《电子商务安全第7章电子教案.ppt》由会员分享,可在线阅读,更多相关《电子商务安全第7章电子教案.ppt(40页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、电子商务安全第7章第第7章安全电子支付协议章安全电子支付协议7.1安全电子交易协议安全电子交易协议SET 在在开开放放的的Internet网网络络上上进进行行电电子子商商务务,技技术术关关键键问问题有:信息的准确性和安全性。题有:信息的准确性和安全性。前前者者是是各各种种网网络络协协议议已已经经解解决决了了的的问问题题,后后者者则则是是目目前学术界、工商界和消费者最为关心的问题。前学术界、工商界和消费者最为关心的问题。1996年年提提出出了了基基于于安安全全数数据据交交换换的的SET、SEPP等等协协议模式。议模式。安安全全电电子子交交易易协协议议(SET)主主要要通通过过使使用用多多种种密密
2、码码技技术术对对交交易易数数据据及及支支付付信信息息进进行行加加密密,以以保保证证信信息息的的保保密密性性,并并使使用用数数字字证证书书来来验验证证参参与与交交易易各各方方的的身身份份,因因而而保保护护了了在在Internet上上进进行行交交易易的的各各方方,包包括括持持卡卡人人、商商家家、银银行行等的安全。等的安全。7.1.1SET协议的功能协议的功能 SET的的核核心心技技术术主主要要采采用用了了公公开开密密钥钥体体制制加加密密、数数字字签签名名、电电子子证证书书等等。其其交交易易分分为为三三个个阶阶段段进行:进行:第第一一阶阶段段,在在购购买买请请求求阶阶段段,持持卡卡人人与与商商家家确
3、确定定所所用用支付方式的细节支付方式的细节第第二二阶阶段段,在在支支付付的的认认定定阶阶段段,商商家家会会与与银银行行核核实实,随着交易的进行,他们将得到付款随着交易的进行,他们将得到付款第第三三阶阶段段,在在受受款款阶阶段段,商商家家向向银银行行出出示示所所有有交交易易的的细节,然后银行以适当方式转移货款细节,然后银行以适当方式转移货款 SET协议的功能协议的功能 SET是是基基于于可可信信的的第第三三方方认认证证中中心心的的方方案案,它要实现的主要目标是:它要实现的主要目标是:保障付款安全保障付款安全确保应用的互通性确保应用的互通性达到全球市场的接受性达到全球市场的接受性 SET协协议议保
4、保证证了了电电子子交交易易的的机机密密性性、数数据完整性、身份的合法性和不可否认性。据完整性、身份的合法性和不可否认性。7.1.2SET协议的模型协议的模型 SET协议的支付模型协议的支付模型7.1.3SET协议的组件协议的组件 SET的组件:的组件:电子钱包电子钱包(Electronic Wallet)商店服务器商店服务器(Merchant Server)支付网关支付网关(Payment Gateway)认证中心认证中心(Certification Authority,CA)简单的简单的SET交易系统示意图交易系统示意图7.2.1和和SET有关的密码技术有关的密码技术 SET的的加加密密过过
5、程程使使用用了了对对称称密密钥钥体体制制)和和公公开开密密钥钥密密码体制码体制(非对称密钥体制非对称密钥体制)。SET依依靠靠密密码码系系统统来来保保证证消消息息的的可可靠靠传传输输,在在SET中中使使用用随随机机生生成成的的对对称称密密钥钥来来加加密密数数据据,然然后后将将此此对对称称密密钥钥用用接接收收者者的的公公开开密密钥钥加加密密,称称为为消消息息的的“数数字字信信封封”由由于于公公开开密密钥钥和和秘秘密密密密钥钥之之间间存存在在一一定定的的关关系系,使使用用其其中中一一个个密密钥钥加加密密的的数数据据只只能能用用另另一一个个密密钥钥解解开开,发发送送者者用用自自己己的的秘秘密密密密钥
6、钥加加密密数数据据给给接接收收者者,接接收收者者用用发发送送者者的的公公开开密密钥钥解解开开数数据据后后,就就可可确确定定消消息息来来自自于于哪哪一一个发送者。相当于信息被签名了,称为数字签名。个发送者。相当于信息被签名了,称为数字签名。7.2SET的加密技术和认证技术的加密技术和认证技术 7.2.1和和SET有关的密码技术有关的密码技术 消息摘要惟一对应一个消息或文本的值,消息摘要惟一对应一个消息或文本的值,由一个单向由一个单向Hash函数对消息进行运算产生。函数对消息进行运算产生。用发送者的秘密密钥加密摘要附在原文后用发送者的秘密密钥加密摘要附在原文后面,如果消息在途中被篡改,则接收者通过
