电子商务安全协议
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第六节 电子商务安全协议
第六节 电子商务安全协议 一、电子商务安全协议分类
加密协议 身份验证协议 密钥管理协议 数据验证协议 安全审计协议 防护协议
•安全认证协议
பைடு நூலகம்
-安全套接层SSL(Secure Sockets Layer)协议 -安全电子交易SET(Secure Electronic Transaction)协议 -安全超文本传输协议(S-HTTP) -电子邮件安全S-MIME协议
为了克服SSL安全协议的缺点,更为了达到交易安全及合乎成本效益之市场要求,VISA和MasterCard联合其他国际组织,共同制定了安全电子交易(Secure Electronic Transaction,SET)协议。 在SET中采用了双重签名技术,支付信息和订单信息是分别签署的,这样保证了商家看不到支付信息,而只能看到订单信息。支付指令中包括了交易ID、交易金额、信用卡数据等信息,这些涉及到与银行业务相关的保密数据对支付网关是不保密的,因此支付网关必须由收单银行或其委托的信用卡组织来担当。 •SET协议的购物流程 (1)持卡人通过浏览器从商家网站选择要购买的商品,填写订单。选择付款方式,此时SET开始介入。持卡人通过网络发送给商家一个完整的订单及要求付款的指令。在SET中,订单和付款指令由持卡人进行数字签名,同时,利用双重签名技术保证商家看不到持卡人的账号信息。 (2)、(3)商家接受订单,通过支付网关向持卡人的金融机构请求支付认可。 (4)、(5)在银行和发卡机构确认和批准交易后,支付网关给商家返回确认信息。 (6)商家通过网络给顾客发送订单确认信息,为顾客配送货物,完成订购服务。客户端软件可记录交易日志,以备将来查询。 (7)—(9)商家请求银行将钱从购物者的账号转移到商家账号。
•SET协议 •SET概述 -SET协议(Secure Electronic Transaction,安全电子交易协议)是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。其实质是一种应用在 Internet上、以信用卡为基础的电子付款系统规范,目的就是为了保证网络交易的安全。
二、国际通用电子商务安全协议 •安全套接层协议SSL •安全套接层协议的概念 -安全套接层协议(Secure Sockets Layer),是由网景公司设计开发的,该协议向基于TCP/IP的C/S应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。 SSL协议基于TCP/IP ,SSL连接可以看成在TCP/IP连接的基础上建立一个安全通道,在这一通道中,所有点对点的信息都将加密,从而确保信息在Internet上传输时,不会被第三方窃取。 SSL协议可以分为两个子协议:SSL握手协议(Handshake protocol)和SSL纪录协议(Record protocol)。 主要用于提高应用程序之间的数据安全系数,实现兼容浏览器和服务器(通常是WWW服务器)之间安全通信的协议。SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号。在开始交换的信息中,双方确定将使用的安全级别并交换数字证书。每个计算机都要正 确识别对方。SSL支持的客户机和服务器间的所有通讯都加密了。在SSL对所有通讯都加密后,窃听者得到的是无法识别的信息。 实现SSL协议的是HTTP的安全版,名为HTTPS。 •安全套接层协议的工作原理 -SSL需要认证服务器,并对两台计算机之间所有的传输进行加密。 -SSL用公开密钥(非对称)加密和私有密钥(对称)加密来实现信息的保密。虽然公开密钥非常方便,但速度较慢。这就是SSL对几乎所有的安全通讯都使用私有密钥加密的原因。 •建立SSL安全连接的过程(见PPT幻灯)
-SET协议采用公钥密码体制和X.509数字证书标准,提供了消费者、商家和银行之间的认证,确保了交易数据的机密性、真实性、完整性和交易的不可否认 性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
•SET协议的目标
-信息在公共因特网上安全传输 -订单信息和个人账号信息隔离 -持卡人和商家相互认证 -SET协议涉及的当事人包括持卡人、发卡机构、商家、银行以及支付网关。
•S-HTTP协议 -能保证Web信息站点上信息的安全,是应用层的协议。 -用对称密钥、消息摘要、公开密钥加密等来实现建立一个安全会话。 -页面的URL以 https:// 开始。 •S-MIME协议 -依靠密钥对保证电子邮件的安全传输的协议。 -提供发送方身份识别、信息的完整性、信息传递过程的机密性等安全功能; -设计成模块,加装在电子邮件软件中(如:IE、Netscape) -要求申请电子邮件数字证书,发保密邮件要求有对方的公钥。 •S-HTTP安全协议 -安全HTTP(S-HTTP)是 HTTP的扩展,它提供了多种安全功能,包括客户机与服务器认证、加密、请求/响应的不可否认等。 -S-HTTP安全的细节设置是在客户机和服务器开始的握手会话中完成的。客户机和服务器都可指定某个安全功能为必需(Required)、可选(Option)还是拒绝(Refused)。当其中一方确定了某个安全特性为“必需”时,只有另一方(客户机或服务器)同意执行同样的安全功能时才能开始连接,否则就不能建立安全通讯。 -S-HTTP是通过在S-HTTP所交换包的特殊头标志来建立安全通讯的。头标志定义了安全技术的类型,包括使用私有密码加密、服务器认证、客户机认证和消息的完整性。一旦客户机和服务器同意彼此之间安全措施的实现,那么在此会话中的所有信息都将封装在安全信封里。 思考题、习题:p.85;参考:
1.简述电子商务安全需求的组成内容。 2.电子商务系统安全常用的方法有哪些? 3.数字证书的申请过程。 4.SET协议的工作原理。
第六节 电子商务安全协议 一、电子商务安全协议分类
加密协议 身份验证协议 密钥管理协议 数据验证协议 安全审计协议 防护协议
•安全认证协议
பைடு நூலகம்
-安全套接层SSL(Secure Sockets Layer)协议 -安全电子交易SET(Secure Electronic Transaction)协议 -安全超文本传输协议(S-HTTP) -电子邮件安全S-MIME协议
为了克服SSL安全协议的缺点,更为了达到交易安全及合乎成本效益之市场要求,VISA和MasterCard联合其他国际组织,共同制定了安全电子交易(Secure Electronic Transaction,SET)协议。 在SET中采用了双重签名技术,支付信息和订单信息是分别签署的,这样保证了商家看不到支付信息,而只能看到订单信息。支付指令中包括了交易ID、交易金额、信用卡数据等信息,这些涉及到与银行业务相关的保密数据对支付网关是不保密的,因此支付网关必须由收单银行或其委托的信用卡组织来担当。 •SET协议的购物流程 (1)持卡人通过浏览器从商家网站选择要购买的商品,填写订单。选择付款方式,此时SET开始介入。持卡人通过网络发送给商家一个完整的订单及要求付款的指令。在SET中,订单和付款指令由持卡人进行数字签名,同时,利用双重签名技术保证商家看不到持卡人的账号信息。 (2)、(3)商家接受订单,通过支付网关向持卡人的金融机构请求支付认可。 (4)、(5)在银行和发卡机构确认和批准交易后,支付网关给商家返回确认信息。 (6)商家通过网络给顾客发送订单确认信息,为顾客配送货物,完成订购服务。客户端软件可记录交易日志,以备将来查询。 (7)—(9)商家请求银行将钱从购物者的账号转移到商家账号。
•SET协议 •SET概述 -SET协议(Secure Electronic Transaction,安全电子交易协议)是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。其实质是一种应用在 Internet上、以信用卡为基础的电子付款系统规范,目的就是为了保证网络交易的安全。
二、国际通用电子商务安全协议 •安全套接层协议SSL •安全套接层协议的概念 -安全套接层协议(Secure Sockets Layer),是由网景公司设计开发的,该协议向基于TCP/IP的C/S应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。 SSL协议基于TCP/IP ,SSL连接可以看成在TCP/IP连接的基础上建立一个安全通道,在这一通道中,所有点对点的信息都将加密,从而确保信息在Internet上传输时,不会被第三方窃取。 SSL协议可以分为两个子协议:SSL握手协议(Handshake protocol)和SSL纪录协议(Record protocol)。 主要用于提高应用程序之间的数据安全系数,实现兼容浏览器和服务器(通常是WWW服务器)之间安全通信的协议。SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号。在开始交换的信息中,双方确定将使用的安全级别并交换数字证书。每个计算机都要正 确识别对方。SSL支持的客户机和服务器间的所有通讯都加密了。在SSL对所有通讯都加密后,窃听者得到的是无法识别的信息。 实现SSL协议的是HTTP的安全版,名为HTTPS。 •安全套接层协议的工作原理 -SSL需要认证服务器,并对两台计算机之间所有的传输进行加密。 -SSL用公开密钥(非对称)加密和私有密钥(对称)加密来实现信息的保密。虽然公开密钥非常方便,但速度较慢。这就是SSL对几乎所有的安全通讯都使用私有密钥加密的原因。 •建立SSL安全连接的过程(见PPT幻灯)
-SET协议采用公钥密码体制和X.509数字证书标准,提供了消费者、商家和银行之间的认证,确保了交易数据的机密性、真实性、完整性和交易的不可否认 性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
•SET协议的目标
-信息在公共因特网上安全传输 -订单信息和个人账号信息隔离 -持卡人和商家相互认证 -SET协议涉及的当事人包括持卡人、发卡机构、商家、银行以及支付网关。
•S-HTTP协议 -能保证Web信息站点上信息的安全,是应用层的协议。 -用对称密钥、消息摘要、公开密钥加密等来实现建立一个安全会话。 -页面的URL以 https:// 开始。 •S-MIME协议 -依靠密钥对保证电子邮件的安全传输的协议。 -提供发送方身份识别、信息的完整性、信息传递过程的机密性等安全功能; -设计成模块,加装在电子邮件软件中(如:IE、Netscape) -要求申请电子邮件数字证书,发保密邮件要求有对方的公钥。 •S-HTTP安全协议 -安全HTTP(S-HTTP)是 HTTP的扩展,它提供了多种安全功能,包括客户机与服务器认证、加密、请求/响应的不可否认等。 -S-HTTP安全的细节设置是在客户机和服务器开始的握手会话中完成的。客户机和服务器都可指定某个安全功能为必需(Required)、可选(Option)还是拒绝(Refused)。当其中一方确定了某个安全特性为“必需”时,只有另一方(客户机或服务器)同意执行同样的安全功能时才能开始连接,否则就不能建立安全通讯。 -S-HTTP是通过在S-HTTP所交换包的特殊头标志来建立安全通讯的。头标志定义了安全技术的类型,包括使用私有密码加密、服务器认证、客户机认证和消息的完整性。一旦客户机和服务器同意彼此之间安全措施的实现,那么在此会话中的所有信息都将封装在安全信封里。 思考题、习题:p.85;参考:
1.简述电子商务安全需求的组成内容。 2.电子商务系统安全常用的方法有哪些? 3.数字证书的申请过程。 4.SET协议的工作原理。