电子商务交易安全.pptVIP

* 数字签名方法 * 消息摘要技术 “数字摘要”技术（Digital Digest），也称作安全HASH编码法 采用单向HASH函数将需要加密的明文“摘要”成一串密文 保证：信息的完整性 * 信息摘要过程 * 数字时间戳（Digital Time-Stamp） 交易文件中，文件签署日期和签名一样是防止被伪造和篡改的关键性内容 数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供 * 时间戳是一个经过加密后形成的凭证文档，包括：需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名 时间戳产生过程： 用户将需加时间戳的文件用HASH编码加密形成摘要，并将其发送到DTS；DTS在加入了收到日期和时间信息后再对该文件加密和数字签名，然后返回用户 * 数字时间戳 图3-29 获得数字时间戳的过程 * 数据的完整性（ integrity ） 数据的完整性是用来认证消息、检验数据是否被篡改的技术，是另一类型的数字签名 实现技术：双钥加密算法和消息摘要算法 应用：消息不需加密但要鉴别，如银行发出的支票 Alice与Bob通话，Bob希望验证消息的完整性： —Alice就要使用SHA来计算消息（密文）的消息摘要 ，并使用自己的私有密钥对这个消息摘要进行加密（即该消息的签名） —Alice将消息发给Bob —Bob接到消息后，首先用Alice的公开密钥解密，然后计算消息的消息摘要，再比较两者是否相同 —若相同，Bob就能确信接受到的消息是完整的 * 不可否认性（ non-repudiation ） 分类： —发方的不可否认性 —收方的不可否认性 —传递方的不可否认性 技术： —数字签名：发方、收方和传递方均可用 —可信赖第三方：公钥证书、时戳、证据保存、 中介递送、解决纠纷、仲裁 —智能处理：把传递方当作服务器，实行接收方先签名再阅读信件 * 电子商务安全概述 电子商务安全关键技术 电子商务安全解决方案 * 安全协议 安全套接层服务 （SSL：Secure Sockets Layer） 安全电子交易协议 （SET：Secure Electronic Transaction） * 包括SSL记录协议与SSL握手协议 SSL记录协议基本特点： 连接是专用的 连接是可靠的 SSL握手协议基本特点： 能对通信双方的身份认证 进行协商的双方的秘密是安全的 协商是可靠的 * SSL安全协议主要提供三方面的服务： （1）认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。 （2）加密数据以隐藏被传送的数据。（3）维护数据的完整性，确保数据在传输过程中不被改变。 * 安全电子交易协议 （SET：Secure Electronic Transaction） SET是在统一了SEPP（Secure Electronic Payment Protocol）和STT（Secure Transation Technology）后，由IBM、Mastercard、Visa、Microsoft、Netscape、GET、VeriSign、SAIC、Terisa等于1996年6月共同发布的，它涵盖了信用卡在电子商务交易中的交易协议、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球国际网络的标准，它的交易形态将成为末来电子商务的规范。 * SET安全技术协议（安全电子交易协议） SET安全技术协议的作用 信息能在网上安全传输 个人帐号信息与订单信息的隔离 对交易者的身份进行确认和担保 统一协议和报文的格式 * SET安全技术协议的特点 对商家提供了保护自己的手段，使商家免受欺诈 对消费者而言，SET保证了商家的合法性，并且用户的信用卡号不会被窃取 SET帮助银行及信用卡机构将业务扩展到INTERNET上，全信用卡网上支付具有更低的欺骗概率，比其他支付方式具有更大竞争力 SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑 * SET具体工作流程说明如下： 认证中心 认证 认证 认证 订单及信用卡号 消费者 商 家 确认 确认 审核 支付网关 收单银行 发卡银行 审核 批准 请求 确认 图5-17 SET协议的工作原理 * SSL与SET的比较 比较内容 SSL协议 SET协议 工作层次 传输层与应用层之间 应用层 是否透明 透明 不透明 过程 简单 复杂 效率 高 底 安全性 商家掌握消费者PI（支付信息） 消费者PI对商家保密 认证机制 双方认证 多方认证 是否专为EC设计