电子商务-第六章

电子商务——第六章第1页，课件共83页，创作于2023年2月引子

家住（宁夏）中卫市沙坡头区的14岁辍学少年拜某，利用电脑软件盗窃他人网上银行账号，并窃取他人存款。2008年9月10日，拜某被中卫市公安局沙坡头区分局民警抓获。今年7月26日，中卫市沙坡头区一居民的网上银行账号被盗，卡上存款4800元被盗取.经过艰苦细致的工作，办案民警发现拜某有重大作案嫌疑。在充分的证据面前，拜某交代：今年7月26日，他利用电脑软件盗取沙坡头区一被害人的网上银行账号及密码，盗窃存款4800元。拜某同时供述：今年8月，他曾盗取一被害人的网上银行账号，盗窃Q币6000元。另外，拜某还伙同他人在银川某网吧盗取一被害人的网上银行账号，窃取他人现金1.2万元，全部用于网上交易。因拜某年仅14岁，警方对其进行了批评教育，并责成其家长对其予以训诫和监管。第2页，课件共83页，创作于2023年2月第6章电子商务系统的安全6.1电子商务系统安全的概述6.2电子商务系统的安全需求6.3电子商务系统安全的理论和技术6.4电子商务系统安全的应用和协议第3页，课件共83页，创作于2023年2月

在电子商务整个运作过程中，会面临各种安全问题。典型的安全问题包括：安全漏洞、病毒感染、黑客攻击、网络仿冒以及来自其他方面的各种不可预测的风险。分析电子商务的安全问题，就是根据实际考察结果，确定各种可能出现的安全问题，分析其不同程度的危害性，找出电子商务潜在的安全隐患和安全漏洞，从而有的放矢的运用相关电子商务的技术来加以控制和管理。6.1电子商务系统安全的概述第4页，课件共83页，创作于2023年2月6.1电子商务系统安全的概述1、安全漏洞

即使使用者在合理配置了产品的条件下，由于产品自身存在的缺陷，产品的运行可能被改变以产生非设计者预期的后果，并可最终导致安全性被破坏的问题，包括使用者系统被非法侵占、数据被非法访问并泄露，或系统拒绝服务等。我们将这些缺陷称为安全漏洞。第5页，课件共83页，创作于2023年2月第6页，课件共83页，创作于2023年2月2、病毒感染

“Nimaya（熊猫烧香）”病毒事件处理

Nimaya（熊猫烧香）病毒在2007年初出现流行趋势，该病毒具有感染、传播、网络更新、发起分布式拒绝服务攻击（DDoS）等功能。“熊猫烧香”的传播方式同时具备病毒和蠕虫的特性，危害较大。处理反google病毒

2007年8月出现一种反google的病毒，感染该病毒的用户在打开G或者G时，会看到提示：“Google退出中国，请用百度进行搜索”。这是由于被感染主机的hosts文件被恶意修改，导致用户对google网站的访问被引向含有大量恶意代码的恶意服务器，该主机对应域名为591。6.1电子商务系统安全的概述第7页，课件共83页，创作于2023年2月第8页，课件共83页，创作于2023年2月3、黑客攻击

黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。6.1电子商务系统安全的概述第9页，课件共83页，创作于2023年2月（1）分布式拒绝服务攻击拒绝服务攻击（DoS）的有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。（2）僵尸网络僵尸网络（BotNet），是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。6.1电子商务系统安全的概述第10页，课件共83页，创作于2023年2月4、网络仿冒

