第7章安全交易协议与支付技术.pptx
合集下载
电子支付与交易安全第7章 电子交易支付安全
第3节 PKI基础
理论基础 一、SET协议的主要目标及组成 二、SET提供的服务 三、SET的交易流程 四、SET的安全性分析 五、SET的改进 实践操作1 实践操作2
理论基础
一、SET协议的主要目标及组成
1.SET协议的目标
(1)防止数据被非法用户窃取,保证信 息在互联网上安全传输。 (2)SET中使用了一种双签名技术,保 证电子商务参与者信息的相互隔离。 客户的资料加密后通过商家到达银行, 但是商家不能看到客户的账户和密码信息。
第2节 身份认证
理论基础
一、SSL协议的作用 二、SSL协议的目标 三、SSL协议的主要组成 四、SSL的工作原理 五、SSL协议的安全性分析
实践操作
理论基础
安全通信协议SSL(Secure Sockets Layer)最先是由著名的Netscape公司开发的, 现在被广泛用于Internet上的身份认证与Web 服务器和用户端浏览器之间的数据安全通信。
一、SSL协议的作用
SSL是提供Internet上的通信隐私性的安 全协议。 该协议允许客户端/服务器应用之间进行 防窃听、防消息篡改及防消息伪造的安全通 信。 SSL标准的关键是要解决以下几个问题。
二、SSL协议的目标
(1)在通信双方之间利用加密的SSL消 息建立安全的连接。 (2)互操作性。 (3)可扩展性。
五、SET的改进
1.引入商品质量检测机制保证商品质量 2.引进商品质量检测机制后SET的交易流程
本章小结
本章主要介绍了电子商务相关的两种安全在线支 付协议,即安全套接层SSL协议和安全电子交易SET协 议。 SSL协议实现简单,独立于应用层协议,大部分内 置于浏览器和Web服务器中,在电子交易中应用便利。 但它是一个面向连接的协议,只能提供交易中客 户与服务器间的双方认证,不能在多方的电子交易中 实现。 SET在保留对客户信用卡认证的前提下增加了对商 家身份的认证,安全性进一步提高。 在实践中应根据具体情况选择独立使用或两者混 合使用。
电子商务安全 第7章 安全电子支付协议
7.2.2 SET的加密和解密流程 接收方的解密流程
7.2.3 SET的认证技术
对用户的网络身份的鉴别称为认证,其 主要目的在于确认使用者就是其所声称的 对象。
一种可行的解决办法是由一个大家都相 信的第三方来验证它所声称的对象,这样 的第三方就是认证中心。
7.2.3 SET的认证技术
(1)证书
简单的SET交易系统示意图
7.2 SET的加密技术和认证技术
7.2.1 和SET有关的密码技术
SET的加密过程使用了对称密钥体制)和公开密钥密 码体制(非对称密钥体制) 。
SET依靠密码系统来保证消息的可靠传输,在SET 中使用随机生成的对称密钥来加密数据,然后将此对称 密钥用接收者的公开密钥加密,称为消息的“数字信封”
7.3 SET协议的处理逻辑
7.3.1 SET购物流程
7.3.2 SET完整处理流程分析
SET协议中,涉及到持卡人、商家、发卡 行、收单行、支付网关等方面,其整个处理 流程是复杂的,但对持卡人来说,绝大多数 的处理是由软件来完成的,其处理流程对用 户来说是透明的。
(1)持卡人注册
持卡人在发卡银行申请并得到持卡人软件后,还 要上网,向CA申请证书,下图6描述了持卡人注册 的全部流程。
(2)商家注册
商家在收单银行申请并安装SET商家软件后,也要 上网向CA申请证书,图8.7介绍了商家注册流程。
(3)购买请求
下图描述持卡人订购处理中的购买请求处理流程
(4)支付授权
下图是商家的支付授权处理流程
(5)支付请款
下图描述了商家的支付请款流程
7.3.3 SET与传统信用卡交易流程的比较
从算法的角度看,SET现在的版本中还 存在着加密强度不够等问题,但是它在B2C 的电子商务模式中还是比较成功的,在世界 范围内已经得到了比较广泛的应用。
