电子商务安全交易.ppt

SSL 协议 是建立两台计算机之间的安全连接通道的属会话层的协议。 在该通道上可透明加载任何高层应用协议（如FTP、TELNET等）以保证应用层数据传输的安全性。 认证用户和服务器，它们能够确信数据将被发送到正确的客户机和服务器上。 加密数据以隐藏被传送的数据。 维护数据的完整性，确保数据在传输过程中不被改变。 要求服务器端安装数字证书，客户端可选。 在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系； SSL协议有利于商家而不利于客户，适合B2B； SET协议 SET协议保证了电子交易的机密性、数据完整性、身份的合法性和防抵赖性。 用到了对称密钥系统、公钥系统、数字签名、数字信封、双重签名、身份认证等技术； 消费者、在线商店、支付网关都通过CA来验证通信主体的身份。 对购物信息和支付信息采用双重签名，保证商户看不到信用卡信息，银行看不到购物信息； 速度偏慢，但是进行电子商务的最佳协议标准，主要适用于B2C模式； ，例如，人类历史上最古老的“恺撒密码”算法，是在古罗马时代使用的密码方式。由于无论是何种语言的文字，都可以通过编码与二进制数字串对应，所以经过加密的文字仍然可变换成二进制数字串，不影响数据通信的实现。现以英语为例，用一个简单的实例说明使用恺撒密码方式的通用密钥密码体制的原理。 以英语为例，恺撒密码的原理是，对于明文的各个字母，根据它在26个英文字母表中的排列位置，按某个固定间隔n变换字母，即得到对应的密文。这个固定间隔的数字n就是加密密钥，也是解密密钥。 恺撒密码方式的密钥只有26种，只要知道了算法，最多将密钥变换26次做试验，即可破解密码。因此，恺撒密码的安全性依赖于算法的保密性，是最原始的密码技术，但是，其原理为现代高级密码技术奠定了基础。其后出现的一些算法与恺撒密码大同小异，直到17世纪，近代数学的发展成就应用于密码学，才使密码技术有了突破性进步，例如出现了多表式密码、转置式密码等等。下面用一个简单的实例说明多表式密码的算法。 SSL是一種安全技術標準，因為它並不強制對使用者這一端 做身份的認證，所以很容易的就發展成普遍使用的一種機制 ，在web的使用上通常用來作為對Server的認證以及對線 上資料傳輸的加密，在電子商務起步階段，大部分的店家都 是用這種方法來做所謂安全防護。 SSL的作法很容易，只要店家和銀行談好交換資料的格式以 及做法，申請SSL認證（其實有些Sever甚至可以自已簽認 證）就可以搞定一套線上收單作業機制了，好處總括言之就 是Easy To Implement。 SSL的缺點可以分成兩方面來看，對店家而言，你無法知道 報卡號給你買東西的人是不是就是真正的持卡人，所以有 Fraud的風險，而收單銀行是不負責這種風險的，所以店家 必須自己去發展一套風險管理的方法， 比如說設計較為嚴 謹的會員管理方法，配合物流掌握風險的控制等等。 對消費者而言SSL的缺點主要有兩種。其一，你逛的商店到 底是不是黑店無從知曉，雖然網路商店的伺服器有認證，但 是就如前述，認證甚至是Sever自己就可以做的，消費者若 沒有概念看清楚發證CA的可信度或有效性，就有風險產生 ，筆者還記得三年前有一家台灣線上購物商店開幕，用SSL 收卡號，我一看她的認證雖然是Verisign的，但卻是簽給 為這家網路商店寫系統的資訊廠商的，這種冒用認證的做法 其實對消費者也會有風險的。另一項風險更為顯著，當消費 者把卡號送到店家後，店家可以看得到卡號，持卡人名字與 信用卡有效日期，而這些資料儲存在店家的系統裡如被不肖 員工拿來亂用那就大條了。 SET不是安全技術，而是運用安全技術（X.509V3）的線上 刷卡作業標準，她規範了消費者，商店，付款閘道，收單銀 行，發卡銀行的資料傳送與身分識別以及電子簽名等等機制 ，用來讓信用卡資料與訂單在嚴密的安全設計下自動的傳輸 與交換，這是兩大發卡組織共同規範的標準，安全性與可賴 性都大大提高。 SET的缺點也很多，最大的問題是麻煩，消費者要安裝電子 錢包，要向發卡行申請認證，要線上下載認證，要記得錢包 密碼，這對大部分的消費者來說是一個障礙，技術上對商店 而言倒不是太大的問題，只不過大家要想辦法教育使用者多 用電子錢包，在初期會是一個比較辛苦的做法。 另一個問題是電子錢包與商店系統之間的相容性問題，這個 將來會是一個越來越大的挑戰，雖然setco負責做 Interoperable的測試，可是這種問題很難完全解決。 目前的set錢包還不是很Portable，也就是說消費者在家 裡弄好SET之後，到辦公室或學校甚至在網路咖