第5篇 电子商务交易安全.pptVIP

* (1) SET协议提供如下安全保障服务： ● 所有信息在Internet上加密安全传输，保证数据不被他人窃取。 ● 数字签名保证信息的完整性和不可否认性。 ● 订单信息和个人信用卡信息的隔离，商家看不到客户的信用卡信息。 ● 参与交易各方的身份认证，保证各方身份不可假冒。 * 图7-11 SET协议的参与对象 * (3) SET协议的工作程序如下： ① 消费者利用自己的PC通过因特网浏览网上商店，选定所要购买的物品，并在计算机上输入订单。 ② 消费者选择付款方式，确认订单，签发付款指令，此时SET开始介入。 ③ 在SET中，客户端软件自动对订单和付款指令进行数字签名，将信息加密传送给网上商店，同时利用双重签名技术保证商家看不到消费者的账号信息。 ④ 网上商店接受加密订单后，只能对订单解密，信用卡信息则传送到收单银行请求支付认可。信用卡信息通过支付网关到收单银行，再到发卡银行确认。批准交易后，返回确认信息给网上商店。 ⑤ 网上商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。 ⑥ 网上商店发送货物或提供服务，并通知收单银行将款项从消费者的账号转到商店账号，或通知发卡银行请求支付。 * (4) SET协议的不足之处主要体现在如下几个方面： ① 协议没有说明收单银行给商家付款前，是否必须收到客户的货物接受证书。如果在客户没收到货物前，收单银行已把货款付给了商家，一旦客户对货物的质量标准提出疑义，责任由谁承担。 ② 协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的客户发出的。 ③ SET技术规范没有提及在事务处理完成后如何安全地保存或销毁此类数据，是否应当将数据保存在客户、商家或收单银行的计算机里。 ④ 协议复杂，使用成本高，且只适用于客户安装了“电子钱包”的场合。根据统计，在一个典型的SET交易过程中，需验证数字证书9次，验证数字签名6次，传递证书7次，进行5次签名、4次对称加密和4次非对称加密，整个交易过程可能需要花费1.5～2分钟。 * SSL协议 SEL协议 参与方 客户、商家和网上银行 客户、商家、支付网关、认证中心和网上银行 软件费用 已被大部分Web浏览器和Web服务器所内置，因此可直接投入使用，无需额外的附加软件费用 必须在银行网络、商家服务器、客户机上安装相应的软件，而不是象SSL协议可直接使用，因此增加了许多附加软件费用 便捷性 SSL在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付 SET协议在使用中必须使用电子钱包进行付款，因此在使用前，必须先下载电子钱包软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成交易 安全性 只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄漏 安全需求高，因此所有参与交易的成员：客户、商家、支付网关、网上银行都必须先申请数字证书来认识身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密，使其在结购物和支付更加放心 SSL协议与SET比较 * 习 题 1. 概念题 (1) 电子商务的安全性需求可归纳为哪几方面？ (2) 面对各种安全性威胁，我们通常可以采用哪些安全对策？ (3) 什么是防火墙？简述防火墙的安全策略。 (4) 什么是加密技术？对称加密和非对称加密有哪些异同点？ (5) 数字签名有什么作用? 简述数字签名的形成过程? * (6) 什么是数字证书？数字证书包括哪些内容？数字证书有什么作用？ (7) CA认证中心有什么作用？简述它在电子商务交易中的必要性。 (8) 目前常用的电子商务安全交易协议有哪些? 说出SSL协议和SET协议的区别。 (9) 简述SET协议的工作过程。 * 数字签名的概念和原理 报文的发送方从报文文本中生成一个的散列值（或报文摘要）。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。 然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。 * 发送端 接收端 原 信 息 摘要 Hash 函数 加密 数 字 签 名 发送者私钥加密 internet internet