4[1].4 电子商务安全---SET安全电子交易协议

9．认证机构通过电子证书机制来保证网上通信的合 法身份，其提供的服务不包括( D ) A．证书颁发 B.证书更新 C．证书归档 D.证书制作
CA中心的主要职责是颁发和管理数字证书。
l0．下列选项中，不属于CFCA体系结构的是（B ） A．根CA B.目录CA C．政策CA D.运营CA
CFCA
• 中国金融认证中心（China Financial Certification Authority),是由中国人民银行牵头14家商业银行共同 建立的国家级权威金融认证机构 。
以防止被欺骗
问题的解决
进行身份认证 建立一套安全交易的规则（协议）保证交易过程 的安全
SET协议
什么是SET协议
协议是计算机网络中通信双方为
了实现通信而必须遵守的规则和 约定。SET协议是应用层的协议。
S E T协议
Electronic
（电子）
SET协议：概述
安全电子交易(Secure Electronic Transaction)协议
2013-6-16
Page:
3
SSL安全协议主要提供三方面的服务： 1.加密数据以隐藏被传送的数据。 2.维护数据的完整性，确保数据在传输的过程中 不被改变。 3.认证用户和服务器，使得它们确信数据将被发 送到正确的客户机和服务器上。 机密性 完整性
信息验证码 (message authenticat ion codes, MAC)
4. SET的含义是 ( B )
A．安全电子支付协议 B．安全电子交易协议 C．安全电子邮件协议 D．安全套接层协议 5. 关于SET协议，以下说法不正确的是（ B ） A. SET是“安全电子交易”的英文缩写 B. 属于网络对话层标准协议 C. 与SSL协议一起同时在被应用 D.规定了交易各方进行交易结算时的具体流程和安全控制 策略
SET安全支付协议 网上购物的异地支付流程
能收到货 吗？ 能收到钱 吗？ ① 协商 买方 ④ 发货 卖方
② 支付 密码 安全 吗？ 银行
③ 收帐
网上购物在异地支付过程存在的问题
持卡人希望在交易中保密自己的帐户信息使之不 被人盗用 商家则希望客户的定单不可抵赖 在交易过程中交易各方都希望验明其他方的身份
简答题
1.SET协议和SSL协议的主要区别是什么？ （1）SSL协议主要是在通信双方建立安全的通道， 保证信息传递的安全，而SET协议主要指针对信用 卡支付而开发的协议，实现较为复杂； （2）SET协议参与交易时，客户的订单信息和个人 账号相隔离，商家只能看到订单而看不到账号信 息，而SSL协议不能保证商家不阅读客户的账号信 息； （3）SET协议参与交易时，商家和持卡人可以相互 确定双方的身份，而SSL协议只有商家和银行对客 户身份的认证，缺少客户对商家的认证； （4）SET协议要求软件遵循相同的协议和报文格式， 是不同的软件与邮件融合得操作功能，并可以运 行在不同的软件和操作平台上。
身份认证
加密传输
数字证书认 证发送者和 接受者
特性
SSL协议使用通信双方的客户证书以及CA根证书， 允许客户/服务器应用以一种不能被偷听的方式 通信，在通信双方间建立起了一条安全的、可信 任的通信通道。
该协议使用密钥对传送数据加密，许多网站都是通过这 种协议从客户端接收信用卡编号等保密信息。它被认为是 安全的在线交易模式。
11．SSL协议可以插入到Internet的应用协议 中，它位于Internet TCP／IP协议的哪个协 议之上?（ A） A．TCP B.IP C．FTP D.HTTP
应用层 表示层 会话层 传输层 网络层 数据链路层 物理链路层
OSI/RM模型
应用层 传输层 网络层 数据链路层 物理链路层
TCP/IP协议模型
中国银行是国内第一家使用SET协议的金融机构
SET协议的作用
保障付款安全
确保支付信息的隐密性及完整性 提供持卡人、网络商家、支付网关的认证 定义所需要的算法及相关协定
提供一个开放的协议标准。规范协议和格式，促
使不同厂家开发的软件具有兼容性
第一阶段：支付申请阶段 支付网关是银行金融网络系统和Internet网 络之间的接口，是由银行操作的将Internet 第二阶段：身份认证阶段 上传输的数据转换为金融机构内部数据的一 SET协议交易流程 第三阶段：支付审核阶段 组服务器设备，或由指派的第三方处理商家 第四阶段：支付确认阶段 支付信息和顾客的支付指令。
单选题：
1. SET用户证书不包括( D )。 A.持卡人证书 B.商家证书 C.支付网关 D.企业证书 2．数字证书不包含以下哪部分信息（ D ）。 A. 用户公钥 B. 用户身份信息 C. CA签名 D. 工商或公安部门签章 3．电子商务安全协议SET主要用于（A ）。 A. 信用卡安全支付 B. 数据加密 B. 交易认证 D. 电子支票支付
返回

