电子商务第九章电子商务安全管理.pptVIP

* 3.应用SET的购物流程 ①客户通过网络浏览器浏览在线商家的商品目录。 ②选择要购买的商品； ③填写订单，包括欲购商品名称、规格、数量、交货时间及地点等信息。订单通过因特网发送给商家，商家进行应答，并告知以上订单货物单价、应付款数额和交货方式； ④消费者选择付款方式，此时SET开始介入； * ⑤消费者发送给商家一个完整的订单及其要求付款的指令。在SET中，订单和付款指令由消费者进行数字签名；同时利用双重身份签名技术，保证商家看不到消费者的账号信息。 ⑥在线商家接受订单后，向客户开户银行请求支付，此信息通过支付网关送达收单银行，并进一步提交发卡银行确认。确认批准后，发卡银行返回确认信息，经收单银行通过支付网关发给在线商家； ⑦在线商家发送订单确认信息给客户，客户端记录交易日志，以备日后查考； ⑧在线商家发送商品或提供服务，并通知收单银行将货款从客户账号转移到商家账号，或通知发卡银行请求支付。 双重数字签名的实现步骤 * 协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。否则的话，在线商店提供的货物不符合质量标准，消费者提出疑义，责任由谁承担。 协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。 SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里. SET协议过于复杂，使用麻烦，成本高，且只适用于客户具有电子钱包的场合。 4.SET安全协议的局限性P271 * 4.SET安全协议的局限性 SET的证书格式比较特殊，虽然也遵循X.509标准，但它主要是由Visa和Master Card开发并按信用卡支付方式来定义的。银行的支付业务不光是卡支付业务，而SET支付方式和认证结构适应于卡支付，对其他支付方式是有所限制的。 安全是相对的，我们提出电子商务中信息的保密性，要保证支付和定单信息的保密性，即要求商户只能看到定单信息（OI），支付网关只能解读支付信息（PI）。但在SET协议中，虽然账号不会明文传递，它通常用1024位RSA不对称密钥加密，商户电子证书确实指明了是否允许商户从支付网关的响应消息中看到持卡人的账号，可是事实上大多数商户都收到了持卡人的账号。 * SET与SSL协议购物过程的对比表 交易模式 SET SSL 优点 身份确认、交易安全、资料完整、交易不可否认 消费者使用方便 缺点 需要向银行取得信用卡和在线取得数字证书的时间和动作 风险负担较大、黑客容易侵入、信用卡易被冒刷和外漏 安全性 高 低 风险责任归属 SET相关银行组织 商家及消费者 * 通过上面的表格对比SSL与SET，我们可以得出以下五个结论： 　　1．认证机制：SET的安全要求较高，因此所有参与SET交易的成员（持卡人、商家、支付网关等）都必须先申请数字证书来识别身份，而在SSL中只有商店端的服务器需要认证，客户端认证则是有选择性的。 　　2．设置成本：持卡者希望申请SET交易，除了必须先申请数字证书之外，也必须在计算机上安装符合SET规格的电子钱包软件，而SSL交易则不需要另外安装软件。 　　3．安全性：一般公认SET的安全性较SSL高，主要是因为整个交易过程中，包括持卡人到商店端、商店到付款转接站再到银行网络，都受到严密的保护，而SSL的安全范围只限于持卡人到商店端的信息交换。 　　4．基于Web的应用：SET是为信用卡交易提供安全的，它更通用一些。然而，如果电子商务应用只通过Web或是电子邮件，则可能并不需要SET。　　 * 通过以上分析，我们可以看出，SET从技术上和流程上都相对优于SSL，但这是否就意味着未来SET就会超过SSL的应用，最后完全取代SSL呢？问题的结论是：不一定。 因为虽然SET通过制定标准和采用各种技术手段，解决了一直困扰电子商务发展的安全问题，其中包括购物与支付信息的保密性、交易支付完整性、身份认证和不可抵赖性，在电子交易环节上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。 但是由于SET成本太高，互操作性差，且实现过程复杂，所以还有待完善。而SSL的自主开发性强，我国已有很多单位均已自主开发了128位对称加密算法，并通过了检测，这大大提高了它的破译难度；并且SSL协议已发展到能进行表单签名，在一定程度上弥补了无数字签名的不足。 * 一个折中方案： 结合我国的具体情况来看，我们可以预见，安全认证在我国的发展趋势将可能为以下两种： 一、SET与SSL共存，优势互补。如美国较多采用的是“面向商家的SET协议”，即在银行与商家之间采用SSL协议，但这对银行的要求就更高了； 二、随着SET与SSL的融合程度上升，有可能出现一种新的安全认证体系，类似于目前的公钥基