安装防病毒软件安装防病毒软件不打开陌生电子邮件不打开陌生电子邮件认真执行病毒定期清理制度认真执行病毒定期清理制度控制权限控制权限高度警惕网络陷阱高度警惕网络陷阱Company Logo（三）电子商务交易安全问题（三）电子商务交易安全问题1 1卖方面临的问题卖方面临的问题(1)(1)中央系统安全性被破坏中央系统安全性被破坏(2)(2)竞争对手检索商品递送状况竞争对手检索商品递送状况(3)(3)被他人假冒而损害公司的信誉被他人假冒而损害公司的信誉(4)(

12、4)买方提交订单后不付款买方提交订单后不付款(5)(5)有人恶意从卖方获取他人的机密数据有人恶意从卖方获取他人的机密数据Company Logo2 2买方面临的问题买方面临的问题(1)(1)付款后不能收到商品付款后不能收到商品(2)(2)机密性丧失机密性丧失(3)(3)拒绝服务拒绝服务Company Logo3 3信息传输问题信息传输问题 (1)(1)冒名偷窃冒名偷窃 (2)(2)篡改数据篡改数据 (3)(3)信息丢失信息丢失 (4)(4)信息传递过程中的破坏信息传递过程中的破坏 (5)(5)虚假信息虚假信息Company Logo4 4信用问题信用问题 (1)(1)来自买方的信用问题来自买方

13、的信用问题 (2)(2)来自卖方的信用风险来自卖方的信用风险 (3)(3)买卖双方都存在抵赖的情况买卖双方都存在抵赖的情况Company Logo（四）电子商务交易的安全控制要求（四）电子商务交易的安全控制要求1 1、交易者身份的可认证性、交易者身份的可认证性（数字签名和数字（数字签名和数字证书）证书）在双方进行交易前，首先要能确认在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份对方的身份，要求交易双方的身份不能被假冒或伪装。不能被假冒或伪装。Company Logo 电子商务系统应该提供交易双方进行电子商务系统应该提供交易双方进行身份鉴别的机制。一般可以通过身份鉴别的机制。一般可

14、以通过数字签数字签名和数字证书名和数字证书相结合的方式实现用户身相结合的方式实现用户身份的验证，证实交易双方都是他们所声份的验证，证实交易双方都是他们所声称的那个人。称的那个人。Company Logo2 2、信息的保密性、信息的保密性（加密）（加密）要对敏感重要的商业信息或个人信要对敏感重要的商业信息或个人信息进行加密，即使别人截获或窃取了数息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样据，也无法识别信息的真实内容，这样就可以使商业机密或有价值的个人信息就可以使商业机密或有价值的个人信息难以被泄露。难以被泄露。Company Logo3 3、信息的完整性、信息的完整性

15、（数字签名）（数字签名）请给请给丁丁汇汇100元元乙乙甲甲请给请给丁丁汇汇100元元请给请给丙丙汇汇100元元丙丙请给请给丙丙汇汇100元元传输：传输：接收方接收方收到的信息和收到的信息和发送方发送的发送方发送的信息完全一致。信息完全一致。存储：存储：防止被防止被非法篡改和破非法篡改和破坏。坏。Company Logo4 4、信息不可否认性、信息不可否认性 （数字签名）（数字签名）在电子交易通信过程的各个环节中在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方发送方不能否认他发送的信息，接收方则不能否认他所收

16、到的信息。则不能否认他所收到的信息。这在交易这在交易系统中十分重要。系统中十分重要。Company Logo5.2 电子商务安全技术电子商务安全技术数字信息的安全要求数字信息的安全要求数字信息的安全要求数字信息的安全要求 身份验证身份验证身份验证身份验证信息保密性（存储与传输）信息保密性（存储与传输）信息保密性（存储与传输）信息保密性（存储与传输）信息完整性信息完整性信息完整性信息完整性交易的不可否认性交易的不可否认性交易的不可否认性交易的不可否认性 解决方案解决方案解决方案解决方案数字证书与数字签名数字证书与数字签名数字证书与数字签名数字证书与数字签名加密加密加密加密 数字签名数字签名数字签