2004年12月8日，中国银行发现，有一网站为，企图盗取银行账号和密码。同样的事情也发生在中国工商银行身上。欺诈网站以

为网址，而真正的工行网站网址为WWW.ICBC.COM.CN，“1”和“I”一字之差。6.1电子商务系统安全的概述第11页，课件共83页，创作于2023年2月

从安全问题中我们可以看出，它不是个别现象，只要有网络的存在，安全问题就不容忽视。它不仅影响了网络业务的正常运转，扰乱了网络秩序，还会造成很多直接或者间接的经济损失。为了尽可能避免安全损失，刨根究底，首先要了解造成这些问题的间接的经济损失。为了尽可能避免安全损失，刨根究底，首先要了解造成这些问题的症结所在。概括起来有两个方面：先天原因和后天原因。后天原因里又可细分为管理、人和技术三个方面。6.1电子商务系统安全的概述第12页，课件共83页，创作于2023年2月

电子商务系统安全包括系统的硬件安全、软件安全、运行安全、电子商务安全立法。

硬件安全是指保护计算机系统硬件（包括外部设备）的安全，保证其自身的可靠性和为系统提供基本安全机制。

软件安全是指保护软件和数据不被篡改、破坏和非法复制。系统软件安全的目标是使计算机系统逻辑上安全，主要是使系统中信息的存取、处理和传输系统安全策略的要求。电子商务系统硬件安全电子商务系统软件安全6.1电子商务系统安全的概述第13页，课件共83页，创作于2023年2月

运行安全是指保护系统能连续和正常地运行。

电子商务安全立法是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。

电子商务系统运行安全电子商务安全立法6.1电子商务系统安全的概述第14页，课件共83页，创作于2023年2月

综上所述，电子商务安全是一个复杂的系统问题。电子商务安全立法与电子商务应用的环境、人员素质、社会有关，基本上不属于技术上的系统设计问题，而硬件安全是目前硬件技术水平能够解决的问题。鉴于现代计算机系统软件的庞大和复杂性，软件安全中的信息安全成为电子商务系统安全的关键问题。6.1电子商务系统安全的概述第15页，课件共83页，创作于2023年2月

电子商务安全是一个复杂的系统问题，它不仅与计算机系统结构有关，还与电子商务应用环境、人员素质和社会因素有关。具体包括电子商务系统的硬件安全、软件安全、运行安全及电子商务安全立法等多个方面。6.2电子商务系统的安全需求第16页，课件共83页，创作于2023年2月6.2电子商务系统的安全需求第17页，课件共83页，创作于2023年2月6.3电子商务系统安全的理论和技术一、加密技术加密技术是实现电子商务安全的一种重要手段。一般情况下，网络上的信息如果没有经过特殊处理，都是明码传输的，这就意味着用户在网上传输的信用卡号码、身份证号码、口令以及其他个人信息都有可能被他人获取。为了防止合法接收者之外的人获取机密信息，数据加密技术就应运而生了。第18页，课件共83页，创作于2023年2月（一）数据加密的基本概念1、数据加密技术（DataEncryption）技术的概念数据加密技术就是对信息进行编码和解码的技术，数据编码过程就是把原来的可读信息（明文）译成不能直接读的代码形式（密文），数据解码过程就是把不能直接读的代码形式（密文）译成原来可以直接读的信息（明文）。因此说，编码和解码过程互逆。一、加密技术第19页，课件共83页，创作于2023年2月2、算法（Algorithm）和密钥（Key）的概念把明文变为密文需要一定的加密方法，这实际上是一个加密转换过程。一个加密转换过程中有两个基本元素：算法和密钥。一个加密过程就是根据一定的方法称为算法（称为算法），将普通的明文与一串数字建立对应关系（称为密钥），从而产生旁人不可理解的密文。一、加密技术第20页，课件共83页，创作于2023年2月一、加密技术第21页，课件共83页，创作于2023年2月（二）传统加密算法传统加密算法包括代码加密、替换密码、变位加密以及一次性密码簿加密。1、代码加密发送秘密消息的最简单方法，就是使用通信双方预先设定的一组代码，它简单而有效，得到了广泛的应用。密文：老鼠已经出洞了明文：匪徒已出现在目标区一、加密技术第22页，课件共83页，创作于2023年2月2、替换加密明文中的每个字母或每组字母被替换成另一个或一组字母，例如下面的一组字母之间的对应关系就构成了一个替换加密器。明文：ABCDEFGHIJKLMNOPQRSTUVWXYZ密文：VWXYZABCDEFGHIJKLMNOPQRSTU

