《电子商务安全》第6章安全电子交易协议
电子商务概论安全技术(1)
2020/11/27
电子商务概论安全技术(1)
一、加密技术
密码学
密码编码学 密码分析学
电子商务概论安全技术(1)
所谓加密就是通过密码算术对数据 进行转化,使之成为没有正确密钥任何 人都无法读懂的报文。
加密
加密算法
加密密钥
实现这种转化的算法标准,据不完 全统计,到现在为止已经有近200多种。
电子商务概论安全技术(1)
HASH
SKA
明文 摘要 密文
发送方A
HASH
PKA密文Fra bibliotek密文明文
接收方B
电子商务概论安全技术(1)
四、认证技术
认证中心 (CA)
商家 客户 物流中心 银行
电子商务概论安全技术(1)
证书发放
证书更新
认证中心职能
证书撤销
证书验证
电子商务概论安全技术(1)
五、数字时间戳
在电子商务交易文件中,时间是十分重要的 信息。在书面合同中,文件签署的日期和签名 一样均是十分重要的防止文件被伪造和篡改的 关键性内容。数字时间戳服务(DTSS:digital time stamp service)是网上电子商务安全服务 项目之一,能提供电子文件的日期和时间信息 的安全保护,由专门的机构提供。
1、RSA签名
SKA
明文
密文
发送方A
PKA
密文
明文
接收方B
电子商务概论安全技术(1)
RSA签名和非对称加密技术的结合
PKB、SKA
明文
密文
发送方A
SKB、PKA
密文
明文
接收方B
电子商务概论安全技术(1)
《电子商务安全》课程教学大纲
《电子商务安全》课程教学大纲一、课程概述本课程主要讲述电子商务安全的基本知识与实际应用。
围绕保障电子商务活动的安全性,针对电子商务应用的基本安全问题及解决方案进行了详细的介绍与阐述。
本课程的主要内容分为8章,依次是:电子商务安全概述,信息安全技术,网络与应用系统安全技术,电子商务的认证与安全电子邮件技术,电子商务支付技术,安全电子交易协议(SET),安全套接层协议(SSL),以及安全电子商务应用等内容,并根据每章的具体内容安排有相应的练习与实训题。
本课程核心在于电子商务安全的技术保障措施方面,主要是信息技术方面的措施,如防火墙,网络防毒,信息加密,身份认证等。
本课程的重点章节是第二章至第七章,即:信息安全技术,网络与应用系统安全技术,电子商务的认证与安全电子邮件技术,电子商务支付技术,安全电子交易协议(SET),以及安全套接层协议(SSL)。
二、课程定位本课程适用于电子商务专业和信息管理专业的本科和专科学生,属于专业基础课程。
同时也可以作为市场营销、工商管理和经济贸易转移的本科和专科学生的公共选修课程。
三、学习目的本课程实用性强,希望通过本课程的学习,结合案例,对基本理论、基本技能和技术应用能力进行培养,使学生能及掌握电子商务安全知识及其应用技术,能对电子商务系统的安全问题做出系统性的分析、解释和处理。
四、与其它课程的关联本课程学习所需要具备的先期基本知识主要包括《电子商务概论》、《电子商务技术基础》这两门课程中所涉及到的内容。
本课程的学习为后续的《网络支付》、《系统设计与分析》、《电子商务案例分析》等课程奠定了基础。
五、知识体系与结构第一章电子商务安全概述1、本章摘要本章的主要知识点包括:电子商务的内涵及系统构成,电子商务的安全问题及系统构成,电子商务安全保障问题。
基本要求:掌握电子商务安全的综述性知识,理解电子商务安全在电子商务活动过程中的重要性。
预期目标:通过本章学习,学生要掌握电子商务安全相关的一些基本概念。
第六章电子支付安全管理
◆ (3)接收方在收到信息后,首先运行和发送方相同的散列函 数生成接收报文的信息摘要,然后再用发送方的公开密钥对报 文所附的数字签名进行解密,产生原始报文的信息摘要;
—电子商务安全应用技术的主流 —公钥密码体制:基于大整数因子分解问题的,RSA
基于离散对数问题的,ElGamal公钥密码 椭圆曲线公钥密码
—公钥密码主要用于数字签名和密钥分配
2.非数学的密码理论与技术
——信息隐形,量子密码,基于生物特征的识别理论与技术
一、基本概念
电子交易与支付
6.2 加密技术
