图 1 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
, 电子商务基础与实操,
下页
万守付 主编
深圳信息职业技术学院
2005-11-08
第 3部分 电子商务安全
深圳信息职业技术学院, 电子商务基础, 课程组版权所有 图 2 下页
3.1 电子商务系统的安全要求
3.2 数据加密技术
3.3 认证技术
3.4 电子商务的安全交易标准
目 录
第 3部分 电子商务安全
深圳信息职业技术学院, 电子商务基础, 课程组版权所有 图 3
3.4 电子商务的安全交易标准
3.4.1 安全套接层协议 (SSL)
3.4.2 安全电子交易协议 (SET)
图 4 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
电子商务实施初期
采用的安全措施
部分告知 ( partial order) 。 在网上交易中将
最关键的数据, 如信用卡帐号及交易金额等略去,
然后再用电话告知, 以防泄密 。
另行确认 (order confirmation)。 在网上传输
交易信息之后, 再用电子邮件对交易进行确认,
才认为有效 。
在线服务 (online service)。 为了保证信息传
输的安全, 用企业提供的内部网来提供联机服务 。
图 5 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
3.4.1 安全套接层协议
?SSL (secure sockets layer)是由
Netscape 公司是由设计开发的,其
目的是通过在收发双方建立安全通道
来提高应用程序间交换数据的安全性,
从而实现浏览器和服务器(通常是
Web服务器)之间的安全通信。
图 6 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
? SSL是一种利用公共密钥技术的工业标准,
已经广泛用于 Internet,它使用的是 RSA数
字签名算法,可以支持 X.509证书和多种保
密密钥加密算法。
? 其运行机制是,在建立连接过程中采用公
共密钥 ; 在回话过程中采用专有密钥 ;加
密的类型和强度则在两端之间建立连接的
过程中判断决定。
图 7 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
1,SSL提供的基本服务功能
?信息保密 。 使用 公共密钥 和 对称密钥 技术实
现信息保密 。 SSL客户机和 SSL服务器之间的
所有业务都使用在 SSL握手过程中建立的密
钥和算法进行加密, 这样就防止了某些用户
进行非法窃听 。
?信息完整性 。 SSL利用机密共享和 Hash函数
组提供信息完整性服务 。
?相互认证 。 是客户机和服务器相互识别的过
程 。
图 8 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
图 9 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
2,SSL协议通信过程
?① 接通阶段:客户机呼叫服务器, 服
务器回应客户 。
?② 认证阶段,服务器向客户机发送服
务器证书和公钥 ; 如果服务器需要双
方认证, 还要向对方提出认证请求;
客户机用服务器公钥加密向服务器发
送自己的公钥, 并根据服务器是否需
要认证客户身份, 向服务器发送客户
端证书 。
图 10 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?③ 确立会话密钥阶段:客户和服务器
之间协议确立会话密钥 。
?④ 会话阶段:客户机与服务器使用会
话密钥加密交换会话信息 。
?⑤ 结束阶段:客户机与服务器交换结
束信息, 通信结束 。
图 11 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?凡是支持送 SSL协议的网页, 都会以
https://作为 URL的开头 。 客户在与
服务器进行 SSL会话中, 如果使用的
是微软的 IE浏览器, 可以在右下方状
态栏中看到一只金黄色的锁形安全标
志, 用鼠标双击该标志, 就会弹出服
务器证书信息 。
图 12 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?SSL的安全性服务对终端用户尽
可能透明 。
?与标准的 HTTP连接申请不同, 支
持 SSL的典型网络主机接收 SSL连
接的默认端口是 443。
图 13 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?当客户机连接该端口时, 首先初
始化握手协议, 建立一个 SSL对话
时段 。 握手结束后, 将对通信加
密, 并检查信息完整性, 直到这
个对话时段结束为止 。 每个 SSL对
话时段只发生一次握手 。
图 16 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
4,SSL协议的电子交易过程
图 17 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
交易过程的步骤
① 客户购买的信息首先发往商家;
② 商家再将信息转发银行;
③④ 银行验证客户信息的合法性后,
再通知客户和商家付款成功;
⑤ 商家再通知客户购买成功 。
图 18 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
当用于银行卡网上支付流程时的缺点
首先,客户的银行资料信息先送到商家,
让商家阅读,这样,客户银行资料的安全性就
得不到保证。
其次,SSL协议虽然提供了资料传递过程的
