安全电子交易.ppt

《安全电子交易.ppt》由会员分享，可在线阅读，更多相关《安全电子交易.ppt（31页珍藏版）》请在一课资料网上搜索。

1、第第1111章安全电子交易章安全电子交易第十一章第十一章安全电子交易安全电子交易 11.1 11.1 电子交易的基本流程电子交易的基本流程 11.2 11.2 电子交易的安全标准电子交易的安全标准 11.3 11.3 安全电子交换协议安全电子交换协议SETSET简述简述 11.4 SET11.4 SET的安全需求与特征的安全需求与特征 11.5 SET11.5 SET中的支付处理中的支付处理 11.6 SET11.6 SET存在的问题存在的问题 第第1111章安全电子交易章安全电子交易（1）电子交易的基本流程电子交易的基本流程（2）SSL协议与常用数据交换协议协议与常用数据交换协议（3）安全电

2、子交换协议安全电子交换协议SET的基本原的基本原理理（4）SET中的支付处理过程中的支付处理过程（5）SET存在的问题存在的问题 本章学习目标本章学习目标第第1111章安全电子交易章安全电子交易11.1 电子交易的基本流程电子交易的基本流程 如图如图11-1所示，网络网际付款的流程有所示，网络网际付款的流程有6个步骤。个步骤。第第1111章安全电子交易章安全电子交易11.2 电子交易的安全标准电子交易的安全标准 11.2.1 常用数据交换协议常用数据交换协议 11.2.2 SSL协议协议 第第1111章安全电子交易章安全电子交易11.2.1 常用数据交换协议常用数据交换协议 l电子数据交换（电

3、子数据交换（EDI）l开放贸易协议（开放贸易协议（OTP）l开放数据标准（开放数据标准（OPS）l加密套接字层（加密套接字层（SSL）l安全电子交易（安全电子交易（SET）第第1111章安全电子交易章安全电子交易11.2.2 SSL协议协议 SSL提供提供3种基本的安全服务：信息加密、信息完整种基本的安全服务：信息加密、信息完整性和相互认证。性和相互认证。1SSL安全协议的基本概念安全协议的基本概念 SSL安全协议主要提供三方面的服务：安全协议主要提供三方面的服务：l加密数据以隐藏被传送的数据。加密数据以隐藏被传送的数据。l维护数据的完整性，确保数据在传输过程中不被改变。维护数据的完整性，确保

4、数据在传输过程中不被改变。l认证用户和服务器，使得它们能够确信数据将被发送认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。到正确的客户机和服务器上。第第1111章安全电子交易章安全电子交易2SSL安全协议的运行步骤安全协议的运行步骤 SSL的运行过程包括六步：的运行过程包括六步：（1）接通阶段，客户通过网络向服务商打招呼，服务商回）接通阶段，客户通过网络向服务商打招呼，服务商回应。应。（2）密码交换阶段，客户与服务商之间交换双方认可的密）密码交换阶段，客户与服务商之间交换双方认可的密码。一般选用码。一般选用RSA密码算法，也有的选用密码算法，也有的选用Diffie-He

5、llman和和Fortezza-KEA密码算法。密码算法。（3）会谈密码阶段，客户与服务商间产生彼此交谈的会谈）会谈密码阶段，客户与服务商间产生彼此交谈的会谈密码。密码。（4）检验阶段，检验服务商取得的密码。）检验阶段，检验服务商取得的密码。（5）客户认证阶段，验证客户的可信度。）客户认证阶段，验证客户的可信度。（6）结束阶段，客户与服务商之间相互交换结束的信息。）结束阶段，客户与服务商之间相互交换结束的信息。第第1111章安全电子交易章安全电子交易3SSL安全协议的应用安全协议的应用 SSL安全协议也是国际上最早应用于电子商务的一安全协议也是国际上最早应用于电子商务的一种网络安全协议，至今仍

