第7章网上支付的安全(论文资料).pptVIP

第7章 网上支付的安全 教学目的与要求: 了解电子商务网上支付所面临的安全现状，掌握电子交易安全协议SSL和SET的基本概念和原理 教学重点与难点： 重点：掌握电子交易协议SSL和SET的不同 难点：金融安全认证技术的组成与运作方法 7.1.1 网上支付所面临的安全问题 （1）交易支付信息被篡改。 （2）交易支付信息被截获和窃取。 （3）交易信息假冒。 （4）交易抵赖。 7.1.2 网上支付安全的主要内容 电子商务安全从整体上分为两大部分： 计算机网络安全和商务交易安全。 计算机网络安全的内容主要包括计算机网络设备安全、计算机网络系统安全、数据库安全等。 其特点是针对计算机网络本身可能存在的安全问题问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。 商务交易安全是指在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，实现电子商务交易支付结算的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。 包括交易支付过程中的各种交易安全技术，如SET、SSL、安全认证手段和CA体系等。 7．2 网上支付安全协议 7.2.1 SSL协议 SSL协议（Secure Socket Layer）是由网景（Netscape）公司1994年设计开发推出的一种安全通信协议，主要用于提高应用程序之间的数据的安全系数，它能够对信用卡和个人信息提供较强的保护，也是目前使用最广泛的安全协议。 1) SSL协议提供的基本服务 （1）认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器。 （2）加密数据以隐藏被传送的数据。 （3）维护数据的完整性，确保数据在传输过程中不被改变。 2 ) SSL协议的运行步骤 （1）接通阶段。 （2）密码交换阶段。 （3）会谈密码阶段。 （4）检验阶段。 （5）客户认证阶段。 （6）结束阶段。 3 )SSL协议的应用 SSL协议是国际上最早应用于电子商务的一种网络安全协议，至今仍然有许多网上商店在使用，也经常应用于点对点的网上银行业务。 世界上一些大型公司，如Microsoft、IBM等提供的客户机、服务器以及相关的软件都支持SSL协议，它已经成为一个事实上的工业标准。 SSL协议与电子支付 SSL协议下的电子交易过程 SSL协议交易流程的缺陷 客户的银行资料信息先送到商家，让商家阅读，故客户银行资料的安全性得不到保证。 SSＬ只能保证资料传递过程的安全，而传输过程是否有人截取就无法保障。 7.2.2 SET协议 SET协议(Secure Electronic Transaction),安全电子交易协议，是由世界上两大信用卡公司VISA和Mater Card联合推出的网上信用卡交易的模型和规范。 SET是开放的，SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。 SET中的核心技术主要有密钥加密、电子数字签名、电子信封、电子安全认证等。 1) SET协议的研发与应用 在开放的互联网上处理电子商务，如何保证买卖双方传输数据的安全已经成为电子商务能否顺利实现的最重要的问题之一。 1995年信用卡国际组织、资讯业者及网络安全专业团体等开始组成策略联盟，共同研发用于电子商务的安全交易系统。 1996年，Marster Card和Visa国际信用卡组织与技术合作伙伴GTE、Netscape、IBM、Terisa System、Versign、Microsoft、SAIC等一批跨国公司共同开发了安全电子规范（SET协议）。 2) SET协议运行的目标 （1）保证信息在互联网上安全传输，防止数据被黑客或被内部人员窃取。 （2）保证电子商务参与者信息的相互隔离。 （3）解决多方认证的问题。 （4）保证网上交易的实时性，使所有支付过程都是在线的。 （5）达到全球市场的接受性，在容易使用与对特约商店、持卡人影响最小的前提下，达到全球普遍性。 （6）确定应用的互通性，提供一个开放式的标准，明确定义细节，以确保不同厂商开发的应用程序可共同运作，促成软件互通。 3 ) SET协议涉及的范围 SET最主要的使用对象在消费者与商店，商店与收单银行（付款银行）之间。 一项SET交易涉及的对象有： （1）持卡人。 （2）在线商店。 （3）收单银行。 （4）支付网关。 （5）发卡人，即客户的金融机构。 （6）认证中心（CA）。 4) SET协议的工作原理 根据SET协议的工作流程，可将整个工作程序如下： （1）消息1和消息2是交易初始设置，客户与商家相互交换身份证书，建立一个交易ID号； （2）在消息3的客户购买消息中，包含商品或服务名、客户签名、加密的客