电子商务概论课件第5章电子商务网络安全.ppt

* 当个人数字证书申请后，认证中心对申请者的电子邮件地址、个人身份及信用卡号等信息进行核实，通常需要3-5天，核实后即可颁发数字证书。 数字证书的颁发时由认证中心发回给用户一个确认邮件，在邮件中通知用户有关证书中的信息，同时将该证书安装在用户所用的WWW浏览器或电子邮件系统中。 * 个人使用获得的数字证书，也就是说在他所用的WWW浏览器上安装了数字证书后，当他要发送一个邮件的时候，在WWW浏览器中就可设置以下三种状态： ① 普通发送，不使用数字证书； ② 签发文件，在发送信息的同时，系统会自动将信息和发送者的数字签名一起发送给对方，但用此方法发送的信息本身并未被加密； ③ 加密文件，除了拥有上面签发文件功能外，在发送时还会自动用接收者的公共密钥加密信息，并会注明此信息是加密的。 * 第五节 电子商务交易过程 一、安全套接层SLL协议 二、安全电子交易SET协议 * 一、安全套接层SLL协议 SSL 安全协议最初是由Netscape Communication公司设计开发的，又叫安全套接层（Secure Sockets Layer，SSL）协议，主要用于提高应用数据的安全。SSL 协议的概念可以被认为：一个保证任何安装了安全套接层的客户和服务器间事务安全的协议，它涉及所有的TCP/IP应用程序。 * 一、安全套接层SLL协议 SSL 安全协议主要提供三方面的服务： ① 认证用户和服务器，使得数据将被发送到正确的客户机和服务器上； ② 加密数据以隐藏被传送的数据； ③ 维护数据的完整性，确保数据在传输过程中不能被改变。 * SSL 安全协议的运行步骤包括六步： ① 接通：客户通过网络向服务商连接，服务商回应； ② 密码交换：客户与服务商之间交换双方认可的密码，一般选用RSA密码算法； ③ 会谈密码：客户与服务商间产生彼此交谈的会谈密码； ④ 验证：检验服务商取得的密码； ⑤ 客户认证：验证客户的可信度； ⑥ 结束：客户与服务商之间相互交换结束的信息。 * 当上述动作结束后，两者间的资料传送就会被加密，等到另外一端接收到资料后，再将资料还原。即使盗窃者在网络上取得的加密资料，如果没有密钥和算法，就不能获得可读的原文资料。 SSL安全协议是国际上最早应用于电子商务的一种网络安全协议，它运行的基本点是商家对客户信息保密的承诺，如全球最大的网上书店—亚马逊（Amazon），它在给用户的购买说明中明确表示：“当你在亚马逊公司购书时，受到‘亚马逊公司安全购买保证’保护，所以，你永远不用为你的信用卡安全担心”。 * 一、安全套接层SLL协议 SSL安全协议利于了商家却不利于客户，客户的信息首先被传到商家，商家阅读后再传到银行，这样，客户资料的安全性就受到了威胁。商家认证客户是必要的，但整个过程中缺少了客户对商家的认证。由于在电子商务的开始阶段，参与电子商务的公司大都是一些大公司，信誉度较高，这个问题没有引起人们足够的重视。随着电子商务参与的厂商迅速增加，对厂商的认证问题越来越突出，SSL 协议的缺点完全暴露出来，所以 SSL 协议正在逐渐的被SET协议取代。 * 二、安全电子交易SET协议 为了克服SSL安全协议的缺点，两大信用卡组织Visa和MasterCard，联合开发了安全电子交易协议（Secure Electronic Transaction，SET）。这是一个为了在Internet上进行在线交易而设立的一个开放的以电子货币为基础的电子付款系统。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。由于设计合理，SET协议得到了IBM、HP、Microsoft、Netscape、GTE等许多大公司的支持，已成为工业标准。目前，它已经获得了IETF标准的认可。 * SET是一种以信用卡为基础的、在Internet上交易的付款协议，是授权业务信息传输的安全标准，它采用RSA密码算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用Hash算法来鉴别信息有无被篡改。 * 1．SET安全协议运行的目标 ① 保证信息在I