搜索
电子商务安全技术授课教师:张静•电子商务的基本概念•电子商务的形态•电子商务的安全任务•安全电子交易协议SET•电子商务的基本概念•电子商务的形态•电子商务的安全任务•安全电子交易协议SET电子商务的基本概念•电子商务的概念主要由两部分构成,一是电子,二是商务。先说电子,电子就是指通过计算机和网络手段所完成的信息传输与处理过程。•商务主要是指企业的经营活动(当然也包括参与企业经营活动的个人消费者的活动)。企业的经营活动范围很广,具体讲有供应(采购)、生产、营销、财务、人事(人力资源)、信息采集与传递、广告宣传。此外还有企业的并购以及证券活动。电子商务的基本概念•凡是透过网际网路所完成的商业活动皆可视为电子商务。•电子商务是藉由通讯网络所进行的企业咨询分享、企业关系维持、以及企业交易的执行。财务人事原物料电子商务的基本概念企业、公司研发创新生产制造行销品管市场、客户服务产品业务供应商企业内部、企业与企业之间企业与供应商企业与客户网际网路•电子商务的基本概念•电子商务的形态•电子商务的安全任务•安全电子交易协议SET电子商务的形态•企业对顾客BtoC•企业对企业BtoB•电子交易市集–C2C–B2B•企业内部应用BtoC网站实例BtoC網站實例BtoC网站实例BtoB网站实例BtoB网站实例CtoC网站实例CtoC网站实例•电子商务的基本概念•电子商务的形态•电子商务的安全任务•安全电子交易协议SET监听篡改拦截假冒电子商务安全任务•身份认证(持卡者、商家、银行)•有效性•机密性•完整性•抗抵赖•电子商务的基本概念•电子商务的形态•电子商务的安全任务•安全电子交易协议SET电子安全交易协议BTOC支付交易过程电子交易中的安全需求SET的关键技术SET的目标、角色和安全保障作用电子安全交易协议BTOC支付交易过程电子交易中的安全需求SET的关键技术SET的目标、角色和安全保障作用安全电子交易协议SET电子交易中的安全支付问题1.电子商务中的BtoC交易过程交易指双方买卖双方之间进行商品买卖的行为。广义的交易是一个复杂的过程。在电子商务中,由于参与方不同等原因,会形成不同的交易过程,如BtoB(BusinesstoBusiness,企业间电子商务,也缩写作B2B)的交易过程、BtoC(BusinesstoConsumer,企业对消费者的电子商务)的交易过程等。下面主要介绍BtoC的交易过程在BtoC的交易过程中,主要角色有:•商家(Merchant):商品或服务的提供者。•银行(Acquirer):为在线交易者开设账号,并处理支付卡的认证和支付业务。•支付网关(Paymentgateway):将Internet上的传输数据转换为金融机构内部数据。•持卡者(Cardholder):消费者,可以使用付款卡结算。•发卡机构(Issuer):为每一个建立了账户的客户颁发付款卡,也可以由指派的第三方处理商家支付信息和客户支付命令。BtoC的基本交易过程①消费者上网,查看企业和商家网页,选择商品;消费者通过对话框填写订货单(姓名、地址、品种、规格、数量、价格)给商家。②商家核对消费者订货单后,向用户发出付款通知,同时向银行发出转账请求。③消费者选择支付方式,如向发卡机构提交付款卡。④发卡机构验证消费者付款卡后,将卡号加密传向银行(支付网关)。银行审查消费者付款卡(有效、款够等)合格后,进行转账。⑤转账成功,向商家发出和发卡机构出转账成功回执。⑥发卡机构向消费者发出支付收据。⑦商家向消费者付货。电子安全交易协议BTOC支付交易过程电子交易中的安全需求SET的关键技术SET的目标、角色和安全保障作用支付是交易的重要环节。由于电子支付的虚拟性,它的安全倍受人们关注,也是电子商务安全的最重要和最困难环节。电子支付的问题表现在支付的每一个方面和每一个步骤中。归纳起来,主要表现为有如下一些安全需求:•确定交易过程中交易伙伴的真实性。•保证电子单据的隐秘性,防范被无关者窃取。•保证业务单据不丢失,即使丢失也可察觉。•验证电子单据内容的完整性。•验证电子单据内容的真实性。•具有防抵赖性和可仲裁性。•保证存储的交易信息的安全性。电子安全交易协议BTOC支付交易过程电子交易中的安全需求SET的关键技术SET的目标、角色和安全保障作用SET的目标、角色和安全保障作用SET(SecureElectricTransaction,安全电子交换)协议是一种利用加密技术(Cryptography),以确保信用卡消费者、销售上及金融机构在Internet上从事电子交易的安全性和隐私性的协议。