电子商务安全技术及应用

电子商务安全技术授课教师：张静电子商务的基本概念电子商务的形态电子商务的安全任务安全电子交易协议SET电子商务的基本概念电子商务的形态电子商务的安全任务安全电子交易协议SET电子商务的基本概念电子商务的概念主要由两部分构成，一是电子，二是商务。先说电子，电子就是指通过计算机和网络手段所完成的信息传输与处理过程。商务主要是指企业的经营活动（当然也包括参与企业经营活动的个人消费者的活动）。企业的经营活动范围很广，具体讲有供应（采购）、生产、营销、财务、人事（人力资源）、信息采集与传递、广告宣传。此外还有企业的并购以及证券活动。电子商务的基本概念凡是透过网际网路所完成的商业活动皆可视为电子商务。电子商务是藉由通讯网络所进行的企业咨询分享、企业关系维持、以及企业交易的执行。财务

人事

原物料电子商务的基本概念企业、公司研发创新生产制造行销品管市场、客户服务产品业务供应商企业内部、企业与企业之间企业与供应商企业与客户网际网路电子商务的基本概念电子商务的形态电子商务的安全任务安全电子交易协议SET电子商务的形态企业对顾客BtoC企业对企业BtoB电子交易市集C2CB2B企业内部应用BtoC网站实例BtoC網站實例BtoC网站实实例BtoB网站实实例BtoB网站实实例CtoC网站实例CtoC网站实实例电子商务的的基本概念念电子商务的的形态电子商务的的安全任务务安全电子交交易协议SET监听篡改拦截假冒电子商务安安全任务身份认证（（持卡者、、商家、银银行）有效性机密性完整性抗抵赖电子商务的的基本概念念电子商务的的形态电子商务的的安全任务务安全电子交交易协议SET电子安全交交易协议BTOC支付交交易过程电子交易中中的安全需需求SET的关关键技术SET的目目标、角色色和安全保保障作用电子安全交交易协议BTOC支付交交易过程电子交易中中的安全需需求SET的关关键技术SET的目目标、角色色和安全保保障作用安全电子交交易协议SET电子交易中中的安全支支付问题1.电子子商务中的的BtoC交易易过程交易指双方方买卖双方方之间进行行商品买卖卖的行为。。广义的交交易是一个个复杂的过过程。在电电子商务中中，由于参参与方不同同等原因，，会形成不不同的交易易过程，如如BtoB（BusinesstoBusiness，，企业间电电子商务，，也缩写作作B2B））的交易过过程、BtoC（BusinesstoConsumer，企业业对消费者者的电子商商务）的交交易过程等等。下面主要介介绍BtoC的的交易过程程在BtoC的交交易过程中中，主要角角色有：商家（Merchant）：：商品或服服务的提供供者。银行（Acquirer）：：为在线交交易者开设设账号，并并处理支付付卡的认证证和支付业业务。支付网关（（Paymentgateway））：将Internet上的的传输数据据转换为金金融机构内内部数据。。持卡者（Cardholder）：消消费者，可可以使用付付款卡结算算。发卡机构（（Issuer）：：为每一个个建立了账账户的客户户颁发付款款卡，也可可以由指派派的第三方方处理商家家支付信息息和客户支支付命令。。BtoC的基本本交易过程程①消费费者上网，，查看企业业和商家网网页，选择择商品；消消费者通过过对话框填填写订货单单（姓名、、地址、品品种、规格格、数量、、价格）给给商家。②商家家核对消费费者订货单单后，向用用户发出付付款通知，，同时向银银行发出转转账请求。。③消费费者选择支支付方式，，如向发卡卡机构提交交付款卡。。④发卡卡机构验证证消费者付付款卡后，，将卡号加加密传向银银行（支付付网关）。。银行审查查消费者付付款卡（有有效、款够够等）合格格后，进行行转账。⑤转账账成功，向向商家发出出和发卡机机构出转账账成功回执执。⑥发卡卡机构向消消费者发出出支付收据据。⑦商家家向消费者者付货。电子安全交交易协议BTOC支付交交易过程电子交易中中的安全需需求SET的关关键技术SET的目目标、角色色和安全保保障作用支付是交易易的重要环环节。由于于电子支付付的虚拟性性，它的安安全倍受人人们关注，，也是电子子商务安全全的最重要要和最困难难环节。电子支付的的问题表现现在支付的的每一个方方面和每一一个步骤中中。归纳起起来，主要要表现为有有如下一些些安全需求求：确定交易过过程中交易易伙伴的真真实性。保证电子单单据的隐秘秘性，防范范被无关者者窃取。保证业务单单据不丢失失，即使丢丢失也可察察觉。验证电子单单据内容的的完整性。。验证电子单单据内容的的真实性。。具有防抵赖赖性和可仲仲裁性。保证存储的的交易信息息的安全性性。电子安全交交易协议BTOC支付交交易过程电子交易中中的安全需需求SET的关关键技术SET的目目标、角色色和安全保保障作用SET的目目标、角色色和安全保保障作用SET（SecureElectricTransaction，安安全电子交交换）协议议是一种利利用加密技技术（Cryptography），，以确保信信用卡消费费者、销售售上及金融融机构在Internet上上从事电子子交易的安安全性和隐隐私性的协协议。