姓名赵平学号S3006043.ppt

姓 名：赵 平 学 号：S310060143,指导导师：马春光,电子商务安全技术 Introduction of Electronic Business,国外 2000年2月7日9日，Yahoo, ebay, Amazon 等著名网站被黑客攻击，直接和间接损失10亿美元。 国内 2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。,案 例,前言 随着互联网的普及，基于互联网的电子商务得到了长足的发展，成为一种全新的商务模式，被许多经济专家认为是新的经济增长点。但由于电子商务是以网络为基础的，而互联网络具有开放性和无时空性的特点，使得电子商务交易平台具有虚拟和匿名的特性，这就为网络犯罪和电子欺诈提供了温床，所以电子商务安全体系的构建就显得尤为重要。,电子商务系统介绍,一、电子商务的概念,电子商务：是指利用简单、快捷、低成本的电子或网络通信方式进行各种商贸活动，在这类活动中，购买者不用去商家所在地现场购物，买卖双方不见面。 电子支付（e-payment）： 指电子交易的当事人，包括消费者、厂商和金融机构，通过电子信息化的手段实现交易中货币支付或资金流转的过程。 电子支付的形式 第一阶段：银行利用计算机 第三阶段：网络终端 、ATM 第四阶段 ：销售点终端（POS） 第五阶段 ：互联网络,二、电子商务安全隐患与类型,安全隐患 在网络传输过程中信息被截获 传输的文件可能被篡改篡改、插入、删除 伪造电子邮件伪造商家网站或消费者 假冒他人身份 （1）假冒他人身份（2）冒充他人消费（3）冒充主机欺骗合法主机及合法用户（4）冒充网络控制程序（5）接管合法用户 不承认或者抵赖已经做过的交易 （1）发信者抵赖（2）收信者抵赖（3）购买者抵赖（4）商家抵赖,三、电子商务的基本要求,信息的保密性 信息的完整性 交易者身份的真实性 不可抵赖性 系统的可靠性,电子支付协议 （SET协议）,电子支付协议,指约束电子商务交易双方支付过程及行为的标准、规范的集合。简而言之，电子支付协议就是参与支付的各个实体（例如买卖方、网络银行等）的行为准则。 电子支付协议必须保证：网上交易的机密性、数据完整性、身份的合法性和抗否认性,电子支付协议,目前，国内外使用的保障电子商务支付系统安全的协议包括： SSL (Secure Socket Layer 安全套按字层) SET (Secure Electronic Transaction安全电子交易) 等协议标准。,SSL与SET,SSL协议自身具有缺陷性，基于SSL协议的支付系统直接将卡号传给商家会导致：卡号在传输中可能被截取或盗用；由于没有进行数字签名，消费者和商家可能会互相抵赖。 为了避免SSL支付的缺点，堵住安全漏洞，Visa和Mastercard国际组织联合Netscape、Microsoft和GTE等公司，于1997年6月1日正式推出了一种新的电子支付模式基于SET (Secure Electronic Transaction 安全电子交易)协议的支付模式。 由于设计合理，SET协议得到了许多大公司和消费者的支持，己成为全球网络的工业标准，其交易形态将成为未来“电子商务”的规范。,SET协议 （Secure Electronic Transaction）,SET协议主要使用的技术包括： 对称密钥加密 公共密钥加密、 哈希（HASH）算法 数字签名技术 公共密钥授权机制等。 SET协议涉及的对象 消费者 在线商店 收单银行 电子货币发行机构 认证中心(CA),基于SET协议的支付系统结构,CA：认证中心 CA在电子支付中的作用 作为可信的第三方，承担网上电子交易认证服务，在SET体系中起着关键的作用。在实际运作中有着严格的认证体系，提供三个基本服务：证书发行，证书更新，证书撤销。 CA的层次结构,发卡行：金融机构，负责为持卡人建立卡号并发行支付卡。发卡行确保合法交易经过验证并履行后根据支付卡品牌向商户所在获款行付款。 支付网关：位于Internet和传统银行专网之间，作用是安全连接Internet和专网。主要完成通信、协议转换和数据加解密功能。