安全通道,但 SSL协议安全方面有 缺少数字签名
功能、没有授权和存取控制、多方互相认证困
难、不能抗抵赖、用户身份可能被冒充等弱点 。
图 19 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?(Secure Electronic Transaction,SET)
?背景:网上消费者发出的支付指令在由商户送到
支付网关之前,是在公用网上传送的,这一点与持
卡 POS消费者有着本质的不同。因此,在开放的网络
上处理交易,如何保证传输数据的安全成为电子商
务能否普及的最重要的因素之一,SET正是在这种需
求的推动下应运而生的。
?它是由 VISA和 MasterCard两大信用卡公司发起,
会同 IBM,Microsoft等信息产业巨头于 1997年 6月
正式制定发布的用于因特网事务处理的一种标准。
3.4.2 安全电子交易协议
图 20 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?SET协议是信用卡在因特网上进行支付的
一种开放式
?该标准采用 RSA公开密钥体制对通信双方
进行认证,采用 DES等对称加密体制加密要
传输的信息,并用数字摘要和数字签名技
术来鉴别信息的真伪及其完整性,包括了
信用卡在电子商务中的交易协定和信息保
密、信息完整、身份认证、数字签名等技
术,目前已经被广为认可而成了事实上的
国际通用的网上支付标准,其交易形态将
成为未来电子商务的规范。
图 21 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
1.SET协议的规范及功能
? ① 加密算法的应用 ( 例如 RSA和 DES) ;
? ② 证书信息和对象格式;
? ③ 购买信息和对象格式;
? ④ 认可信息和对象格式;
? ⑤ 划账信息和对象格式;
? ⑥ 对话实体之间信息的传输协议 。
图 22 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?SET协议交互操作是通过特定的协议和
信息格式设定的。 SET中包含多种协议,
每一协议用于处理一个事务的不同阶段,
通过复用公共密钥和私有密钥技术,单
个 SET事务最多可用六个不同的公共密
钥加密,从而实现了信息集成、全部金
融数据的证实和敏感数据的加密等工作。
图 23 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
SET为电子商务提供的功能
?① 信息保密性 。
?② 数据的完整性 。
?③ 提供交易者的身份认证和担保 。
?④ 互操作性 。
图 24 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
2.SET协议所涉及的角色
?① 持卡人 。
?② 网上商店 。
?③ 发卡银行 。
?④ 收单银行 。
?⑤ 支付网关 。
?⑥ CA认证中心 。
图 25 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
? 使用 SET的网上购物流程,
? ① 客户通过网络浏览器浏览在线商家的商品目录 。
? ② 选择要购买的商品;
? ③ 填写订单, 包括欲购商品名称, 规格, 数量,
交货时间及地点等信息 。 订单通过因特网发送给
商家, 商家进行应答, 并告知以上订单货物单价,
应付款数额和交货方式;
? ④ 消费者选择付款方式, 此时 SET开始介入 ;
3.应用 SET的购物流程
图 26 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
? ⑤ 消费者发送给商家一个完整的订单及其要求付款的指令 。
在 SET中, 订单和付款指令由消费者进行数字签名;同时
利用双重身份签名技术, 保证商家看不到消费者的账号信
息 。
? ⑥ 在线商家接受订单后, 向客户开户银行请求支付, 此信
息通过支付网关送达收单银行, 并进一步提交发卡银行确
认 。 确认批准后, 发卡银行返回确认信息, 经收单银行通
过支付网关发给在线商家;
? ⑦ 在线商家发送订单确认信息给客户, 客户端记录交易日
志, 以备日后查考;
? ⑧ 在线商家发送商品或提供服务, 并通知收单银行将货款
从客户账号转移到商家账号, 或通知发卡银行请求支付 。
图 27 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
4.SET标准的应用与局限性
SET 1.0版自 1997年推出以来推广应用较慢,
没有达到预期的效果。
最大的挑战在于定期进行网上购物的消费者
极少,原因主要是 SET协议为了保证安全性而牺牲
了简便性、操作过于复杂、成本较高、具有较大
竞争力的 SSL协议的广泛应用 以及 部分经济发达国
家的法律规定了持卡人承担较低的信用卡风险 等。
SET协议提供了多层次安全保障,复杂程度显著增
加;这些安全环节在一定程度上增加了交易的复
杂性。
图 28 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
图 29 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?另外, SET协议目前只局限于银行卡的
网上支付, 对其他方式的支付没有给
出很好的解决方案 。 SET协议只支持
B2C模式的电子商务, 而不支持目前最
具有前途和影响力的 B2B电子商务交易 。
?SET由于其高度的安全性和规范性, 使
其逐步发展成为目前安全电子支付的
国际标准 。
图 30 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
谢谢观赏!