《电子商务安全与支付》PPT课件
20
安
全
图2.1:风险管理模型
概率高
问 题
II
I
的
控制
预防
产
影响小
影响大
生
(成本)
(成本)
不用理会
保险或备份计划
III IV
概率低
本章重点:识别安全威胁并保护资产免受 这些安全威胁的方法
Copyright © 2000-2010 毛志斌
21
安
全
策
认证:
谁想访问电子商务网站
略 主
访问控制: 允许谁访问电子商务网站
13.不将你已破解的帐号分享与你的朋友。
Copyright © 2000-2010 毛志斌
38
黑客精神
1.这世上充满着等着被解决的迷人问题。 2.没有任何人必须一再的解决同一个问题。 3.无聊而单调的工作是有害的。 4.自由才好。 5.态度并非不等效于能力 6.写免费的软件。 7.帮忙test和debug免费的软件。 8.公布有用的资讯。 9.帮忙维持一些简单的工作。 10.为hacker文化而努力。
18
第二章 电子商务系统的 安全需求
Copyright © 2000-2010 毛志斌
19
本
2.1 安全问题的产生
章
2.2 交易环境的安全性
目
2.3 交易对象和交易过程的安全性
录
2.4 网上支付的安全需求
重点难点: 客户机的安全性、通信信道的安全性、
服务器的安全性、支付系统的安全需求
Copyright © 2000-2010 毛志斌
32
用 浏 览 器 显 示 文 件 夹 名
Copyright © 2000-2010 毛志斌
电子商务支付与安全PPT
电子商务支付与安全PPT
contents
目录
• 电子商务支付概述 • 电子商务支付方式 • 电子商务安全技术与应用 • 电子商务交易风险防范措施 • 跨境电子商务支付与结算问题探讨 • 未来发展趋势预测与展望
01
电子商务支付概述
电子商务支付定义与特点
定义
电子商务支付是指在电子商务交易中, 买卖双方通过互联网或移动网络进行 的资金转移和结算活动。
跨境电子商务发展现状分析
全球化趋势推动
随着互联网技术的普及和全球化 进程的加速,跨境电子商务发展 迅速,成为国际贸易的重要组成
部分。
消费者需求多样化
跨境电子商务满足了消费者对全球 优质商品的需求,提供了更多选择 和便利。
跨境电商平台崛起
众多跨境电商平台的兴起,为跨境 电子商务的发展提供了有力支持。
04
电子商务交易风险防范措施
识别虚假交易和欺诈行为
建立交易风险评估机制
对交易双方进行信用评估,识别高风险交易并及时预警。
采用先进技术手段
运用大数据、人工智能等技术手段,对交易数据进行实时监测和分 析,发现异常交易行为。
强化信息披露和透明度
要求交易双方提供真实、准确的信息,增加交易透明度,降低欺诈 风险。
加强内部管理和员工培训
完善内部管理制度
建立健全内部管理制度,规范业务流程,防 范操作风险。
加强员工风险意识和技能培训
提高员工对交易风险的敏感性和识别能力; 加强技能培训,提高员工业务水平。
建立内部监督和考核机制
对内部管理和员工行为进行监督和考核,确 保制度得到有效执行。
完善法律法规和政策支持
加强法律法规建设
保障消费者权益和资金安全
contents
目录
• 电子商务支付概述 • 电子商务支付方式 • 电子商务安全技术与应用 • 电子商务交易风险防范措施 • 跨境电子商务支付与结算问题探讨 • 未来发展趋势预测与展望
01
电子商务支付概述
电子商务支付定义与特点
定义
电子商务支付是指在电子商务交易中, 买卖双方通过互联网或移动网络进行 的资金转移和结算活动。
跨境电子商务发展现状分析
全球化趋势推动
随着互联网技术的普及和全球化 进程的加速,跨境电子商务发展 迅速,成为国际贸易的重要组成
部分。
消费者需求多样化
