7安全交易协议与支付.pptVIP

一个简单的购买过程 顾客向商贩询问桔子的情况； 商贩给顾客桔子； 顾客把钱给商贩； 商贩给顾客找零钱。 　　协议是一系列预先规定的步骤，由两个或更多的人来完成，是为了完成一项任务而设计的。 A把所有权凭证和钥匙给B； B给A开了一张价值为购车款的支票； A把支票存入银行。 A把所有权凭证及钥匙交给一名律师； B把支票交给这位律师； 律师把支票存入银行； 在一段时间，支票过户，而且B为汽车注册之后，律师把所有权凭证和钥匙交给B。 如果这张支票在规定的时间内未过户，律师把所有权凭证返还给A。 如果B未能得到该车明确的所有权凭证，B就可以把它作为证据交给律师，要回他的钱。 HTTP安全考虑 HTTP协议允许远程用户对远程服务器请求通信及远程执行命令，这会危及Web服务器和客户。 HTTP的服务器日志。Web服务器会记录下用户的大量请求及数据信息。HTTP可能对这些信息的检索不加任何限制，从而泄露用户信息。 S-HTTP安全超文本传输协议 保护Internet上所传输敏感信息的安全协议。 目标是保证商业交易的传输安全。S—HTTP使Web客户和服务器均处于安全保护之下，其信息交换也是安全的。 利用S—HTTP，安全服务器以加密和签名信息回答请求；同样，安全客户验证签名、身份。 验证是通过服务器的私钥实现的，该私钥用来产生服务器的数字签名，当信息发送给客户时，服务器将其公钥证书和签名信息一起发往客户，客户便可以验证发送者身份。 服务器也可以用同样的过程来验证发自客户的数字签名。 安全超文本传输协议 数据加密可以用私钥、公钥或对称密钥加密。如果数据是用公钥加密，则无需客户公钥，信息即可被交换及解密。因为服务器将其私钥保存在密钥数据库文件中，且由Webmaster的口令加密。 加密和签名通过CGI程序控制，这是本地安全配置文件，CGI程序对S—HTTP信息头进行处理，以决定服务器是否签名、加密。 安全套接层SSL 安全套接层SSL是Netscape公司设计和开发的。后IETF建立一个TLS工作小组，作为Internet Standard。TLS的第一个版本可以看作是SSLv3.1。 其目的在于提高应用层协议(如HTTP、Telnet、NNTP和FTP等)的安全性，增强通信应用程序之间的保密性和可靠性。 SSL协议的功能包括： 数据加密 服务器验证 信息完整性 可选的客户TCP／IP连接验证。 SSL体系结构 SSL被设计用来使用TCP提供一个可靠的端到端安全服务。 SSL Record Protocol为更高层提供基本安全服务。 SSL Handshake Protocol, SSL Change Cipher Spec Protocol, SSL Alert Protocol是SSL的高层协议，用于管理SSL交换。 SSL Record Protocol SSL Record Protocol为SSL连接提供两种服务 保密性。Handshake Protocol定义一个共享的保密密钥用于对SSL有效负载加密。 完整性。Handshake Protocol定义一个共享的保密密钥用于形成MAC。 SSL 的局限 SSL只保障资料在Internet上的安全，一旦资料到达到方之后，就以明文存在。例如，以SSL传送信用卡卡号，server端可以知道該信用卡卡号； SSL並不能防止送讯息的一方否认(denial)曾经送过某一个讯息。 S-HTTP与SSL SSL不同于S－HTTP之处在于后者是只限于Web的使用；而前者则是通过Socket发送信息，SSL是一个通过Socket层对客户和服务器之间的事务处理进行安全处理的协议，适用于所有TCP／IP应用。 SET－安全协议 　 由世界上两大信用卡商Visa和Master Card于1997年5月联合制定的实现网上信用卡交易的模型和规范。 　SET规范是一种为基于信用卡而进行的电子交易提供安全措施的规则，是一种能广泛应用于Internet上的安全电子付款协议。 　SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份以及可操作性。 　SET规范是目前电子商务中最重要的协议。SET得到了美国IT企业的支持。 　　相关资料请查阅： 　　HTTP：///download/ SET 的体系结构 SET协议中的角色　 消费者：购买者通过计算机与商家交流，通过由发卡机构颁发的付款卡进行结算。在与商家的会话中，SET可保证消费者的个人账号信息不被泄露。 发卡机构：一个金融机构，为每一个建立了账户的顾客颁发付款卡。 商家：提供商品或服务，使用SET可以保证消费者信息的安全。接受卡支付的商家必须和银行有关系。 银行：在线交易的商家