电子商务安全技术及应用

电子商务安全技术授课教师：张静电子商务的基本概念电子商务的形态电子商务的安全任务安全电子交易协议SET电子商务的基本概念电子商务的形态电子商务的安全任务安全电子交易协议SET电子商务的基本概念电子商务的概念主要由两部分构成，一是电子，二是商务。先说电子，电子就是指通过计算机和网络手段所完成的信息传输与处理过程。商务主要是指企业的经营活动（当然也包括参与企业经营活动的个人消费者的活动）。企业的经营活动范围很广，具体讲有供应（采购）、生产、营销、财务、人事（人力资源）、信息采集与传递、广告宣传。此外还有企业的并购以及证券活动。电子商务的基本概念凡是透过网际网路所完成的商业活动皆可视为电子商务。电子商务是藉由通讯网络所进行的企业咨询分享、企业关系维持、以及企业交易的执行。财务

人事

原物料电子商务的基本概念企业、公司研发创新生产制造行销品管市场、客户服务产品业务供应商企业内部、企业与企业之间企业与供应商企业与客户网际网路电子商务的基本概念电子商务的形态电子商务的安全任务安全电子交易协议SET电子商务的形态企业对顾客BtoC企业对企业BtoB电子交易市集C2CB2B企业内部应用BtoC网站实例BtoC網站實例BtoC网站实例BtoB网站实例BtoB网站实例CtoC网站实例CtoC网站实例电子商务的基本概念电子商务的形态电子商务的安全任务安全电子交易协议SET监听篡改拦截假冒电子商务安全任务身份认证（持卡者、商家、银行）有效性机密性完整性抗抵赖电子商务的基本概念电子商务的形态电子商务的安全任务安全电子交易协议SET电子安全交易协议BTOC支付交易过程电子交易中的安全需求SET的关键技术SET的目标、角色和安全保障作用电子安全交易协议BTOC支付交易过程电子交易中的安全需求SET的关键技术SET的目标、角色和安全保障作用安全电子交易协议SET

电子交易中的安全支付问题

1.电子商务中的BtoC交易过程交易指双方买卖双方之间进行商品买卖的行为。广义的交易是一个复杂的过程。在电子商务中，由于参与方不同等原因，会形成不同的交易过程，如BtoB（BusinesstoBusiness，企业间电子商务，也缩写作B2B）的交易过程、BtoC（BusinesstoConsumer，企业对消费者的电子商务）的交易过程等。

下面主要介绍BtoC的交易过程在BtoC的交易过程中，主要角色有：商家（Merchant）：商品或服务的提供者。银行（Acquirer）：为在线交易者开设账号，并处理支付卡的认证和支付业务。支付网关（Paymentgateway）：将Internet上的传输数据转换为金融机构内部数据。持卡者（Cardholder）：消费者，可以使用付款卡结算。发卡机构（Issuer）：为每一个建立了账户的客户颁发付款卡，也可以由指派的第三方处理商家支付信息和客户支付命令。BtoC的基本交易过程①消费者上网，查看企业和商家网页，选择商品；消费者通过对话框填写订货单（姓名、地址、品种、规格、数量、价格）给商家。②商家核对消费者订货单后，向用户发出付款通知，同时向银行发出转账请求。③消费者选择支付方式，如向发卡机构提交付款卡。④发卡机构验证消费者付款卡后，将卡号加密传向银行（支付网关）。银行审查消费者付款卡（有效、款够等）合格后，进行转账。⑤转账成功，向商家发出和发卡机构出转账成功回执。⑥发卡机构向消费者发出支付收据。

⑦商家向消费者付货。电子安全交易协议BTOC支付交易过程电子交易中的安全需求SET的关键技术SET的目标、角色和安全保障作用

支付是交易的重要环节。由于电子支付的虚拟性，它的安全倍受人们关注，也是电子商务安全的最重要和最困难环节。电子支付的问题表现在支付的每一个方面和每一个步骤中。归纳起来，主要表现为有如下一些安全需求：确定交易过程中交易伙伴的真实性。保证电子单据的隐秘性，防范被无关者窃取。保证业务单据不丢失，即使丢失也可察觉。验证电子单据内容的完整性。验证电子单据内容的真实性。具有防抵赖性和可仲裁性。保证存储的交易信息的安全性。电子安全交易协议BTOC支付交易过程电子交易中的安全需求SET的关键技术SET的目标、角色和安全保障作用SET的目标、角色和安全保障作用