跨境电子商务满足了消费者对全球 优质商品的需求,提供了更多选择 和便利。
跨境电商平台崛起
众多跨境电商平台的兴起,为跨境 电子商务的发展提供了有力支持。
04
电子商务交易风险防范措施
识别虚假交易和欺诈行为
建立交易风险评估机制
对交易双方进行信用评估,识别高风险交易并及时预警。
采用先进技术手段
运用大数据、人工智能等技术手段,对交易数据进行实时监测和分 析,发现异常交易行为。
强化信息披露和透明度
要求交易双方提供真实、准确的信息,增加交易透明度,降低欺诈 风险。
加强内部管理和员工培训
完善内部管理制度
建立健全内部管理制度,规范业务流程,防 范操作风险。
加强员工风险意识和技能培训
提高员工对交易风险的敏感性和识别能力; 加强技能培训,提高员工业务水平。
建立内部监督和考核机制
对内部管理和员工行为进行监督和考核,确 保制度得到有效执行。
完善法律法规和政策支持
加强法律法规建设
保障消费者权益和资金安全
电子商务交易安全PPT课件
1 2 3
严格的数据加密措施
采用先进的加密技术,对用户的个人信息、交易 数据等进行加密处理,确保数据在传输和存储过 程中的安全性。
多重身份验证机制
实施多因素身份验证,包括密码、动态口令、生 物识别等,提高用户账户的安全性,防止未经授 权的访问。
实时监控与应急响应
建立实时监控系统,对平台上的交易活动进行实 时监测,发现异常行为及时报警并启动应急响应 机制,确保交易安全。
电子支付系统的发展历程
从早期的信用卡支付到现代的移动支付、扫码支付等,电 子支付系统不断发展和完善,为电子商务交易提供了更加 便捷、安全的支付方式。
电子支付系统的分类
根据支付方式的不同,电子支付系统可分为在线支付和离 线支付两大类。在线支付包括网银支付、第三方支付等, 离线支付包括移动支付、预付卡等。
维护企业声誉和利益
避免商业机密泄露、防止欺诈行为,确保企业正常运营。
促进电子商务发展
提高交易安全性和可信度,推动电子商务行业的健康发展。
电子商务交易安全威胁
网络攻击
包括黑客攻击、病毒传 播、恶意软件等,可能 导致系统瘫痪、数据泄
露等后果。
身份冒用
攻击者冒用他人身份进 行交易,造成经济损失
和信誉损害。
密钥管理
建立密钥管理体系,确保 密钥的安全存储、分发和 更新。
防火墙技术
网络防火墙
部署在网络入口处,对进 出网络的数据包进行检查 和过滤,防止非法访问和 攻击。
应用防火墙
针对应用层协议进行深度 检测和防御,防止应用层 攻击和数据泄露。
下一代防火墙
集成多种安全功能,实现 全面、高效的安全防子商务诚信公约》、《 网络交易平台服务规范》等。
行业标准
网络支付的安全及相关安全技术讲义(PPT 88页).ppt
如信用卡号码和密码被窃取盗用给购物者造成损失。 2. 支付金额被更改。
如本来总支付额为250美元,结果支付命令在网上发出后,由 于不知哪一方的原因从帐号中划去了1250美元,给网上交易一方造 成了困惑。 3. 支付方不知商家到底是谁,商家不能清晰确定如信用卡等网络 支付工具是否真实、资金何时入帐等。
电子商务中的网络支付结算体系应该是融购物流程、支付工 具、安全技术、认证体系、信用体系以及现在的金融体系为一体的 综合大系统。也由此可以看出,网络支付安全体系的建立不是一蹴 而就的事,它受多种因素的影响,并与这些因素相互促进,动态地 发展,共同走向成熟。
(在目前各方面的条件还不完全成熟的情况下,坐等时机的到 来不现实,也不符合事物发展的规律。承担一定风险推动网络支付 系统的发展,以期与其他因素相互作用、相互促进,这也许是信息 社会中的一种新方法或新思维。)
而在网上进行交易,交易双方互不见面,持卡人只知道商店的 网址,不知道这个商店开在哪里。在网上没有方向,没有距离, 也没有国界。有可能你在网上看到的一家大规模的商场,实际上只 是2个年轻人用一台计算机制造的一场骗局。