17、名数字签名数字签名数字签名数字签名数字签名Company Logo一、数据加密技术一、数据加密技术（一）加密和解密（一）加密和解密 加密加密：发送方使用数学的方法将原始：发送方使用数学的方法将原始 信息（明文）重新组织与变换成只有授权用信息（明文）重新组织与变换成只有授权用户才能解读的密码形式（密文）。户才能解读的密码形式（密文）。解密：解密：接收方将密文重新恢复成明文。接收方将密文重新恢复成明文。Company Logo加密加密加密加密解密解密解密解密信息信息信息信息密钥密钥密钥密钥算法算法算法算法明文和密文明文和密文加密密钥加密密钥解密密钥解密密钥加密算法加密算法解密算法解密算法Compa

18、ny Logo密码系统的构成密码系统的构成Company Logo（二）密码体制的分类（二）密码体制的分类 1 1、通用密码体制（对称式密码体制）、通用密码体制（对称式密码体制）定义：定义：在对数据加密的过程中，在对数据加密的过程中，使用同样的密匙进行加密和解密的密码使用同样的密匙进行加密和解密的密码体制，也称体制，也称“传统密码体制传统密码体制”。Company Logo 通用密码体制加密过程通用密码体制加密过程明文消息明文消息密匙密匙A A加密加密加密消息加密消息明文消息明文消息密匙密匙A A解密解密Company Logo 通用密码体制实例（一）通用密码体制实例（一）恺撒密码恺撒密码 C

19、ompany LogoKey=4例：若明文（记做m）为“important”，Key=4，则密文（记做C）则为“LPSRUWDQW”。Company Logo通用密码体制举例（二通用密码体制举例（二）简单多表式密码加密简单多表式密码加密Company Logo要求：要求：1 1）在首次通信前，双方必须通过除网）在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。络以外的另外途径传递统一的密钥。2 2）当通信对象增多时，密码使用者要）当通信对象增多时，密码使用者要保存所有通信对象的密钥。保存所有通信对象的密钥。Company Logo 3 3）对称加密是建立在共同保守秘密的）对称加密是

20、建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。存在着潜在的危险和复杂的管理难度。Company Logo 特点 密钥管理密钥管理与传递困难与传递困难优点优点缺点缺点 加加/解密速度快；解密速度快；适合大数据量适合大数据量进行加密；进行加密；Company Logo2、公开密钥体制（非对称式密码体制）、公开密钥体制（非对称式密码体制）定义：定义：它需要使用一对密钥来分别完成它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为加密和解密操作，

21、一个公开发布，称为公开密钥（公开密钥（Public-Key），用于加密；），用于加密；另一个由用户自己秘密保存，称为私有另一个由用户自己秘密保存，称为私有密钥（密钥（Private-Key），），用于解密。用于解密。Company Logo 公用密码体制加密过程公用密码体制加密过程明文消息明文消息 公钥加密公钥加密加密消息加密消息明文消息明文消息私钥解密私钥解密Company LogoCompany Logo公开密钥体制的功能公开密钥体制的功能老张老张小李的公开小李的公开密匙密匙小李小李老张老张密文密文小李小李小李的私有小李的私有密匙密匙老张的私有老张的私有密匙密匙老张的公开老张的公开密匙密匙

22、密文密文鉴别鉴别保密保密只有老张能发出该信息只有老张能发出该信息只有小李能解开此信息只有小李能解开此信息Company Logo 特点特点 加加/解密速度解密速度比通用密钥体比通用密钥体制慢制慢优点优点缺点缺点 体制灵活；体制灵活；密钥管理简单密钥管理简单Company Logo 对称与非对称加密体制对比对称与非对称加密体制对比特特性性对对称称非非对对称称密钥的数目密钥的数目单一密钥单一密钥密钥是成对的密钥是成对的密钥种类密钥种类密钥是秘密的密钥是秘密的一个私有、一个公开一个私有、一个公开密钥管理密钥管理简单，但不好管理简单，但不好管理 需要数字证书及可靠需要数字证书及可靠第三者管理公开密钥第

