Transcript 理论基础
第7章 电子交易支付安全 第1节 电子支付协议概述 第2节 安全通信协议SSL 第3节 安全电子交易协议SET 本章小结 本章知识目标 1.掌握什么是电子支付协议,了解常见 的几种电子支付协议的类型。 2.理解什么是安全通信协议SSL,并掌 握其作用和工作原理。 3.理解什么是安全电子交易协议SET, 并掌握其作用和工作原理。 4.理解并且掌握SSL协议与SET协议的区 别。 本章能力目标 1.具备运用SSL协议加密Web的能力。 2.具备运用PGP加密及签名的能力。 3.具备运用IPSec加密数的能力。 4.掌握电子支付的原理及流程,并能用 银行卡进行电子支付。 第1节 电子支付协议概述 理论基础 一、类似于电子货币转拨的系统 二、类似于支付指令的系统 三、其他相关协议 实践操作 理论基础 电子支付协议是指在电子交易过程中实 现交易各方支付信息正确、安全、保密地进 行网络通信的规范和约定,它是一种特殊的 安全协议。 一、类似于电子货币转拨的系统 电子货币转拨(EFT)是一种授权给消费 者,可以从银行账户或信用卡中提取一定量 的电子货币,并把电子货币保存在一张卡 (如智能卡)或是硬件中某部分(如一台PC 或个人数字助理PDA)的支付机制。 1.电子现金 2.小额支付 3.智能卡 二、类似于支付指令的系统 支付指令是指启动支付的口头或书面命令。 1.信用卡 2.银行转拨 三、其他相关协议 JEPI典型的用法是在购物完成和开始真 正的支付之前,在客户浏览器和商家服务器 之间提供一种消费者和商家协商能够共同接 受的支付机制、支付协议和传输方式(信用 卡、借记卡、电子支票、电子现金以及所使 用的协议等)的策略,以保证交易能继续下 去。 第2节 身份认证 理论基础 一、SSL协议的作用 二、SSL协议的目标 三、SSL协议的主要组成 四、SSL的工作原理 五、SSL协议的安全性分析 实践操作 理论基础 安全通信协议SSL(Secure Sockets Layer)最先是由著名的Netscape公司开发的, 现在被广泛用于Internet上的身份认证与Web 服务器和用户端浏览器之间的数据安全通信。 一、SSL协议的作用 SSL是提供Internet上的通信隐私性的安 全协议。 该协议允许客户端/服务器应用之间进行 防窃听、防消息篡改及防消息伪造的安全通 信。 SSL标准的关键是要解决以下几个问题。 二、SSL协议的目标 (1)在通信双方之间利用加密的SSL消 息建立安全的连接。 (2)互操作性。 (3)可扩展性。 三、SSL协议的主要组成 HTTP FTP Telnet SSL 握手协议 SSL 记录协议 TCP UDP IP 图7-10 SSL协议的组成及其在TCP/IP中的位置 1.记录协议 2.握手协议 四、SSL的工作原理 SSL采用TCP作为传输协议,提供数据的 可靠传送和接收。 五、SSL协议的安全性分析 1.SSL安全优势 2.SSL协议存在的问题 第3节 PKI基础 理论基础 一、SET协议的主要目标及组成 二、SET提供的服务 三、SET的交易流程 四、SET的安全性分析 五、SET的改进 实践操作1 实践操作2 理论基础 一、SET协议的主要目标及组成 1.SET协议的目标 (1)防止数据被非法用户窃取,保证信 息在互联网上安全传输。 (2)SET中使用了一种双签名技术,保 证电子商务参与者信息的相互隔离。 客户的资料加密后通过商家到达银行, 但是商家不能看到客户的账户和密码信息。 (3)解决多方认证问题,不仅对客户 的信用卡认证,而且要对在线商家认证,实 现客户、商家和银行间的相互认证。 (4)保证网上交易的实时性,使所有 的支付过程都是在线的。 (5)提供一个开放式的标准,规范协 议和消息格式,促使不同厂家开发的软件具 有兼容性和互操作功能,可在不同的软硬件 平台上执行并被全球广泛接受。 2.SET协议的组成 二、SET提供的服务 1.保证客户交易信息的保密性和完整性 2.确保商家和客户交易行为的不可否认性 3.确保商家和客户的合法性 三、SET的交易流程 图7-25 SET交易流程图 四、SET的安全性分析 1.采用公钥加密和私钥加密相结合的办 法保证数据的保密性 2.采用信息摘要技术保证信息的完整性 3.采用双重签名技术保证交易双方的身 份认证 五、SET的改进 1.引入商品质量检测机制保证商品质量 2.引进商品质量检测机制后SET的交易流程 本章小结 本章主要介绍了电子商务相关的两种安全在线支 付协议,即安全套接层SSL协议和安全电子交易SET协 议。 SSL协议实现简单,独立于应用层协议,大部分内 置于浏览器和Web服务器中,在电子交易中应用便利。 但它是一个面向连接的协议,只能提供交易中客 户与服务器间的双方认证,不能在多方的电子交易中 实现。 SET在保留对客户信用卡认证的前提下增加了对商 家身份的认证,安全性进一步提高。 在实践中应根据具体情况选择独立使用或两者混 合使用。