Chap4_电子商务安全要点解析.ppt

5.服务器用自己的私匙解密了你发送的钥匙。然后用这把对称加密的钥匙给你请求的URL链接解密。 6.服务器用你发的对称钥匙给你请求的网页加密。你也有相同的钥匙就可以解密发回来的网页了。 * * 3.SSL协议的优点和缺点 （1）SSL协议的优点 ●支持大多数加密算法，适应性强； ●独立于应用层协议，实现过程简单； ●大部分浏览器和服务器内置了SSL协议。 （2）SSL协议的缺点 ●只能保证客户与商家两点之间的信道安全； ●商家同时掌握客户的采购订单和付款信息； 不能保证商家不会保留和私自盗用客户的付款信息。 * * 4.3.2 安全电子交换协议SET SET（Secure Electronic Transaction） 为了克服SSL安全协议的缺点，达到交易安全及合 乎成本效益的市场要求，VISA 和MasterCard 联合其他 国际组织，于1997年5月共同制定了安全电子交换协议， 称为SET协议。 由于SET协议得到HP、IBM、Microsoft 等大公司的 支持，在全球电子商务支付领域得到广泛应用。成为在 线交易电子支付系统事实上的工业标准。 SET 主要是为了解决用户、商家和银行之间通过信 用卡支付的交易而设计的，以保证支付信息的机密、支 付过程的完整、商户及持卡人的合法身份及可操作性。 * * 1.SET协议的主要目标 （1）保障付款信息的安全 SET协议首先要保证付款信息的安全传输，保证 用户的交易数据不会被截获或者丢失。 （2）保障付款过程的安全 SET 协议使用了双重签名技术，保障商家只能看到 订单信息，看不到客户的付款信息，从而保证付款过程 的信息安全。 SET 协议要求参与付款的各方都要提供数字证书进 行身份认证，从而保证付款过程的信用安全。 （3）保证付款过程遵守相同的协议和格式标准 SET协议提供开放的标准，规定交易的技术细节， 对于参与交易的各方定义协调操作接口，一个系统可 以由不同厂商的产品构筑。 * * 2.SET的安全技术 (1)消息摘要 是一个唯一对应一个消息的值，它由哈希（Hash） 加密算法对一个消息摘要成一串密文，由此验证消息在 传输过程中没有被修改。消息摘要方法解决了信息的完 整性问题。 (2)数字信封 在SET中使用对称密钥来加密数据，然后将此对称 密钥用接收者的公钥加密，称为消息的“数字信封”，将 其和数据一起送给接收者。接收者先用自己的私钥解密 数字信封，得到对称密钥，然后使用对称密钥解开数据。 (3)双重签名 SET 要求将订单信息和个人信用卡账号信息分别用 商家和银行的公钥进行数字签名，保证商家只能看到订 货信息，而看不到持卡人的账户信息，并且银行只能看 账户信息，而看不到订货信息。 * * 3.基于SET协议的交易流程 顾客 商家 银行 网上浏览 选购商品 1.订购指令 付款指令 处理订 购信息 2.付款指令 3.支付确认 4.确认 订购信息 5.请求支付 6.完成支付 订购 确认 7.发送货物 记录交易 数据凭证 货物 出库 审核 支付 认证中心 (1)客户在网上商店看中商品后，和商家进行磋商，然后发出请求购买信息。 (2)商家要求客户用电子钱包付款。 (3)电子钱包提示客户输入口令后与商家交换握手信息，确认商家和客户两端均合法。 (4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。 (5)商家将含有客户支付指令的信息发送给支付网关。 (6)支付网关在确认客户信用卡信息之后，向商家发送一个授权响应的报文。 (7)商家向客户的电子钱包发送一个确认信息。 (8)将款项从客户帐号转到商家帐号，然后向顾客送货，交易结束。 从上面的交易流程可以看出，SET交易过程十分复杂性，在完成一次SET协议交易过程中，需验证电子证书9次，验证数字签名6次，传递证书7次，进行签名5次，4次对称加密和非对称加密。通常完成一个SET协议交易过程大约要花费1.5－2分钟甚至更长时间。由于各地网络设施良莠不齐，因此，完成一个SET协议的交易过程可能需要耗费更长的时间。 * * * * 4.SET协议的优点和缺点 （1）SET协议的优点 ●SET对顾客提供了更好的安全保护，SET是针对持卡 人、商家、银行等多方的协议，商家不能了解持卡人的 支付信息； ●SET为商家提供了保护自己的手段，SET通过多方身 份认证，保证了信息的安全传输和货款的安全划拨，使 商家免除了后顾之忧。 ●SET使银行和发卡机构将业务扩展到Internet这个广 阔空间，比其它支付方式具