23、三者管理公开密钥相对速度相对速度快快慢慢用途用途大量资料的加密大量资料的加密加密小文件或对信息加密小文件或对信息保密性要求相对严格保密性要求相对严格的情况的情况Company Logo 二、数字签名技术二、数字签名技术(一一)数字摘要数字摘要 保证交易文件的完整性保证交易文件的完整性 信息摘要过程信息摘要过程Company Logo（二）数字签名（保证交易的不可否认性和完整（二）数字签名（保证交易的不可否认性和完整性）性）1 1、作用：、作用：确认信息是由签名者发送的；确认信息是由签名者发送的；信息自签发后到收到为止未曾作过信息自签发后到收到为止未曾作过 任何修改。任何修改。Company L

24、ogo2 2、数字签名原理、数字签名原理 数字签名原理示意图数字签名原理示意图InternetCompany Logo（三）数字时间戳（三）数字时间戳 电子文件发表时间的电子文件发表时间的 安全保护安全保护1 1、数字时间戳服务（、数字时间戳服务（DTSDTS）是网上安全服）是网上安全服务项目，由专门的机构提供。务项目，由专门的机构提供。Company Logo 2 2、数字时间戳是一个经加密后形成的凭证、数字时间戳是一个经加密后形成的凭证文档，它包括三个部分：文档，它包括三个部分：一是需加时间戳的文件的摘要；一是需加时间戳的文件的摘要；二是二是DTSDTS收到文件的日期和时间；收到文件的日期

25、和时间；三是三是DTSDTS的数字签名。的数字签名。Company Logo原文原文SHA加密加密摘要摘要发送方发送方摘要摘要DTS加入日期加入日期和时间和时间带数字时间带数字时间戳的摘要戳的摘要带数字签名和带数字签名和数字时间戳的摘要数字时间戳的摘要数字签名数字签名Internet 数字时间戳产生过程数字时间戳产生过程 Company Logo三、数字认证技术三、数字认证技术（一）数字证书的原理（一）数字证书的原理1 1、数字证书又称为数字凭证，数字标、数字证书又称为数字凭证，数字标识。是用来证明网络交易者真实身份的识。是用来证明网络交易者真实身份的有效手段。有效手段。Company Log

26、o 2 2、数字证书是一种由证书授权中心负、数字证书是一种由证书授权中心负责发放和管理的包含证书持有人责发放和管理的包含证书持有人个人信个人信息、公开密钥、证书序号、有效期、发息、公开密钥、证书序号、有效期、发放单位的电子签名等内容放单位的电子签名等内容的电子文档。的电子文档。Company Logo3、数字证书采用公私钥密码体制，每数字证书采用公私钥密码体制，每个用户拥有一把仅为本人所掌握的个用户拥有一把仅为本人所掌握的私钥私钥，用它进行用它进行信息解密和数字签名信息解密和数字签名；同时拥；同时拥有一把有一把公钥，公钥，并可以对外公开，用于并可以对外公开，用于信信息加密和签名验证息加密和签名

27、验证。Company Logo4 4、数字证书可用于：发送安全电子邮件、数字证书可用于：发送安全电子邮件、网上缴费、访问安全站点、网上证券交网上缴费、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。安全电子事务处理和安全电子交易活动。Company Logo（二）数字证书的类型（二）数字证书的类型1 1、个人身份证书、个人身份证书 2 2、个人、个人E Emailmail证书证书 3 3、单位证书、单位证书 4 4、单位、单位E Emailmail

