第七章电子商务安全交易.ppt

第7章 电子商务安全交易 主编：彭波 第7章 电子商务安全交易 知识教学目标： 理解SSL的工作过程 了解SET协议、熟悉认证过程 了解SSL和SET协议的优缺点 技能培养目标： 能够掌握证书服务的安装与管理 能够掌握浏览器数字证书管理 7.1 电子商务安全交易概述 电子商务交易安全是建立在网络安全的基础上 主要是为了保障电子商务交易的顺利进行，实现电子商务交易的私有性、完整性、可鉴别性和不可否认性等。 7.1.1．电子商务安全交易需求 1. 信息的保密性 保密性服务是为防止被攻击而对网络中传输的信息进行保护。 2. 交易者身份的确定性 能方便而可靠地确认对方的身份是交易的前提。鉴别包括源点鉴别和实体鉴别，即要能准确鉴别信息的来源，鉴别彼此通信的对等实体的身份。 3. 信息的不可否认性 指保证发方不能否认自己发送了信息，同时收方也不能否认自己接收到信息。 4. 信息的不可修改性 电子交易文件要能做到不可修改，以保障交易的严肃和公正。 5. 信息的完整性 要求数据在传输或存储过程中不会受到非法的修改、删除或重放，要确保信息的顺序完整性和内容完整性。 电子商务应用的核心和关键问题是交易的安全性。 7.2 SSL—提供网上购物安全的协议 1. SSL简述 安全套接层（Secure Sockets Layer，SSL）是一种传输层技术，它在和另一方通信前先讲好的一套方法，这个方法能够在它们之间建立一个电子商务的安全性秘密信道，确保电子商务的安全性，凡是不希望被别人看到的机密数据，都可通过这个秘密信道传送给对方 2. SSL提供的服务 （1）数据加密服务 采用的是对称加密技术与公开密钥加密技术。 （2）认证服务 SSL客户机与服务器都有各自的识别号，这些识别号使用公开密钥进行加密。 （3）数据完整性服务 采用哈希函数和机密共享的方法提供完整信息性的服务 3. SSL标准的工作流程 （1）SSL客户机向SSL服务器发出连接建立请求，SSL服务器响应SSL客户机的请求； （2）SSL客户机与SSL服务器交换双方认可的密码，一般采用的加密算法是RSA算法； （3）检验SSL服务器得到的密码是否正确，并验证SSL客户机的可信程度； （4）SSL客户机与SSL服务器交换结束的信息。 4. SSL特点 （1）不能自动更新证书； （2）认证机构编码困难； （3）浏览器的口令具有随意性； （4）不能自动检测证书撤销表； （5）用户的密钥信息在服务器上是以明文方式存储的。 （6）客户数据可能外泄。 7.3 SET—提供安全的电子商务数据交换 在电子商务的交易过程中，首先是交流信息和需求，进行磋商；接着是交换单证；最后是电子支付。 SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证 7.3.1 SET的主要目标 1. 信息传输的安全性 2. 信息的相互隔离 3. 多方认证的解决 4. 解决兼容问题 5. 交易的实时性 7.3.2 SET的交易成员 1. 持卡人—消费者 2. 网上商家 3. 收单银行 4. 支付网关 5. 发卡银行 6. 认证中心CA 7.3.3 SET的技术范围 1. 加密算法； 2. 证书信息和对象格式； 3. 购买信息和对象格式； 4. 认可信息和对象格式； 5. 划账信息和对象格式； 6. 对话实体之间消息的传输协议。 7.3.4 SET软件的组件 包括电子钱包、商店服务器、支付网关和认证中心软件，这4个软件分别存储在持卡人、网上商店、银行以及认证中心的计算机中，相互运作来完成整个SET交易服务，如图7-2所示。 7.3.5 SET的认证过程 1.SET认证之一—注册登记 每个在认证中心进行了注册登记的用户都会得到双钥密码体制的一对密钥、一个公钥和一个私钥。 公钥用于提供对方解密和加密回馈的信息内容。私钥用于解密对方的信息和加密发出的信息。 这一对密钥作用： （1）对持卡人购买者的作用 1）用私钥解密回函； 2）用商家公钥填发订单； 3）用银行公钥填发付款单和数字签名等。 （2）对银行的作用 1）用私钥解密付款及金融数据； 2）用商家公钥加密购买者付款通知。 （3）对商家供应商的作用 1）用私钥解密订单和付款通知； 2）用购买者公钥发出付款通知和代理银行公钥。 2. SET认证之二—动态认证 3. SET认证之三—商业机构处理流程 7.3.6 SET协议的安全技术 目前的主要安全保障来自以下3个方面： 1. 将所有消息文本用双钥密码体制加密； 2. 将上述密钥的公钥和私钥的字长增加到512B～2 048B； 3. 采用联机动态的授权（Authority）和认证检查（Certificate），以确保交易过程的安全可靠