6、然有许多网上商店在使用。在种网络安全协议，至今仍然有许多网上商店在使用。在点对点的网上银行业务中也经常使用。该协议已成为事点对点的网上银行业务中也经常使用。该协议已成为事实上的工业标准，并被广泛应用于实上的工业标准，并被广泛应用于Internet和和Intranet的的服务器产品和客户端产品中。如网景公司、微软公司、服务器产品和客户端产品中。如网景公司、微软公司、IBM公司等领导公司等领导Internet/Intranet网络产品的公司已在网络产品的公司已在使用该协议。使用该协议。第第1111章安全电子交易章安全电子交易4SET协议和协议和SSL协议的区别协议的区别 SET协议和协议和SSL协

7、议的区别如表协议的区别如表11-1所示。所示。第第1111章安全电子交易章安全电子交易11.3 安全电子交换协议安全电子交换协议SET简述简述 11.3.1 SET的基本概念的基本概念 11.3.2 SET的基本原理的基本原理 第第1111章安全电子交易章安全电子交易11.3.1 SET的基本概念的基本概念 1SET安全协议的主要目标安全协议的主要目标 SET是一个基于可信的第三方认证中心的方案，它要是一个基于可信的第三方认证中心的方案，它要实现的主要目标有下列三个方面：实现的主要目标有下列三个方面：（1）保障付款安全。）保障付款安全。（2）确定应用的互通性。）确定应用的互通性。（3）达到全球

8、市场的接受性。）达到全球市场的接受性。SETSET协议保证了电子交易的机密性、数据完整性、身份协议保证了电子交易的机密性、数据完整性、身份的合法性和不可否认性。的合法性和不可否认性。第第1111章安全电子交易章安全电子交易2SET安全协议涉及的范围安全协议涉及的范围 一项一项SET交易由以下几个部分组成，如图交易由以下几个部分组成，如图11-3所示。所示。第第1111章安全电子交易章安全电子交易交易过程如图交易过程如图11-4所示。其运作方式如下所述：所示。其运作方式如下所述：第第1111章安全电子交易章安全电子交易3SET的通信过程的通信过程 SET的通信过程如图的通信过程如图11-5所示。

9、所示。第第1111章安全电子交易章安全电子交易4SET的认证的认证 在用户身份认证方面，在用户身份认证方面，SET引入了证书（引入了证书（Certificates）和认证机构（和认证机构（Certificates Authorities）机制。）机制。（1 1）证书。证书就是一份文档，它记录了用户的公共）证书。证书就是一份文档，它记录了用户的公共密钥和其他身份信息。在密钥和其他身份信息。在SETSET中，最主要的证书是持卡中，最主要的证书是持卡人证书和商家证书。人证书和商家证书。（2 2）认证机构。）认证机构。CACA是受一个或多个用户信任，提供用是受一个或多个用户信任，提供用户身份验证的第三

10、方机构。户身份验证的第三方机构。（3）证书的树形验证结构。在两方通信时，通过出示）证书的树形验证结构。在两方通信时，通过出示由某个由某个CA签发的证书来证明自己的身份。签发的证书来证明自己的身份。第第1111章安全电子交易章安全电子交易5SET标准的应用标准的应用 自自1996年起，年起，34个国家的个国家的150多家金融机构制定了多家金融机构制定了SET试行方案。从新加坡到旧金山的信用卡公司都开试行方案。从新加坡到旧金山的信用卡公司都开始建造始建造SET交易网关，软件厂家则着手开发支持交易网关，软件厂家则着手开发支持SET的的应用软件。应用软件。安全电子交易安全电子交易SET是一种电子支付过