它是由两大信用卡公司——VISA和Master在GTE、IBM、Microsoft\、Netscape、SAIC、TerisaSystem、Verisign等著名IT公司的支持下开发的。于1996年2月1日正式发表。SET的目标1.SET的主要目标是:(1)保证数据在Internet上安全传输,不被窃取。(2)订单信息与账号信息隔离,如把包含消费者账号信息的订单送给商家时,商家应看不到消费者账号信息。(3)消费与商家可以互相认证(一般由第三方提供信用担保),确定通信双方身份。(4)采用统一的协议和数据格式,使不同厂家开发的软件具有兼容性和互操作性,并可以运行在不同的硬件和操作系统平台上。SET的参与角色一个SET交易过程可能会涉及如下6种角色:(1)消费者,即持卡人,必须持有•发卡机构支付卡账号;•认证机构颁发的身份证书;•上网条件。(2)商家,即经营者,必须持有:•网上经营许可权;•经过银行委托授权机构(认证中心、CA)颁发的数字证书;•相应的电子商务平台:处理消费者申请、与支付网关通信、存储自身公钥签名、存储自己的公钥交换私钥、存储交易参与方的公钥交换私钥、申请和接受认证、与后台数据库通信等。(3)银行:给在线交易参与者建立账号,处理转账业务。(4)发卡机构:金融机构,为建立了账号的消费者发卡。(5)支付网关,实际上是一台可以处理SET协议数据的计算机,可在SET协议和银行交易系统之间进行数据格式转换,实现传统银行网上支付功能的延伸。支付网关有如下服务:•确定商家和消费者身份;•解密持卡人的支付指令;•签署数字响应。支付网关必须具有:•银行授权;•CA颁发的数字证书。(6)认证机构,是参与交易各方都信任的第三方,可以接受发卡行和收单行的委托,对持卡人、商家和支付网关完成数字证书的发放。3.SET的安全保障作用(1)基于持卡人的安全保障•对账号数据保密;•对交易数据保密;•持卡人对商家的认证。(2)基于商家的安全保障•对交易数据完整性的认证;•对持卡人账户数据的认证;•对持卡人的认证;•对银行端的认证;•对交易数据保密;•提供交易数据的佐证。(3)基于银行(支付网关)的安全保障•对消费者账号数据的认证;•对交易数据的间接认证;•对交易数据完整性的认证;•提供交易数据的佐证。电子安全交易协议BTOC支付交易过程电子交易中的安全需求SET的关键技术SET的目标、角色和安全保障作用SET关键技术1.双重签名SET有一个基本性能:不需要让某个角色知道的其他角色的机密。例如:•只与持卡人和商家之间的交易有关的机密数据,不必要,也不可以让银行知道。•持卡者的账户数据也是持卡者的个人秘密数据,不必要,也不可以让厂商知道。但是,在不知道他人机密的情况下,还要对其数据的正确性进行认证。例如,在商家不知道持卡者账户数据,银行也不知道持卡者与商家之间的交易数据的情况下,让商家和银行都可以确定这些数据确实由持卡者产生、送出的,还可以间接、直接地对这些数据进行认证。这一性能,在SET中使用双重签名(DualSignature)技巧解决。下面介绍用双重签名实现这一性能的过程。①持卡者(C)产生两个签名:•CSig(H(H(OI)),H(PI))):持卡者对交易数据(OI)和账户数据(PI)的签名。•CSig(H(OI)):持卡者对交易数据(OI)的签名。将两个签名、账户数据杂凑值H(PI)和交易数据(OI)都传送给商家。②商家(M)操作:•验证CSig(H(H(OI),H(PI)))、CSig(H(OI))和H(PI),确定是否持卡者的签名。•生成对交易数据的签名MSig(H(OI))。•将MSig(H(OI))、CSig(H(H(OI),H(PI)))一同送银行(支付网关)。③支付网关(P)操作:•验证MSig(H(OI)),确定H(OI)为交易数据的杂凑值。•用已知的PI,验证CSig(H(H(OI),H(PI)))的正确性,确认交易数据和账户数据都是正确的。•根据政策,确认此笔交易是否成功。SET交易过程SET认证中心为了使交易参加方有一个可信的第三方,建立了一个认证中心CA来为消费者、商家和银行颁布数字证书,分配密钥。SET认证中心采用层次结构。其最高层CA(既RootCA)的安全维系着整个SET协议的安全。为了防止RootCA遭破解,SET将其密钥长度定在2048,比一般用户的密钥长度1024长一倍。•作业:请详细描述SET交易过程。