采用上述代换密码，明文“CHINA”将被代换为密文“XCDIV”。解密时采用相同的一组代换关系进行反变换。此处，这种字符的映射关系就是对应该算法的密钥，而选择不同的密钥（不同的字符映射关系），将会产生不同的密文。

一、加密技术第23页，课件共83页，创作于2023年2月3、变位密码转换密码是根据某种规则转换明文（原来可直接读的信息）的顺序，形成密文。采用这种方法，首先，在第一行中记录密钥，然后，根据密钥的长度，逐行写上明文，最后，根据密钥中数字的顺序按列抄写形成密文。例1：密钥：3145260明文：火车已安全发出密文：出车全火已安发一、加密技术第24页，课件共83页，创作于2023年2月4、一次性密码簿加密

如果要既保持代码加密的可靠性，又保持替换加密器的灵活性，可采用一次性密码簿进行加密。密码簿的每一页都是不同的代码表，可以用一页上的代码来加密一些词，用后毁掉；再用另一页的代码加密另一些词，直到全部的明文都被加密，破译密文的惟一方法就是获得一份相同的密码簿。一、加密技术第25页，课件共83页，创作于2023年2月二、加密技术的应用（一）对称/通用密钥密码体系

对称密钥密码体系（SymmetricCryptography）又称秘密/专用密钥加密（SecretKeyEncryption），它对加密密钥与解密密钥使用相同的算法，即加密、解密使用同一密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。第26页，课件共83页，创作于2023年2月对称密钥加密、解密过程示意图第27页，课件共83页，创作于2023年2月单字母加密方法例：明文（记做m）为“important”，key=3,则密文（记做C）则为“LPSRUWDQW”。第28页，课件共83页，创作于2023年2月

通用密钥密码：恺撒密码

第29页，课件共83页，创作于2023年2月例：如果明文m为“important”，则密文C则为“RNKLIGZMZ”。第30页，课件共83页，创作于2023年2月

现在用的较多对称密钥算法有DES（DataEncryptionStandard），后被ISO（国际标准组织）所接受，并作为数据加密标准。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。对称密钥密码体系的优点是加密、解密速度很快，但缺点也很明显：密钥难于共享，需太多密钥。

（一）对称/通用密钥密码体系第31页，课件共83页，创作于2023年2月非对称密钥密码体系非对称密钥加密也叫公开密钥加密（PublicKeyEncryption），由美国斯坦福大学赫尔曼教授于1977年提出。密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。（二）非对称密钥密码体系第32页，课件共83页，创作于2023年2月非对称密钥密码体系这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。

（二）非对称密钥密码体系第33页，课件共83页，创作于2023年2月

贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。（二）非对称密钥密码体系第34页，课件共83页，创作于2023年2月非对称密钥加密、解密过程示意图（二）非对称密钥密码体系第35页，课件共83页，创作于2023年2月

使用公开密钥加密系统，可以解决对称密钥系统中密钥管理的问题，对应于各个使用者的加密密钥是公开的，可以像电话簿一样，存储在文件中，文件保存在密钥中心，各个使用者只需保存一个只有自己使用的解密密钥。（二）非对称密钥密码体系第36页，课件共83页，创作于2023年2月KdxX的私人密钥KdyY的私人密钥KdzZ的私人密钥公众通信网密钥中心Kex、Key、Kez……公共密钥第37页，课件共83页，创作于2023年2月老张小李的公开密匙小李老张密文小李小李的私有密匙老张的私有密匙老张的公开密匙密文鉴别保密用RSA鉴别,只有老张能发出该信息用RSA保密,只有小李能解开该信息第38页，课件共83页，创作于2023年2月

