电子商务Cha3 Security 2.ppt

案例 网上招标系统 * 此协议是基于商家对客户信息保密的承诺，客户信用卡信息可能受到威胁，无法保证客户资金的安全性。故中国银行、上海长途电信网的电子支付系统均没有采用此协议。 随着支付宝业务的发展，其安全性变得越来越重要。目前支付宝采用单向SSL（SSL：Secure Socket Layer，安全套接字协议）认证方式解决了支付宝网站真实性和防止网络窃取等安全需求，没有真正解决对支付宝用户的身份认证，非法用户仍然可以通过各种途径，盗取或猜测用户的登录Email地址和登录密码，假冒合法用户身份，登录支付宝进行消费。 为了解决支付宝面临的安全隐患，支付宝公司决定采用成熟的客户端和服务器端双向SSL认证方式，启动“支付宝系统安全证书项目”，即在目前支付宝单向SSL认证的基础上，增加客户端采用数字证书认证的方式。 * 由于设计合理，得到IBM、HP、Microsoft、Netscape、VeriSign等公司的大力支持，已成为事实上的工业标准。 （4）要求软件遵循相同的协议与报文格式，具有通用性。可以运行在不同的硬件和操作系统平台上，与不同厂家开发的软件具有兼容性和互操作功能。 完成一个 Ｓ Ｅ Ｔ 交易过程中，需验证电子证书 ９ 次、数字签名 ６ 次、传递证书 ７ 次、进 行 ５ 次签名、４ 次对称加密和 ４ 次非对称加密。使用麻烦，成本高。 * 电子邮件： 主题： 文档名： 例如中国数字认证网()、MYCA数字认证中心（/myca/） 技术篇 3、识别SSL联机 SSL协议为使用者提供了许多安全功能，而且不需要使用者的介入就可以完成。如何识别服务器是否 SSL联机？ （1）地址栏：“https://” 如：（/） （2）浏览器状态栏会出现金锁标志 （一）安全套接层协议 （ SSL，Secure Sockets Layer） 技术篇 SSL联机标识 SSL联机标识 技术篇 点击金锁可查看证书 技术篇 4、 SSL协议缺点 能对通信一方或双方的身份认证 数据加密传输，保证数据机密性 保证报文的完整性 但： （一）安全套接层协议 （ SSL，Secure Sockets Layer） 缺点： 不能对所有商务活动主体进行认证。不对客户端信息进行数字签名，不能提供交易的不可否认性 客户信用卡信息可能受到威胁，无法保证客户资金的安全性 客户 商家 银行 账户、密码 账户、密码 技术篇 1、SET协议产生原因 为了克服SSL协议的缺点，两大信用卡组织Visa和Mastercard于1996年2月1日发表了SET协议。 功能：加强网上付款的安全性 （1）确认商店及持卡人身份真实性； （2）确保每个节点传输数据的安全性； （3）确保订单与个人帐户信息隔离（双数字签名）； （4）要求软件遵循相同的协议与报文格式，具有通用性。 （二）安全电子交易协议 （ SET，Secure Electronic Transaction ） 技术篇 2、参与SET交易的成员 持卡人：持卡消费者 商店：在网络上架设符合SET协议的电子商店 银行：商家与客户的开户银行，处理信用卡的授权于支付 支付网关：接受商店送来的付款信息，并将格式转换到银行网络可以处理的设备。 认证中心：可信赖、公正的组织 （二）安全电子交易协议 （ SET，Secure Electronic Transaction ） 技术篇 3、SET软件的组件 SET的运作是通过数个软件组合来完成的。包括： 电子钱包（E-Wallet）：安装在客户端计算机上。 商店服务器（Merchant Server, 或称Point of Sale, POS） 支付网关：是银行金融系统和Internet之间的接口，支付网关是SET信息与现有银行网络的转接处，将接受到的信用卡数据转换成银行网络个时候传送给收单银行。 认证中心软件： 相互运作来完成整个SET交易服务。 （二）安全电子交易协议 （ SET，Secure Electronic Transaction ） 技术篇 4、SET与SSL机制的比较 SET SSL 认证机制 参与交易的所有成员 商家必须认证， 客户有选择性 设置成本 参与主体需要安装相应软件，如客户端电子钱包软件 无 安全性 所有数据传输受到严密保护 限于持卡人到商店端信息交换 目前普及率 较低（导入时间短且成本高） 较高 技术篇 考考你 关于SSL和 SET协议，以下哪种说法是正确的？ A）SSL和 SET都能隔离订单信息和个人账户信息 B）SSL和 SET都不能隔离订单信息和个人账户信息 C）SSL能隔离订单信息和个人账户信息，SET不能 D）SET能隔离订单信息和个人账户信息，SSL不能