第7章 网上支付的安全.ppt

第7章 网上支付的安全 教学目的与要求: 了解电子商务网上支付所面临的安全现状，掌握电子交易安全协议SSL和SET的基本概念和原理 教学重点与难点： 重点：掌握电子交易协议SSL和SET的不同 难点：金融安全认证技术的组成与运作方法 7.1.1 网上支付所面临的安全问题 （1）交易支付信息被篡改。 （2）交易支付信息被截获和窃取。 （3）交易信息假冒。 （4）交易抵赖。 7.1.2 网上支付安全的主要内容 电子商务安全从整体上分为两大部分： 计算机网络安全和商务交易安全。 计算机网络安全的内容主要包括计算机网络设备安全、计算机网络系统安全、数据库安全等。 其特点是针对计算机网络本身可能存在的安全问题问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。 商务交易安全是指在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，实现电子商务交易支付结算的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。 包括交易支付过程中的各种交易安全技术，如SET、SSL、安全认证手段和CA体系等。 7．2 网上支付安全协议 7.2.1 SSL协议 （Secure Socket Layer） SSL协议是由网景（Netscape）公司1994年设计开发推出的一种安全通信协议，主要用于提高应用程序之间的数据的安全系数，它能够对信用卡和个人信息提供较强的保护，也是目前使用最广泛的安全协议。 SSL协议保障了在Internet上数据传输的安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。 SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。 SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。 1) SSL协议提供的基本服务 （1）认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器。 （2）加密数据以隐藏被传送的数据。 （3）维护数据的完整性，确保数据在传输过程中不被改变。 　2）SSL协议的工作流程： 　　服务器认证阶段： 1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接； 2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则在响应客户的“Hello”信息时将包含生成主密钥所需的信息； 3）客户根据收到的响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器； 4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。 　 　用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。 概括为以下阶段： （1）接通阶段。（2）密码交换阶段。 （3）会谈密码阶段。（4）检验阶段。 （5）客户认证阶段。（6）结束阶段。 存在的问题（1）： 从SSL 协议提供的服务及工作流程看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。 虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和 MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。 3 )SSL协议的应用 SSL协议是国际上最早应用于电子商务的一种网络安全协议，至今仍然有许多网上商店在使用，也经常应用于点对点的网上银行业务。 世界上一些大型公司，如Microsoft、IBM等提供的客户机、服务器以及相关的软件都支持SSL协议，它已经成为一个事实上的工业标准。 SSL协议与电子支付 SSL协议下的电子交易过程 SSL协议交易流程的缺陷 客户的银行资料信息先送到商家，让商家阅读，故客户银行资料的安全性得不到保证。