深圳信息职业技术学院
2006-02-05
制作人:万守付
, 电子商务基础与实操,
下页
万守付 主编
深圳信息职业技术学院
2005-11-08
第 3部分 电子商务安全
深圳信息职业技术学院, 电子商务基础, 课程组版权所有 图 2 下页
3.1 电子商务系统的安全要求
3.2 数据加密技术
3.3 认证技术
3.4 电子商务的安全交易标准
目 录
第 3部分 电子商务安全
深圳信息职业技术学院, 电子商务基础, 课程组版权所有 图 3
3.4 电子商务的安全交易标准
3.4.1 安全套接层协议 (SSL)
3.4.2 安全电子交易协议 (SET)
图 4 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
电子商务实施初期
采用的安全措施
部分告知 ( partial order) 。 在网上交易中将
最关键的数据, 如信用卡帐号及交易金额等略去,
然后再用电话告知, 以防泄密 。
另行确认 (order confirmation)。 在网上传输
交易信息之后, 再用电子邮件对交易进行确认,
才认为有效 。
在线服务 (online service)。 为了保证信息传
输的安全, 用企业提供的内部网来提供联机服务 。
图 5 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
3.4.1 安全套接层协议
?SSL (secure sockets layer)是由
Netscape 公司是由设计开发的,其
目的是通过在收发双方建立安全通道
来提高应用程序间交换数据的安全性,
从而实现浏览器和服务器(通常是
Web服务器)之间的安全通信。
图 6 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
? SSL是一种利用公共密钥技术的工业标准,
已经广泛用于 Internet,它使用的是 RSA数
字签名算法,可以支持 X.509证书和多种保
密密钥加密算法。
? 其运行机制是,在建立连接过程中采用公
共密钥 ; 在回话过程中采用专有密钥 ;加
密的类型和强度则在两端之间建立连接的
过程中判断决定。
图 7 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
1,SSL提供的基本服务功能
?信息保密 。 使用 公共密钥 和 对称密钥 技术实
现信息保密 。 SSL客户机和 SSL服务器之间的
所有业务都使用在 SSL握手过程中建立的密
钥和算法进行加密, 这样就防止了某些用户
进行非法窃听 。
?信息完整性 。 SSL利用机密共享和 Hash函数
组提供信息完整性服务 。
?相互认证 。 是客户机和服务器相互识别的过
程 。
图 8 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
图 9 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
2,SSL协议通信过程
?① 接通阶段:客户机呼叫服务器, 服
务器回应客户 。
?② 认证阶段,服务器向客户机发送服
务器证书和公钥 ; 如果服务器需要双
方认证, 还要向对方提出认证请求;
客户机用服务器公钥加密向服务器发
送自己的公钥, 并根据服务器是否需
要认证客户身份, 向服务器发送客户
端证书 。
图 10 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?③ 确立会话密钥阶段:客户和服务器
之间协议确立会话密钥 。
?④ 会话阶段:客户机与服务器使用会
话密钥加密交换会话信息 。
?⑤ 结束阶段:客户机与服务器交换结
束信息, 通信结束 。
图 11 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?凡是支持送 SSL协议的网页, 都会以
https://作为 URL的开头 。 客户在与
服务器进行 SSL会话中, 如果使用的
是微软的 IE浏览器, 可以在右下方状
态栏中看到一只金黄色的锁形安全标
志, 用鼠标双击该标志, 就会弹出服
务器证书信息 。
图 12 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?SSL的安全性服务对终端用户尽
可能透明 。
?与标准的 HTTP连接申请不同, 支
持 SSL的典型网络主机接收 SSL连
接的默认端口是 443。
图 13 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?当客户机连接该端口时, 首先初
始化握手协议, 建立一个 SSL对话
时段 。 握手结束后, 将对通信加
密, 并检查信息完整性, 直到这
个对话时段结束为止 。 每个 SSL对
话时段只发生一次握手 。
图 16 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
4,SSL协议的电子交易过程
图 17 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
交易过程的步骤
① 客户购买的信息首先发往商家;
② 商家再将信息转发银行;
③④ 银行验证客户信息的合法性后,
再通知客户和商家付款成功;
⑤ 商家再通知客户购买成功 。
图 18 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
当用于银行卡网上支付流程时的缺点
首先,客户的银行资料信息先送到商家,
让商家阅读,这样,客户银行资料的安全性就
得不到保证。
其次,SSL协议虽然提供了资料传递过程的
安全通道,但 SSL协议安全方面有 缺少数字签名
