电子商务基础与实操(电子商务安全)

图1《电子商务基础与实操》下页电子商务安全图2下页3.1电子商务系统的安全要求3.2数据加密技术3.3认证技术3.4电子商务的安全交易标准目录电子商务安全图33.4电子商务的安全交易标准3.4.1安全套接层协议(SSL)3.4.2安全电子交易协议(SET)图4电子商务实施初期

采用的安全措施部分告知（partialorder）。在网上交易中将最关键的数据，如信用卡帐号及交易金额等略去，然后再用电话告知，以防泄密。另行确认

(orderconfirmation)。在网上传输交易信息之后，再用电子邮件对交易进行确认，才认为有效。在线服务

(onlineservice)。为了保证信息传输的安全，用企业提供的内部网来提供联机服务。图53.4.1安全套接层协议SSL(securesocketslayer)是由Netscape公司是由设计开发的，其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是Web服务器）之间的安全通信。图6SSL是一种利用公共密钥技术的工业标准，已经广泛用于Internet，它使用的是RSA数字签名算法，可以支持X.509证书和多种保密密钥加密算法。其运行机制是：在建立连接过程中采用公共密钥；在回话过程中采用专有密钥；加密的类型和强度则在两端之间建立连接的过程中判断决定。图71、SSL提供的基本服务功能信息保密。使用公共密钥和对称密钥技术实现信息保密。SSL客户机和SSL服务器之间的所有业务都使用在SSL握手过程中建立的密钥和算法进行加密，这样就防止了某些用户进行非法窃听。信息完整性。SSL利用机密共享和Hash函数组提供信息完整性服务。相互认证。是客户机和服务器相互识别的过程。图8图92.SSL协议通信过程①接通阶段：客户机呼叫服务器，服务器回应客户。②认证阶段：服务器向客户机发送服务器证书和公钥；如果服务器需要双方认证，还要向对方提出认证请求；客户机用服务器公钥加密向服务器发送自己的公钥，并根据服务器是否需要认证客户身份，向服务器发送客户端证书。图10③确立会话密钥阶段：客户和服务器之间协议确立会话密钥。④会话阶段：客户机与服务器使用会话密钥加密交换会话信息。⑤结束阶段：客户机与服务器交换结束信息，通信结束。图11凡是支持送SSL协议的网页，都会以https://作为URL的开头。客户在与服务器进行SSL会话中，如果使用的是微软的IE浏览器，可以在右下方状态栏中看到一只金黄色的锁形安全标志，用鼠标双击该标志，就会弹出服务器证书信息。图12SSL的安全性服务对终端用户尽可能透明。与标准的HTTP连接申请不同，支持SSL的典型网络主机接收SSL连接的默认端口是443。图13当客户机连接该端口时，首先初始化握手协议，建立一个SSL对话时段。握手结束后，将对通信加密，并检查信息完整性，直到这个对话时段结束为止。每个SSL对话时段只发生一次握手。图143、SSL2.0和SSL3.0比较第一代Netscape产品采用了SSL2.0协议，如今的Netscape产品采用了新的SSL3.0协议。SSL2.0和SSL3.0在一些基本的SSL服务器上是相同的，例如信息完整性、私密性、相互认证性。图15SSL3.0增加了的功能有：①为提高握手速度而减少握手信息；②支持更多的密钥交换和加密算法；③支持fortezza插卡，这是走向智能加密卡的第一步；④改进了客户机证明申请协议。图164、SSL协议的电子交易过程图17交易过程的步骤①客户购买的信息首先发往商家；②商家再将信息转发银行；③④银行验证客户信息的合法性后，再通知客户和商家付款成功；⑤商家再通知客户购买成功。图18当用于银行卡网上支付流程时的缺点首先，客户的银行资料信息先送到商家，让商家阅读，这样，客户银行资料的安全性就得不到保证。其次，SSL协议虽然提供了资料传递过程的安全通道，但SSL协议安全方面有缺少数字签名功能、没有授权和存取控制、多方互相认证困难、不能抗抵赖、用户身份可能被冒充等弱点。

图19(SecureElectronicTransaction，SET)背景：网上消费者发出的支付指令在由商户送到支付网关之前，是在公用网上传送的，这一点与持卡POS消费者有着本质的不同。因此，在开放的网络上处理交易，如何保证传输数据的安全成为电子商务能否普及的最重要的因素之一，SET正是在这种需求的推动下应运而生的。它是由VISA和MasterCard两大信用卡公司发起，会同IBM、Microsoft等信息产业巨头于1997年6月正式制定发布的用于因特网事务处理的一种标准。3.4.2

安全电子交易协议图20SET协议是信用卡在因特网上进行支付的一种开放式该标准采用RSA公开密钥体制对通信双方进行认证，采用DES等对称加密体制加密要传输的信息，并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性，包括了信用卡在电子商务中的交易协定和信息保密、信息完整、身份认证、数字签名等技术，目前已经被广为认可而成了事实上的国际通用的网上支付标准，其交易形态将成为未来电子商务的规范。图211.SET协议的规范及功能①加密算法的应用（例如RSA和DES）；②证书信息和对象格式；③购买信息和对象格式；④认可信息和对象格式；⑤划账信息和对象格式；⑥对话实体之间信息的传输协议。图22SET协议交互操作是通过特定的协议和信息格式设定的。SET中包含多种协议，每一协议用于处理一个事务的不同阶段，通过复用公共密钥和私有密钥技术，单个SET事务最多可用六个不同的公共密钥加密，从而实现了信息集成、全部金融数据的证实和敏感数据的加密等工作。图23SET为电子商务提供的功能①信息保密性。②数据的完整性。③提供交易者的身份认证和担保。④互操作性。图242.SET协议所涉及的角色①持卡人。②网上商店。③发卡银行。④收单银行。⑤支付网关。⑥CA认证中心。图25使用SET的网上购物流程：①客户通过网络浏览器浏览在线商家的商品目录。②选择要购买的商品；③填写订单，包括欲购商品名称、规格、数量、交货时间及地点等信息。订单通过因特网发送给商家，商家进行应答，并告知以上订单货物单价、应付款数额和交货方式；④消费者选择付款方式，此时SET开始介入；3.应用SET的购物流程图26⑤消费者发送给商家一个完整的订单及其要求付款的指令。在SET中，订单和付款指令由消费者进行数字签名；同时利用双重身份签名技术，保证商家看不到消费者的账号信息。⑥在线商家接受订单后，向客户开户银行请求支付，此信息通过支付网关送达收单银行，并进一步提交发卡银行确认。确认批准后，发卡银行返回确认信息，经收单银行通过支付网关发给在线商家；⑦在线商家发送订单确认信息给客户，客户端记录交易日志，以备日后查考；⑧在线商家发送商品或提供服务，并通知收单银行将货款从客户账号转移到商家账号，或通知发卡银行请求支付。图274.SET标准的应用与局限性SET1.0版自1997年推出以来推广应用较慢，没有达到预期的效果。最大的挑战在于定期进行网上购物的消费者极少，原因主要是SET协议为了保证安全性而牺牲了简便性、操作过于复杂、成本较高、具有较大竞争力的SSL协议的广泛应用以及部分经济发达国家的法律规定了持卡人承担较低的信用卡风险等。SET协议提供了多层次安全保障，复杂程度显著增加；这些安全环节在一定程度上增加了交易的复杂性。图28图29