第7章电子商务安全协议.pptxVIP

第七章 电子商务安全协议 第七章 安全电子交易协议SET 7.1 电子商务安全协议概述 7.2 安全电子交易协议 7.3 安全套接层协议 7.4 安全超文本传输协议7.5 EDI协议7.1 电子商务安全协议概述电子商务安全协议是保证网上交易的机密性、信息完整性、身份合法性和不可否认性的基础完成信息安全交换共同约定的逻辑操作规则。 包括：安全电子交易协议SET、安全套阶层协议SSL、安全超文本传输协议S-HTTP、电子数据交换EDI和IP安全协议IPsec7.2 安全电子交易协议安全电子交易协议SET(Secure Electronic Transaction)是由Visa和Master Card所开发的，是为了在Internet上进行在线交易时，保证信用卡支付的安全而设计开发的一个开放的规范。由于得到了IBM、HP、Microsoft、NetScape、GTE、Verisign等很多大公司的支持，它已成了事实上的工业标准，目前它已获得IEEE标准的认可。SET提供了消费者、商家和银行之间的认证，确保了网上交易数据的保密性、数据的完整性及交易的不可抵赖性。特别是能保证不将消费者银行卡号暴露给商家，不将消费者的购物内容暴露给银行等优点，SET在一些国家中得到很好的应用。SET采用公钥密码体制，遵循X.509数字证书标准。 7.2 安全电子交易协议SET协议使用加密技术提供信息的机密性，保证支付的完整性，验证商家和持卡者。SET是一种网络银行卡付款机制。是基于可信第三方认证中心的方案。支付安全的目标是：保证信息机交易过程安全。支持应用的互操作性。实现可推广性。7.2 安全电子交易协议在SET协议中主要定义了以下内容。(1)加密算法的应用(如RSA和DES)。(2)证书消息和对象格式。(3)购买消息和对象格式。(4)请款消息和对象格式。(5)参与者之间的消息协议。 7.2 安全电子交易协议7.2 安全电子交易协议7.2.2 SET交易的参与者电子交易处理开始于持卡者。(1)持卡者(Cardholder)。在电子商务环境中，消费者和团体购买者通过计算机与商家进行交互，持卡者使用一个发卡行发行的支付卡。(2)发卡行(Issuer)。一个发卡行是一个金融机构，为持卡者建立一个账户并发行支付卡，一个发卡行保证对经过授权的交易进行付款。(3)商家(Merchant)。商家提供商品和服务，在SET中，商家与持卡者可以进行安全电子交易，一个商家必须与相关的收单行达成协议，保证可以接收支付卡付款。 7.2 安全电子交易协议(4)收单行(Acquirer)。一个收单行是一个金融机构，为商家建立一个账户并处理支付卡授权和支付。(5)支付网关(Payment Gateway)。一个支付网关是一个由收单行操作的设备，或者是指定的第三方，用于处理支付卡授权和支付。(6)认证中心(CA)。负责发放和管理数字证书的权威机构。采用多层分级结构，负责发放和撤销持卡人、商家和支付网关的证书。(7)第三方(Third Parties)。发卡行和收单行有时指定第三方来处理支付卡交易，在SET协议中没有区分金融机构和交易处理者，认为是一家。 7.2 安全电子交易协议7.2 安全电子交易协议7.2.3 SET协议的相关技术在SET中所涉及到的技术主要有加密技术和身份认证技术，其中加密技术是核心，包括：（1）对称加密技术（2）非对称加密技术（7）消息摘要技术（4）数字签名（5）数字信封（6）双重数字签名（7）数字证书7.2 安全电子交易协议7.2 安全电子交易协议对于一些信息的流动必须要做到端对端加密。但有些信息端对端加密还不够，如银行卡中与资金有关的数据，持卡人就不想让商户看到；而购物有关的数据，商户又不想让收单银行看到，但端对端加密办法就做不到这一点。一个完整的购买交易所需的信息包括：交易开始(PInit Req/PInit Res)购买指令(PReq／PRes)授权请求(AuthReq／AuthRes)支付指令(Cap Req／CapRes)持卡人查询(InqReq／lnq Res)7.2 安全电子交易协议（收单银行）持卡人商户支付网关PInit ReqPInit ResPReqPReq之后时间可选PResAuth ReqIng ReqAuth ResIng ResCap ReqCap ResSET交易步骤7.2 安全电子交易协议OI DataTrans IDBrand IDDateChall_CChall_MODsalt(nonce)OIOI DataDual SigH(OI Data)HashSign{H2}SigcH2PI Data….…H(PI Data)订货信息结构B:订货信息双重数字签名OIMDBPVADSMDBCC:支付信息RSAPIMDCC(PI)B(OI