所以持卡人要与网上商店进行交易,必须先确定商店是否真实 存在,付了钱是否能拿到东西。商店和银行都要担心上网购物的持 卡人是否持卡人本人,否则,扣了张三的款,却将货送给李四,结 果持卡人上门来说没买过东西为什么扣我的钱,而商户却已经将货 物送走了。这样的网上交易是不能进行下去的。所以网上交易中, 参加交易的各方,包括商户、持卡人和银行必须要采取如CA认证 等措施能够认定对方的身份。
本章主要对网络支付的问题及安全需求、网络支付的安全 策略以及较主要的解决方法手段作一介绍,最后叙述了目前流 行的保证安全交易和网络支付的SET机制和SSL机制。
如本来总支付额为250美元,结果支付命令在网上发出后,由 于不知哪一方的原因从帐号中划去了1250美元,给网上交易一方造 成了困惑。 3. 支付方不知商家到底是谁,商家不能清晰确定如信用卡等网络 支付工具是否真实、资金何时入帐等。
电子商务中的网络支付结算体系应该是融购物流程、支付工 具、安全技术、认证体系、信用体系以及现在的金融体系为一体的 综合大系统。也由此可以看出,网络支付安全体系的建立不是一蹴 而就的事,它受多种因素的影响,并与这些因素相互促进,动态地 发展,共同走向成熟。
(在目前各方面的条件还不完全成熟的情况下,坐等时机的到 来不现实,也不符合事物发展的规律。承担一定风险推动网络支付 系统的发展,以期与其他因素相互作用、相互促进,这也许是信息 社会中的一种新方法或新思维。)
而在网上进行交易,交易双方互不见面,持卡人只知道商店的 网址,不知道这个商店开在哪里。在网上没有方向,没有距离, 也没有国界。有可能你在网上看到的一家大规模的商场,实际上只 是2个年轻人用一台计算机制造的一场骗局。
所以持卡人要与网上商店进行交易,必须先确定商店是否真实 存在,付了钱是否能拿到东西。商店和银行都要担心上网购物的持 卡人是否持卡人本人,否则,扣了张三的款,却将货送给李四,结 果持卡人上门来说没买过东西为什么扣我的钱,而商户却已经将货 物送走了。这样的网上交易是不能进行下去的。所以网上交易中, 参加交易的各方,包括商户、持卡人和银行必须要采取如CA认证 等措施能够认定对方的身份。
本章主要对网络支付的问题及安全需求、网络支付的安全 策略以及较主要的解决方法手段作一介绍,最后叙述了目前流 行的保证安全交易和网络支付的SET机制和SSL机制。
网络支付的安全技术[可修改版ppt]
![网络支付的安全技术[可修改版ppt]](https://img.taocdn.com/s3/m/b97a1bfd2af90242a995e540.png)
每一新的网络支付方式推出与应用,均有一定的风险,用安全与使用便利、快捷之间的辩证关系。
➢(3)完全理解、遵循和利用有关电子商务安全与网 络支付安全的法律法规 ➢(4)建立相关安全策略和确定一套安全机制
安全策略中最后要根据定义的保护资源、定义的保护风险、 电子商务安全的法律法规,建立安全策略和确定一套安全机制。
➢ 公共通信通道Internet的安全威胁
➢ 截断堵塞:如切断通讯线路、毁坏硬件、病毒瘫痪软件系 统、垃圾信息堵塞网络通道等) ➢ 伪造:伪造客户或商家信息,假冒身份以骗取财物。 ➢ 篡改:为某目的对相关网络支付信息进行篡改 ➢ 介入:利用特殊软件工具提取Internet上通信的数据,以 期破解信息;或进行信息流量分析,对信息的流动情况进行 分析;或非法进入系统或数据库,进行破坏、COPY等。
➢(2)保护应用的安全
➢ 应用安全是针对特定应用(如Web服务器、网络支付专用软件系统) 中所建立的安全防护措施,独立于任何网络的安全措施。
➢ 网络支付协议就很复杂,它涉及购货人、零售商和银行之间的转账, 不同参与者之间的通信需要不同水平的保护,需要在应用层上处理。 由于现在电子商务中的应用层对安全的要求最严格、最复杂,因此 更倾向于在应用层而不是在网络层采取各种安全措施。