在公开密钥基础架构技术中，最常用一种算法是RSA算法，其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，一台计算机需要上千年的计算时间，即使是调集全世界所有的计算机，也需要一年半的时间才能够破解，但是它存在的主要问题是算法的运算速度较慢。第39页，课件共83页，创作于2023年2月

非对称密钥技术的优点是：易于实现，使用灵活，密钥较少；弱点在于要取得较好的加密效果和强度，必须使用较长的密钥，从而加重系统的负担和减慢系统的吞吐速度，所以非对称密钥技术不适合对数据量较大的报文进行加密。

第40页，课件共83页，创作于2023年2月对称与非对称加密体制对比特

性对

称非

对

称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理需要数字证书及可靠第三者相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用第41页，课件共83页，创作于2023年2月数字摘要又被称作“指纹画押”（FingerPrint）或者被称作“数字指纹”。其加密原理是应用“安全Hash编码法”（SHA:SecureHashAlgorithm）或者应用“提示摘要标准”(MDS：StandardsforMessageDigest)编码原则，将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹（DigitalFinger），它有固定的长度，并且不同的明文在摘要过程中会形成不同的密文，并确保其结果惟一。三、数字摘要第42页，课件共83页，创作于2023年2月数字摘要过程第43页，课件共83页，创作于2023年2月Hash函数应该满足的三个条件对同一数据使用同一Hash函数，其运算结果应该是一样的。Hash函数应具有运算结果不可预见性，即从源文件的变化不能推导出缩影结果的变化。Hash函数具有不可逆性，即不能通过文件缩影反算出源文件的内容。第44页，课件共83页，创作于2023年2月数字签名（DigitalSignature）

大家都知道，只要会写字的人，他写出来的字就会存在一个笔迹问题，只要他在某个地方写上了自己的名字，那意义就不同凡响了（尤其当他又是个大人物的时候），所以很多人使用各种手段想要得到“某首长”的批示。数字签名就是模仿这个原理而来。四、数字签名第45页，课件共83页，创作于2023年2月1、数字签名的含义

数字签名是利用数字摘要技术和数字加密技术对电子商务传输中的商函进行鉴别的一种数字手段，因为数字摘要技术使“明文”同摘要成的128bit密文建立一一对应的映射关系，所以，通过对128bit密文进行二次加密，完成对原文的鉴别。

四、数字签名第46页，课件共83页，创作于2023年2月2、数字签名原理第一步：信息发送方的准备工作：（1）对打算传输的明文进行“数字摘要”产生一个具备惟一特征的128bit密文；（2）对128bit密文使用私人密钥进行加密完成数字签名；（3）将明文和数字签名同时发送给接收者；（4）将解密使用的公共密钥放入服务器目录（或发送给接收者）。

四、数字签名第47页，课件共83页，创作于2023年2月第二步：信息接受方的鉴别工作（5）利用对方提供的公共密钥对数字签名进行解密产生一个数字摘要；（6）对收到的明文应用SHA编码技术产生一个新的摘要；（7）将两个摘要进行比较（因摘要具备惟一特征），如果两个摘要相同说明原文未加修改，如果两个摘要不同说明原文已被修改。

四、数字签名第48页，课件共83页，创作于2023年2月数字签名的过程第49页，课件共83页，创作于2023年2月3、数字签名应用的意义在传统的商务往来中的商函上，签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：（1）信息是由签名者发送的（2）信息自签发后到收到为止未曾作过任何修改因此，数字签名可用来防止电子信息被人修改或者盗用名义，或发出（收到）信件后又对自己的商业行为“予以否认”等情况发生。四、数字签名第50页，课件共83页，创作于2023年2月1、为什么要加注数字时间戳交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。

在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务（DTS：digitaltime-stampservice）就能提供电子文件发表时间的安全保护。

