电子商务安全与支付课件5章电子支付安全协议

第五章 电子支付安全协议
第三节SSL协议与SET协议的比较
第五章 电子支付安全协议
一．SSL协议与SET协议
随着互联网的不断普及，基于互联网的电子商务得到了长足的发展，并且逐渐成为人们进
行商务活动的一种新模式。它不但为全球客户提供了丰富的商务信息而且还提供便捷的交易过程
和廉价的交易成本。但是，在开放的网络上进行交易如何保证传输数据的安全性已成为电子商务
第一节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
二．SSL协议的作用 （1）客户对服务器的身份确认：SSL服务器允许客户的浏览器使用标准的公钥加密技术和一
些可靠的认证中心（CA）的证书，来确认服务器的合法性（检验服务器的证书和ID的合法性）。 对于客户,服务器身份的确认是非常重要的，因为客户可能向服务器发送自己的信用卡密码。
第一节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
五．SSL的工作原理
SSL的工作原理：当一个使用者在Web上用Netscape浏览器漫游时，浏览器利用HTTP协议 与Web服务器沟通。例如，浏览器发出一个HTTP GET命令给服务器，想下载一个首页的HTML 档案，而服务器会将档案的内容传送给浏览器来响应。这个命令的文字和HTML档案的文字会通 过会话层（Socket）的连接来传送，Socket使两台远程的计算机能利用互联网来通话。SSL工作 在Socket层上，通过SSL，资料在传送出去之前就自动被加密了，它会在接收端被解密。对没有 解密钥的人来说，其中的资料是无法阅读的。
第五章 电子支付安全协议
本章导入
电子商务网站多如牛毛，电子支付手段也不止一种。近日，小张同学在当当网购买了 一本《电子商务安全技术》的教材，小张同学选择好图书并且下了订单，订单信息会即时 发送给卖家，然后小张利用中国建设银行信用卡进行网上实时支付，订单信息连同结算信 息一起发送给银行，依赖银行对交易进行认可。银行证实买卖双方的身份和消息的完整性， 银行打开结算信息，证实结算的金额是这笔交易的金额，是付给指定的卖家的。银行还会 检查小张同学的信用额度，保证交易可以进行，并准许卖家将交易进行下去。卖家然后将 小张同学订购的图书邮寄给他。
第五章 电子支付安全协议
四．SSL主要组成 1.记录协议 具体实现压缩/解压缩、加密/解密、计算机MAC等与安全有关的操作。建立在其上的还有：
更改密码说明协议：此协议由一条消息组成，可由客户端或服务器发送，通知接收方后面的记录 将被新协商的密码说明和密钥保护；接收方获得此消息后，立即指示记录层把即将读状态变成当 前读状态；发送方发送此消息后，应立即指示记录层把即将写状态变成当前写状态。
(1)保证客户交易信息的保密性和完整性。 (2)确保商家和客户交易行为的不可否认性。 (3)确保商家和客户的合法性。
第一节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
三．SSL协议的目标
（1）连接性 在通信双方之间利用加密的SSL消息建立安全的连接。 （2）互操作性 通信双方的程序是独立的，即一方可以在不知道对方程序编码的情况下，利用SSL成功地交换加密
参数。 （3）可扩展性 SSL寻求提供一种框架结构，在此框架结构中，在不对协议进行大的修改的情况下，可以在必要时
第二节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
四．SET协议的主要目标
（1）防止数据被非法用户窃取，保证信息在互联网上安全传输。 （2）SET协议中使用了一种双签名技术保证电子商务参与者信息的相互隔离。客户的资料加密后
通过商家到达银行，但是商家不能看到客户的账户和密码信息。 （3）解决多方认证问题。不仅对客户的信用卡认证，而且要对在线商家认证，实现客户、商家和
加入新的公钥算法和单钥算法。
第一节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
四．SSL主要组成 SSL协议由两层组成，分别是握手协议层和记录协议层。握
手协议建立在记录协议之上，此外，还有警告协议、更改密 码说明协议和应用数据协议等对话协议和管理提供支持的子 协议。