二、网络支付的安全策略及解决方法
➢ 1.网络支付安全策略制定的目的、涵义和原则
➢ (1)制定网络支付安全策略的目的
① 保障相关支付结算信息的机密性、完整性、认证 性、不可否认性、不可拒绝性和访问控制性不被 破坏;
② 能够有序地、经常地鉴别和测试安全状态; ③ 能够对可能的风险做基本评估; ④ 系统的安全被破坏后的恢复工作。
三、网络支付平台的安全及防火墙技术
➢ 1. 网络平台系统的构成及其主要安全威胁
➢(3)完全理解、遵循和利用有关电子商务安全与网 络支付安全的法律法规 ➢(4)建立相关安全策略和确定一套安全机制
安全策略中最后要根据定义的保护资源、定义的保护风险、 电子商务安全的法律法规,建立安全策略和确定一套安全机制。
➢ 公共通信通道Internet的安全威胁
➢ 截断堵塞:如切断通讯线路、毁坏硬件、病毒瘫痪软件系 统、垃圾信息堵塞网络通道等) ➢ 伪造:伪造客户或商家信息,假冒身份以骗取财物。 ➢ 篡改:为某目的对相关网络支付信息进行篡改 ➢ 介入:利用特殊软件工具提取Internet上通信的数据,以 期破解信息;或进行信息流量分析,对信息的流动情况进行 分析;或非法进入系统或数据库,进行破坏、COPY等。
➢(2)保护应用的安全
➢ 应用安全是针对特定应用(如Web服务器、网络支付专用软件系统) 中所建立的安全防护措施,独立于任何网络的安全措施。
➢ 网络支付协议就很复杂,它涉及购货人、零售商和银行之间的转账, 不同参与者之间的通信需要不同水平的保护,需要在应用层上处理。 由于现在电子商务中的应用层对安全的要求最严格、最复杂,因此 更倾向于在应用层而不是在网络层采取各种安全措施。
二、网络支付的安全策略及解决方法
➢ 1.网络支付安全策略制定的目的、涵义和原则
➢ (1)制定网络支付安全策略的目的
① 保障相关支付结算信息的机密性、完整性、认证 性、不可否认性、不可拒绝性和访问控制性不被 破坏;
② 能够有序地、经常地鉴别和测试安全状态; ③ 能够对可能的风险做基本评估; ④ 系统的安全被破坏后的恢复工作。
三、网络支付平台的安全及防火墙技术
➢ 1. 网络平台系统的构成及其主要安全威胁
第7章 电子商务安全技术协议 《电子商务安全》PPT课件
电子商务安全
安全协议概述 安全协议概念
电子商务安全协议设计原则
SSL协议 SSL协议概念 SSL协议的安全机制 SSL安全协议的应用 SSL协议的应用前景
安全电子交易SET协议 SET协议概述 SET协议应用
SET协议应用前景 其他安全协议
用于信息安全传输的协议
用于安全电子交易与支付的协议
本章小结 复习思考题
电子商务安全
安全协议概述 安全协议概念
电子商务安全协议设计原则
SSL协议 SSL协议概念 SSL协议的安全机制 SSL安全协议的应用 SSL协议的应用前景
安全电子交易SET协议 SET协议概述 SET协议应用
SET协议应用前景 其他安全协议
用于信息安全传输的协议
用于安全电子交易与支付的协议
本章小结 复习思考题
第7章 电子商务安全技术协议
7.2.3 SSL安全协议的应用
2)SSL安全协议的电子交易过程 (1)建立连接:消费者向商家发送一个客户方的 问候消息,商家以服务方的问候消息应答,这个信 息包括服务器所持有的证书、加密规则和连接标识; (2)消费者利用商家的问候消息产生一个密钥; (3)消费者和商家交换双方认可的密码并产生彼 此交谈的会谈密码; (4)检验密码; (5)商家检验客户的可信度;电子支付协议及其 公平非否认性研究; (6)商家和消费者之间相互交换结束信息;这时 双方之间就可以开始传输交易的信息了。 (7)消费者将自己的信用卡号用传输密钥加密后 传送给商家,商家再将信息转发给银行,银行对信 息进行验证,一旦通过验证通知商家和消费者付款 成功,商家再通知消费者交易成功,将商品寄送消 费者。
