13讲 安全电子交易

1、第十二讲安全电子交易 13.1 电子交易的基本流程 13.2 电子交易的安全标准 13.3 安全电子交换协议SET简述 13.4 SET的安全需求与特征 13.5 SET中的支付处理 13.6 SET存在的问题 （1）电子交易的基本流程 （2）SSL协议与常用数据交换协议 （3）安全电子交换协议SET的基本原理 （4）SET中的支付处理过程 （5）SET存在的问题 本章学习目标电子交易的模式 按交易主体分类 ：1）企业对企业的电子交易模式（B2B） 2）企业对消费者的电子交易模式（Business To Customer,B2C）3）消费者对消费者的电子交易模式（Customer To Cus

2、tomer,C2C）4）企业对政府的电子交易模式（Business To Government,B2G）按交易对象分类 1、数字化商品电子交易模式2、实物类商品电子交易模式3、网络服务电子交易模式 电子交易的支付模式 目前的电子支付系统可以分为四类：1）大额支付系统大额支付系统是一个国家支付体系的核心应用系统，它通常由中央银行运行，采用RTGS模式。 2）联机小额支付系统联机小额支付系统指 POSE机系统和 ATM系统，其支付工具为银行卡（信用卡、借记卡或ATM卡等）。 3）脱机小额支付系统脱机小额支付系统也被称为批量电子支付系统，它主要指自动清算所（ACH），主要处理预先授权的定期借记（如公

3、共设施缴费）或定期贷记（如发放工资）。 4）电子货币 常用的电子货币有以下几种： 储值和信用卡型：如储蓄卡（deposit card）和信用卡（credit card）； 智能卡型：如IC卡（IC card）； 电子支票型：电子支票（electronic check）指启动支付过程后，计算机屏幕上出现的支票图像，出票人用电子方式做成支票并进行电子签名而出票； 数字现金型：指依靠Internet支持在网络上发行、购买、支付的数字现金（digital cash）。企业对企业交易模式案例中国商品交易中心 企业对消费者交易模式案例当当网上书店 网络平台发展 当当网已经发展成为全球最大的中文书刊和音像网

4、上零售商，成为了名副其实的中国网上购物第一店。但是在这些荣耀的背后我们应该看到竞争也是残酷的，自从2004年8月19日卓越网被亚马逊以7500万美元收购以后，当当网失去了一个国内的强劲对手，对当当网来说应该是件好事情，但是换来的对手却是国际电子商务领域的巨头。面对亚马逊这样的对手，当当网会被逼向绝境吗？这需要我们拭目以待。但当当网联合总裁李国庆否认亚马逊收购卓越网会把当当逼向绝境，他认为，“竞争对手卓越网卖给亚马逊等于是当当捡了一个便宜，很多原来他们的客户都跑到我这来了。我们认为我们能打赢这场仗才没卖当当网。” 对于互联网行业的企业来讲，被收购和自主上市始终是两个主要的发展方向。电子商务公司也

5、不例外。EBAY以2个多亿注资易趣，软银等以7200万美元投资阿里巴巴，亚马逊以7500万美元收购卓越都是这两个方向的标准样板。在未来激烈的竞争中，当当网应该迅速地把盘子做大从而吸引投资或自主上市。 人手操作最简单的国际贸易最少包括12个参予者，而每个都有独特的权责和文件要求1。 ImporterImporter互联网速递增值网络电子数据交换傳 真邮递 专用网络Importer进口商出口商代理运输公司承揽业者保险公司海关 银行 电子化现在的贸易情况贸易的N方业务模式 点对点垂直行业的B2B应用（包括EDI）已经蓬勃发展； “一点接入”、“综合服务平台”、区域集成解决方案“等，也在发展中电子贸易

6、中“规则”、“流程控制”方面的任务尚未有雏形招商银行的网上银行 自1997年以来，国内招商银行、中国银行、中国建设银行、中国工商银行陆续推出网上银行业务，其中中国银行采用的是SET协议，另外则使用了SSL。招商银行的网上银行于1999年底正式运行，其功能主要包括了个人银行系统、网上支付系统、网上证券统、网上商城系统等。中国建设银行开发了日处理业务130万笔、允许5万个客户同时访问和交易的网上银行系统。安全电子交易淘宝网购物实例分析登录淘宝网通过用户登录进入淘宝网，注册用户可以选购商品，未注册用户只能浏览商品。登录淘宝网点击“请登录”进入登录页面，用户名可以是手机号、会员名、邮箱。登录淘宝网ht