第一节安全套接层SSL协议分析及应用
第一节安全套接层SSL协议分析及应用
六．SSL协议的安全性分析 3.SSL协议存在的问题
（1）密钥管理问题 （2）加密强度问题 （3）数字签名问题
第五章 电子支付安全协议
目录
CONTENTS
第一节 安全套接层SSL协议分析及应用 第二节 安全电子交易SET协议分析及应用 第三节 SSL协议与SET协议的比较比较
知识目标
➢ 熟悉SSL协议的作用和主要组成。 ➢ 熟悉SSL协议的工作原理。
技能目标
➢ 能够申请和应用SSL证书。
第五章 电子支付安全协议
第一节安全套接层SSL协议分析及应用
一． SSL协议概述
第五章 电子支付安全协议
安全套接层（Secure Sockets Layer，SSL）协议最先是由著名的Netscape公司开发的， 现在被广泛用于互联网上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。 制定SSL协议的宗旨是为通信双方提供安全可靠的通信协议服务，在通信双方间建立一个传输层 安全通道。SSL协议使用对称加密来保证通信保密性，使用消息认证码（MAC）来保证数据完 整性。SSL协议主要使用PKI在建立连接时对通信双方进行身份认证。
SET协议使用数字证书对交易各方的合法性进行验证，使用数字签名技术确保数据完整性和不 可否认。SET协议还使用双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名， 使得商户看不到支付信息，只能对用户的订单信息解密，而金融机构看不到交易内容，只能对支 付和账户信息解密，从而充分地保证了消费者的账户和订购信息的安全性。
第一节安全套接层SSL协议分析及应用
五．SSL的工作原理
为了支持客户机，每个客户机都要拥有 一对密钥，这要求在互联网上通过Netscape 分配。由于互联网中的服务器数远少于客户机 数，因此能否处理签字及密钥管理的业务量是 很重要的。
第五章 电子支付安全协议
第一节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
在这一电子交易的过程中，如何确保小张同学付款资料的隐秘性及完整性？对持卡人、 特约商店、收单银行怎么认证，如何保证电子交易的安全？不同厂商开发的应用程序、不 同的银行卡在现存各种标准下应构建什么协议，允许在任何软硬件平台上执行，使标准达 到相容性与接受性目标？
目录
CONTENTS
第一节 安全套接层SSL协议分析及应用 第二节 安全电子交易SET协议分析及应用 第三节 SSL协议与SET协议的比较比较
银行间的相互认证。 （4）保证网上交易的实时性，使所有的支付过程都是在线的。 （5）提供一个开放式的标准，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操
作功能。可在不同的软硬件平台上执行并被全球广泛接受。
第二节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
五．SET协议交易流程
发展中迫切需要解决的问题。
第三节SSL协议与SET协议的比较
二．SSL与SET协议的服务内容 1.SSL协议的服务内容
(1)用户和服务器的合法性认证。 (2)加密数据以隐藏被传送的数据。 (3)保护数据的完整性。
第五章 电子支付安全协议
第三节SSL协议与SET协议的比较
二．SSL与SET协议的服务内容 2.SET协议的服务内容
（2）服务器对客户的身份确认：允许SSL服务器确认客户的身份，SSL协议允许服务器的软 件通过公钥技术和可信赖的证书来确认客户的身份（客户的证书）。对于服务而言，器客户身份 的确认是非常重要的，因为网上银行可能要向客户发送机密的金融信息。
（3）建立起服务器和客户之间安全的数据通道：SSL要求客户和服务器之间所有的发送数据 都被发送端加密，所有的接收数据都被接收端解密，这样才能提供一个高水平的安全保证。同时 SSL协议会在传输过程中检查数据是否被中途修改。
第一节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
二．SSL协议的作用