电子商务安全
安全协议概述 安全协议概念
电子商务安全协议设计原则
安全协议概述 安全协议概念
电子商务安全协议设计原则
SSL协议 SSL协议概念 SSL协议的安全机制 SSL安全协议的应用 SSL协议的应用前景
安全电子交易SET协议 SET协议概述 SET协议应用
SET协议应用前景 其他安全协议
用于信息安全传输的协议
用于安全电子交易与支付的协议
本章小结 复习思考题
电子商务安全
安全协议概述 安全协议概念
电子商务安全协议设计原则
SSL协议 SSL协议概念 SSL协议的安全机制 SSL安全协议的应用 SSL协议的应用前景
安全电子交易SET协议 SET协议概述 SET协议应用
SET协议应用前景 其他安全协议
用于信息安全传输的协议
用于安全电子交易与支付的协议
本章小结 复习思考题
第7章 电子商务安全技术协议
7.2.3 SSL安全协议的应用
2)SSL安全协议的电子交易过程 (1)建立连接:消费者向商家发送一个客户方的 问候消息,商家以服务方的问候消息应答,这个信 息包括服务器所持有的证书、加密规则和连接标识; (2)消费者利用商家的问候消息产生一个密钥; (3)消费者和商家交换双方认可的密码并产生彼 此交谈的会谈密码; (4)检验密码; (5)商家检验客户的可信度;电子支付协议及其 公平非否认性研究; (6)商家和消费者之间相互交换结束信息;这时 双方之间就可以开始传输交易的信息了。 (7)消费者将自己的信用卡号用传输密钥加密后 传送给商家,商家再将信息转发给银行,银行对信 息进行验证,一旦通过验证通知商家和消费者付款 成功,商家再通知消费者交易成功,将商品寄送消 费者。
电子商务安全
安全协议概述 安全协议概念
电子商务安全协议设计原则
《安全电子交易协议》课件
《安全电子交易协议》
v 如果黑客不能利用上面的非法的证书突 破服务器,他们可以尝试暴力攻击(bruteforce attack)。虽然暴力攻击证书比暴力攻 击口令更为困难,但仍然是一种攻击方法。 要暴力攻击客户端认证,黑客编辑一个可能 的用户名字列表,然后为每一个名字向CA机 构申请证书。每一个证书都用于尝试获取访 问权限。用户名的选择越好,其中一个证书 被认可的可能性就越高。暴力攻击证书的方 便之处在于它仅需要猜测一个有效的用户名, 而不是猜测用户名和口令。
有密钥来解密,这证实了该服务器属于一个认证过
的公司。随机产生的传输密钥是核心机密,只有客
户的浏览器和此公司的Web服务器知道这个数字序
列。这个两方共享密钥的密文可以通过浏览器安全
地抵达Web服务器,Internet上的其他人无法解开它。
《安全电子交易协议》
v 第二阶段的主要任务是对客户进行 认证,此时服务器已经被认证了。服务 器方向客户发出认证请求消息。客户收 到服务器方的认证请求消息后,发出自 己的证书,并且监听对方回送的认证结 果。而当服务器收到客户的证书后,给 客户回送认证成功消息,否则返回错误 消息。到此为止,握手协议全部结束。
安全电子交易协议手机支付中的安全问题涉及手机支付本身性质所带来的弱点以及基础传输网络的安全弱点这里对一些主要的安全弱点进行剖1移动设施被病毒感染2使用比较易被猜出的pin或口令3存在手机丢失并且被使用的可能性4用户缺乏对业务的了解和使用经验安全电子交易协议5信息丢失没有到达目的地信息丢失有以下几种情况
《安全电子交易协议》
v 三、 SSL体系结构
v
SSL协议建立在传输层和应用层之间,包括两
个子协议:SSL记录协议和SSL握手协议,其中记
录协议在握手协议下端。