,基于SET协议的电子商务支付系统包括 五个软件包：,签发证书软件 在CA认证中心的计算机上运行，功能为：签发数字身份证书、管理已签发证书、定期更新密钥、公布自己的公开密钥。 支付网关软件 在收单行的计算机上运行功能为：接受付款书、验证付款书、于发卡行联系，进行转帐、管理和记录付款书、申请自己的证书、密钥并进行管理。 电子钱包软件 在消费者的计算机上运行，功能为：显示交易协议、处理交易协议、记录和管理交易协议、申请自己的证书、密钥并进行管理。 电子收银台软件 在商家的计算机上运行，功能为：接受交易协议，并用私钥签字后称为付款书、将付款书进到支付网关、管理和记录交易协议和付款书、申请自己的证书、密钥并进行管理。 网络商场 在ISP或商家管理的Web站点的计算机上运行，功能为：展示商品、提供辅助购物手段、启动消费者的电子钱包软件。,SET协议规定的工作流程,分以下3个阶段： (1)在购买请求阶段，持卡人选购商品，确定支付方式，向商家发送购货单和一份经过签名、加密的信托书书中的信用卡号是经过加密的，商家无从得知 (2)在支付确认阶段，商家把信托书传送到收单银行，收单银行可以解密信用卡号，并通过认证验证签名；收单银行向发卡银行查问，确认持卡人的信用卡是否属实；属实则发卡银行认可并签证该笔交易，收单银行认可商家并签证此交易；最后商家向客户传送货物和收据； (3)在收款阶段，交易成功，商家向收单银行出示所有交易的细节索款，收单银行按合同将货款划给商家；发卡银行向用户定期寄去信用卡消费账单,SET协议在一般使用环境下的工作步骤,持卡人利用电子商务平台选定物品，并提交定单； 商家接收定单，生成初始应答消息，数字签名后与商家证书、支付网关证书一起发送给持卡人； 持卡人对应答信息进行处理，选择支付方式，确认定单，签发付款指令，将定单信息和支付信息进行双签名，它对双签名后的信息和用支付网关公钥加密的支付信息签名后连同自己的证书发送给商家(商家看不到持卡人的帐号信息)； 商家验证持卡人证书和双签名后，生成支付认可请求，并连同加密的支付信息转发给支付网关； 支付网关通过金融专网到发卡行验证持卡人的帐号信息，并生成支付认可消息，数字签名后发给商家； 商家收到支付认可消息后，验证支付网关的数字签名，生成购买定单确认信息发送给持卡人；至此交易过程结束商家发送货物或提供服务并请求支付网关将购物款从发卡银行持卡人的帐号转账到收单银行商家帐号，支付网关通过金融专网完成转账后，生成取款应答消息发送给商家 SET对处理过程中的通信协议、请求信息的格式、数据类型的定义等都有明确的规定，以维护在任何开放网络上的电子商务参与者所提供信息的真实性和保密性,SET协议的安全性分析与总结,SET协议主要通过使用密码技术和数字证书方式来保证信息的机密性和安全性，它实现了电子交易的数据完整性、机密性、身份的合法性和不可否认性。,SET安全性分析,数据完整性(Data Integrity) SET协议通过使用Hash函数来保证数据完整性。报文发送后，Hash函数将为之产生一个惟一的报文摘要值，一旦报文中包含的数据被篡改，该值就会改变，从而被检测到，这样就保证了信息的完整性。,SET安全性分析,机密性(Confidentiality) 在SET协议下，客户将支付信息和订单信息进行双重签名商家解密后得到订单信息，银行解密后得到支付信息，从而避免了商家访问客户的支付信息。,SET安全性分析,身份验证 身份认证，是电子商务中非常重要的环节，SET协议使用数字证书（其认证过程使用RSA和DES算法）来确认商家、持卡客户、受卡行和支付网关的身份，为网上交易提供了一个完整的可信赖的环境。,SET安全性分析,不可否认性 SET协议中数字证书的发布过程也包含了商家和客户在交易中存在的信息，因此，如果客户发出了一个商品的订单，在收到货物后它不能否认发出这个订单，同样，商家以后也不能否认收到过这个订单。,总结,SET协议位于网络的应用层中，安全性较好，是实现安全电子交易的重要保障，它规范了整个商务活动的流程，制定了严格的加密和认证标准，已经成为网上交易安全通信协定的产业标准。但也存在着一些缺陷，如： SET涉及的交易参与主体较多，从而导致协议比较复杂，使用成本高； 要求安装的软件包过多，还要求必须向各方发放证书； 其安全性在某些方面还存在着一些缺陷。 这些都是需要研究和改进的地方。,