11、程标准，用以是一种电子支付过程标准，用以保护网上支付卡交易的每一个环节，由保护网上支付卡交易的每一个环节，由VISA和和Master Card合作产生，同时采用合作产生，同时采用IBM、GTE、Microsoft、Netscape、RSA、SAIC、Terisa、VeriSign等多个公司等多个公司的技术，是专为网上支付卡业务安全所制定的惟一有的技术，是专为网上支付卡业务安全所制定的惟一有意义的标准。它保证电子支付卡交易的安全进行、加意义的标准。它保证电子支付卡交易的安全进行、加密付款信息被安全地发送。密付款信息被安全地发送。SET标准主要由标准主要由3个文件组个文件组成：成：SET业务描述、

12、业务描述、SET程序员指南和程序员指南和SET协议描述。协议描述。第第1111章安全电子交易章安全电子交易11.3.2 SET的基本原理的基本原理 SETSET协议规定了交易各方进行安全交易的具体流程。协议规定了交易各方进行安全交易的具体流程。SETSET协议执行步骤与常规的信用卡交易过程基本相同，只是协议执行步骤与常规的信用卡交易过程基本相同，只是它是通过因特网来实现的。它是通过因特网来实现的。SETSET协议执行步骤与常规的协议执行步骤与常规的信用卡交易过程基本相同，只是它是通过因特网来实现信用卡交易过程基本相同，只是它是通过因特网来实现的。的。SETSET提供了提供了3 3种服务：种服务

13、：l在交易涉及的各方之间提供安全的通信信道。在交易涉及的各方之间提供安全的通信信道。l通过使用通过使用X.509v3X.509v3数字证书进行认证。数字证书进行认证。l保证机密性，因为信息只是在必要的时候、必要的地保证机密性，因为信息只是在必要的时候、必要的地方才对交易各方可用。方才对交易各方可用。第第1111章安全电子交易章安全电子交易SETSET协议规定的工作流程如下：协议规定的工作流程如下：（1 1）用户向商家发送购货单和一份经过签名、加密的信托书。书）用户向商家发送购货单和一份经过签名、加密的信托书。书中的信用卡号是经过加密的，商家无从得知。中的信用卡号是经过加密的，商家无从得知。（2

14、 2）商家把信托书传送到收单银行，收单银行可以解密信用卡号，）商家把信托书传送到收单银行，收单银行可以解密信用卡号，并通过认证验证签名。并通过认证验证签名。（3 3）收单银行向发卡银行查问，确认用户信用卡是否属实。）收单银行向发卡银行查问，确认用户信用卡是否属实。（4 4）发卡银行认可并签证该笔交易。）发卡银行认可并签证该笔交易。（5 5）收单银行认可商家并签证此交易。）收单银行认可商家并签证此交易。（6 6）商家向用户传送货物和收据。）商家向用户传送货物和收据。（7 7）交易成功，商家向收单银行索款。）交易成功，商家向收单银行索款。（8 8）收单银行按合同将货款划给商家。）收单银行按合同将货

15、款划给商家。（9 9）发卡银行向用户定期寄去信用卡消费账单。）发卡银行向用户定期寄去信用卡消费账单。第第1111章安全电子交易章安全电子交易11.4 SET的安全需求与特征的安全需求与特征 11.4.1 SET的安全需求的安全需求 11.4.2 SET的关键特征的关键特征 11.4.3 SET的购物流程的购物流程 11.4.4 SET的双向签名的双向签名 第第1111章安全电子交易章安全电子交易11.4.1 SET的安全需求的安全需求 SET规约列出了以下一些在规约列出了以下一些在Internet和其他网络上使用和其他网络上使用信用卡进行安全支付处理的商业需求。信用卡进行安全支付处理的商业需求

16、。（1）对支付和订购信息提供机密性，使卡的用户确信）对支付和订购信息提供机密性，使卡的用户确信这个信息是安全的并只能被持卡者访问是必要的。这个信息是安全的并只能被持卡者访问是必要的。（2）保证所有传输数据的完整性，即保证在）保证所有传输数据的完整性，即保证在SET报文报文传输过程中不会出现对内容的修改。传输过程中不会出现对内容的修改。SET使用数字签使用数字签名来保证完整性。名来保证完整性。（3）认证中心机制，可验证使用者（消费者与经销商）认证中心机制，可验证使用者（消费者与经销商）的合法性，对卡的拥有者是否是信用卡账户的合法用的合法性，对卡的拥有者是否是信用卡账户的合法用户提供鉴证。户提供鉴