7、tp方式登录https方式登录（安全登录）https全称：Hypertext Transfer Protocol over Secure Socket Layer，是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容请看SSL。 选定商品信 用信用包括卖家信用和买家信用，是由交易完成之后，根据双方对交易的满意程度，自愿反馈的信息。淘宝网一般以右图形式表示信用。确认购买信息选定商品之后点击“立即购买”之后，页面会提示用户确认购买信息。确认提交表单提交表单包括金额，校验码等要素。验证码校验码在这里可以认为是一种验证码。它

8、可以有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试，实际上是用验证码是现在很多网站通行的方式 。常见验证码四位数字，随机的一数字字符串，最原始的验证码，验证作用几乎为零。目前常用的随机数字图片验证码。图片上的字符比较中规中矩，验证作用比四位数字好。没有基本图形图像学知识的人就很难破解。汉字是注册目前最新的验证码，随机生成，破解起来就更难了！检测支付宝安全控件在确认提交表单之后，便转向支付系统，在这个过程中，支付宝服务会自动检测在用户PC上的支付保安全控件。支付宝支付宝（中国）网络技术有限公司是国内领先的独立第三方支付平台，由阿里巴巴集团创办。支付宝（）致力于为中国

9、电子商务提供“简单、安全、快速”的在线支付解决方案。选择支付方式使用网银付款选择“中国工商银行”，然后付款。登录网银网银付款采用https网银登录表单要求用户填写银行账号和验证码网银安全控件如果用户PC上没有安装网银安全控件，则会在鼠标聚焦验证码时提示用户安装网银安全控件网银预留信息这是用户在银行办理网银时设置的信息，以便用户在网上确认自己的银行卡。网银付款付款同时需要：口令卡密码、网银登录密码、验证码。口令卡密码又称为动态密码（Dynamic Password），它指用户的密码按照时间或使用次数不断动态变化。根据提示的坐标S1和A7输入口令卡上对应的数值。黑客要想破解用户密码，首先要从物理上

10、获得用户的口令卡，其次还要获得用户的网银密码。由此可以看出网银的安全性得到了加强。电子支付流程图审核定单协商认证认证认证确认确认审核扣款 消 费 者 在 线 商 店支付 网关 收 单 发卡银行认证 中心.支付网关的主要功能支付网关是整个系统的关键，它的主要功能有：（1）实现交易功能，即完成持卡人网上支付的正常流程。（2）进行交易的异常处理，如持卡人的帐户余额改动之后，并为未得到所期望的交易结果，则这样的交易将被部分或全部地冲正。（3）提供仲裁信息。（4）提供多种报表。（5）提供查询功能。（6） 计费功能 网上支付最常见的信用卡、电子支票； 数字现钞（e-cash），在数字现钞中，货币仅仅是一串

11、数据位，银行可能发行这样的数据位串，或者从消费者的帐户中划出相等的纸币。 移动支付 从2002年开始，移动支付就已经成为移动增值业务中的一个亮点。目前我国的移动支付业务发展重点不是很明显，银行信用卡捆绑的缴费业务、查询业务等移动支付业务就是将移动网络与金融系统结合，商品交易、缴费等金融服务的业务，小商品交易、电子内容（产品）支付、服务付费、缴费等银行服务等几类。小额服务付费是指用户通过手机来支付服务业务费用。最流行支付停车或者洗车费等。 手机当钱用.缴费业务以缴费业务为代表的移动银行目前是我国银行系统参与的移动支付主要业务类型。“手机钱包”服务其实就是这个业务非常典型的应用，通过与银行的捆绑，

12、将SIM卡与银行帐号自然联系起来。电子商务交易中的安全措施 安全交易标准和技术，主要的协议标准有：（1） 安全超文本传输协议（S-HTTP）（2） 安全套接层协议(SSL)（3） 安全交易技术协议(STT, Secure Transaction Technology)(4)安全电子交易协议(SET,Secure Electronic Transaction) SET的由来 在Internet上开发对所有公众开放的电子商务系统，从技术角度来看，关键的技术问题有两个：一是信息传递的准确性；二是信息传递的安全可靠性。前者是各种数据交换协议已经解决了的问题；后者则是目前学术界、工商界和消费者最为关注的

