第3讲 安全电子交易

第十二讲平安电子买卖13.1电子买卖的根本流程13.2电子买卖的平安规范13.3平安电子交换协议SET简述13.4SET的平安需求与特征13.5SET中的支付处置13.6SET存在的问题〔1〕电子买卖的根本流程〔2〕SSL协议与常用数据交换协议〔3〕平安电子交换协议SET的根本原理〔4〕SET中的支付处置过程〔5〕SET存在的问题本章学习目的电子买卖的方式

按买卖主体分类：1〕企业对企业的电子买卖方式〔B2B〕2〕企业对消费者的电子买卖方式〔BusinessToCustomer,B2C〕3〕消费者对消费者的电子买卖方式〔CustomerToCustomer,C2C〕4〕企业对政府的电子买卖方式〔BusinessToGovernment,B2G〕按买卖对象分类1、数字化商品电子买卖方式2、实物类商品电子买卖方式3、网络效力电子买卖方式电子买卖的支付方式目前的电子支付系统可以分为四类：1〕大额支付系统大额支付系统是一个国家支付体系的中心运用系统，它通常由中央银行运转，采用RTGS方式。2〕联机小额支付系统联机小额支付系统指POSE机系统和ATM系统，其支付工具为银行卡〔信誉卡、借记卡或ATM卡等〕。3〕脱机小额支付系统脱机小额支付系统也被称为批量电子支付系统，它主要指自动清算所〔ACH〕，主要处置预先授权的定期借记〔如公共设备缴费〕或定期贷记〔如发放工资〕。4〕电子货币常用的电子货币有以下几种：①

储值和信誉卡型：如储蓄卡〔depositcard〕和信誉卡〔creditcard〕；②

智能卡型：如IC卡〔ICcard〕；③

电子支票型：电子支票〔electroniccheck〕指启动支付过程后，计算机屏幕上出现的支票图像，出票人用电子方式做成支票并进展电子签名而出票；④

数字现金型：指依托Internet支持在网络上发行、购买、支付的数字现金〔digitalcash〕。企业对企业买卖方式案例——中国商品买卖中心企业对消费者买卖方式案例——当当网上书店网络平台开展当当网曾经开展成为全球最大的中文书刊和音像网上零售商，成为了名副其实的中国网上购物第一店。但是在这些光彩的背后我们应该看到竞争也是残酷的，自从2004年8月19日杰出网被亚马逊以7500万美圆收买以后，当当网失去了一个国内的强劲对手，对当当网来说应该是件好事情，但是换来的对手却是国际电子商务领域的巨头。面对亚马逊这样的对手，当当网会被逼向绝境吗？这需求我们拭目以待。但当当网结合总裁李国庆否认亚马逊收买杰出网会把当当逼向绝境，他以为，“竞争对手杰出网卖给亚马逊等于是当当捡了一个廉价，很多原来他们的客户都跑到我这来了。我们以为我们能打赢这场仗才没卖当当网。〞对于互联网行业的企业来讲，被收买和自主上市一直是两个主要的开展方向。电子商务公司也不例外。EBAY以2个多亿注资易趣，软银等以7200万美圆投资阿里巴巴，亚马逊以7500万美圆收买杰出都是这两个方向的规范样板。在未来猛烈的竞争中，当当网应该迅速地把盘子做大从而吸引投资或自主上市。人手操作最简单的国际贸易最少包括12个参予者，而每个都有独特的权责和文件要求1。ImporterImporter互联网速递增值网络电子数据交换傳真邮递公用网络Importer进口商出口商代理运输公司承揽业者保险公司海关银行电子化如今的贸易情况贸易的N方业务方式点对点垂直行业的B2B运用〔包括EDI〕曾经蓬勃开展；“一点接入〞、“综合效力平台〞、区域集成处理方案“等，也在开展中电子贸易中“规那么〞、“流程控制〞方面的义务尚未有雏形招商银行的网上银行自1997年以来，国内招商银行、中国银行、中国建立银行、中国工商银行陆续推出网上银行业务，其中中国银行采用的是SET协议，另外那么运用了SSL。招商银行的网上银行于1999年底正式运转，其功能主要包括了个人银行系统、网上支付系统、网上证券统、网上商城系统等。中国建立银行开发了日处置业务130万笔、允许5万个客户同时访问和买卖的网上银行系统。平安电子买卖——淘宝网购物实例分析登录淘宝网经过用户登录进入淘宝网，注册用户可以选购商品，未注册用户只能阅读商品。登录淘宝网点击“请登录〞进入登录页面，用户名可以是手机号、会员名、邮箱。登录淘宝网http方式登录https方式登录〔平安登录〕https全称：HypertextTransferProtocoloverSecureSocketLayer，是以平安为目的的HTTP通道，简单讲是HTTP的平安版。即HTTP下参与SSL层，HTTPS的平安根底是SSL，因此加密的详细内容请看SSL。选定商品信用信誉包括卖家信誉和买家信誉，是由买卖完成之后，根据双方对买卖的称心程度，自愿反响的信息。淘宝网普通以右图方式表示信誉。确认购买信息选定商品之后点击“立刻购买〞之后，页面会提示用户确认购买信息。确认提交表单提交表单包括金额，校验码等要素。验证码校验码在这里可以以为是一种验证码。它可以有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进展不断的登陆尝试，实践上是用验证码是如今很多网站通行的方式。常见验证码四位数字，随机的一数字字符串，最原始的验证码，验证作用几乎为零。目前常用的随机数字图片验证码。图片上的字符比较中规中矩，验证作用比四位数字好。没有根本图形图像学知识的人就很难破解。汉字是注册目前最新的验证码，随机生成，破解起来就更难了！检测支付宝平安控件在确认提交表单之后，便转向支付系统，在这个过程中，支付宝效力会自动检测在用户PC上的支付保平安控件。支付宝支付宝〔中国〕网络技术是国内领先的独立第三方支付平台，由阿里巴巴集团兴办。支付宝〔alipay〕努力于为中国电子商务提供“简单、平安、快速〞的在线支付处理方案。选择支付方式运用网银付款选择“中国工商银行〞，然后付款。登录网银网银付款采用https网银登录表单要求用户填写银行账号和验证码网银平安控件假设用户PC上没有安装网银平安控件，那么会在鼠标聚焦验证码时提示用户安装网银平安控件网银预留信息这是用户在银行办理网银时设置的信息，以便用户在网上确认本人的银行卡。网银付款付款同时需求：口令卡密码、网银登录密码、验证码。口令卡密码又称为动态密码〔DynamicPassword〕，它指用户的密码按照时间或运用次数不断动态变化。根据提示的坐标S1和A7输入口令卡上对应的数值。黑客要想破解用户密码，首先要从物理上获得用户的口令卡，其次还要获得用户的网银密码。由此可以看出网银的平安性得到了加强。电子支付流程图审核定单协商认证认证认证确认确认审核扣款消费者在线商店支付网关收单发卡银行认证中心.支付网关的主要功能支付网关是整个系统的关键，它的主要功能有：〔1〕实现买卖功能，即完成持卡人网上支付的正常流程。〔2〕进展买卖的异常处置，如持卡人的帐户余额改动之后，并为未得到所期望的买卖结果，那么这样的买卖将被部分或全部地冲正。〔3〕

