电子商务安全office版.ppt

周飞 @一学就会网;网银被盗/v/b1595808071.html;网银诈骗就在身边;中国互联网最大规模用户资料泄露事件;淘宝商城内乱：小卖家不满提高收费 集体围攻大卖家;本章目标;3.1 电子商务安全概述 ;3.1.1 电子商务安全威胁概述 ;;;;3.1.2 电子商务安全的需求 ;3.1.3 电子商务安全的内容 ;3.2信息加密技术、防火墙及认证技术概述;3.2.1 信息加密技术概述 ;;;;对称加密（私有密钥加密）;;3.2.2 防火墙技术 ;;;;;3.2.3 数字认证技术 ;;;3.3.1 SSL协议 3.3.2 SET协议 3.3.3 SSL协议与SET协议比较;3.3.1 SSL协议 ;;;3.3.2 SET协议 ;; SSL协议;;SSL握手过程 ①客户端向Server端发送客户端SSL版本号、加密算法设置、随机产生的数据和其他服务器需要用于根客户端通信的数据。 ②服务器向客户端发送服务器的SSL版本号、加密算法设置、随机产生的数据和其他客户端需要用于服务器通信的数据。 ③客户端用服务器发送的信息验证服务器身份。 ④用户用握手过程至今产生的所有数据，创建连接所用的Premaster Secret，用服务器的公钥加密（在第②步中传送的服务器证书中得到），传送给服务器。 ⑤如果服务器也请求客户端验证，那么客户端将对另外一份不同于上次用于建立加密连接使用的数据进行签名。 ;;;; SET协议;;SET协议的优点 SET协议对商家提供了保护自己的手段，使商家免受欺诈的困扰，使商家的运营成本?降低。 对买方而言，SET协议保证了商家的合法性，并且用户的信用卡号不会被窃取，SET协议替买方保守了更多的秘密使其在线购物更加轻松。 银行和发卡机构以及各种信用卡组织（如 VISA、Master Card）非常喜爱SET协议，因为SET协议帮助它们将业务扩展到Internet这个广阔的空间中，从而使得信用卡网上支付具有更低的欺骗概率，这使得它比其他支付方式具有更大的竞争力。 SET协议对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。;SET协议的缺陷 协议没有说明收单银行给在线商店付款前，是否必须收到买方的货物接受证书； 协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的买方发出的。 SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在买方、在线商店或收单银行的计算机里。;在完成一个SET协议交易的过程中，复杂,使用麻烦，成本高，且只适用于客户具有电子钱包的场合。 SET的证书格式比较特殊，是由VISA和MasterCard开发并按信用卡支付方式来定义的。银行的支付业务不光是卡支付业务，而SET支付方式和认证结构适应于卡支付，对其他支付方式是有所限制的。 一般认为，SET协议保密性好，具有不可否认性，SETCA是一套严密的认证体系，可保证电子商务交易安全顺利地进行。事实上，安全是相对的，我们提出电子商务中信息的保密性问题，即要保证支付和订单信息的保密性，也就是要求商户只能看到订单信息，支付网关只能解读支付信息。 ; SSL协议与SET比较;3.3.3 SSL协议与SET协议比较;案例实训;本章总结;电子商务安全