13、问题。 SET的由来在SET协议中主要定义了以下内容：1）加密算法（如RSA和DES）的应用；2）证书消息和对象格式；3）购买消息和对象格式；4）请款消息和对象格式；5）参与者之间的消息协议。网上购物与现实中购物的比较在传统购物中，商家和消费者需要直接见面，交易过程中需要的信息传输手段往往也是多种多样的，如电话、传真、信件等。与传统购物一样，网上购物也分为查询、订货、交易等环节，但这种交易不需要消费者和商家之间直接见面，并且可以通过Internet这一媒介来进行 SET的主要目标SET是一个基于可信的第三方认证中心的方案，它要实现的主要目标有下列三个方面：（1）保障付款安全（2）确定应用的互通

14、性 （3）达到全球市场的接受性 SET协议保证了电子交易的机密性、数据完整性、身份的合法性和不可否认性。 SET(Secure Electronic Transaction)持卡人密文商家银行发卡机构CA密文协商定单确认审核确认审核批准认证认证认证提供身份认证、数据保密、数据完整性等服务13.1 电子交易的基本流程 如图12-1所示，网络网际付款的流程有6个步骤。 13.2 电子交易的安全标准 13.2.1 常用数据交换协议 13.2.2 SSL协议 13.2.1 常用数据交换协议 电子数据交换（EDI） 开放贸易协议（OTP） 开放数据标准（OPS） 加密套接字层（SSL） 安全电子交易（S

15、ET） 13.2.2 SSL协议 SSL提供3种基本的安全服务：信息加密、信息完整性和相互认证。1SSL安全协议的基本概念 SSL安全协议主要提供三方面的服务： 加密数据以隐藏被传送的数据。维护数据的完整性，确保数据在传输过程中不被改变。认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。 2SSL安全协议的运行步骤 SSL的运行过程包括六步：（1）接通阶段，客户通过网络向服务商打招呼，服务商回应。（2）密码交换阶段，客户与服务商之间交换双方认可的密码。一般选用RSA密码算法，也有的选用Diffie-Hellman和Fortezza-KEA密码算法。（3）会谈密码阶段，客户

16、与服务商间产生彼此交谈的会谈密码。（4）检验阶段，检验服务商取得的密码。（5）客户认证阶段，验证客户的可信度。 （6）结束阶段，客户与服务商之间相互交换结束的信息。 3SSL安全协议的应用 SSL安全协议也是国际上最早应用于电子商务的一种网络安全协议，至今仍然有许多网上商店在使用。在点对点的网上银行业务中也经常使用。该协议已成为事实上的工业标准，并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如网景公司、微软公司、IBM公司等领导Internet/Intranet网络产品的公司已在使用该协议。 4SET协议和SSL协议的区别 SET协议和SSL协议的区别如表11-1

17、所示。 13.3 安全电子交换协议SET简述 13.3.1 SET的基本概念 13.3.2 SET的基本原理 13.3.1 SET的基本概念 1SET安全协议的主要目标 SET是一个基于可信的第三方认证中心的方案，它要实现的主要目标有下列三个方面： （1）保障付款安全。 （2）确定应用的互通性。 （3）达到全球市场的接受性。SET协议保证了电子交易的机密性、数据完整性、身份的合法性和不可否认性。 SET协议中的相关成员SET协议中的角色有：（1）持卡人（Cardholder） （2）发卡机构（Card Issuer） （3）商家（Merchant） （4）收单银行（Acquiring Bank

18、） （5）支付网关（Payment Gateway） （6）认证中心（Certificate Authority，CA） 2SET安全协议涉及的范围 一项SET交易由以下几个部分组成，如图11-3所示。 交易过程如图11-4所示。其运作方式如下所述： 3SET的通信过程 SET的通信过程如图11-5所示。 4SET的认证 在用户身份认证方面，SET引入了证书（Certificates）和认证机构（Certificates Authorities）机制。（1）证书。证书就是一份文档，它记录了用户的公共密钥和其他身份信息。在SET中，最主要的证书是持卡人证书和商家证书。 （2）认证机构。CA是受一

19、个或多个用户信任，提供用户身份验证的第三方机构。 （3）证书的树形验证结构。在两方通信时，通过出示由某个CA签发的证书来证明自己的身份。 5SET标准的应用 自1996年起，34个国家的150多家金融机构制定了SET试行方案。从新加坡到旧金山的信用卡公司都开始建造SET交易网关，软件厂家则着手开发支持SET的应用软件。 安全电子交易SET是一种电子支付过程标准，用以保护网上支付卡交易的每一个环节，由VISA和Master Card合作产生，同时采用IBM、GTE、Microsoft、Netscape、RSA、SAIC、Terisa、VeriSign等多个公司的技术，是专为网上支付卡业务安全所制