v 如果黑客不能利用上面的非法的证书突 破服务器,他们可以尝试暴力攻击(bruteforce attack)。虽然暴力攻击证书比暴力攻 击口令更为困难,但仍然是一种攻击方法。 要暴力攻击客户端认证,黑客编辑一个可能 的用户名字列表,然后为每一个名字向CA机 构申请证书。每一个证书都用于尝试获取访 问权限。用户名的选择越好,其中一个证书 被认可的可能性就越高。暴力攻击证书的方 便之处在于它仅需要猜测一个有效的用户名, 而不是猜测用户名和口令。
有密钥来解密,这证实了该服务器属于一个认证过
的公司。随机产生的传输密钥是核心机密,只有客
户的浏览器和此公司的Web服务器知道这个数字序
列。这个两方共享密钥的密文可以通过浏览器安全
地抵达Web服务器,Internet上的其他人无法解开它。
《安全电子交易协议》
v 第二阶段的主要任务是对客户进行 认证,此时服务器已经被认证了。服务 器方向客户发出认证请求消息。客户收 到服务器方的认证请求消息后,发出自 己的证书,并且监听对方回送的认证结 果。而当服务器收到客户的证书后,给 客户回送认证成功消息,否则返回错误 消息。到此为止,握手协议全部结束。
安全电子交易协议手机支付中的安全问题涉及手机支付本身性质所带来的弱点以及基础传输网络的安全弱点这里对一些主要的安全弱点进行剖1移动设施被病毒感染2使用比较易被猜出的pin或口令3存在手机丢失并且被使用的可能性4用户缺乏对业务的了解和使用经验安全电子交易协议5信息丢失没有到达目的地信息丢失有以下几种情况
《安全电子交易协议》
v 三、 SSL体系结构
v
SSL协议建立在传输层和应用层之间,包括两
个子协议:SSL记录协议和SSL握手协议,其中记
录协议在握手协议下端。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7.2.4 SSL协议的应用
SSL协议主要提供三方面的服务:一是认证用户 和服务器,使得它们能够确信数据将被发送到正 确的客户机和服务器上;二是加密数据,以隐藏被 传送的数据;三是维护数据的完整性,确保数据在 传输过程中不被改变。
SSL协议提供了两台机器间的安全连接。支付系 统、在线银行和其他金融系统常常构建在SSL协 议之上,以传输信用卡卡号。SSL协议被广泛应用 的原因在于它被大部分Web浏览器和Web服务 器所内置,比较容易被应用。SSL协议的应用主要 有下述两种形式。
(2)对象认证:通信双方对各自通信对象的 合法性、真实性进行确认,以防第三者假 冒。
(3)保持数据完整:阻止非法实体对交换数 据的修改、插入、删除,防止数据丢失。
(4)防抵赖:证实已发生过的操作,防止交易 双方对发生的行为抵赖。
(5)访问控制:防止非授权用户非法使用系 统资源。
7.1.2 常用的安全交易协议
7.1安全交易协议概述
7.1.1 安全交易服务
安全交易是电子商务发展的核心问题,支 付系统安全则是安全交易的关键。因此, 如何在开放的公用网上构筑安全的交易模 式,一直是人们关注的话题和研究的热点 。一个安全的电子交易模式,一般应提供 以下五方面的安全服务:
(1)数据保密:防止因信息被截获或非法读 取而泄密。
认证两个主要阶段。SSL协议在服务器认证阶段 主要完成如下操作: (1)客户端向服务器发送一个开始信息“Hello”, 以便开始一个新的会话连接; (2)服务器根据客户发送的信息确定是否需要生 成新的主密钥,如需要则服务器在响应客户的 “Hello”信息时将提供生成主密钥所需的信息; (3)客户根据收到的服务器响应信息,产生一个主 密钥,并用服务器的公开密钥加密后传给服务器; (4)服务器解密该主密钥,并返回给客户一个用主 密钥加密的信息,以此让客户认证服务器。
(1)安全超文本传输(S-HTTP)协议。 (2)安全套接层(Secure Sockets Layer,SSL)协议。 (3) 3-Dsecure协议 (4) 安全电子邮件协议(PEM、S/MIME)
7.2基于SSL协议的支付技术