功能、没有授权和存取控制、多方互相认证困
难、不能抗抵赖、用户身份可能被冒充等弱点 。
图 19 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?(Secure Electronic Transaction,SET)
?背景:网上消费者发出的支付指令在由商户送到
支付网关之前,是在公用网上传送的,这一点与持
卡 POS消费者有着本质的不同。因此,在开放的网络
上处理交易,如何保证传输数据的安全成为电子商
务能否普及的最重要的因素之一,SET正是在这种需
求的推动下应运而生的。
?它是由 VISA和 MasterCard两大信用卡公司发起,
会同 IBM,Microsoft等信息产业巨头于 1997年 6月
正式制定发布的用于因特网事务处理的一种标准。
3.4.2 安全电子交易协议
图 20 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?SET协议是信用卡在因特网上进行支付的
一种开放式
?该标准采用 RSA公开密钥体制对通信双方
进行认证,采用 DES等对称加密体制加密要
传输的信息,并用数字摘要和数字签名技
术来鉴别信息的真伪及其完整性,包括了
信用卡在电子商务中的交易协定和信息保
密、信息完整、身份认证、数字签名等技
术,目前已经被广为认可而成了事实上的
国际通用的网上支付标准,其交易形态将
成为未来电子商务的规范。
图 21 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
1.SET协议的规范及功能
? ① 加密算法的应用 ( 例如 RSA和 DES) ;
? ② 证书信息和对象格式;
? ③ 购买信息和对象格式;
? ④ 认可信息和对象格式;
? ⑤ 划账信息和对象格式;
? ⑥ 对话实体之间信息的传输协议 。
图 22 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?SET协议交互操作是通过特定的协议和
信息格式设定的。 SET中包含多种协议,
每一协议用于处理一个事务的不同阶段,
通过复用公共密钥和私有密钥技术,单
个 SET事务最多可用六个不同的公共密
钥加密,从而实现了信息集成、全部金
融数据的证实和敏感数据的加密等工作。
图 23 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
SET为电子商务提供的功能
?① 信息保密性 。
?② 数据的完整性 。
?③ 提供交易者的身份认证和担保 。
?④ 互操作性 。
图 24 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
2.SET协议所涉及的角色
?① 持卡人 。
?② 网上商店 。
?③ 发卡银行 。
?④ 收单银行 。
?⑤ 支付网关 。
?⑥ CA认证中心 。
图 25 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
? 使用 SET的网上购物流程,
? ① 客户通过网络浏览器浏览在线商家的商品目录 。
? ② 选择要购买的商品;
? ③ 填写订单, 包括欲购商品名称, 规格, 数量,
交货时间及地点等信息 。 订单通过因特网发送给
商家, 商家进行应答, 并告知以上订单货物单价,
应付款数额和交货方式;
? ④ 消费者选择付款方式, 此时 SET开始介入 ;
3.应用 SET的购物流程
图 26 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
? ⑤ 消费者发送给商家一个完整的订单及其要求付款的指令 。
在 SET中, 订单和付款指令由消费者进行数字签名;同时
利用双重身份签名技术, 保证商家看不到消费者的账号信
息 。
? ⑥ 在线商家接受订单后, 向客户开户银行请求支付, 此信
息通过支付网关送达收单银行, 并进一步提交发卡银行确
认 。 确认批准后, 发卡银行返回确认信息, 经收单银行通
过支付网关发给在线商家;
? ⑦ 在线商家发送订单确认信息给客户, 客户端记录交易日
志, 以备日后查考;
? ⑧ 在线商家发送商品或提供服务, 并通知收单银行将货款
从客户账号转移到商家账号, 或通知发卡银行请求支付 。
图 27 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
4.SET标准的应用与局限性
SET 1.0版自 1997年推出以来推广应用较慢,
没有达到预期的效果。
最大的挑战在于定期进行网上购物的消费者
极少,原因主要是 SET协议为了保证安全性而牺牲
了简便性、操作过于复杂、成本较高、具有较大
竞争力的 SSL协议的广泛应用 以及 部分经济发达国
家的法律规定了持卡人承担较低的信用卡风险 等。
SET协议提供了多层次安全保障,复杂程度显著增
加;这些安全环节在一定程度上增加了交易的复
杂性。
图 28 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
图 29 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
?另外, SET协议目前只局限于银行卡的
网上支付, 对其他方式的支付没有给
出很好的解决方案 。 SET协议只支持
B2C模式的电子商务, 而不支持目前最
具有前途和影响力的 B2B电子商务交易 。
?SET由于其高度的安全性和规范性, 使
其逐步发展成为目前安全电子支付的
国际标准 。
图 30 深圳信息职业技术学院, 电子商务基础, 课程组版权所有
谢谢观赏!
深圳信息职业技术学院
2006-02-05
制作人:万守付