17、证。第第1111章安全电子交易章安全电子交易（4）通过与金融机构的关系对商家是否可以接受信用卡）通过与金融机构的关系对商家是否可以接受信用卡交易提供鉴证，这是前面需求的补充。交易提供鉴证，这是前面需求的补充。（5）保证使用最好的安全策略和系统设计技术来保护电）保证使用最好的安全策略和系统设计技术来保护电子商务交易中的所有合法方。子商务交易中的所有合法方。SET基于高度安全的加密基于高度安全的加密算法和协议上经过很好测试的规约。算法和协议上经过很好测试的规约。（6）确保不完全依靠内部使用的安全机制，但认证协议）确保不完全依靠内部使用的安全机制，但认证协议也不会妨碍安全机制运作。也不会妨碍安全机制

18、运作。（7）具有不同软件与网络间相互运作的能力，方便和鼓）具有不同软件与网络间相互运作的能力，方便和鼓励软件和网络提供者之间的互操作性。励软件和网络提供者之间的互操作性。（8）确保安全系统设计和安全性。）确保安全系统设计和安全性。第第1111章安全电子交易章安全电子交易11.4.2 SET的关键特征的关键特征 为了满足上述需求，安全电子交易（为了满足上述需求，安全电子交易（SET）交易）交易标准具有下列特性：标准具有下列特性：（1）保证信息的保密性。）保证信息的保密性。（2）保证数据的完整性。）保证数据的完整性。（3）验证商户和持卡人。）验证商户和持卡人。使用消费者的电子证书与数字签章来验证消

19、费者。使用消费者的电子证书与数字签章来验证消费者。使用经销商的电子证书与数字签章来验证经销商。使用经销商的电子证书与数字签章来验证经销商。由权威的、受到广泛信赖的认证机构（即由权威的、受到广泛信赖的认证机构（即CA）对交）对交易各方身份进行认证。易各方身份进行认证。第第1111章安全电子交易章安全电子交易认证过程分为：认证过程分为：1）卡用户账号的鉴别，）卡用户账号的鉴别，SET使得商家能够验证卡用使得商家能够验证卡用户是有效的卡账号的合法用户。户是有效的卡账号的合法用户。2）商家的鉴别，）商家的鉴别，SET使得卡用户可以验证商家与金使得卡用户可以验证商家与金融机构存在某种关系，允许它接受支付

20、信用卡。融机构存在某种关系，允许它接受支付信用卡。（4 4）使用明确的协议与信息格式，以提供不同软硬）使用明确的协议与信息格式，以提供不同软硬件间互相运作的能力。件间互相运作的能力。第第1111章安全电子交易章安全电子交易11.4.3 SET的购物流程的购物流程 SET主要适用于因特网上的卡交易。主要适用于因特网上的卡交易。SETSET交易虽然没有交易虽然没有传统的面对面交易过程，但与传统交易类似，也涉及传统的面对面交易过程，但与传统交易类似，也涉及3 3种种实体：持卡人（实体：持卡人（Card HolderCard Holder）、商户（）、商户（MerchantMerchant）和金）和金

21、融机构（融机构（Financial InstitutionFinancial Institution）。）。SETSET的购物流程。的购物流程。1 1购物请求购物请求 2 2授权请求授权请求 3 3扣款请求扣款请求 第第1111章安全电子交易章安全电子交易11.4.4 SET的双向签名的双向签名 SET引入的一个重要技术：双向签名（如图引入的一个重要技术：双向签名（如图11-7所示）。双所示）。双向签名的目的是为了连接两个发送给不同接收者的报文。在这种向签名的目的是为了连接两个发送给不同接收者的报文。在这种情况下，消费者想要将订购信息（情况下，消费者想要将订购信息（OI）发送给商家，将支付信息