1.加密:对原来的消息明文的文件或数据按某种算 法进行处理,使其成为不可读的一段代码,称为 “密文”,使其只能在输入相应的密钥之后才能 显示出原来的内容,通过这样的途径来达到保护 数据不被非法用户窃取、阅读的目的。
信息安全
电子支付安全 管理保障
病毒防范技术 身份识别技术 防火墙技术 VPN技术 网络入侵检测技术
机密性 真实性 完整性 不可否认性
电子支付安全 法律保障
电子交易与支付
6.1 电子支付安全概述
一、信息的安全
交易信息的安全问题
安全目标
机密性
信息的保密
安全技术
加密(对称和非对称加密)
完整性
验证信息是否被篡改 数字摘要
真实性、身份验证 验证身份
数字证书、数字签名等
不可否认性
不能否认参与交易活动 数字证书、数字签名等
访问控制
只有授权用户才能访问 防火墙、口令、生物特征法
电子交易与支付
面临的主要安全问题: 1)通过窃取、截获信息来破坏信息的机密性。 2)通过篡改信息来破坏信息的完整性。 3)通过伪造、假冒信息来破坏信息的真实性。 4)通过抵赖、否认信息来破坏信息的不可否认性。 5)交易过程的高度隐蔽性和不确定性所导致的交易
论电子商务安全交易协议
() 接是可 靠 的 :消息 的传 输采 用 M C算 法 ( MD S A 2连 A 如 5 H VI s Matrad 两个公 司 为首 组成 的 S T厂商 集 团 .把 S T标 a和 se 这 Cr E E 等)进行完整性检验 . 识 授 予成 功 通 过 S T兼 容性 试验 的软 件 厂 商 。 E
() 3 对端 实体 的鉴 别采 用非 对 称 密码体 制 ( R A、DS 如 S S等 )
进 行 认证 。
1 s T协 议 中 采用 的 数据 加 密过 程 的特 点 E
( ) 易 参 与者 的 身份 鉴 别采 用 数字 证 书 的方 式 来完 成 .数 字 1交
证 书的 格 式 一般 采 用 X 0 5 9国际 标 准 . ( 交 易 的不 可 否认 性 用 数字 签 名 的方 式来 实 现 。 由于 数字 签 2) 名 是 由 发送 方 的私 钥 产 生 ,而 发 送 方 的 私 钥 只有 他 本 人 知 道 .所
年推 出的 一 种安 全 通 信协 议 。S L提 供 了两 台计 算 机 之 问 的安 全 类 型 、协 议 版 本 号 、 记录 长 度 数据 有 效 载 荷 ,MAC等 信 息 。 S 连接 ,对 计 算 机 整个 会 话 进 行 了加 密 ,从 而 保 证 了信 息 传 输 的 安
全 .实 现浏 览器 与 We 服 务器 之 间 的安全 通信 ,在 Itre 上广 泛 b nen t 应 用 于 处 理 与 金 融 有 关 的敏 感 信 息 。 S L协 议 是 一种 保 护 w S e b通 信 的 工业 标准 能 够对 信 用卡 和 个 人 信 息 、 电 子 商 务提 供 较 强 的 加 密保 护 1 S L协 议 提供 安 全连 接 的基 本特 点 S
第六章电子商务安全保障体系总结
第六章电子商务安全保障系统本章概要电子商务的安全控制安全电子交易的数据加密安全电子交易的认证技术与数字证书安全电子交易(SET )标准安全电子交易的操作技术和网络建设的安全性学习目标掌握电子商务的安全控制的要乞降安全交易标准和实行方法认识安全电子交易的数据加密,理解一般的数据加密模型掌握认证技术与数字证书和安全电子交易的有关知识掌握网络建设的安全性中的网络安全面对的威迫和网络安全体制的实现知识构造图6、 1 电子商务的安全控制1、电子商务的安全控制电子商务顺利展开的中心和重点问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点。
用户关于安全的需要主要包含以下五个方面,(见下列图)所示。
交易的不能否定性主要包含1、源点不能否定性,即信息发送者过后没法否定其发送的信息;2、接受不能否定性,即信息接收方没法否定其遇到信息;3、回执不能否定性,即发送责任回执的各个环节均没法推辞其应负的责任。