28、证书证书 5 5、应用服务器证书（安全鉴别的服务器）、应用服务器证书（安全鉴别的服务器）6 6、代码签名证书（软件开发人员或企业）、代码签名证书（软件开发人员或企业）Company Logo（三）认证中心的作用（三）认证中心的作用1 1、证书的颁发、证书的颁发2 2、证书的更新、证书的更新3 3、证书的查询（证书申请查询和用户证书查询）、证书的查询（证书申请查询和用户证书查询）4 4、证书的作废（私钥泄密或过了有效期）、证书的作废（私钥泄密或过了有效期）5 5、证书的归档（管理作废证书和作废私钥）、证书的归档（管理作废证书和作废私钥）认证中心（认证中心（CACA）：）：承担网上安全电子承担网上

29、安全电子交易认证服务、签交易认证服务、签发数字证书并确认发数字证书并确认用户身份的服务机用户身份的服务机构，该机构必须是构，该机构必须是具有权威性和公正具有权威性和公正性的第三方机构。性的第三方机构。Company Logo（四）国内常见的（四）国内常见的CACACompany Logo（五）数字证书的申请（五）数字证书的申请 1 1、下载并安装根证书、下载并安装根证书 2 2、申请证书、申请证书 3 3、将将个个人人身身份份信信息息连连同同证证书书序序列列号号一一并邮寄到中国数字认证网并邮寄到中国数字认证网Company LogoCompany LogoCompany LogoCompany

30、 LogoCompany Logo5.3 电子商务安全交易协议电子商务安全交易协议一、一、SSLSSL（安全套接层）协议（安全套接层）协议二、二、SETSET（安全电子交易）协议（安全电子交易）协议协议（协议（protocolprotocol）是指两个或两个以上实体指两个或两个以上实体为了开展某项活动，经过协商后达成的一致为了开展某项活动，经过协商后达成的一致意见意见。协议总是指某一层的协议。它是在同等层之间的实体通信时，有关通信规则和约定的集合就是该层协议。Company Logo一、一、SSL协议协议（一）协议简介（一）协议简介1 1 1 1、SSLSSLSSLSSL协议（协议（协议（协议

31、（Security Socket LayerSecurity Socket LayerSecurity Socket LayerSecurity Socket Layer，安全安全安全安全套接层协议）是套接层协议）是套接层协议）是套接层协议）是NetscapeNetscapeNetscapeNetscape公司提出的基于公司提出的基于公司提出的基于公司提出的基于WebWebWebWeb应应应应用的安全协议，为互联网上进行保密文档传送而用的安全协议，为互联网上进行保密文档传送而用的安全协议，为互联网上进行保密文档传送而用的安全协议，为互联网上进行保密文档传送而开发的。该协议向基于开发的。该协议向

32、基于开发的。该协议向基于开发的。该协议向基于TCP/IPTCP/IPTCP/IPTCP/IP的的的的C/SC/SC/SC/S应用程序提应用程序提应用程序提应用程序提供了供了供了供了客户端和服务器的鉴别、信息完整性及信息客户端和服务器的鉴别、信息完整性及信息客户端和服务器的鉴别、信息完整性及信息客户端和服务器的鉴别、信息完整性及信息机密性等安全措施。机密性等安全措施。机密性等安全措施。机密性等安全措施。Company Logo 2 2、SSLSSL采用采用对称密码技术和公开密码技术对称密码技术和公开密码技术相结合相结合，提供了如下三种基本的安全服务：，提供了如下三种基本的安全服务：保密性保密性。

33、SSLSSL客户机和服务器之间通过密客户机和服务器之间通过密码算法和密钥的协商，建立起一个安全通码算法和密钥的协商，建立起一个安全通道。以后在安全通道中传输的所有信息都道。以后在安全通道中传输的所有信息都经过了加密处理。经过了加密处理。Company Logo完整性完整性。SSLSSL利用密码算法和利用密码算法和hashhash函数，函数，通过对传输信息特征值的提取来保证信息通过对传输信息特征值的提取来保证信息的完整性的完整性。真实性真实性。利用证书技术和可信的第三方利用证书技术和可信的第三方CACA，可以让客户机和服务器相互识别对方的，可以让客户机和服务器相互识别对方的身份。身份。Compa