7.2.1 SSL协议的概念
安全套接层协议(SSL协议)是网景 (Netscape)公司设计开发的基于Web应用 的安全协议,它是在网络传输层上提供的 一种基于RSA和保密密钥的、用于浏览器 和Web服务器之间的安全连接技术,可实现 服务器认证、客户认证,并保证SSL链路上 的数据的完整性和保密性。
“尹华曾多次使用过工行的网上银行。往
常点击‘支付’按钮以后,要么出现‘支 付成功’,要么出现‘支付不成功’字样, 但是这一次屏幕上却出现了‘该网页不存 在’六个字。凭着在网络上多次购物的经 验,尹华怀疑自己可能登录了一个虚假的 银行网站。由于此时已经把银行账户和密 码输入到这个假的银行网站上了,为了以 防万一, 尹华拿起自己的银行卡,飞奔到 离宿舍最近的一个自动取款机取出了卡上 的600元,但剩下的70元零头无法取出。
第7章 安全交易协议与支付技术
学习目标与要求
1.了解安全交易协议是一种通过验证买卖双方 身份、确保网上交易安全的方法; 2.理解SSL协议与SET协议的设计思想,了解其 主要应用情况及安全性能,了解二者的异同点; 3.了解常用网上支付手段及其安全性; 4.理解电子现金、电子钱包、电子支票、网上 银行卡等不同电子支付工具的概念、特点,了解 其应用方法和安全性能; 5.掌握通过第三方支付平台实现网上结算的方 法。
回来后尹华仔细观察那网页,发现它与工 行的页面虽然非常相似,但是网址不一样, 工行是‘icbc’,而它的是‘lcbc’,只差一个 字母,而尹华初登录时根本没有留意这一 点。”之后等尹华再重新登录工商银行网 站,检查自己卡里的余额时,发现刚才没有 取出来的70多元钱已经不翼而飞。
电子商务在提供机遇和便利的同时,也面临 着一个最大的挑战,即交易的安全性,特别 是支付的安全性。本章将主要介绍电子商 务系统常用的安全协议以及电子商务交易 中常见的支付手段,并分析其安全性能。
尹华是北京航空航天大学大四的学生,喜欢 上网, 并经常在网上购物。他与朋友聊起自己不 久前在网上购物的一次奇特遭遇,至今仍心有 余悸:“我当时上网就想买点便宜的东西, 看见一 个购物网站,上面卖的东西挺便宜,就选了几样,然 后象往常一样点击网站提供的写有‘在线支付 ’字样的按钮。” 尹华自谓是在网上闯荡多年 的“老江湖”了,网上购物经验丰富,但这一次的 网络交易却出乎他的意料。“点击‘在线支付 ’后弹出一个页面, 咋一看是工行的,所以我就 点了‘支付’按钮,输入我的卡号、密码,再点‘ 支付’按钮”。
7.2.4.2.1 IPS在线支付流程
上海环迅是环球实业科技股份有限公司的 子公司。环迅IPS目前已成为借记卡受理 能力最强的在线支付安全平台,中国大陆 、香港、澳门、新加坡等地的借记卡都可 以通过环迅IPS进行安全支付。i付通(IPS) 网上购物人民币支付流程如图7—13所示 。
图7—3 i付通(IPS)网上购物人民币卡支付流程
图7—4 i付通(IPS)国际卡支付流程
7.2.4.2.2 IPS在线支付系统的安全
7.2.2 SSL协议的工作原理
SSL协议使用通讯双方的客户证书以及CA 证书,让客户和服务器以一种避免被偷听 的方式通讯,在通讯双方间建立起一条安 全的、可信任的通讯通道。
SSL协议包括SSL记录协议和SSL握手协议 两个子协议。
7.2.3 SSL协议的工作流程 SSL协议的工作流程可划分为服务器认证和用户
ቤተ መጻሕፍቲ ባይዱ
7.2.4.1 SecurePay实时信用卡交易服务系 统
SecurePay实时信用卡交易服务系统面向 电子商务业务提供商,帮助商家解决银行 支付、订单处理等技术上的问题。
7.2.4.2 IPS在线支付系统
IPS(Internet Payment System)是由环球 实业科技股份有限公司投入大量资金和科 研实力开发出的网上支付系统。