SSL是提供互联网上的通信隐私性的安全协议。该协议允许客户端和服务器应用之间进行防窃 听、防消息篡改及防消息伪造的安全的通信。TCP/IP是整个互联网数据传输和通信所使用的最基 本的控制协议，在它之上还有HTTP（Hypertext Transfer Protocol）、LDAP（Lightweight Directory Access Protoco1）、IMAP（Internet Messaging Access Protocol）等应用层传输 协议。而SSL是位于TCP/IP和各种应用层协议之间的一种数据安全协议。
知识目标
➢ 了解SET协议的参与方。 ➢ 熟悉SET协议的特征和主要目标。 ➢ 掌握SET协议的交易流程。
技能目标
➢ 能够申请和应用SET证书。
第五章 电子支付安全协议
第二节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
一、SET协议概述
SET协议采用了对称密钥和非对称密钥体制，把对称密钥的快速、低成本和非对称密钥的有 效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。SET协议的重 点是确保商户和消费者的身份及行为的认证和不可抵赖性，其理论基础是著名的不可否认机制 （non-repudiation），其采用的核心技术包括：电子证书标准与数字签名、报文摘要、数字信 封、双重签名等。
SET协议交易过程中要对商家、客户，支付网关等交易各方进行身份认证，因此它的交易过程相 对复杂。
目录
CONTENTS
第一节 安全套接层SSL协议分析及应用 第二节 安全电子交易SET协议分析及应用 第三节 SSL协议与SET协议的比较
知识目标
➢ 掌握SSL与SET协议的区别。
技能目标
➢ 能够区分应用SSL与SET协议。
第二节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
三．SET的特征
3.消费者账户认证 卖方需要证明消费者是某个有效账户号码的合法使用者。数字签名和数字证书提供了一种将 消费者与特定账户号码相连接的机制，以此来实现对消费者账户的认证。 4.卖方认证 SET协议可以帮助消费者证实卖方与某个金融机构的关系使其能够接受银行卡结算。SET协议 利用数字签名和卖方证书实现卖方认证。 5.互可操作性 SET协议能在各种软、硬件平台上使用。使用适当软件的消费者都可与符合规定标准的卖方软 件进行通信。SET协议利用标准的协议和信息格式来实现互操作性。
第一节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
四．SSL主要பைடு நூலகம்成
2.握手协议 SSL握手协议是用来在客户端和服务器端传输应用数据而建立的安全通信机制。 算法协商：首次通信时，双方通过握手协议协商密钥加密算法、数据加密算法和文摘算法。 身份验证：在密钥协商完成后，客户端与服务器端通过证书互相验证对方的身份。 确定密钥：最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户端和服务器 端各自根据这个秘密信息确定数据加密算法的参数（一般是密钥）。由此可见，SSL协议是端对 端的通信安全协议。
第二节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
二、SET交易参与方 SET交易的参与方主要包括持卡人、商户、支付网关、认证机构等方面
第二节安全套接层SSL协议分析及应用
第五章 电子支付安全协议
三．SET的特征
1.信息的机密性 结算卡账户和结算信息在网络上传输时必须得到安全措施的保护，防止结算卡号码和截止日 期被未经授权的人截获。SET利用加密来保证其保密性。 2.数据的完整性 SET协议确保消息的内容在生成者和接收者之间传输时，没有被人篡改。消费者发给卖方的 结算信息包括订单信息、个人数据及结算指令，如果任何信息在传送中被篡改，交易将无法正确 地进行。
六．SSL协议的安全性分析
SSL协议所采用的加密算法和认证算法使它具有较高的安全性，但也存在一些问题。 1.SSL协议采用的加密算法和认证算法 （1）加密算法和会话密钥 （2）认证算法 2.SSL安全优势 （1）监听和中间人式攻击 （2）流量数据分析式攻击 （3）截取再拼接式攻击 （4）报文重发式攻击