2、电子商务安全交易标准与实行方法最近几年来,信息技术业界与金融行业为适应电子商务需要,共同研究公布了一些 Internet 标准,以保障交易的安全性,(见下列图)所示。
安全电子交易协议涵盖了信誉卡在电子商务交易中的交易协议、信息保密、资料完好及数字认证、数字署名等。
这一标准被公以为全世界网际网络的标准,其交易形态成为将来“电子商务”的规范。
安全超文本传输协议依赖密钥加密,保障Web 站点间的交易信息传输的安全性。
安全交易技术协议由 Microsoft 公司提出的安全交易协议, STT 将认证和解密在阅读器中分别开,用以提升安全控制能力。
安全套接层协议由 Netscape 公司提出的安全交易协议,供给加密、认证服务和报文完好性。
6、 2 安全电子交易的数据加密1、数据加密技术综述加密技术与密码学密切相连,利用密码技术能够把某些重要信息或数据从一个可理解的明文形式变换成为一种错杂的、不行理解的密文形式,称为加密过程;密文经过线路传递到达目的端后,用户按特定的解密方法将密文复原为明文,称为解密的过程。
电子商务安全协议
电子商务安全协议引言随着互联网的迅猛发展,电子商务在全球范围内得到了广泛应用和推广。
然而,电子商务中的数据交换和在线支付等活动的安全性问题也随之增长。
为了确保电子商务的安全性和可靠性,各方需要遵守一定的安全协议和措施。
本文将介绍常用的电子商务安全协议,以及它们的工作原理和应用场景。
1. SSL/TLS(安全套接层/传输层安全)SSL/TLS是目前最常用的电子商务安全协议之一。
它通过加密通信和认证服务,确保了数据在传输过程中的安全性。
SSL/TLS使用了公钥加密和对称密钥加密相结合的方式,保证了数据传输的机密性和完整性。
在电子商务中,SSL/TLS通常用于网站的加密连接和用户身份验证,防止数据被第三方窃取或篡改。
SSL/TLS的工作原理是,服务器使用公钥加密算法生成一对公私钥,并将公钥向证书颁发机构(CA)申请证书。
用户在访问网站时,服务器将证书发送给用户,并由用户的浏览器进行验证。
验证通过后,浏览器随机生成一个对称密钥,并使用服务器的公钥加密该对称密钥,并发送给服务器。
服务器接收到加密后的对称密钥后,使用私钥进行解密,并建立对称密钥加密的安全通道。
SSL/TLS协议的应用场景包括网上银行、电子商务网站和在线支付等。
它能够有效防止第三方对数据进行窃取和篡改,保障用户的隐私和个人信息的安全。
2. S/MIME(安全多用途Internet邮件扩展)S/MIME是一种用于保护电子邮件的安全协议。
它通过数字签名和加密技术,防止电子邮件在传输和存储过程中被篡改或窃取。
S/MIME为电子邮件提供了机密性、完整性和身份验证功能。
在使用S/MIME发送邮件时,发件人使用自己的私钥对消息进行加密和签名,然后发送给收件人。
收件人可以使用发件人的公钥进行解密和验证签名,确保邮件的机密性和完整性。
S/MIME还支持用户的数字证书,用于身份验证。
S/MIME常用于电子商务中的邮件通信,特别是在交换敏感信息或重要文件时,如订单信息、产品报价等。
6安全电子交易协议
图6-15 商家处理请求过程
5.持卡人接收购买响应
如图6-16所示。
持卡人的计算机 19.持卡人软件通过追溯信任链至 根密钥来校验商家签名公钥证书。 20.持卡人软件通过用商家签名公 钥解密商家的数字签名并将结果同 新产生的购买响应的 Hash 值比较来 校验它。 21.持卡人的软件保存购买响应信息。 购买响应
图6-11 购买请求过程
1.持卡人(cardholder)初始化请求
持卡人计算机 1.持卡人购物。 2.持卡人软件发送 初始化请求给商家。 初始请求
图6-12 初始化请求过程
2.商家发送证书 如图6-13所示。
商家计算机 初始化请求 3.商家软件收到初始请求。 4.商家软件产生响应,并生 初始化响应
6.2 SET的相关技术
SET使用多种密钥技术来达到安全 交易的要求,其中对称密钥技术、公钥 加密技术和Hash算法是其核心。
1.对称密钥加密 对称密钥加密算法是给一条信息加密时, 发送者和接收者都用同一密钥完成加密和解密 过程。 2.公钥加密技术
公钥加密算法用一对密钥对数据进行加密 和解密。
