2019年电子商务支付与安全概述.ppt

电子商务支付与安全;电子支付安全协议;学习目标 知识目标： ?了解HTTP协议 ? 掌握SSL协议流程 ? 掌握SET协议流程 ? 了解其他电子支付协议 能力目标： ? 掌握SSL协议的具体应用 ? 掌握SET协议的具体应用 ? 知道SSL协议与SET协议的优缺点 素质目标： ? 培养时刻关注互联网上的欺骗行为习惯 ? 培养并逐步具备管理、使用电子支付安全体系的能力 ? 养成严谨、规范的遵守安全协议的工作习惯;第1单元 安全协议概述;;任务分析;相关知识 ;（2）网络服务层存在的安全隐患。 网络层为TCP/IP的Internet层或IP层的开放式的构造，使得IP层很容易成为黑客攻击的目标。 （3）安全协议。 也称作密码协议，是以密码学为基础的消息交换协议，其目的是在网络环境中提供各种安全服务。 主要有：安全超文本传输协议（S—HTTP）、“安全套接层”协议（SSL：Secure Sockets Layer）、安全交易技术协议、安全电子交易协议（SET：Secure Electronic Transaction）等。 ;;;（2）HTTP协议工作原理。 HTTP协议是基于请求/响应范式的（相当于客户机/服务器），一个客户机与服务器建立连接后，发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。 许多HTTP通讯是由一个用户代理初始化的并且包括一个申请在源服务器上资源的请求。最简单的情况可能是在用户代理和服务器之间通过一个单独的连接来完成。在Internet上，HTTP通讯通常发生在TCP/IP连接之上。缺省端口是TCP80，但其它的端口也是可用的。但这并不预示着HTTP协议在Internet或其它网络的其它协议之上才能完成。HTTP只预示着一个可靠的传输。;（3）HTTP协议操作过程. 在WWW中，“客户”与“服务器”是一个相对的概念，只存在于一个特定的连接期间，即在某个连接中的客户在另一个连接中可能作为服务器。基于HTTP协议的客户/服务器模式的信息交换过程，它分四个过程：建立连接、发送请求信息、发送响应信息、关闭连接。 当浏览器中输入了一个开始文件或点击了一个超级链接时，浏览器就向服务器发送了HTTP请求，此请求被送往由IP地址指定的URL。驻留程序接收到请求，在进行必要的操作后回送所要求的文件。在这一过程中，在网络上发送和接收的数据已经被分成一个或多个数据包（packet），每个数据包包括：要传送的数据；控制信息，即告诉网络怎样处理数据包。TCP/IP决定了每个数据包的格式。如果事先不告诉你，你可能不会知道信息被分成用于传输和再重新组合起来的许多小块。 ;实践训练;2．案例分析 安全超文本转移协议（Secure Hypertext Transfer Protocol, S-HTTP）是一种结合HTTP而设计的消息的安全通信协议。S-HTTP协议为HTTP客户机和服务器提供了多种安全机制，这些安全服务选项是适用于Web上各类用户的。还为客户机和服务器提供了对称能力（及时处理请求和恢复，及两者的参数选择）同时维持HTTP的通信模型和实施特征。 S-HTTP不需要客户方的公用密钥证明，但它支持对称密钥的操作模式。这意味着在没有要求用户个人建立公用密钥的情况下，会自发地发生私人交易。它支持端对端安全传输，客户机可能首先启动安全传输（使用报头的信息），用来支持加密技术。 在语法上，S-HTTP报文与HTTP相同，由请求行或状态行组成，后面是信息头和主体。请求报文的格式由请求行、通用信息头、请求头、实体头、信息主体组成。响应报文由响应行、通用信息头、响应头、实体头、信息主体组成。 ;; 3．实务训练 请上网查询HTTP/1.1协议的特点和八种请求方法。 实训说明： （1）本部分实训可在授课后集中或者分散进行实训。 （2）讨论HTTP协议的优缺点。 4．课后拓展 上网查询HTTP协议的详细工作流程，进一步对HTTP协议的有所了解。;第2单元 电子支付系统应用;;任务分析 HTTP协议先天固有的安全缺陷可对web服务器的安全性造成重大的影响。有可能导致服务器被入侵、传输信息被截取、客户端被攻击、服务被拒绝等情况。 为了加强web服务的安全性，最初有Netscape提出了HTTPS协议，用