网上支付的安全.pptxVIP

第7章网上支付的安全7．1网上支付安全概述7．2网上支付安全协议7．3金融安全认证7．4中国金融认证中心

了解电子商务网上支付所面临的安全现状，掌握电子交易安全协议SSL和SET的基本概念和原理教学目的与要求:重点：掌握电子交易协议SSL和SET的不同难点：金融安全认证技术的组成与运作方法教学重点与难点：

7.1.1网上支付所面临的安全问题

（1）交易支付信息被篡改。（2）交易支付信息被截获和窃取。（3）交易信息假冒。（4）交易抵赖。

7.1.2网上支付安全的主要内容电子商务安全从整体上分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容主要包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特点是针对计算机网络本身可能存在的安全问题问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。

商务交易安全是指在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，实现电子商务交易支付结算的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。包括交易支付过程中的各种交易安全技术，如SET、SSL、安全认证手段和CA体系等。

7．2网上支付安全协议SSL协议是由网景（Netscape）公司1994年设计开发推出的一种安全通信协议，主要用于提高应用程序之间的数据的安全系数，它能够对信用卡和个人信息提供较强的保护，也是目前使用最广泛的安全协议。01SSL协议保障了在Internet上数据传输的安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。017.2.1SSL协议（SecureSocketLayer）

SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议（SSLRecordProtocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSLHandshakeProtocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议提供的基本服务认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器。加密数据以隐藏被传送的数据。维护数据的完整性，确保数据在传输过程中不被改变。

单击此处添加大标题内容SSL协议的工作流程：服务器认证阶段：客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；服务器根据客户的信息确定是否需要生成新的主密钥，如需要则在响应客户的“Hello”信息时将包含生成主密钥所需的信息；客户根据收到的响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。

用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。概括为以下阶段：接通阶段。（2）密码交换阶段。会谈密码阶段。（4）检验阶段。客户认证阶段。（6）结束阶段。12

存在的问题（1）：从SSL协议提供的服务及工作流程看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。01虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。02

)SSL协议的应用SSL协议是国际上最早应用于电子商务的一种网络安全协议，至今仍然有许多网上商店在使用，也经常应用于点对点的网上银行业务。世界上一些大型公司，如Microsoft、IBM等提供的客户机、服务器以及相关的软件都支持SSL协议，它已经成为一个事实上的工业标准。

SSL协议与电子支付SSL协议下的电子交易过程客户购买信息发往商家；商家在将信息转发银行；银行验证客户信息合法性；银行通知商家付款成功；商家通知客户购买成功。客户单击此处添加正文，文字是您思想的提炼，为了演示发布的良好效果，请言简意赅地阐述您的观点。您的内容已经简明扼要，字字珠玑，但信息却千丝万缕