五、数字时间戳第51页，课件共83页，创作于2023年2月2、什么是数字时间戳

数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：①需加时间戳的文件的摘要

(digest)，②DTS收到文件的日期和时间，③DTS的数字签名。五、数字时间戳第52页，课件共83页，创作于2023年2月3、数字时间戳使用原理

时间戳产生的过程为：用户将需要加时间戳的文件用HASH编码加密形成摘要；用户将该摘要发送到DTS；DTS在收到的文件摘要加入了日期和时间信息，并对该文件加密（数字签名）；DTS将数字签名后的摘要送回用户。五、数字时间戳第53页，课件共83页，创作于2023年2月数字时间戳使用原理图例第54页，课件共83页，创作于2023年2月6.3电子商务系统安全的理论和技术

数字加密技术、数字签名等技术很好地解决了电子商务安全性的前三个问题，即信息传输的保密性、交易文件的完整性、交易的不可抵赖性问题，但交易者身份的确定性问题并未解决。第55页，课件共83页，创作于2023年2月1、什么是数字证书数字证书也称为公开密钥证书，是网络通信中标识个人、计算机系统或组织的身份和密钥所有权的电子文档，其作用类似于现实生活中的身份证。它是由交易各方共同信任的第三方权威机构发行的，人们可以用它在电子商务交易中标识各自的身份。交易伙伴之间可以使用数字证书来交换公开密钥。六、数字证书第56页，课件共83页，创作于2023年2月数字证书的类型：个人数字证书仅仅为某个用户提供凭证，一般安装在客户浏览器上，以帮助个人在网上进行安全电子商务交易，如从事网上炒股、网上保险、网上缴费、网上购物、网上办公、发送加密或签名的个人电子邮件等。企业数字证书是为网上的某个企业Web服务器提供凭证，利用企业数字证书可以使企业在网上进行安全电子交易，如开启服务器SSL安全通道，使用户和企业Web服务器之间的信息传递以加密的形式进行；要求用户出示个人数字证书，以防止企业Web服务器被未授权的用户入侵。软件数字证书是为软件开发者提供凭证，证明该软件的合法性。利用软件数字证书可以在网上使用该软件，同时也可提供给网上其他用户使用合法软件。六、数字证书第57页，课件共83页，创作于2023年2月

数字证书的内部格式是由CCITTX.509国际标准所规定的，它包含了以下几点：

·数字证书拥有者的姓名

·数字证书拥有者的公共密钥

·公共密钥的有效期

·颁发数字证书的单位

·数字证书的序列号

(Serialnumber)

·颁发数字证书单位的数字签名

六、数字证书第58页，课件共83页，创作于2023年2月第59页，课件共83页，创作于2023年2月2、数字证书的原理是什么数字证书采用非对称密钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密.在公开密钥密码体制中，常用的一种是RSA体制。

六、数字证书第60页，课件共83页，创作于2023年2月用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：

（1）保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；

（2）保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。六、数字证书第61页，课件共83页，创作于2023年2月七、认证中心1、认证中心的概念

认证中心（CA：CertificationAuthority）是在电子商务活动发展过程中，在因特网上被交易各方所公认的，有着很高信用的虚拟“电子公证人”，它是为了确保电子交易的基本安全提供认证服务、签发数字证书、并能确认用户身份的服务机构。

第62页，课件共83页，创作于2023年2月2、认证中心所提供的服务证书发放证书更新证书撤销证书验证七、认证中心第63页，课件共83页，创作于2023年2月3、认证中心的主要任务认证中心的核心任务是通过运用各种安全措施在虚拟的世界中建立起一套严密的身份认证系统，它的基本任务是：第一、保证信息流在传输过程中不被第三方窃取、篡改和复制；第二、信息发送一方能够通过数字证书来确认信息接收方的身份是否合法；第三、信息发送方对于自己的发送行为和信息的内容不可否认。