34、ny Logo（二）（二）SSLSSL协议的作用协议的作用SSLSSLSSLSSL协议的关键是要解决以下几个问题：协议的关键是要解决以下几个问题：协议的关键是要解决以下几个问题：协议的关键是要解决以下几个问题：客户对服务器的身份确认客户对服务器的身份确认客户对服务器的身份确认客户对服务器的身份确认：容许客户浏览器，容许客户浏览器，容许客户浏览器，容许客户浏览器，使用标准的公钥加密技术和一些可靠的认证使用标准的公钥加密技术和一些可靠的认证使用标准的公钥加密技术和一些可靠的认证使用标准的公钥加密技术和一些可靠的认证中心（中心（中心（中心（CACACACA）的证书，来确认服务器的合法性。）的证书，来

35、确认服务器的合法性。）的证书，来确认服务器的合法性。）的证书，来确认服务器的合法性。服务器对客户的身份确认服务器对客户的身份确认服务器对客户的身份确认服务器对客户的身份确认：容许客户服务器容许客户服务器容许客户服务器容许客户服务器的软件通过公钥技术和可信赖的证书，来确的软件通过公钥技术和可信赖的证书，来确的软件通过公钥技术和可信赖的证书，来确的软件通过公钥技术和可信赖的证书，来确认客户的身份。认客户的身份。认客户的身份。认客户的身份。Company Logo建立起服务器和客户之间安全的数据通建立起服务器和客户之间安全的数据通道道：要求客户和服务器之间的所有的发送数要求客户和服务器之间的所有的发

36、送数据都被发送端加密，所有的接收数据都被接据都被发送端加密，所有的接收数据都被接收端解密，同时收端解密，同时SSLSSL协议会在传输过程中解协议会在传输过程中解查数据是否被中途修改。查数据是否被中途修改。Company Logo（三）缺点（三）缺点由于由于SSLSSL不对应用层消息进行数字签名，不对应用层消息进行数字签名，因此不能提供交易的不可否认性。因此不能提供交易的不可否认性。Company Logo 二、二、SET协议协议（一）协议介绍（一）协议介绍 1 1、SETSET协议（安全电子交易协议）是由协议（安全电子交易协议）是由VISAVISA和和MasterCardMasterCard两

37、大信用卡公司于两大信用卡公司于19971997年年5 5月联合推出的规范。其实质是月联合推出的规范。其实质是一种应用在一种应用在InternetInternet上、以信用卡为基础的电子付款系上、以信用卡为基础的电子付款系统规范，统规范，目的就是为了保证网络交易的安全。目的就是为了保证网络交易的安全。Company Logo2 2、SETSET协议采用公钥密码体制和协议采用公钥密码体制和X.509X.509数数字证书标准，提供了字证书标准，提供了消费者、商家和银消费者、商家和银行之间的认证，确保了交易数据的机密行之间的认证，确保了交易数据的机密性、真实性、完整性和交易的不可否认性、真实性、完整性

38、和交易的不可否认性，性，特别是保证不将消费者银行卡号暴特别是保证不将消费者银行卡号暴露给商家等优点，露给商家等优点，因此它成为了目前公因此它成为了目前公认的信用卡认的信用卡/借记卡的网上交易的国际借记卡的网上交易的国际安全标准。安全标准。Company Logo3 3、SETSET要达到的最主要目标要达到的最主要目标（1 1）信息在公共因特网上安全传输）信息在公共因特网上安全传输（2 2）订单信息和个人账号信息隔离）订单信息和个人账号信息隔离（3 3）持卡人和商家相互认证）持卡人和商家相互认证Company Logo（二）（二）SETSET协议的安全性协议的安全性1 1、信息的机密性信息的机密

39、性 SETSET系系统统中中，敏敏感感信信息息（如如持持卡卡人人的的帐帐户户和和支支付付信信息息）是是加加密密传传送送的的，不会被未经许可的一方访问。不会被未经许可的一方访问。Company Logo2 2、数据的完整性数据的完整性 通过通过HashHash算法和算法和数字签名数字签名，保证，保证在传送者和接收者传送消息期间，消息在传送者和接收者传送消息期间，消息的内容不会被修改。的内容不会被修改。Company Logo3 3、身份的验证身份的验证 通过使用通过使用证书和数字签名证书和数字签名，可为交，可为交易各方提供认证对方身份的依据，即保易各方提供认证对方身份的依据，即保证信息的真实性。

40、证信息的真实性。4 4、交易的不可否认性交易的不可否认性 通过使用通过使用数字签名数字签名，可以防止交易，可以防止交易中的一方抵赖已发生的交易。中的一方抵赖已发生的交易。Company Logo5 5、互操作性互操作性 通过使用通过使用特定的通信协议和信息特定的通信协议和信息格式格式，SETSET系统可提供在不同的软硬件系统可提供在不同的软硬件平台操作的同等能力。平台操作的同等能力。Company Logo（三）（三）SETSET协议的优点协议的优点 1 1、为商家提供了保护的自己的手段；、为商家提供了保护的自己的手段；2 2、帮买家验证商家合法性，同时替买、帮买家验证商家合法性，同时替买家保

41、守了更多的私有信息。家保守了更多的私有信息。Company Logo 3 3、帮助银行及信用卡机构将业务扩展、帮助银行及信用卡机构将业务扩展到到InternetInternet空间，使其具有更大的竞争空间，使其具有更大的竞争优势。优势。4 4、对参与交易的各方定了互操作接口，、对参与交易的各方定了互操作接口，一个系统可以有不同厂商的产品构筑。一个系统可以有不同厂商的产品构筑。Company Logo（四）（四）SETSET协议的缺点协议的缺点 1 1、SETSET协议要求在银行网络、商家服务协议要求在银行网络、商家服务器、买家的器、买家的PCPC上安装相应的软件，如电上安装相应的软件，如电子钱

42、包。子钱包。2 2、SETSET协议要求参与交易的各方必须具协议要求参与交易的各方必须具有数字证书。有数字证书。Company Logo三、三、SSL协议与协议与SET协议的比较协议的比较SSLSSL协议协议SELSEL协议协议参与方参与方客户、商家和网上银行客户、商家和网上银行客户、商家、网上银行、认证中心和客户、商家、网上银行、认证中心和发卡机构发卡机构 软件软件 费用费用无需额外的附加软件费无需额外的附加软件费用用必须在银行网络、商家服务器、客户必须在银行网络、商家服务器、客户机上安装相应的软件，因此增加了机上安装相应的软件，因此增加了许多附加软件费用许多附加软件费用便捷性便捷性1 1、

43、无须在客户端安装电、无须在客户端安装电子钱包软件，操作简子钱包软件，操作简单；单；2 2、每天交易有限额，不、每天交易有限额，不利于购买大宗商品；利于购买大宗商品；3 3、支付迅速、支付迅速1 1、需要安装电子钱包软件，操作复杂，、需要安装电子钱包软件，操作复杂，耗费时间；耗费时间；2 2、每天交易无限额，利于购买大宗商、每天交易无限额，利于购买大宗商品；品；3 3、由于存在着验证过程，因此支付缓、由于存在着验证过程，因此支付缓慢，有时还不能完成交易慢，有时还不能完成交易安全性安全性 缺少客户对商家的认缺少客户对商家的认证，因此客户的信用证，因此客户的信用卡号等支付信息有可卡号等支付信息有可能被商家泄漏能被商家泄漏 安全需求高，因此所有参与交易的成安全需求高，因此所有参与交易的成员：客户、商家、网上银行都必须员：客户、商家、网上银行都必须先申请数字证书来认识身份；先申请数字证书来认识身份；Company LogoCompanyLOGO