《电子商务概论》课件项目8 任务2 电子商务支付安全协议

学习任务1

电子商务支付安全协议网银有漏洞90后黑客盗骗十多万视频：安全多级别网银用户细选择在早期的电子交易中，曾采用过一些简易的安全措施，包括：1.部分告知（Partial

Order）即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。2.另行确认（Order

Confirmation）即当在网上传输交易信息后，再用电子邮件对交易做确认，才认为有效。一、早期的电子商务交易安全措施二、安全套接层协议（SSL）安全套接层协议（SSL：SecureSocketsLayer），它最早由美国网景（Netscape）公司于1994年提出的，主要用于提高应用程序之间的数据安全系数，实现兼容浏览器和服务器（通常是WWW服务器）之间安全通信的协议，位于TCP／IP和HTTP或其他协议如SNMP或FTP之间，能提供保密性、鉴别和数据完整性。目前是Internet网上安全通讯与交易的标准。SSL支持许多加密算法。SSL分为两层，一是握手层，二是记录层。SSL握手协议描述建立安全连接的过程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能；SSL记录协议则定义了数据传送的格式。SSL提供的安全服务（1）用户和服务器的合法性认证。为使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上，客户机和服务器都有各自的识别号，由公开密钥编排。为了验证用户，SSL要求在握手交换数据中做数字认证，以此来确保用户的合法性。（2）加密数据以隐藏被传送的数据。SSL采用的加密技术既有对称密钥，也有公开密钥。具体来说，就是客户机与服务器交换数据之前，先交换SSL初始握手信息，在SSL握手信息中采用了各种加密技术且经数字证书鉴别，这样就可以防止非法用户破译。（3）维护数据的完整性。客户机和服务器之间通过密码算法和密钥的协商，建立起一个安全通道，以后在安全通道中传输的所有信息都经过了加密处理，网络中的非法窃听者所获取的信息都将是无意义的密文信息，从而保证其机密性和数据的完整性，防止非法用户破译。SSL安全协议的运行步骤（1）接通阶段。客户通过网络向服务商打招呼，服务商回应；（2）密码交换阶段。客户与服务商之间交换双方认可的密码；（3）会谈密码阶段。客户与服务商间产生彼此交谈的会谈密码；（4）检验阶段。检验服务商取得的密码；（5）客户认证阶段。验证客户的可信度；（6）结束阶段。客户与服务商之间相互交换结束的信息。三、安全电子交易协议（SET）安全电子交易协议（SET：SecureElectronicTransaction）是由Visa和MasterCard两大信用卡组织于1997年5月提出的一种应用在Internet上、以信用卡为基础的电子付款系统规范，用来确保开放网络持卡交易的安全性。它具有检验购物实际持卡人真实身份的能力，并对金融机构、消费者、零售商和销售商从事网络贸易提供了必要的安全保证。SET协议涉及的当事人包括持卡人、发卡机构、商家、银行以及支付网关。SET协议提供的安全服务（1）保证在支付系统中支付信息和订购信息的安全性；（2）保证信息在传输过程中的完整性；（3）对持卡人身份的合法性检查；（4）对商家身份的合法性检查；（5）保护电子交易中合法用户；（6）保证采用的通讯协议、信息格式和标准具有公共适应性从SET安全电子交易运作流程可以看出SET协议的作用有以下几点：（1）SET协议解决了客户资料的安全性问题。虽然客户资料要通过商家到达银行，但是商家不能阅读这些资料。（2）SET协议解决了多方认证问题，因为认证不仅是客户和银行间的认证，还有客户和商家、商家与银行间的认证。（3）SET协议保证了网上交易的实时性，所有的支付过程都是在线的。①

消费者②

在线商店③

收单银行④

电子货币⑤

认证中心（CA）SET协议规范所涉及的对象使用SET的网上购物流程①客户通过网络浏览器浏览在线商家的商品目录。②选择要购买的商品；③填写订单，包括欲购商品名称、规格、数量、交货时间及地点等信息。订单通过因特网发送给商家，商家进行应答，并告知以上订单货物单价、应付款数额和交货方式；④消费者选择付款方式，此时SET开始介入；⑤消费者发送给商家一个完整的订单及其要求付款的指令。在SET中，订单和付款指令由消费者进行数字签名；同时利用双重身份签名技术，保证商家看不到消费者的账号信息。⑥在线商家接受订单后，向客户开户银行请求支付，此信息通过支付网关送达收单银行，并进一步提交发卡银行确认。确认批准后，发卡银行返回确认信息，经收单银行通过支付网关发给在线商家；⑦在线商家发送订单确认信息给客户，客户端记录交易日志，以备日后查考；⑧在线商家发送商品或提供服务，并通知收单银行将货款从客户账号转移到商家账号，或通知发卡银行请求支付。3.SSL与SET的比较项目SSL协议SET协议工作层次传输层与应用层之间应用层是否透明透明不透明过程简单复杂效率高低安全性商家掌握消费者PI消费者PI对商家保密认证机制双方认证多方认证是否专为EC设计否是四、S-HTTP安全协议安全超文本传输协议（S-HTTP：SecureHyperTextTransferProtocol）是一种面向安全信息通信的协议。它是EIT公司结合HTTP而设计的一种消息安全通信协议，是HTTP的扩展，仅适用于HTTP联结上。S-HTTP安全协议的作用（1）S-HTTP支持公钥加密和数字签名，并具有保密性。（2）S-HTTP可提供通信保密、身份识别、可信赖的信息传输服务及数字签名等。（3）S-HTTP提供了完整且灵活的加密算法及相关参数。选项协商用来确定客户机和服务器在安全事务处理模式、加密算法（如用于签名的非对称算法RSA和DSA等、用于对称加解密的DES和RC2等）及证书选择等方面达成一致。（4）S-HTTP支持端对端安全传输，客户机可能“首先”启动安全传输（使用报头的信息），如它可以用来支持加密