七、认证中心第64页，课件共83页，创作于2023年2月4、认证中心机构的现状分析

我们通过对我国现有认证机构的分析，遗憾地发现大部分认证中心都缺乏权威性，因此，认证中心也就失去了其应该具备的地位。为了弥补这一缺陷，由中国人民银行出面牵头，组织我国12家商业银行共同组建了中国金融认证中心（CFCA）。该认证中心于2000年6月29日正式挂牌并开通。可以相信，这一认证机构的建立必定会进一步推动我国电子商务的发展。

七、认证中心第65页，课件共83页，创作于2023年2月第66页，课件共83页，创作于2023年2月4、认证中心机构的现状分析

而在国外，电子认证中心发展极为迅速，目前在全球处于领导地位的认证中心要属美国的VeriSign公司创建的认证中心（创建于1995年4月，总部在美国的加利福尼亚州）。该公司所提供的数字凭证服务已遍及全世界50个国家，接受该公司服务器数字凭证的Web站点服务器已超过45000个，而使用该公司个人数字凭证的用户已超过200万名。因此，VeriSign公司创建的认证中心得到了世界各地商家普遍认可。

七、认证中心第67页，课件共83页，创作于2023年2月第68页，课件共83页，创作于2023年2月一、SSL安全技术以下是一些常见的在Internet上进行欺骗的模式：

1、采用假的服务器来欺骗用户的终端

2、采用假的用户名来欺骗服务器

3、在信息的传输过程中截取信息

4、在Web服务器及Web用户之间进行双方欺骗这些攻击模式之所以能得逞，在于目前的传输层协议上没有相应的安全措施。SSL在这种情况下应运而生，由Netscape研制并实现，SSL（SecureSocketsLayer）的中文译名叫安全套接层协议。

SSL协议提供了3种基本的安全服务：保密性、完整性和认证性。6.4电子商务系统安全的应用和协议第69页，课件共83页，创作于2023年2月SSL协议SSL安全套接层协议适用于点对点之间的信息传输通过在浏览器软件和WWW服务器建立一条安全通道第70页，课件共83页，创作于2023年2月第71页，课件共83页，创作于2023年2月第72页，课件共83页，创作于2023年2月ＳＳＬ的工作过程第73页，课件共83页，创作于2023年2月SSL协议的缺陷

SSL协议的缺陷是只能保证传送过程安全。SSL协议有利商家不利于客户，因为客户的信用卡信息首先传到商家，商家阅读后再传到银行，这样客户资料的安全性便受到威胁。SSL协议的运行基点是商家对客户的信息的保密和承诺，但不幸的是网上已经发生过大量黑客通过商家服务器窃取信用卡号的案例。另外，该协议无法保证商家是该信用卡的特约商户，也无法保证购买者就是该信用卡的合法拥有者。随着电子商务的不断发展，SSL协议作为国际上最早应用于电子商务的一种网络安全技术，其缺陷越来越多地暴露出来，并逐渐被SET协议所取代。一、SSL安全协议第74页，课件共83页，创作于2023年2月二、SET安全协议

为了促进电子商务的发展，彻底解决在线交易中商家和客户信息的安全传输问题，同时为了改进SSL安全协议不利于客户的缺陷，全球著名的信用卡集团Visa和Master-card联合开发了SET电子商务交易安全协议。这是一个为了在因特网上进行在线交易而设立的一个开放的、以电子货币为基础的电子安全支付体系。SET克服了SSL安全协议有利于商家而不利于顾客的缺点，它在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。由于设计合理，SET协议得到了IBM、HP、Microsoft、Netscape等许多大公司的支持，已成为事实上的工业标准。第75页，课件共83页，创作于2023年2月1、SET协议所涉及的主要角色（1）持卡人或消费者（CardHolder），包括个人消费者和团体消费者，按照在线商店的要求填写出订货单，使用发卡银行发行的信用卡进行付款。（2）发卡行（IssuingBank），即电子货币（如智能卡、电子现金、电子钱包）发行公司，以及某些兼有电子货币发行的银行。根据不同品牌卡的规定和政策，保证对每一笔认