《电子商务基础》教学课件—06电子商务的安全技术.pptVIP

* * * * * * * * * * （二）电子商务的CA认证体系 SET CA 颁发的数字证书主要有持卡人证书、商户证书和 支付网关证书。在证书中，利用X.500识别名来确定 SET交易中所涉及的各参与方。 PKI CA PKI（Public Key Infrastructure，公钥基础设施）是提供 公钥加密和数字签字服务的安全基础平台，目的是管 理密钥和证书。 用户自己认定的CA 三、安全交易的过程 第五节 安全技术协议 一、 安全套接层协议（Secure Socket Layer ） （一）SSL协议简介 SSL协议基于TCP/IP ，SSL连接可以看成在TCP/IP 连接的基础上建立一个安全通道，在这一通道中，所有 点对点的信息都将加密，从而确保信息在Internet上传输 时，不会被第三方窃取。 SSL协议可以分为两个子协议： SSL握手协议（Handshake protocol） SSL纪录协议（Record protocol）。 （二）SSL的工作过程 1.浏览器请示与服务器建立安全会话； 2.浏览器与Web服务器交换密钥证书以便双方相互确认； 3.Web服务器与测览器协商密钥位数（40位或128位）；客户机提供自 己支持的所有算法清单，服务器选择它认为最有效的算法； 4.浏览器将产生的会话密钥用Web服务器的公钥加密传给Web服务器。 5.Web服务器用自己的私钥解密。 6.Web服务器和浏览器用会话密钥加密和解密，实现加密传输。 （三）SSL提供的三种基本的安全服务 SSL提供三种基本的安全服务，它们都是使用公开密钥技术。 信息保密 信息完整 相互认证 二、安全电子交易协议（SET） SET中主要包括如下几方： 信用卡持卡人 商家 支付网关 信用卡结算中心 认证中心 （一）SET协议的工作原理 1、消费者使用浏览器在商家的Web主页上查看在线商品目录测览商品； 2、消费者选择要购买的商品； 3、消费者填写订单 。 4、消费者选择付款方式。此时SET开始介入。 5、消费者发送给商家一个完整的订单及要求付款的指令。在SET中，订单和付款指令由消费者进行数字签名。同时，利用双重签名技术保证商家看不到消费者的账号信息。 6、商家接受订单后，向消费者的金融机构请求支付认可。通过 GateWay 7、到银行，再到发卡机构确认，批准交易。然后返回确认信息给商家。 8、商家发送订单确认信息给顾客。 9、商家给顾客装运货物或完成订购的服务。 10、商家从消费者的金融机构请求支付。 （二）SET协议的核心技术 采用DES算法的对称密钥技术 采用RSA算法的非对称密钥技术 采用电子数字签名 采用电子信封 （三）SET协议的安全动态认证 1、 网络安全动态认证注册 首先在网络中由一些非盈利性的机构或者一些比较权威的组织在网上成立一个网络动态认证中心。 所有希望参加电子商务并希望完成支付环节的公司，无论是企业、个人或银行，只要想加入网络安全支付交易，都必须向网络动态认证中心进行网络注册。注册时必须把参加者的金融信息、保密信息、以及账户等内容如实填报。 注册完以后，网络会自动地把个人私钥、加密算法、解密算法等内容通过网络发到用户的计算机上。 2、 网络安全动态认证应用 相关网站 .VeriSign认证中心主页：点击浏览 中国金融认证中心: 点击浏览 思考题 1.电子商务有哪些安全控制要求？ 2.试述防火墙在网络安全中所起的作用. 3.什么是数字凭证？它有什么用处？ 4.SET协议中包含了哪些参与方？他们是如何协同工作的？ 5.SET协议中应用了哪些加密技术, 它们是如何工作的? 6.试比较SSL协议与SET协议的工作原理. 7.试说明一个完整的安全电子交易过程. 8.请说明安全动态认证的工作过程. * * * * * * * * * * * * * * * * * * * * * 东北财经大学——电子商务学院 EC.DUFE.EDU.CN 第六章 电子商务的安全问题 第一节 电子商务的安全控制要求概述 一、网络安全问题 黑客攻击 计算机病毒 拒绝服务 二、电子商务的安全性问题 在网络的传输过程中信息被截获 传输的文件可能被篡改 伪造电子邮件 假冒他人身份 不承认或抵赖已经做过的交易 三、电子商务对安全控制的要求 内部网的严密性 完整性 保密性 不