3.Hash算法
双重数字签名是为了保证在事务处理过程 中三方安全地传输信息的一种技术,用于三方 通信时的身份认证和信息完整性、交易防抵赖 的保护。
5.数字信封
发送方将随机产生的对称密钥用接收方 的公开密钥交换密钥加密就形成了数字信封。
6.数字证书 数字证书是由交易各方都信任的第三方 机构CA发放的,是证明拥有者公开密钥有效 性的凭证。 数字证书包含拥有者的公开密钥、详细 个人资料(包括持卡人的银行账号)的信息摘 要及证书签发机构的数字签名。
证书废除是整个证书管理机制中最强有 力的安全保障手段,它能够及时避免证书面 临危险时对SET交易的影响。
安全电子交易协议
PPT文档演模板
安全电子交易协议
6.3 SET购物与支付处理流程
•6.3.1 SET购物流程 •SET协议的简单工作流程
PPT文档演模板
安全电子交易协议
6.3 SET购物与支付处理流程
•6.3.1 SET购物流程 •基于SE交易协议
6.3.2 支付处理流程
• 1.面向商家的SET(Merchant-oriented SET,MOSET)模
安全电子交易协议
PPT文档演模板
2020/11/17
安全电子交易协议
第6章 安全电子交易协议(SET)
【本章提要】
SET协议概述 SET购物流程 SET加密技术、认证技术 SET安全性分析
PPT文档演模板
安全电子交易协议
第6章 安全电子交易协议(SET)
6.1 SET协议概述 6.2 SET的相关技术 6.3 SET购物与支付处理流程 6.4 SET安全性分析 6.5 安全电子交易实训
l 在传统购物中,商家和消费者需要直接见面, 交易过程中需要的信息传输手段往往也是多种 多样的,如电话、传真、信件等。
l 与传统购物一样,网上购物也分为查询、订货、 交易等环节,但这种交易不需要消费者和商家 之间直接见面,并且可以通过Internet这一媒 介来进行
PPT文档演模板
安全电子交易协议
6.1.3 SET的主要目标
大的合数进行质因数分解是不可能的 • 3.SHA-1的安全性 • 4.随机数的安全性
PPT文档演模板
安全电子交易协议
6.5 安全电子交易实训
• 由于网站网页变化很快,因而同学 可以参考书中的申请步骤、购物步骤, 举一反三。
PPT文档演模板
安全电子交易协议
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SET协议的由来
SET协议中的核心技术主要有 共享密钥加密技术 公开密钥加密技术 电子数字签名 数字信封技术
6.1.2 网上购物和现实中购物的比较
在传统购物中,商家和消费者需要直接见面,交易过 程中需要的信息传输手段往往也是多种多样的,如电 话、传真、信件等。
与传统购物一样,网上购物也分为查询、订货、交易 等环节,但这种交易不需要消费者和商家之间直接见 面,并且可以通过Internet这一媒介来进行。
1)持卡人证书
持卡人证书表示持卡人合法拥有支付卡。 持卡人的发卡金融机构对用户验证并同意以后,向持卡人发
放证书。 持卡人证书中包含一个利用单向散列算法计算出的一个秘密
值,不包含账号信息和过期时间。 在SET协议中,持卡人向支付网关提供帐号信息和秘密值用
于验证。 在电子商务交易中,持卡人证书连同购买请求和加密后的支
付指令一同传送给商家。 商家接收到持卡人证书后,能够在最低程度上验证该帐号。
2)商家证书
商家证书表明商家同金融机构有一定的关系,能够 接受支付卡品牌支付。
商家证书由商家金融机构数字签名,商家证书不能 被任何第三方修改,并且只能由金融机构产生。
每个商家对每个它接受的支付卡品牌拥有一对证书。
发卡机构:它是一个金融机构,为每一个建立了账户的顾客颁发付
款卡。
商家:提供商品或服务,使用SET,就可以保证消费者个人信息的安
全。接受卡支付的商家必须和银行有关系。
6.1.4 SET协议中的参与方
银行:在线交易的商家在银行开立账号,并且处理支 付卡的认证和支付。
支付网关:是由银行操作的,将Internet上的传输数 据转换为金融机构内部数据的设备,或由指派的第三 方处理商家支付信息和顾客的支付指令。
