《电子商务安全》第6章 安全电子交易协议

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第6章安全电子交易协议第6章安全电子交易协议本章主要内容什么是SET协议SET协议的目标和涉及的角色SET协议相关的技术SET协议的交易流程本章重/难点双重签名SET协议的交易流程6.1SET协议概述6.1.1SET协议的由来SET协议Electronic(电子)协议是计算机网络中通信双方为了实现通信而必须遵守的规则和约定。SET协议是应用层的协议。SET协议的由来安全电子交易(SecureElectronicTransaction)协议在Internet上开发对所有公众开放的电子商务系统,从技术角度来看,关键的技术问题有两个:一是信息传递的准确性;二是信息传递的安全可靠性。前者是各种数据交换协议已经解决了的问题;后者则是目前学术界、工商界和消费者最为关注的问题。SET协议的由来1996年提出SET、SEPP等协议模式1997年4月,IBM、Netscape、MasterCard、Visa联手推出基于SET和SEPP的网络商贸系统。SET的实质——密码技术+数字证书保护各方的安全。版本1997年5月,1.0版本SET管理机构——SETCoSET协议的由来安全电子交易(SecureElectronicTransaction)协议1997年由美国Visa和MasterCard两大信用卡公司共同制定实施SET主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的SET协议确保了网上交易所需要的保密性、数据的完整性、交易的不可否认性和交易的身份认证。中国银行是国内第一家使用SET协议的金融机构InternetInternet银行网络收单行发卡行Web和商务服务器其他商业处理盘点、会计、行销等数据库服务器认证和安全认证和安全支付网关SET交易系统示意图SET协议的由来SET协议主要通过使用密码技术和数字证书的方式来保证信息的机密性和安全性。SET协议的内容包括:SET的交易流程程序设计规格SET协议的完整描述SET协议的由来在SET协议中主要定义了以下内容:1)加密算法(如RSA和DES)的应用;2)证书消息和对象格式;3)购买消息和对象格式;4)请款消息和对象格式;5)参与者之间的消息协议。SET协议的由来SET协议中的核心技术主要有共享密钥加密技术公开密钥加密技术电子数字签名数字信封技术6.1.2网上购物和现实中购物的比较在传统购物中,商家和消费者需要直接见面,交易过程中需要的信息传输手段往往也是多种多样的,如电话、传真、信件等。与传统购物一样,网上购物也分为查询、订货、交易等环节,但这种交易不需要消费者和商家之间直接见面,并且可以通过Internet这一媒介来进行。传统购物流程协商卖方买方一手交钱一手交货网上购物流程卖方①协商银行③收帐②支付买方④发货能收到钱吗?能收到货吗?密码安全吗?6.1.3SET协议的主要目标SET是一个基于可信的第三方认证中心的方案,它要实现的主要目标有下列三个方面:(1)保障付款安全(2)确定应用的互通性(3)达到全球市场的接受性6.1.3SET协议的主要目标机密性1数据完整性2身份认证3不可否认性46.1.4SET协议中的参与方买方持卡人发卡银行认证中心收单银行卖方在线商家支付网关6.1.4SET协议中的参与方消费者:在电子商务环境中,消费者和团体购买者通过计算机与商家交流,消费者通过由发卡机构颁发的付款卡(例如信用卡、借记卡)进行结算。在消费者和商家的会话中,SET可以保证消费者的个人账号信息不被泄露。发卡机构:它是一个金融机构,为每一个建立了账户的顾客颁发付款卡。商家:提供商品或服务,使用SET,就可以保证消费者个人信息的安全。接受卡支付的商家必须和银行有关系。6.1.4SET协议中的参与方银行:在线交易的商家在银行开立账号,并且处理支付卡的认证和支付。支付网关:是由银行操作的,将Internet上的传输数据转换为金融机构内部数据的设备,或由指派的第三方处理商家支付信息和顾客的支付指令。认证中心:负责签发数字证书给持卡人、商家和支付网关,让持卡人、商家和支付网关之间通过数字证书进行认证。6.1.4SET协议中的参与方SET是针对信用卡支付的网上交易而设计的支付规范,对不用卡支付的交易方式,像货到付款方式、邮局汇款方式则与SET无关。另外像网上商店的页面安排、保密数据在购买者计算机上如何保存等,也与SET无关。6.2SET协议的相关技术6.2SET协议的相关技术SET协议中的核心技术主要有共享密钥加密技术公开密钥加密技术电子数字签名数字信封技术6.2.1SET的双重签名技术双重签名示意图6.2.2SET的协议的认证技术1.身份验证问题2.电子证书持卡人证书商家证书支付网关证书收单行证书发卡行证书1)持卡人证书持卡人证书表示持卡人合法拥有支付卡。持卡人的发卡金融机构对用户验证并同意以后,向持卡人发放证书。持卡人证书中包含一个利用单向散列算法计算出的一个秘密值,不包含账号信息和过期时间。在SET协议中,持卡人向支付网关提供帐号信息和秘密值用于验证。在电子商务交易中,持卡人证书连同购买请求和加密后的支付指令一同传送给商家。商家接收到持卡人证书后,能够在最低程度上验证该帐号。2)商家证书商家证书表明商家同金融机构有一定的关系,能够接受支付卡品牌支付。商家证书由商家金融机构数字签名,商家证书不能被任何第三方修改,并且只能由金融机构产生。每个商家对每个它接受的支付卡品牌拥有一对证书。3)支付网关证书支付网关证书由收单行或处理授权和请款消息的受理系统拥有。持卡人从支付网关证书中获取其加密密钥,用于加密持卡人账号信息。这样,只有支付网关才能看到持卡人的账号信息。4)收单行证书收单行必须有收单行证书才能接收并处理商家的证书请求。收单行从支付卡品牌接收证书。5)发卡行证书发卡行必须有发卡行证书才能接收并处理持卡人的证书请求。发卡行从支付卡品牌接收证书。3.认证中心4.国内CA现状为促进电子商务在中国的顺利开展,一些行业都已建成了自己的一套CA体系,如中国电信CA安全认证体系(CTCA)、中国金融认证中心(CFCA)等;还有一些行政区也建立了或正在建立区域性的CA体系,如上海电子商务CA认证中心(SHECA)、广东省电子商务认证中心(CNCA)、海南省电子商务认证中心(CNCA)、云南省电子商务认证中心(CNCA)。6.3SET购物与支付处理流程SET协议交易流程支付网关收单银行发卡银行认证中心持卡人在线商店③订单④请求⑤请求⑧确认⑨确认①协商⑦确认⑥审核认证认证认证⑩发货第一阶段:支付申请阶段第二阶段:身份认证阶段第三阶段:支付审核阶段第四阶段:支付确认阶段支付网关是银行金融网络系统和Internet网络之间的接口,是由银行操作的将Internet上传输的数据转换为金融机构内部数据的一组服务器设备,或由指派的第三方处理商家支付信息和顾客的支付指令。总结SET协议每一步骤都通过数字证书验证对方身份,保证持卡人和商家身份的合法性.实现订单信息和个人帐号信息的分离,安全性很高。协议复杂,数据处理时间较长,成本高简答题1.SET协议和SSL协议的主要区别是什么?(1)SSL协议主要是在通信双方建立安全的通道,保证信息传递的安全,而SET协议主要指针对信用卡支付而开发的协议,实现较为复杂;(2)SET协议参与交易时,客户的订单信息和个人账号相隔离,商家只能看到订单而看不到账号信息,而SSL协议不能保证商家不阅读客户的账号信息;(3)SET协议参与交易时,商家和持卡人可以相互确定双方的身份,而SSL协议只有商家和银行对客户身份的认证,缺少客户对商家的认证;(4)SET协议要求软件遵循相同的协议和报文格式,是不同的软件与邮件融合得操作功能,并可以运行在不同的软件和操作平台上。1.SET用户证书不包括()。A.持卡人证书B.商家证书C.支付网关D.企业证书2.数字证书不包含以下哪部分信息()。A.用户公钥B.用户身份信息C.CA签名D.工商或公安部门签章3.电子商务安全协议SET主要用于()。A.信用卡安全支付B.数据加密B.交易认证D.电子支票支付单选题:DDA4.SET的含义是()A.安全电子支付协议B.安全电子交易协议C.安全电子邮件协议D.安全套接层协议5.关于SET协议,以下说法不正确的是()A.SET是“安全电子交易”的英文缩写B.属于网络对话层标准协议C.与SSL协议一起同时在被应用D.规定了交易各方进行交易结算时的具体流程和安全控制策略6.为网站和银行之间通过互联网传输结算卡结算信息提供安全保证的协议是()A.DESB.SETC.SMTPD.EmailBBB7.下列选项中不属于Internet攻击类型的是()A.截断信息B.伪造C.纂改D.磁盘损坏8.下列选项中不属于VPN(虚拟专用网)的优点的是()A.传输速度快B.网络结构灵活C.管理简单D.成本较低DA9.认证机构通过电子证书机制来保证网上通信的合法身份,其提供的服务不包括()A.证书颁发B.证书更新C.证书归档D.证书制作l0.下列选项中,不属于CFCA体系结构的是()A.根CAB.目录CAC.政策CAD.运营CADCA中心的主要职责是颁发和管理数字证书。BCFCA•中国金融认证中心(ChinaFinancialCertificationAuthority),是由中国人民银行牵头14家商业银行共同建立的国家级权威金融认证机构。11.SSL协议可以插入到Internet的应用协议中,它位于InternetTCP/IP协议的哪个协议之上?()A.TCPB.IPC.FTPD.HTTP应用层表示层会话层传输层网络层数据链路层物理链路层OSI/RM模型应用层传输层网络层数据链路层物理链路层TCP/IP协议模型AHTTP/Telnet/SMTP/FTPSSLTCPIPAPPLICATIONTCPIPSSL填空题1.电子商务安全协议主要有()和()两个协议。2.SSL协议由()和()两个协议构成。SSLSET握手协议消息加密协议完SSL协议运行的基点是商家对客户信息保密的承诺。但在上述流程中SSL协议有利于商家而不利于客户。客户的信息首先传到商家,商家阅读后再传到银行,这样,客户资料的安全性便受到威胁。返回2020/6/6Page:52OSI/RM模型国际标准化组织ISO提出了开放系统互联参考模型OSI/RM(OpenSystemInterconnection/ReferenceModel),作为提出各种计算机网络系统网络协议时建议遵守的基本模型。应用层表示层会话层传输层网络层数据链路层物理链路层关心原始数据的传输关心网络中的应用程序OSI/RM模型-会话层会话层协议允许不同计算机上的两个应用程序建立、使用和结束会话连接,包括会话的建立、会话的控制(例如允许信息双向传输或某一时刻只能单向传输),以及结束会话连接等。返回

1 / 47
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功