20、定的惟一有意义的标准。它保证电子支付卡交易的安全进行、加密付款信息被安全地发送。SET标准主要由3个文件组成：SET业务描述、SET程序员指南和SET协议描述。 13.3.2 SET的基本原理 SET协议规定了交易各方进行安全交易的具体流程。SET协议执行步骤与常规的信用卡交易过程基本相同，只是它是通过因特网来实现的。 SET协议执行步骤与常规的信用卡交易过程基本相同，只是它是通过因特网来实现的。SET提供了3种服务：在交易涉及的各方之间提供安全的通信信道。通过使用X.509v3数字证书进行认证。保证机密性，因为信息只是在必要的时候、必要的地方才对交易各方可用。 SET协议规定的工作流程如下：

21、（1）用户向商家发送购货单和一份经过签名、加密的信托书。书中的信用卡号是经过加密的，商家无从得知。（2）商家把信托书传送到收单银行，收单银行可以解密信用卡号，并通过认证验证签名。（3）收单银行向发卡银行查问，确认用户信用卡是否属实。（4）发卡银行认可并签证该笔交易。（5）收单银行认可商家并签证此交易。（6）商家向用户传送货物和收据。（7）交易成功，商家向收单银行索款。（8）收单银行按合同将货款划给商家。（9）发卡银行向用户定期寄去信用卡消费账单。13.4 SET的安全需求与特征 13.4.1 SET的安全需求 13.4.2 SET的关键特征 13.4.3 SET的购物流程 13.4.4 SET

22、的双向签名 13.4.1 SET的安全需求 SET规约列出了以下一些在Internet和其他网络上使用信用卡进行安全支付处理的商业需求。 （1）对支付和订购信息提供机密性，使卡的用户确信这个信息是安全的并只能被持卡者访问是必要的。 （2）保证所有传输数据的完整性，即保证在SET报文传输过程中不会出现对内容的修改。SET使用数字签名来保证完整性。 （3）认证中心机制，可验证使用者（消费者与经销商）的合法性，对卡的拥有者是否是信用卡账户的合法用户提供鉴证。 （4）通过与金融机构的关系对商家是否可以接受信用卡交易提供鉴证，这是前面需求的补充。 （5）保证使用最好的安全策略和系统设计技术来保护电子商务

23、交易中的所有合法方。SET基于高度安全的加密算法和协议上经过很好测试的规约。 （6）确保不完全依靠内部使用的安全机制，但认证协议也不会妨碍安全机制运作。 （7）具有不同软件与网络间相互运作的能力，方便和鼓励软件和网络提供者之间的互操作性。 （8）确保安全系统设计和安全性。 13.4.2 SET的关键特征 为了满足上述需求，安全电子交易（SET）交易标准具有下列特性：（1）保证信息的保密性。 （2）保证数据的完整性。 （3）验证商户和持卡人。 使用消费者的电子证书与数字签章来验证消费者。使用经销商的电子证书与数字签章来验证经销商。由权威的、受到广泛信赖的认证机构（即CA）对交易各方身份进行认证。

24、 认证过程分为： 1）卡用户账号的鉴别，SET使得商家能够验证卡用户是有效的卡账号的合法用户。 2）商家的鉴别，SET使得卡用户可以验证商家与金融机构存在某种关系，允许它接受支付信用卡。（4）使用明确的协议与信息格式，以提供不同软硬件间互相运作的能力。 13.4.3 SET的购物流程 SET主要适用于因特网上的卡交易。SET交易虽然没有传统的面对面交易过程，但与传统交易类似，也涉及3种实体：持卡人（Card Holder）、商户（Merchant）和金融机构（Financial Institution）。SET的购物流程。 1购物请求 2授权请求 3扣款请求 SET的相关技术 SET的双重签名

25、技术 SET的认证技术13.4.4 SET的双向签名 SET引入的一个重要技术：双向签名（如图11-7所示）。双向签名的目的是为了连接两个发送给不同接收者的报文。在这种情况下，消费者想要将订购信息（OI）发送给商家，将支付信息（H）发送给银行，商家不必知道消费者的信用卡号码，银行也不必知道消费者订单的细节。消费者被提供了私有性的额外保护使得这两个项目分离。 SET的认证技术1身份验证问题 2电子证书（Certificate） SET中主要的证书是持卡人证书、商家证书 13.5 SET中的支付处理 13.5.1 交易过程 13.5.2 支付认可 13.5.3 支付获取 13.5.1 交易过程 在交易过程中，所有的消息传输都在消费者与商店、商店与银行（付款银行）之间。SET支持的交易主要包括： 购买请求。 支付认可。 支付获取。 购买请求