3)支付网关证书
SET协议的内容包括:
SET的交易流程 程序设计规格 SET协议的完整描述
SET协议的由来
在SET协议中主要定义了以下内容: 1)加密算法(如RSA和DES)的应用; 2)证书消息和对象格式; 3)购买消息和对象格式; 4)请款消息和对象格式; 5)参与者之间的消息协议。
6.2 SET协议的相关技术
6.2 SET协议的相关技术
SET协议中的核心技术主要有 共享密钥加密技术 公开密钥加密技术 电子数字签名 数字信封技术
6.2.1 SET的双重签名技术
双重签名示意图
6.2.2 SET的协议的认证技术
1.身份验证问题 2.电子证书
持卡人证书 商家证书 支付网关证书 收单行证书 发卡行证书
中国银行是国内第一家使用SET协议的金融机构
Internet
认证和安全
收单行
支付网关
银行网络 发卡 行
Web和商务服务器 Internet
认证和安全 数据库服务器
SET交易系统示意图
其他商业处理盘点、会 计、行销等
SET协议的由来
SET协议主要通过使用密码技术和数字证书的方式来保 证信息的机密性和安全性。
了实现通信而必须遵守的规则和 约定。SET协议是应用层的协议。
Electronic (电子)
SET协议的由来
安全电子交易(Secure Electronic Transaction)协议
在Internet上开发对所有公众开放的电子商务系统,从技术角度 来看,关键的技术问题有两个:
一是信息传递的准确性;二是信息传递的安全可靠性。前者是 各种数据交换协议已经解决了的问题;后者则是目前学术界、 工商界和消费者最为关注的问题。
SET协议的由来
1996年提出SET、SEPP等协议模式 1997年4月,IBM、Netscape、Master Card、Visa联手
推出基于SET和SEPP的网络商贸系统。 SET的实质——密码技术+数字证书保护各方的安全。 版本 1997年5月,1.0版本 SET管理机构——SETCo
SET协议的由来
安全电子交易(Secure Electronic Transaction)协议
1997年由美国Visa和MasterCard两大信用卡公司共同制定实施 SET主要是为了解决用户,商家,银行之间通过信用卡的交易 而设计的 SET协议确保了网上交易所需要的保密性、数据的完整性、交 易的不可否认性和交易的身份认证。
认证中心:负责签发数字证书给持卡人、商家和支付 网关,让持卡人、商家和支付网关之间通过数字证书 进行认证。
6.1.4 SET协议中的参与方
SET是针对信用卡支付的网上交易而设计的支付规范, 对不用卡支付的交易方式,像货到付款方式、邮局汇 款方式则与SET无关。另外像网上商店的页面安排、保 密数据在购买者计算机上如何保存等,也与SET无关。
第6章 安全电子交易协议
第6章 安全电子交易协议
本章主要内容
什么是SET协议 SET协议的目标和涉及的角色 SET协议相关的技术 SET协议的交易流程
本章重/难点
双重签名 SET协议的交易流程
6.1 SET协议概述
6.1.1 SET协议的由来
S E T协议
协议是计算机网络中通信双方为
传统购物流程
买方
协商
卖方
一手交钱 一手交货
网上购物流程
能收到货吗? 买方
① 协商 ④ 发货
能收到钱 吗?
卖方
密码安 全吗?
② 支付
银行
③ 收帐
6.1.3 SET协议的主要目标
SET是一个基于可信的第三方认证中心的方案,它要实 现的主要目标有下列三个方面:
(1)保障付款安全 (2)确定应用的互通性 (3)达到全球市场的接受性
6.1.3 SET协议的主要目标
1
机密性
2
数据完整性
3
身份认证
4
不可否认性
Hale Waihona Puke 6.1.4 SET协议中的参与方
买方 持卡人
支付网关
发卡银行
认证中心
卖方 在线商家
收单银行
6.1.4 SET协议中的参与方
消费者:在电子商务环境中,消费者和团体购买者通过计算机与商
家交流,消费者通过由发卡机构颁发的付款卡(例如信用卡、借记卡) 进行结算。在消费者和商家的会话中,SET可以保证消费者的个人账 号信息不被泄露。