当前位置:文档之家› 5.电子商务安全协议

5.电子商务安全协议

• S-HTTP比SSL更灵活,但是实现较困难,而 使用也更困难,也因此现在使用基于SSL的H TTPS要比S-HTTP要更普遍。
理论
电子商务安全协议 电子商务安全交易需求 电子商务安全套接层协议 安全电子交易规范(SET) S-HTTP协议 IPSec协议
实践
证书服务的安装、管理 在网站上建立证书申请文件 客户机与网站的SSL连接
实践
证书服务的安装、管理 在网站上建立证书申请文件 客户机与网站的SSL连接
安全电子交易规范(SET)
• SET是一种以信用卡为基础的、在因特网上 交易的付款协议书,是授权业务信息传输安 全的标准,它采用RSA密码算法,利用公钥 体系对通信双方进行认证,用DES等标准加 密算法对信息加密传输,并用散列函数来鉴 别信息的完整性。
实践
证书服务的安装、管理 在网站上建立证书申请文件 客户机与网站的SSL连接
S-HTTP协议简介
• S-HTTP,即安全超文本传输协议,是建立以 Internet为基础的电子商务所需的技术,目 的是保证商业贸易的安全传输,促进电子商 务的发展。
SSL与S-HTTP的比较
• S-HTTP把消息当成对象进行签名或加密 传 输,而SSL则主动把数据流分帧处理,而不 理会消息的边界。
第六章 电子商务安全协议
理论
电子商务安全协议 电子商务安全交易需求 电子商务安全套接层协议 安全电子交易规范(SET) IPSec协议
实践
证书服务的安装、管理 在网站上建立证书申请文件 客户机与网站的SSL连接
电子商务安全交易需求
• 真实性要求 • 机密性要求 • 完整性要求 • 可用性要求 • 不可抵赖性要求 • 可控性要求
封装安全载荷
验证头(AH)
加密算法
加密算法
解释域(DOI) 密钥管理
策略
IPSec协议
• 由验证头(AH)、封装安全载荷(ESP)、I nternet安全关联和密钥管理协议ISAKMP的I nternet IP安全解释域(DOI)、ISAKMP、I nternet密钥交换(IKE)、IP安全文档指南、 OAKLEY密钥确定协议等组成。
IPSec的组成
IPSec 体 系
SET的交易成员
• 持卡人(消费者) • 网上商家 • 收单银行 • 支付网关 • 发卡银行 • 认证中心CA
SET的认证过程
• 注册登记申请数字证书 • 动态认证 • 商业机构的处理
SET和SSL的比较
• 在认证要求方面,SET的安全要求较高,所有参与S ET交易的成员(持卡人、商家、发卡行、收单行和 支付网关)都必须申请数字证书进行身份识别。
• 在安全性方面,SET的安全性比SSL高。 • 在网络层协议位置方面,SSL是基于传输层的通用
安全协议,而SET位于应用层,对网络上其他各层 也有涉及。 • 在应用领域方面,SSL主要是和Web应用一起工作, 而SET是为信用卡交易提供安全。
理论
电子商务安全协议 电子商务安全交易需求 电子商务安全套接层协议 安全电子交易规范(SET) S-HTTP协议 IPSec协议
检验阶段
SSL记录协议
为SSL连接提供 了两种服务:一 机密性,二完整

协商下一步记录 协议要使用的密
钥信息
SSL握手协议 SSL体系结构
是SSL高层协议的3 个特定协议之一, 用于更新当前连接
的密码组
修改密文协议
用来为对等实体 传递SSL的相关
警告
SSL告警协议
理论
电子商务安全协议 电子商务安全交易需求 电子商务安全套接层协议 安全电子交易规范(SET) IPSec协议
Set协议规定的工作流程
发 卡
查问用户信用卡是否属实


认可并签证交易
信 用 卡 消 费 账 单
用户
购货单 经过加密、签名的信托书
货物、收据
收 单 银 行


信 托 书
并 签 证
索 款
划 款


商家
Set---安全电子交易规范的目标
• 信息传输的安全性 • 信息的相互隔离 • 多方认证的解决 • 效仿EDI贸易形式 • 交易的实时性
理论
电子商务安全协议 电子商务安全交易需求 电子商务安全套接层协议 安全电子交易规范(SET) IPSec协议
实践
证书服务的安装、管理 在网站上建立证书申请文件 客户机与网站的SSL连接
电子商务安全套接层协议(SSL)
• SSL—安全套接层协议是用于Web服务器和浏 览器之间的安全连接技术,主要提供了3种 服务:数据加密服务、认证服务和数据完整 性服务。最初由Netscape公司开发,1995年 发机通过网络 向服务器打招呼,
服务器回应
客户机与服务器 之间交换双方认 可的密码,一般 选用RSA密码算
法;
接通阶段
密码交换阶段
客户机与服务器 之间相互交换结
束的信息
服务器验证客户 机的可信度
结束阶段
客户认证阶段
客户机器与服务 器间产生彼此交 谈的会谈密码
会谈密码阶段 客户机检验服务 器取得的密码
电子商务交易的基本骗术
• 以超低价格诱惑买家消费,利用了人们求便 宜的心理
• 专门窃取玩家游戏账号及密码的木马程序 • 利用免费注册会员信息来获取玩家登录账号
和密码 • 冒充官方客服来欺骗玩家获取账号和密码 • 模拟银行页面 • 利用中奖的手段来诱骗买家
电子商务销售者和消费者双方面临的基本威胁
对于销售者而言,面临的安全威胁主要有: • 中央系统安全性被破坏 • 竞争者检索商品递送状况 • 客户资料被竞争者获取 • 被他人假冒而损害公司的信誉 • 消费者提交订单后不付款 • 获取他人的机密数据 对于消费者而言,他面临的案例威胁主要有: • 付款后不能收到商品 • 拒绝服务 • 机密性丧失
相关主题

相关文档推荐: