案例教学安全电子交易ppt课件

案例教学 电子商务与安全电子交易,主讲：郑武 E-mail: 重庆邮电大学信息安全技术重点实验室,电子商务基本概念 电子支付 安全电子交易,一、电子商务基本概念,1.1 电子商务的概念及发展 狭义：通过Internet进行的商业活动 广义：通过现代信息技术，特别是信息化网络所进行并完成的各种商务活动、交易活动、金融活动和相关的综合服务活动。,电子商务,一、电子商务基本概念,电子商务的发展历程：电子商务是建立在Internet基础之上的，且随着Internet的飞速发展而蓬勃发展。其发展过程如下图所示：,图1.1,一、电子商务基本概念,1.2 电子商务的特点 虚拟性：除商品本身是实体外，一切涉及商品交易的手续，包括合同、资金、单据等，都是虚拟方式出现。 低成本：降低了信息的收集成本、发布成本和撮合成本，减少了许多中间环节，降低了管理成本。 个性化：为满足不同客户群体的需求，需提供个性化的产品，多样化的服务。 敏捷性：通过电子商务缩短了厂家与最终用户之间的距离，实现顾客需求的敏捷反应。 全球性：跨越时空，直接开展全球范围的商务活动，拓宽了企业的营销网络。,一、电子商务基本概念,1.5 电子商务环境下的企业运作,电子商务环境下，企业相关环节通过商业智能紧密地结合在一起。商业智能就是将数据变信息、信息 变价值。它体现 在通过对数据的 分析指导生产经 营管理行为，实现控制 风险的目的。如右图所示：,图1.3,二、电子支付,2.1 电子支付的发展 支付系统是提供付款、清算与结算服务的功能系统。银行采用计算机等技术进行数字货币支付方式可分为如下五种，分别代表着数字货币支付发展的不同阶段：,第一阶段：银行利用计算机处理银行之间的货币汇划业务。 第二阶段：银行计算机与其他机构计算机之间的资金汇划业务。 第三阶段：利用网络终端向客户提供各项银行业务，如ATM等。 第四阶段：利用银行销售点终端（POS）向客户提供自动的扣款服务。 第五阶段：数字货币可以通过Internet进行直接转帐结算，形成电子商 务环境。,二、电子支付,2.2 金融交易卡 磁卡：金融交易卡种的磁卡是金融交易卡中使用较为普遍的卡种。新发行的磁卡都有“银联”标记。主要分为可以透支和不能透支两类，前者通常称为储蓄卡，后者通常称为信用卡。磁卡是数字货币流通中主要的支付手段之一，已广泛用于各类消费场所。是我国当前推行“金卡工程”的主要内容。 IC卡：IC卡通常称之为智能卡。与磁卡相比，IC具有安全可靠，信息存储量等优点。IC卡主要用于与计费有关的系统。如加油卡、出租车IC卡、公交卡、电费卡等等。,二、电子支付,2.3 数字货币 数字货币是采用电子技术和通信手段在市场上流通，按照法定货币单位来反映商品价值的信用货币。它实际上是由一组数字构成的特殊信息，含有用户的身份、密码、金额、使用范围等内容。数字货币的发行和最终结算单位是银行。 数字货币正在成为电子商务中支付的主要手段。 数字货币主要有存款、转帐和兑现等功能。典型的数字货币包括数字现金、数字支票和数字信用卡。 数字现金是以数字化形式存在的货币，可用于网上购物等消费活动。 数字支票系统是指电子资金的传输。它包含三个实体：购买方、销售方和金融机构。,二、电子支付,2.4 网上银行 网上银行是指设在Internet上的金融站点。网上银行提供各种各样的业务，其主要功能大体可分为三类：银行的广告、公共信息的发布等；客户帐户信息的查询；客户安全电子交易业务（如网上购物、转帐、证券投资等） 网上银行从概念上讲存在两种模式：一种是完全依赖于Internet发展起来的全新的电子银行，这类银行几乎所有的业务交易都依靠Internet进行，如全球第一家网上银行：Security First Network Bank；另一种是传统银行利用Internet开展现代金融服务。 网上银行的目的简单说是5W，即实现为任何人（Whoever）、随时（Whenever）、随地（Wherever）为任何帐户（Whomever）用任何方式（Whatever）提供安全支付和结算服务。,二、电子支付,2.5 电子交易模式 电子交易是电子商务发展的内在要求和必然结果。在线电子商务最关键的问题是如何完全地实现在线支付功能，并保证交易各方的安全保密。在Internet上提供电子商务服务的模式完全按照传统的商务和交易的工作流程进行设计，实现的技术由简单到复杂。,1. 支付系统无安全措施的模式 该模式的流程如下图所示，商家与银行之间使用各自现有的授权来检查。,用 户,图2.1,二、电子支付,2. 通过第三方经纪人支付的模式 用户在网上经纪人处开帐号，网上经纪人持有用户帐号和信用卡，用户用帐号从商家订货，商家将用户帐号提供给经纪人，经纪人验证商家身份，给用户发送E-mail，要求用户确认购买和支付后，将信用卡信息传给银行，完成支付过程。,图2.2,二、电子支付,3. 电子现金支付模式 用户在E-Cash发放银行开E-Cash帐号，购买E-Cash，然后使用PC E-Cash终端软件从E-Cash银行取出一定数量的E-Cash存在硬盘上。用户从同意接收的商家订货，使用E-Cash支付所购买商品的费用。接收E-Cash的商家与E-Cash发放银行之间进行清算，E-Cash银行将用户购买商品的钱支付给商家。,图2.3,图2.4,二、电子支付,4. 支付系统使用简单加密的模式 CyberCash用户从CyberCash商家订货后，通过电子钱包将信用可信息加密后传给CyberCash商家服务器；商家服务器验证接收到的信息的有效性和完整性后，将用户加密的信用卡信息传送给CyberCash服务器，商家服务器看不到用户的信用卡信息； CyberCash服务器验证商家身份后，将用户加密的信用卡转移到非Internet的安全地方解密，然后将用户信用卡信息通过安全专用网传送到商家银行；商家银行通过与一般银行之间的电子通道从用户信用卡发送银行得到证实后，将结果传送给CyberCash服务器； CyberCash服务器通知商家服务器交易完成或拒绝，商家再通知用户。如图2.4所示。,5. 安全电子交易SET,三、安全电子交易,3.1 SET概述 安全电子交易（SET）是一种开放的加密安全规范，用于保护互联网上的信用卡交易。SET本身并不是一个支付系统，而是一个安全协议和格式集，用户以此安全方式在开放网络如Internet中使用现存的信用卡支付基础设施。从本质上说，SET提供三种服务： 为交易各方提供安全的信道; 通过使用X.509v3数字证书提供信任。由于信息只在需要的时间和地方提供，因而要确保私秘性。,SET的参与各方如下： 持卡人：持卡人是由发行机构发行的、经过授权的支付卡持有者。 商家：商家是拥有持卡人所需商品或服务的个人或组织。能接受支付卡的商家必须与清算银行有联系。 发卡机构：是一个向持卡人提供支付卡的金融机构，如银行。,三、安全电子交易,清算银行：为商家建立帐号的金融机构，处理支付卡认证和付款。 支付网关：处理商家支付信息。支付网关是SET和现存的银行卡支付网络的接口，提供认证和支付功能。,图3.1,认证中心： 被信任的、为 持卡人、商家 和支付网关发 行X.509v3公 钥证书的实体。,三、安全电子交易,一次成功的交易需要进行的操作如下（见图3.1）： 1. 顾客开通帐号：从一个支持电子支付和SET的银行获得一个信用卡帐号。 2. 顾客收到证书：通过适当的身份验证后，顾客收到一个由银行签发的X.509v3数字证书。证书验证了顾客的RSA公钥和有效期限，并建立了一个由银行保证的用户密钥对和信用卡之间的联系。 3. 商家拥有他们自己的证书：接收某品牌信用卡的商家必须拥有两种公钥证书：一个用于签名，一个用于密钥交换。商家还需要一个支付网关公钥证书的备份。 4. 顾客进行定购：在Web上选定商品后，向商家发送一份购买清单，商家回一个带有所选商品、单价、总金额和订单号的定购单。,三、安全电子交易,5. 商家被验证：除此之外，商家还发给客户一个自己的证书，以便用户验证其合法性。 6. 发送定购和付款信息：顾客发送带有其证书的定购和支付信息给商家，支付信息包括信用卡细节，并用商家无法解密的方法加密。顾客的证书可以使商家验证顾客。 7. 商家请求付款认证：商家将支付信息发给支付网关，请求认证顾客提供的信用卡可以支付此次购买。 8. 商家确认定购：商家向顾客发送定购确认消息。 9. 商家提供商品或服务：商家向顾客提供商品和服务。 10. 商家请求付款：此请求发送给支付网关，由支付网关处理所有的支付操作。,三、安全电子交易,3.2 双向签名 双向签名的目的在于将两个接收者的不同消息连接起来。既实现了定购消息和支付消息的分离保护，同时又实现了二者的连接。如图所示。,PI: 支付消息；OI: 定购消息；H: 散列函数（SHA-1） POMD: 支付定购消息摘要；KRc: 顾客的签名私钥,图3.2,三、安全电子交易,图3.3 持卡人发送购买请求,3.3 支付处理 1. 购买请求 2. 支付认可 3. 支付获取,三、安全电子交易,= ?,图3.3 商家验证购买请求,三、安全电子交易,DS = EKRc H（H(PI) | H(OI) ）,由于商家拥有从客户证书得到的客户公钥，且得到了双向签名DS、OI和PI的消息摘要PIMD。使得商家可以计算如下两个值： H（PIMD| H(OI) ）和DKUc DS 如果二者相等，商家即验证了签名。,同样，银行拥有从客户证书得到的客户公钥，且得到了DS、PI和OI的消息摘要OIMD，故银行可计算如下两个值： H（OIMD| H(PI) ）和DKUc DS 。 如果二者相等，商家即验证了签名。,支付认可；支付获取（略）,三、安全电子交易,SET的主要特征： 信息保密性：持卡人帐号和支付信息在网络传输过程中是安全的。持卡人信用卡信息只提供给发行银行。 数据完整性：保证持卡人发往商家的支付信息在传送过程中不被改动。RSA数字签名使用SHA