8旅游电子商务的安全教程.ppt

客 户 商 家 收单银行 发卡银行 1.选择购买 2.支付请求 （双重鉴名） CA认证 5.支付响应 3.授权请求 4.授权响应 支付网关 审核 批准 5、SET的作用 支持了电子商务的特殊安全需要：提供对消费者、商户和收单行的认证，确保交易数据的安全性、完整性和交易的不可否认性，特别是保证了不会将持卡人的信用卡号泄露给商户。 三、SSL与SET的区别： SSL与SET两种协议都能应用于电子商务中，都通过认证进行身份的识别，都通过对传输数据的加密实现保密性。 SSL是基于传输层的通用安全协议，它只占电子商务体系中的一部分，是对数据传输的部分技术规范。 SET协议位于应用层，对其他各层也有涉及。SET中规范了整个商务的活动流程。持卡人、商家、支付网关、结算中心、认证中心之间的信息流的加密、认证，SET协议都制定了严密的标准。 SSL的特点 SSL位于传输层与应用层之间，因此SSL能很好地封装应用层数据，不用改变位于应用层的应用程序，对用户是透明的。 SSL只需要通过一次“握手”过程建立客户与服务器之间一条安全通信的通道，保证传输数据的安全。因此它被广泛的应用于电子商务领域中。 缺点：SSL并不是专为支持电子商务而设计的，只支持双方认证，商家完全掌握消费者的账户信息。 SET协议的特点 相对于SSL协议来说，SET协议更为安全。 SET协议是专为电子商务系统设计的。 它位于应用层，其认证体系十分完善，能实现多方认证。 在SET的实现中，消费者账户信息对商家来说是保密的。 缺点：SET协议十分复杂，交易数据需进行多次验证，用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外，还有发卡银行、收单银行、认证中心、支付网关等其他参与者。 比较内容 SSL协议 SET协议 工作层次 传输层与应用层之间 应用层 是否透明 透明 不透明 过程 简单 复杂 效率 高 底 安全性 商家掌握消费者支付信息 支付信息对商家保密 认证机制 双方认证 多方认证 是否专为EC设计 否 是 本章小结 电子商务的安全性要求包括六个方面，即信息的保密性、信息的完整性、信息的有效性、信息的不可抵赖性、交易身份的真实性、系统的可靠性。 密钥加密技术包括对称密钥加密系统和非对称密钥加密系统；对称加密使用DES算法，非对称加密使用RSA算法 数字指纹技术实现信息的完整性验证； 数字签名技术实现对原始报文的鉴别和不可抵赖性； 数字信封实现信息传输的保密性； 数字时间戳用于证明电子文件发表时间； 数字证书可以证明用户或服务器或软件的合法身份 身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性 数字签名可以保证数字信息的不可否认性 数字证书的常用格式是X.509； 认证中心CA，能受理数字证书的申请、签发数字证书、对数字证书管理和确认用户身份等业务。 电子商务的安全协议与标准是SSL与SET SSL在内部网和公共Internet上广泛运用 SET提供对消费者、商户和收单行的认证，确保交易数据的安全性、完整性和交易的不可否认性，特别是保证了不会将持卡人的信用卡号泄露给商户。 5、数字证书 数字证书（Digital Certificate 或Digital ID)，是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的一系列数据，用来在网络应用中识别通讯各方的身份，其作用类似显示生活中的身份证。 数字在数字证书所包含的数据中，身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。 证书的格式遵循X.509国际标准。 数字证书结合本人的私钥可以身份认证、数字签名、信息加密等操作。 数字证书原理 数字证书采用公开密码密钥体系，即利用一对互相匹配的密钥进行加密、解密。 每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名。 当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。 一个标准的数字证书内容 主体：为证书所有者的名称、机构、部门、国家等信息。 颁发者：颁发证书机构名称； 序列号：本证书的编号。 CA使用的算法； 证书的主题名称； 被证明的公钥信息：公钥算法、公钥的位字符串表示； 有效期起始日期：标明证书何时启用； 有效期终止日期：标明证书何时失效； 密钥/证书用途：标明证书的用途，如：加密邮件、数字签名、数据加密等； 数字签名：用颁发者的私钥对证书信息的摘要的进行的签字加密信息； 数字证书的主要类型： 由证书的主体类型分，证书可分为以下两种类型： 个人证书：由个人申请并使用的证书。 企业服务器证书：由企业申请的证书，一般为