电子商务安全协议

4. SET软件的组件 SET系统的动作是通过4个软件来完成的， 包括电子钱包、商店服务器、支付网关 和认证中心软件.
2011-6-17
网络安全技术
10
小 结
本章主要介绍了电子商务的安全问题， 由此产生了电子商务安全需求。着重介 绍了保障电子商务安全的技术协议SSL与 SET。
2011源自文库6-17
2011-6-17 网络安全技术 8
3. SET的技术范围 SET的技术范围包括以下几方面。 (1) 加密算法。 (2) 证书信息和对象格式。 (3) 购买信息和对象格式。 (4) 认可信息和对象格式。 (5) 划账信息和对象格式。 (6) 对话实体之间消息的传输协议。
2011-6-17 网络安全技术 9
2011-6-17
网络安全技术
6
SET是一种以信用卡为基础的、在因 特网上交易的付款协议书，是授权 业务信息传输安全的标准，它采用 RSA密码算法，利用公钥体系对通 信双方进行认证，用DES等标准加密 算法对信息加密传输，并用散列函 数来鉴别信息的完整性。 在SET的交易环境中，比现实社会中 多一个电子商务的安全性认证中 心——电子商务的安全性CA参与其 中，在SET交易中认证是很关键的。
2011-6-17 网络安全技术 5
SET——提供安全的电子商务数据交换 提供安全的电子商务数据交换
对安全有非常高的要求敏感的部门，SSL 安全协议有缺点，不足以担此重任。 提出了有重大实用价值和深远影响的安 全电子交易 (Secure Electronic Transaction， SET) 。SET协议得到了许多大公司的支 持，已成为事实上的工业标准。
电子商务安全协议
本章要点：
电子商务的SSL协议 电子商务SET协议
2011-6-17
网络安全技术
1
SSL——提供网上购物安全的协议 提供网上购物安全的协议
安全套接层(Secure Sockets Layer，SSL)是一种 传输层技术，可以实现兼容浏览器和服务器之 间的安全通信。SSL协议是目前网上购物网站 中常使用的一种安全协议。 所谓SSL就是在和另一方通信前先讲好的一套 方法，这个方法能够在它们之间建立一个电子 商务的安全性秘密信道，确保电子商务的安全 性，凡是不希望被别人看到的机密数据，都可 通过这个秘密信道传送给对方，即使通过公共 线路传输，也不必担心别人的偷窥。
2011-6-17 网络安全技术 2
SSL标准主要提供了3种服务：数据加密服务、 认证服务与数据完整性服务。 1.数据加密服务：采用的是对称加密技术与公开 密钥加密技术。 2.认证服务：SSL客户机与服务器都有各自的识 别号，这些识别号使用公开密钥进行加密。 3.数据完整性服务：采用哈希函数和机密共享的 方法提供完整信息性的服务，在客户机与服务 器之间建立安全通道，以保证数据在传输中完 整地到达目的地。
2011-6-17 网络安全技术 7
1. SET的主要目标 (1) 信息传输的安全性：信息在因特网上安 全传输，保证不被外部或内部窃取。 (2) 信息的相互隔离：订单信息和个人账号 信息的隔离。 (3) 多方认证的解决：①要对消费者的信用 卡认证；②要对网上商店进行认证；③消 费者、商店与银行之间的认证。 (4) 效仿EDI贸易形式，要求软件遵循相同协 议和报文格式，使不同厂家开发的软件具 有兼容和互操作功能。 (5) 交易的实时性：所有的支付过程都是在 线的。
网络安全技术
11
2011-6-17 网络安全技术 3
SSL标准的工作流程主要包括以下几步： 1.SSL客户机向SSL服务器发出连接建立请求，SSL服 务器响应SSL客户机的请求； 2.SSL客户机与SSL服务器交换双方认可的密码，一般 采用的加密算法是RSA算法； 3.检验SSL服务器得到的密码是否正确，并验证SSL客 户机的可信程度；SSL客户机与SSL服务器交换结束的 信息。
(1)要求进行身份认证
(2)同意进行认证 A (3)互相确认身份 B
(4)核查身份 确认无误
2011-6-17 网络安全技术 4
SSL安全协议也有它的缺点，主要有：不 能自动更新证书；认证机构编码困难； 浏览器的口令具有随意性；不能自动检 测证书撤销表；用户的密钥信息在服务 器上是以明文方式存储的。客户的数据 都完全暴露在商家的面前。 但因操作容易，成本低，而且又在不断 改进，所以在欧美的商业网站上的应用 是较广泛的。