提供仲裁信息。〔4〕

提供多种报表。〔5〕

提供查询功能。〔6〕

计费功能网上支付最常见的信誉卡、电子支票；数字现钞〔e-cash〕，在数字现钞中，货币仅仅是一串数据位，银行能够发行这样的数据位串，或者从消费者的帐户中划出相等的纸币。挪动支付从2002年开场，挪动支付就曾经成为挪动增值业务中的一个亮点。目前我国的挪动支付业务开展重点不是很明显，银行信誉卡捆绑的缴费业务、查询业务等挪动支付业务就是将挪动网络与金融系统结合，商品买卖、缴费等金融效力的业务，小商品买卖、电子内容〔产品〕支付、效力付费、缴费等银行效力等几类。小额效力付费是指用户经过手机来支付效力业务费用。最流行支付停车或者洗车费等。手机当钱用.缴费业务以缴费业务为代表的挪动银行目前是我国银行系统参与的挪动支付主要业务类型。“手机钱包〞效力其实就是这个业务非常典型的运用，经过与银行的捆绑，将SIM卡与银行帐号自然联络起来。电子商务买卖中的平安措施平安买卖规范和技术，主要的协议规范有：〔1〕

平安超文本传输协议〔S-〕〔2〕

平安套接层协议(SSL)〔3〕

平安买卖技术协议(STT,SecureTransactionTechnology)(4)平安电子买卖协议(SET,SecureElectronicTransaction)SET的由来在Internet上开发对一切公众开放的电子商务系统，从技术角度来看，关键的技术问题有两个：一是信息传送的准确性；二是信息传送的平安可靠性。前者是各种数据交换协议曾经处理了的问题；后者那么是目前学术界、工商界和消费者最为关注的问题。SET的由来在SET协议中主要定义了以下内容：1〕加密算法〔如RSA和DES〕的运用；2〕证书音讯和对象格式；3〕购买音讯和对象格式；4〕请款音讯和对象格式；5〕参与者之间的音讯协议。网上购物与现实中购物的比较在传统购物中，商家和消费者需求直接见面，买卖过程中需求的信息传输手段往往也是多种多样的，如、、信件等。与传统购物一样，网上购物也分为查询、订货、买卖等环节，但这种买卖不需求消费者和商家之间直接见面，并且可以经过Internet这一媒介来进展SET的主要目的SET是一个基于可信的第三方认证中心的方案，它要实现的主要目的有以下三个方面：〔1〕保证付款平安〔2〕确定运用的互通性〔3〕到达全球市场的接受性SET协议保证了电子买卖的性、数据完好性、身份的合法性和不可否认性。SET(SecureElectronicTransaction)持卡人密文商家银行发卡机构CA密文协商定单确认审核确认审核同意认证认证认证提供身份认证、数据严密、数据完好性等效力13.1电子买卖的根本流程如图12-1所示，网络网际付款的流程有6个步骤。13.2电子买卖的平安规范13.2.1常用数据交换协议13.2.2SSL协议13.2.1常用数据交换协议电子数据交换〔EDI〕开放贸易协议〔OTP〕开放数据规范〔OPS〕加密套接字层〔SSL〕平安电子买卖〔SET〕13.2.2SSL协议SSL提供3种根本的平安效力：信息加密、信息完好性和相互认证。1．SSL平安协议的根本概念SSL平安协议主要提供三方面的效力：加密数据以隐藏被传送的数据。维护数据的完好性，确保数据在传输过程中不被改动。认证用户和效力器，使得它们可以确信数据将被发送到正确的客户机和效力器上。