SET（SecureElectricTransaction，安全电子交换）协议是一种利用加密技术（Cryptography），以确保信用卡消费者、销售上及金融机构在Internet上从事电子交易的安全性和隐私性的协议。它是由两大信用卡公司——VISA和Master在GTE、IBM、Microsoft\、Netscape、SAIC、TerisaSystem、Verisign等著名IT公司的支持下开发的。于1996年2月1日正式发表。SET的目标

1.SET的主要目标是：（1）保证数据在Internet上安全传输，不被窃取。（2）订单信息与账号信息隔离，如把包含消费者账号信息的订单送给商家时，商家应看不到消费者账号信息。（3）消费与商家可以互相认证（一般由第三方提供信用担保），确定通信双方身份。（4）采用统一的协议和数据格式，使不同厂家开发的软件具有兼容性和互操作性，并可以运行在不同的硬件和操作系统平台上。SET的参与角色

一个SET交易过程可能会涉及如下6种角色：（1）消费者，即持卡人，必须持有发卡机构支付卡账号；认证机构颁发的身份证书；上网条件。（2）商家，即经营者，必须持有：网上经营许可权；经过银行委托授权机构（认证中心、CA）颁发的数字证书；相应的电子商务平台：处理消费者申请、与支付网关通信、存储自身公钥签名、存储自己的公钥交换私钥、存储交易参与方的公钥交换私钥、申请和接受认证、与后台数据库通信等。（3）银行：给在线交易参与者建立账号，处理转账业务。（4）发卡机构：金融机构，为建立了账号的消费者发卡。（5）支付网关，实际上是一台可以处理SET协议数据的计算机，可在SET协议和银行交易系统之间进行数据格式转换，实现传统银行网上支付功能的延伸。支付网关有如下服务：确定商家和消费者身份；解密持卡人的支付指令；签署数字响应。支付网关必须具有：银行授权；CA颁发的数字证书。（6）认证机构，是参与交易各方都信任的第三方，可以接受发卡行和收单行的委托，对持卡人、商家和支付网关完成数字证书的发放。

3.SET的安全保障作用（1）基于持卡人的安全保障对账号数据保密；对交易数据保密；持卡人对商家的认证。

（2）基于商家的安全保障对交易数据完整性的认证；对持卡人账户数据的认证；对持卡人的认证；对银行端的认证；对交易数据保密；提供交易数据的佐证。

（3）基于银行（支付网关）的安全保障对消费者账号数据的认证；对交易数据的间接认证；对交易数据完整性的认证；提供交易数据的佐证。电子安全交易协议BTOC支付交易过程电子交易中的安全需求SET的关键技术SET的目标、角色和安全保障作用SET关键技术

1.双重签名

SET有一个基本性能：不需要让某个角色知道的其他角色的机密。例如：只与持卡人和商家之间的交易有关的机密数据，不必要，也不可以让银行知道。持卡者的账户数据也是持卡者的个人秘密数据，不必要，也不可以让厂商知道。

但是，在不知道他人机密的情况下，还要对其数据的正确性进行认证。例如，在商家不知道持卡者账户数据，银行也不知道持卡者与商家之间的交易数据的情况下，让商家和银行都可以确定这些数据确实由持卡者产生、送出的，还可以间接、直接地对这些数据进行认证。这一性能，在SET中使用双重签名（DualSignature）技巧解决。下面介绍用双重签名实现这一性能的过程。

①持卡者（C）产生两个签名：CSig(H(H(OI)),H(PI)))：持卡者对交易数据（OI）和账户数据（PI）的签名。CSig(H(OI))：持卡者对交易数据（OI）的签名。将两个签名、账户数据杂凑值H（PI）和交易数据（OI）都传送给商家。

②商家（M）操作：验证CSig(H(H(OI),H(PI)))、CSig(H(OI))和H（PI），确定是否持卡者的签名。生成对交易数据的签名MSig(H(OI))。将MSig(H(OI))、CSig(H(H(OI),H(PI)))一同送银行（支付网关）。

③支付网关（P）操作：验证MSig(H(OI))，确定H(OI)为交易数据的杂凑值。用已知的PI，验证CSig(H(H(OI),H(PI)))的正确性，确认交易数据和账户数据都是正确的。根据政策，确认此笔交易是否成功。SET交易过程