7、将面,如果消息在途中被篡改,则接收者通过将收到的消息重新进行计算所产生的摘要与原摘收到的消息重新进行计算所产生的摘要与原摘要就会不一致,就可以知道消息是否被篡改,要就会不一致,就可以知道消息是否被篡改,消息摘要保证了消息的完整性。消息摘要保证了消息的完整性。7.2.2SET的加密和解密流程的加密和解密流程 SET协协议议的的加加密密方方法法分分为为加加密密流流程程和和解解密密流流程两个部分。程两个部分。7.2.2SET的加密和解密流程的加密和解密流程 发送方的加密流程发送方的加密流程 7.2.2SET的加密和解密流程的加密和解密流程 接收方的解密流程接收方的解密流程 7.2.3SET的认证技术
8、的认证技术 对对用用户户的的网网络络身身份份的的鉴鉴别别称称为为认认证证,其其主主要要目目的的在在于于确确认认使使用用者者就就是是其其所所声声称称的的对象。对象。一一种种可可行行的的解解决决办办法法是是由由一一个个大大家家都都相相信信的的第第三三方方来来验验证证它它所所声声称称的的对对象象,这这样样的第三方就是认证中心。的第三方就是认证中心。7.2.3SET的认证技术的认证技术 (1)证书)证书 在在网网上上交交易易时时,需需要要向向对对方方提提交交一一个个由由CA签签发发的的包包含含个个人人身身份份的的证证书书,证证书书包包含含了了个个人人的的名名字字和和他他的的公公开开密密钥钥,以以此此作
9、作为为网网上上证证明明自自己己身身份份的的依依据据。SET规规范范的的证书:证书:持卡人证书持卡人证书(Cardholder certificates)持持卡卡人人证证书书代代表表持持卡卡人人合合法法拥拥有有支支付付卡卡,是是由由金金融融机机构构数数字字签签名名的的,不不能能由由其其他他第第三三方方产产生生。持持卡卡人人证证书书不包括账号和过期日期,代替账户信息的是一个秘密值不包括账号和过期日期,代替账户信息的是一个秘密值 商家证书商家证书(Merchant certificates)商商家家证证书书表表示示商商家家能能够够接接收收该该支支付付卡卡的的消消费费,是是由由商商家家的的金金融融机机
10、构构数数字字签签名名的的。特特约约商商家家证证书书不不能能由由其其它它第三方发行,只能由金融机构产生。第三方发行,只能由金融机构产生。支付网关证书支付网关证书(Payment gateway certificates)支支付付网网关关证证书书由由收收单单行行或或收收单单行行的的处处理理系系统统拥拥有有,持持卡卡人人从从支支付付网网关关证证书书得得到到公公开开密密钥钥来来加加密密保保护护持持卡卡人人的的账账户户信信息息,保保证证只只有收单行才能看到持卡人的账户信息。有收单行才能看到持卡人的账户信息。支付网关证书由支付卡品牌的收单行发行。支付网关证书由支付卡品牌的收单行发行。收单银行证书收单银行证
11、书(Acquirer certificates)一一个个收收单单行行必必须须拥拥有有证证书书才才能能使使一一个个CA接接收收和和处处理理商商家家从从公公共共和和专专用用网网络络发发出出的的证证书书请请求求。让让支支付付卡卡品品牌牌来来代代理理处处理理证证书书请请求求的的收单行不需要证书。收单行不需要证书。发卡行证书发卡行证书(Issuer certificates)一一个个发发卡卡行行必必须须拥拥有有证证书书,CA才才能能接接收收和和处处理来自持卡人的证书请求。理来自持卡人的证书请求。(2)证书管理机构)证书管理机构(CA)CA是是提提供供身身份份验验证证的的第第三三方方机机构构,由由一一个个
12、或或多多个个用用户户信信任任的的组组织织实实体体来来承承担担。在在网网上上交交易易中中,CA的的作作用用主主要要是是对对交交易易的的各各方方进进行行身身份验证。份验证。CA的的主主要要功功能能有有:接接受受注注册册请请求求、处处理理、批批准准/拒拒绝绝请请求求以以及及颁颁发发证证书书。在在实实际际运运作作中中,CA也可以由大家都信任的一方担当。也可以由大家都信任的一方担当。(3)证书的树型验证机制)证书的树型验证机制 CA采采用用层层次次式式结结构构,最最上上面面一一层层称称为为根根CA,一一般般由由国国际际上上的的权权威威机机构构担担任任,下下面面的的CA由由上上层层CA授授权权。作作为为各
13、各级级CA,不不仅仅要要为为交交易易的的各各方方发发放放证证书书,还还要要为为下下级级的的CA发发放放证书,同时自己也要向上级证书,同时自己也要向上级CA申请证书。申请证书。在在网网上上购购物物中中,持持卡卡人人的的证证书书与与发发卡卡机机构构的的证证书书关关联联,而而发发卡卡机机构构证证书书通通过过不不同同品品牌牌卡卡的的证证书书连连接接到到Root CA,而而Root的的公公共共签签名名密密钥钥对对所所有有的的SET软软件件都都是是开开放放的的,可可以校验每一个已经签发的证书。以校验每一个已经签发的证书。7.3SET协议的处理逻辑协议的处理逻辑 7.3.1SET购物流程购物流程7.3.2S
14、ET完整处理流程分析完整处理流程分析 SET协协议议中中,涉涉及及到到持持卡卡人人、商商家家、发发卡卡行行、收收单单行行、支支付付网网关关等等方方面面,其其整整个个处处理理流流程程是是复复杂杂的的,但但对对持持卡卡人人来来说说,绝绝大大多多数数的的处处理理是是由由软软件件来来完完成成的的,其其处处理理流流程程对对用用户来说是透明的。户来说是透明的。(1)持卡人注册)持卡人注册 持持卡卡人人在在发发卡卡银银行行申申请请并并得得到到持持卡卡人人软软件件后后,还还要要上上网网,向向CA申申请请证证书书,下下图图6描描述述了了持持卡卡人人注注册册的全部流程。的全部流程。(2)商家注册)商家注册 商商家
15、家在在收收单单银银行行申申请请并并安安装装SET商商家家软软件件后后,也也要要上网向上网向CA申请证书,图申请证书,图8.7介绍了商家注册流程。介绍了商家注册流程。(3)购买请求)购买请求 下图描述持卡人订购处理中的购买请求处理流程下图描述持卡人订购处理中的购买请求处理流程(4)支付授权)支付授权 下图下图是是商家的支付授权处理流程商家的支付授权处理流程(5)支付请款)支付请款 下图描述了商家的支付请款流程下图描述了商家的支付请款流程 7.3.3SET与传统信用卡交易流程的比较与传统信用卡交易流程的比较 SET交交易易是是在在传传统统的的信信用用卡卡交交易易基基础础上上发发展展起起来来的的,M
16、asterCard、Visa等等组组织织在在制制定定SET协协议议就就考考虑虑到到,SET要要尽尽量量保保持持原原来来的的信信用用卡卡受受理理系系统统不不变变或或仅仅作作较较小小的的变变动动,并并最最大大限限度度利利用用原原有有系系统统中中的的可可用用部部分分,并并使交易各方得到最大的安全保证。使交易各方得到最大的安全保证。SET系系统统保保持持了了传传统统信信用用卡卡交交易易的的基基本本流流程程,只只是是将将交交易易过过程程搬搬到到了了Internet上上,通通过过使使用用证证书书认认证证及及数数字字签签名名等等技技术术,来来保保证证网上交易的安全。网上交易的安全。7.4.1SET协议复杂性
17、分析协议复杂性分析 SET比比较较复复杂杂,使使用用比比较较麻麻烦烦、成成本本较较高高,且且只只适适合合于于安安装装了了电电子子钱钱包包的的场场合合。SET的的证证书格式使得其受到支付方式的限制。书格式使得其受到支付方式的限制。SET协协议议的的保保密密性性好好,具具有有不不可可否否认认性性,SET的的CA有有一一套套严严密密的的认认证证体体系系,可可以以保保证证B2C类型的电子商务安全地进行。类型的电子商务安全地进行。7.4SET协议分析协议分析7.4.2SET协议的安全性分析协议的安全性分析 从从算算法法的的角角度度看看,SET现现在在的的版版本本中中还还存存在在着着加加密密强强度度不不够
18、够等等问问题题,但但是是它它在在B2C的的电电子子商商务务模模式式中中还还是是比比较较成成功功的的,在在世世界界范围内已经得到了比较广泛的应用。范围内已经得到了比较广泛的应用。7.5基于基于SSL协议的电子支付协议的电子支付 SET和和SSL除除了了都都采采用用RSA公公开开密密钥钥算算法法外外,在在其其他他技技术术方方面面则则几几乎乎不不同同,同同时时RSA在在二二者者中中也也被被用用来来实实现现不不同同的的目标。目标。7.5.1基于基于SSL协议的交易过程协议的交易过程(1)支付流程)支付流程1)基于)基于SSL协议的网上支付交易协议的网上支付交易(2)存在的风险)存在的风险商家服务器端证
19、书的信任问题商家服务器端证书的信任问题;商家服务器端系统遭黑客入侵商家服务器端系统遭黑客入侵;不法人员伪造商家网站不法人员伪造商家网站(钓鱼网站钓鱼网站);2)基于)基于SSL协议的网上银行交易协议的网上银行交易通过通过SSL协议进行网上银行交易的流程协议进行网上银行交易的流程图图7.5.2基于基于SSL协议的协议的SSL协议相关技术协议相关技术1)密码算法)密码算法 SSL协议v2和和v3支持的密支持的密码算法包括算法包括RC2、RC4、IDEA和和DES,密,密码算法所用的密算法所用的密钥由消息散列函数由消息散列函数MD5产生生。2)认证算法)认证算法 SSL认证认证算法采用算法采用X.5
20、09数字数字证书标证书标准、使用准、使用RSA算法算法进进行数字行数字签签名来名来实现实现。7.5.3 对对SSL协议安全机制的分析协议安全机制的分析加密机制加密机制身份鉴别身份鉴别完整性机制完整性机制抗重放攻击抗重放攻击7.6SET协议和协议和SSL协议的比较协议的比较 SET和和SSL除除了了都都采采用用RSA公公开开密密钥钥算算法法外外,在在其其他他技技术术方方面面则则几几乎乎不不同同,同同时时RSA在在二二者者中中也也被被用用来来实实现现不不同同的的目标。目标。7.6.1SET和和SSL协议本身的比较协议本身的比较 SET是是一一个个多多方方的的消消息息报报文文协协议议,它它定定义义了
21、了银银行行、商商家家、持持卡卡人人之之间间必必须须的的报报文文规规范范,而而SSL只只是是简简单单地地在在两两方方之之间间建建立立了了一条安全连接。一条安全连接。SSL是是面面向向连连接接的的,而而SET允允许许各各方方之之间的报文交换不是实时的。间的报文交换不是实时的。SET报报文文能能够够在在银银行行内内部部网网络络或或者者其其他他网网络络上上传传输输,而而基基于于SSL协协议议之之上上的的支支付付卡系统只能与卡系统只能与Web浏览器捆绑在一起。浏览器捆绑在一起。SET为为商商家家提提供供保保护护手手段段,使使得得商商家家免免受受欺欺诈诈的的困困扰扰,从而降低商家使用电子商务的成本。从而降
22、低商家使用电子商务的成本。对对消消费费者者而而言言,SET保保证证了了商商家家的的合合法法性性,并并且且用用户户的的信用卡号不会被窃取信用卡号不会被窃取。SET帮帮助助银银行行和和发发卡卡机机构构将将业业务务扩扩展展到到Internet这这个个广阔的空间广阔的空间,从而减少信用卡网上支付的欺骗概率从而减少信用卡网上支付的欺骗概率 SET为为参参与与交交易易的的各各方方定定义义了了互互操操作作的的接接口口,使使SET得到更加广泛的应用。得到更加广泛的应用。SET可以应用在系统的部分或者全部。可以应用在系统的部分或者全部。SET提供不可否认性。提供不可否认性。SET较较SSL的优点:的优点:7.6
23、.2SSL和和SET性能比较性能比较客户计算机。客户计算机性能对客户计算机。客户计算机性能对SET和和SSL协议的影响较协议的影响较小小,因为一次只处理一个交易。因为一次只处理一个交易。电子商务服务器性能。电子商务服务器性能。SET在客户端每个交易需要在客户端每个交易需要2个操作个操作,在商家一方则需要在商家一方则需要6个操作个操作,在收单行需要在收单行需要4个操作。而对于一个操作。而对于一个个SSL连接连接,在客户端每个交易需要在客户端每个交易需要1个操作个操作,在商家需要在商家需要3个操个操作作,在收单行需要在收单行需要2个操作。客户端需要的个操作。客户端需要的1个操作是由个操作是由SSL服服务器配置的务器配置的,对客户端来讲对客户端来讲,它由服务器自己认证它由服务器自己认证,不要求客户不要求客户端认证服务器。在端认证服务器。在SET中中,支付网关应用程序要求支付网关应用程序要求4个操作个操作,而而典型的典型的SSL使用使用2个操作来建立电子商务服务器和支付网关的个操作来建立电子商务服务器和支付网关的1个个SSL会话。会话。练习71、试分析SET协议的安全性。2、举例说明SET协议的工作流程。3、举例说明基于SSL协议的购物流程。4、试比较SSL协议和SET协议的优劣。5、如有条件,请上网分别应用SET协议和SSL协议进行一笔电子商务交易。
黑公网安备:91230400333293403D