2．SSL平安协议的运转步骤SSL的运转过程包括六步：〔1〕接通阶段，客户经过网络向效力商打招呼，效力商回应。〔2〕密码交换阶段，客户与效力商之间交换双方认可的密码。普通选用RSA密码算法，也有的选用Diffie-Hellman和Fortezza-KEA密码算法。〔3〕谈判密码阶段，客户与效力商间产生彼此交谈的谈判密码。〔4〕检验阶段，检验效力商获得的密码。〔5〕客户认证阶段，验证客户的可信度。〔6〕终了阶段，客户与效力商之间相互交换终了的信息。3．SSL平安协议的运用SSL平安协议也是国际上最早运用于电子商务的一种网络平安协议，至今依然有许多网上商店在运用。在点对点的网上银行业务中也经常运用。该协议已成为现实上的工业规范，并被广泛运用于Internet和Intranet的效力器产品和客户端产品中。如网景公司、微软公司、IBM公司等指点Internet/Intranet网络产品的公司已在运用该协议。4．SET协议和SSL协议的区别SET协议和SSL协议的区别如表11-1所示。13.3平安电子交换协议SET简述13.3.1SET的根本概念13.3.2SET的根本原理13.3.1SET的根本概念1．SET平安协议的主要目的SET是一个基于可信的第三方认证中心的方案，它要实现的主要目的有以下三个方面：〔1〕保证付款平安。〔2〕确定运用的互通性。〔3〕到达全球市场的接受性。SET协议保证了电子买卖的性、数据完好性、身份的合法性和不可否认性。SET协议中的相关成员SET协议中的角色有：〔1〕持卡人〔Cardholder〕〔2〕发卡机构〔CardIssuer〕〔3〕商家〔Merchant〕〔4〕收单银行〔AcquiringBank〕〔5〕支付网关〔PaymentGateway〕〔6〕认证中心〔CertificateAuthority，CA〕2．SET平安协议涉及的范围一项SET买卖由以下几个部分组成，如图11-3所示。买卖过程如图11-4所示。其运作方式如下所述：3．SET的通讯过程SET的通讯过程如图11-5所示。4．SET的认证在用户身份认证方面，SET引入了证书〔Certificates〕和认证机构〔CertificatesAuthorities〕机制。〔1〕证书。证书就是一份文档，它记录了用户的公共密钥和其他身份信息。在SET中，最主要的证书是持卡人证书和商家证书。〔2〕认证机构。CA是受一个或多个用户信任，提供用户身份验证的第三方机构。〔3〕证书的树形验证构造。在两方通讯时，经过出示由某个CA签发的证书来证明本人的身份。5．SET规范的运用自1996年起，34个国家的150多家金融机构制定了SET试行方案。重新加坡到旧金山的信誉卡公司都开场建造SET买卖网关，软件厂家那么着手开发支持SET的运用软件。平安电子买卖SET是一种电子支付过程规范，用以维护网上支付卡买卖的每一个环节，由VISA和MasterCard协作产生，同时采用IBM、GTE、Microsoft、Netscape、RSA、SAIC、Terisa、VeriSign等多个公司的技术，是专为网上支付卡业务平安所制定的独一有意义的规范。它保证电子支付卡买卖的平安进展、加密付款信息被平安地发送。SET规范主要由3个文件组成：SET业务描画、SET程序员指南和SET协议描画。13.3.2SET的根本原理SET协议规定了买卖各方进展平安买卖的详细流程。SET协议执行步骤与常规的信誉卡买卖过程根本一样，只是它是经过因特网来实现的。SET协议执行步骤与常规的信誉卡买卖过程根本一样，只是它是经过因特网来实现的。SET提供了3种效力：在买卖涉及的各方之间提供平安的通讯信道。经过运用X.509v3数字证书进展认证。保证性，由于信息只是在必要的时候、必要的地方才对买卖各方可用。