它是是由两大信信用卡公司司——VISA和Master在GTE、IBM、Microsoft\、Netscape、SAIC、TerisaSystem、Verisign等著名名IT公司司的支持下下开发的。。于1996年2月月1日正式式发表。SET的目目标1.SET的主要要目标是：：（1）保证证数据在Internet上上安全传输输，不被窃窃取。（2）订单单信息与账账号信息隔隔离，如把把包含消费费者账号信信息的订单单送给商家家时，商家家应看不到到消费者账账号信息。。（3）消费费与商家可可以互相认认证（一般般由第三方方提供信用用担保），，确定通信信双方身份份。（4）采用用统一的协协议和数据据格式，使使不同厂家家开发的软软件具有兼兼容性和互互操作性，，并可以运运行在不同同的硬件和和操作系统统平台上。。SET的参参与角色一个SET交易过程程可能会涉涉及如下6种角色：：（1）消费费者，即持持卡人，必必须持有发卡机构支支付卡账号号；认证机构颁颁发的身份份证书；上网条件。。（2）商家家，即经营营者，必须须持有：网上经营许许可权；经过银行委委托授权机机构（认证证中心、CA）颁发发的数字证证书；相应的电子子商务平台台：处理消消费者申请请、与支付付网关通信信、存储自自身公钥签签名、存储储自己的公公钥交换私私钥、存储储交易参与与方的公钥钥交换私钥钥、申请和和接受认证证、与后台台数据库通通信等。（3）银行行：给在线线交易参与与者建立账账号，处理理转账业务务。（4）发卡卡机构：金金融机构，，为建立了了账号的消消费者发卡卡。（5）支付付网关，实实际上是一一台可以处处理SET协议数据据的计算机机，可在SET协议议和银行交交易系统之之间进行数数据格式转转换，实现现传统银行行网上支付付功能的延延伸。支付网关有有如下服务务：确定商家和和消费者身身份；解密持卡人人的支付指指令；签署数字响响应。支付网关必必须具有：：银行授权；；CA颁发的的数字证书书。（6）认证证机构，是是参与交易易各方都信信任的第三三方，可以以接受发卡卡行和收单单行的委托托，对持卡卡人、商家家和支付网网关完成数数字证书的的发放。3.SET的安全全保障作用用（1）基于于持卡人的的安全保障障对账号数据据保密；对交易数据据保密；持卡人对商商家的认证证。（2）基于于商家的安安全保障对交易数据据完整性的的认证；对持卡人账账户数据的的认证；对持卡人的的认证；对银行端的的认证；对交易数据据保密；提供交易数数据的佐证证。（3）基于银银行（支付网网关）的安全全保障对消费者账号号数据的认证证；对交易数据的的间接认证；；对交易数据完完整性的认证证；提供交易数据据的佐证。电子安全交易易协议BTOC支付交易过过程电子交易中的的安全需求SET的关键键技术SET的目标标、角色和安安全保障作用用SET关键技技术1.双重签签名SET有一个个基本性能：：不需要让某某个角色知道道的其他角色色的机密。例如：只与持卡人和和商家之间的的交易有关的的机密数据，，不必要，也也不可以让银银行知道。持卡者的账户户数据也是持持卡者的个人人秘密数据，，不必要，也也不可以让厂厂商知道。但是，在不知知道他人机密密的情况下，，还要对其数数据的正确性性进行认证。。例如，在商商家不知道持持卡者账户数数据，银行也也不知道持卡卡者与商家之之间的交易数数据的情况下下，让商家和和银行都可以以确定这些数数据确实由持持卡者产生、、送出的，还还可以间接、、直接地对这这些数据进行行认证。这一性能，在在SET中使使用双重签名名（DualSignature）技巧解决决。下面介绍用双双重签名实现现这一性能的的过程。①持卡者者（C）产生生两个签名：：CSig(H(H(OI)),H(PI)))：持卡者者对交易数据据（OI）和和账户数据（（PI）的签签名。CSig(H(OI))：：持卡者对交交易数据（OI）的签名名。将两个签名、、账户数据杂杂凑值H（PI）和交易易数据（OI）都传送给给商家。②商家（（M）操作：：验证CSig(H(H(OI),H(PI)))、CSig(H(OI))和和H（PI）），确定是否否持卡者的签签名。生成对交易数数据的签名MSig(H(OI))。。将MSig(H(OI))、CSig(H(H(OI),H(PI)))一同同送银行（支支付网关）。。③支付网关关（P）操作作：验证MSig(H(OI))，确定H(OI)为交易数数据的杂凑值值。用已知的PI，验证CSig(H(H(OI),H(PI)))的正确性，，确认交易数数据和账户数数据都是正确确的。根据政策，确确认此笔交易易是否成功。。SET交易过过程SET认证中中心为了了使使交交易易参参加加方方有有一一个个可可信信的的第第三三方方，，建建立立了了一一个个认认证证中中心心CA来来为为消消费费者者、、商商家家和和银银行行颁颁布布数数字字证证书书，，分分配配密密钥钥。。SET认认证证中中心心采采用用层层次次结结构构。。其其最最高高层层CA（（既既RootCA