第七章_SET协议.pptVIP

第七章 SET协议 7.11 电子商务概述 1.电子商务的定义 电子商务（electronic commerce,EC）是指买卖双方利用简单、快捷、低成本的电子通信方式，不谋面地进行各种商贸活动。随着Internet技术的日益成熟和发展，现在人们所说的电子商务通常是特指通过Internet进行的各种商贸活动。 2.电子商务的产生及发展 基于电子数据交换EDI的电子商务 基于Internet的电子商务 3.电子商务的特点 在虚拟市场中进行、速度快、效益高、服务 质量高、不受时空限制、交互更加方便等特点 4.电子商务的分类 按交易对象分类: 1.企业对企业B2B 2.企业对消费者B2C 3.消费者对消费者C2C 4.企业对政府B2G 7.1.2 电子商务的安全需求 1.目前存在的电子交易安全问题 信息的截获和窃取 信息的篡改 信息的假冒 2.电子商务系统的安全需求 机密性 完整性 认证性 不可否认性 有效性 7.1.3 电子商务安全协议 1.SSL协议 Secure Socket Layer，为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL 2.SET协议 SET协议(Secure Electronic Transaction，安全电子交易)是由VISA和Master Card两大信用卡公司联合推出的规范它采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。由于SET 提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。 7.2.1 SET概述 SET协议的产生 1996年2月，Marster Card和Visa国际信用卡组织与技术合作伙伴GTE、Netcape、IBM、Terisa Systems、Verisign、Microsoft、SAIC等一批跨国公司共同开发了安全电子交易规范(SET)。 1997年2月，由Master Card和Visa发起成立SETCO公司 . 2.SET的目标 ⑴ 保证信息在互联网上安全传输，防止数据被黑客或被内部人员窃取。 ⑵ 保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的账户和密码信息。 ⑶ 解决多方认证问题。不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。 ⑷ 保证网上交易的实时性，使所有的支付过程都是在线的。 ⑸ 效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。 3.SET提供的安全服务 机密性 完整性 身份认证 交易的不可否认性 互操作性 4 SET交易的参与者 5.基于SET的购物流程图 1. 持卡人使用浏览器在商家的web主页上查看在线商品目录浏览商品。 2. 持卡人选择要购买的商品。 3. 持卡人填写定单，包括：项目列表、价格、总价、运费、搬运费、税费。定单可通过电子化方式从商家传过来，或由持卡人的电子购物软件(wallet)建立。有的在线商场可以让持卡人与商家协商物品的价格(例如出示自己是老客户证明，或给出了竞争对手的价格信息)。 4. 持卡人选择付款方式。此时set开始介入。 5. 持卡人发送给商家一个完整的定单及要求付款的指令。在set中，定单和付款指令由持卡人进行数字签名。同时利用双重签名技术保证商家看不到持卡人的帐号信息。 6. 商家接受定单后，向持卡人的金融机构请求支付认可。通过gateway到银行，再到发卡机构确认，批准交易。然后返回确认信息给商家。 7. 商家发送定单确认信息给顾客，顾客端软件可记录交易日志，以备将来查询。 8. 商家给顾客装运货物，或完成订购的服务。到此为止，一个购买过程已经结束。商家可以立即请求银行将钱从购物者的帐号转移到商家帐号，也可以等到某一时间，请求成批划帐处理。 9. 商家从持卡人的金融机构请求支付，在认证操作和支付操作中间一般会有一个时间间隔，例如，在每天的下班前请求银行结一天的帐。 7.2.2 SET协议的安全机制 SET使用多种密钥技术来达到安全交易的要求，其中对称密钥技术、公钥加密技术和Hash算法是其核心。 综合应用以上三种技术产生了数字签名、数字信封、数