SET协议规定的任务流程如下：〔1〕用户向商家发送购货单和一份经过签名、加密的信托书。书中的信誉卡号是经过加密的，商家无从得知。〔2〕商家把信托书传送到收单银行，收单银行可以解密信誉卡号，并经过认证验证签名。〔3〕收单银行向发卡银行查询，确认用户信誉卡能否属实。〔4〕发卡银行认可并签证该笔买卖。〔5〕收单银行认可商家并签证此买卖。〔6〕商家向用户传送货物和收据。〔7〕买卖胜利，商家向收单银行索款。〔8〕收单银行按合同将货款划给商家。〔9〕发卡银行向用户定期寄去信誉卡消费账单。13.4SET的平安需求与特征13.4.1SET的平安需求13.4.2SET的关键特征13.4.3SET的购物流程13.4.4SET的双向签名13.4.1SET的平安需求SET规约列出了以下一些在Internet和其他网络上运用信誉卡进展平安支付处置的商业需求。〔1〕对支付和订购信息提供性，使卡的用户确信这个信息是平安的并只能被持卡者访问是必要的。〔2〕保证一切传输数据的完好性，即保证在SET报文传输过程中不会出现对内容的修正。SET运用数字签名来保证完好性。〔3〕认证中心机制，可验证运用者〔消费者与经销商〕的合法性，对卡的拥有者能否是信誉卡账户的合法用户提供鉴证。〔4〕经过与金融机构的关系对商家能否可以接受信誉卡买卖提供鉴证，这是前面需求的补充。〔5〕保证运用最好的平安战略和系统设计技术来维护电子商务买卖中的一切合法方。SET基于高度平安的加密算法和协议上经过很好测试的规约。〔6〕确保不完全依托内部运用的平安机制，但认证协议也不会妨碍平安机制运作。〔7〕具有不同软件与网络间相互运作的才干，方便和鼓励软件和网络提供者之间的互操作性。〔8〕确保平安系统设计和平安性。13.4.2SET的关键特征为了满足上述需求，平安电子买卖〔SET〕买卖规范具有以下特性：〔1〕保证信息的严密性。〔2〕保证数据的完好性。〔3〕验证商户和持卡人。运用消费者的电子证书与数字签章来验证消费者。运用经销商的电子证书与数字签章来验证经销商。由权威的、遭到广泛信任的认证机构〔即CA〕对买卖各方身份进展认证。认证过程分为：1〕卡用户账号的鉴别，SET使得商家可以验证卡用户是有效的卡账号的合法用户。2〕商家的鉴别，SET使得卡用户可以验证商家与金融机构存在某种关系，允许它接受支付信誉卡。〔4〕运用明确的协议与信息格式，以提供不同软硬件间相互运作的才干。13.4.3SET的购物流程SET主要适用于因特网上的卡买卖。SET买卖虽然没有传统的面对面买卖过程，但与传统买卖类似，也涉及3种实体：持卡人〔CardHolder〕、商户〔Merchant〕和金融机构〔FinancialInstitution〕。SET的购物流程。1．购物恳求2．授权恳求3．扣款恳求SET的相关技术SET的双重签名技术SET的认证技术13.4.4SET的双向签名SET引入的一个重要技术：双向签名〔如图11-7所示〕。双向签名的目的是为了衔接两个发送给不同接纳者的报文。在这种情况下，消费者想要将订购信息〔OI〕发送给商家，将支付信息〔H〕发送给银行，商家不用知道消费者的信誉卡号码，银行也不用知道消费者订单的细节。消费者被提供了私有性的额外维护使得这两个工程分别。SET的认证技术1．身份验证问题2．电子证书〔Certificate〕SET中主要的证书是持卡人证书、商家证书13.5SET中的支付处置13.5.1买卖过程13.5.2支付认可13.5.3支付获取13.5.1买卖过程在买卖过程中，一切的音讯传输都在消费者与商店、商店与银行〔付款银行〕之间。SET支持的买卖主要包括：购买恳求。支付认可。支付获取。购买恳求交换由4个报文组成：发起恳求、发起呼应、购买恳求和购买呼应。