22、）发送给商家，将支付信息（H）发送给银行，商家不必知道消费者的信用卡号码，银行也）发送给银行，商家不必知道消费者的信用卡号码，银行也不必知道消费者订单的细节。消费者被提供了私有性的额外保护不必知道消费者订单的细节。消费者被提供了私有性的额外保护使得这两个项目分离。使得这两个项目分离。第第1111章安全电子交易章安全电子交易11.5 SET中的支付处理中的支付处理 11.5.1 交易过程交易过程 11.5.2 支付认可支付认可 11.5.3 支付获取支付获取 第第1111章安全电子交易章安全电子交易11.5.1 交易过程交易过程 在交易过程中，所有的消息传输都在消费者与商店、在交易过程中，所有的

23、消息传输都在消费者与商店、商店与银行（付款银行）之间。商店与银行（付款银行）之间。SET支持的交易主要支持的交易主要包括：包括：l 购买请求。购买请求。l 支付认可。支付认可。l 支付获取。支付获取。购买请求交换由购买请求交换由4个报文组成：发起请求、发起响应、个报文组成：发起请求、发起响应、购买请求和购买响应。购买请求和购买响应。第第1111章安全电子交易章安全电子交易11.5.2 支付认可支付认可 支付认可交换由两个报文组成：认可请求和认可支付认可交换由两个报文组成：认可请求和认可响应。商家向支付网关发送一个认可请求报文，该报响应。商家向支付网关发送一个认可请求报文，该报文由下面几个部分组

24、成。文由下面几个部分组成。1与购买有关的信息与购买有关的信息 2与认可有关的信息与认可有关的信息 3证书证书 第第1111章安全电子交易章安全电子交易11.5.3 支付获取支付获取 为了获得支付，商家在支付获取交易中雇用支付网关，由获取请为了获得支付，商家在支付获取交易中雇用支付网关，由获取请求和获取响应报文组成。求和获取响应报文组成。对于获取请求报文，商家生成、签名和加密获取请求数据块，这对于获取请求报文，商家生成、签名和加密获取请求数据块，这个数据块中包括了支付的数量和交易个数据块中包括了支付的数量和交易IDID。这个报文还包括以前收。这个报文还包括以前收到的这个交易的加密的获取权标（在认

25、可响应中），以及商家的到的这个交易的加密的获取权标（在认可响应中），以及商家的签名密钥和交换密钥的证书。签名密钥和交换密钥的证书。当支付网关收到了获取请求报文时，它解密并验证获取请求数当支付网关收到了获取请求报文时，它解密并验证获取请求数据块，解密并验证获取权标块。然后，它检查获取请求和获取权据块，解密并验证获取权标块。然后，它检查获取请求和获取权标的一致性。接着，它创建清算请求并通过私有支付网络发送给标的一致性。接着，它创建清算请求并通过私有支付网络发送给发行者。这个请求引起资金被划拨到商家的账户中。发行者。这个请求引起资金被划拨到商家的账户中。第第1111章安全电子交易章安全电子交易11.

26、6 SET存在的问题存在的问题 SET规范是在规范是在1997年推出的，但是目前年推出的，但是目前SET协议的协议的应用并不多，目前应用并不多，目前SET协议在应用中发现主要存在以协议在应用中发现主要存在以下问题：下问题：（1 1）SETSET只支持信用卡消费。只支持信用卡消费。（2 2）SETSET报文消息太复杂。报文消息太复杂。（3 3）SETSET涉及的实体较多。涉及的实体较多。（4 4）SETSET对智能卡支持不够。对智能卡支持不够。（5 5）SETSET消费模式的差别。消费模式的差别。第第1111章安全电子交易章安全电子交易THANK YOU VERY MUCH！本章到此结束，本章到此结束，谢谢您的光临！谢谢您的光临！