OSI/RM模型
国际标准化组织 ISO提出了开放系统互 联 参 考 模 型
OSI/RM(Open
System
Interconnection/
Reference Model) ，
应用层 表示层 会话层 传输层 网络层
数据链 路层 物理链 路层
Page:
关心网络中的 应用程序
关心原始数据 的传输
安全支付协议的发展
随着电子商务参与方的迅速增加，认证问题越 来越突出，SSL协议的缺点完全暴露出来。 SSL协议逐渐被新的SET协议所取代。
目前我国开发的电子支付系统，无论是中国银 行的长城卡电子支付系统，还是上海长途电信 局的网上支付系统，均没有采用SSL协议，主 要原因就是无法保证客户资金的安全性。
SSL的应用
许多网上的商店应用了SSL协议
许多电子交易中应用了SSL协议 中国目前多家银行均采用SSL协议，可以完成 实时支付，用的最多的就是招商银行一网通。
SSL当初并不是为支持电子商务而设计的，所以 在电子商务系统的应用中还存在很多弊端:
SSL是一个面向连接的协议，在涉及多方 的电子交易中，只能提供交易中客户与服 务器间的双方认证，而电子商务往往是客 户、网站、银行三家协作完成, SSL协议 并不能协调各方间的安全传输和信任关系； 购货时客户要输入通信地址，这样将可能 使得客户收到大量垃圾信件。
①
协商
持 卡 人
③ 订单
在 线 商 店
④ 请求
⑤ 请求
支付网关
⑨ 确认 认 证 认 证 ⑧ 确认
收单银行
⑦ 确 认
⑥ 审 核
⑩ 发货 认 证
认证中心
发卡银行
SET协议中的参与方
支付网关
买方 持卡人
卖方 在线商家
发卡银行 认证中心
收单银行
总结
SET协议每一步骤都通过数字证书验证对方身份，
保证持卡人和商家身份的合法性. 实现订单信息和个人帐号信息的分离，安全性很高。 协议复杂，数据处理时间较长，成本高
SSL协议和SET协议
SSL 安全协议
SSL协议是一种国际标准的加密及身份认证的 通信协议，最初由美国的Netscape公司为互联 网上保密文档传送而研究开发的，后来就成为 了Internet网上安全通信与交易的标准。
SSL协议是工作于网络会话层（Socket Layer） 的网络安全协议。
近年来，SSL的应用领域不断被拓 宽，许多在网络上传输的敏感信息(电 子商务、金融业wenku.baidu.com中的信用卡号或PIN 码等机密消息)都纷纷采用了SSL来进 行安全保护。
作为提出各种计算机
网络系统网络协议时 建 议遵守 的 基 本 模型 。
2013-6-16
36

OSI/RM模型-会话层 会话层协议允许不同计算机上的两个应用 程序建立、使用和结束会话连接，包括会话的 建立、会话的控制（例如允许信息双向传输或 某一时刻只能单向传输），以及结束会话连接 等。
返回
APPLICATION
HTTP/Telnet/SMTP/FTP
SSL
SSL
TCP
TCP
IP
IP
填空题
1．电子商务安全协议主要有( SSL )和( SET )两 个协议。 2．SSL协议由( 握手协议 )和( 消息加密协议 )两个 协议构成。
完
SSL协议运行的基点是商家对客户信息保密的承 诺。但在上述流程中SSL协议有利于商家而不利 于客户。客户的信息首先传到商家，商家阅读 后再传到银行，这样，客户资料的安全性便受 到威胁。
6.为网站和银行之间通过互联网传输结算卡结算信息提 供安全保证的协议是( B ) A. DES B. SET C. SMTP D. Email
7．下列选项中不属于Internet攻击类型的是 （D ） A．截断信息 B.伪造 C．纂改 D.磁盘损坏 8．下列选项中不属于VPN（虚拟专用网）的 优点的是( A ) A．传输速度快 B.网络结构灵活 C．管理简单 D.成本较低
1997年由美国Visa和MasterCard两大信用卡公司共同制定实施 SET主要是为了解决用户，商家，银行之间通过信用卡的交易
而设计的
是一种为基于信用卡而进行的电子交易提供安全措施的规则 它采用公钥密码体制和X.509数字证书标准
主要应用于BtoC模式中保障网上购物信息的安全性