收藏
下载资源

电子商务信息安全技术资源陈孟建电子支付安全协议课件

上传人:壹****1 文档编号:592609427 上传时间:2024-09-21 格式:PPT 页数:50 大小:522.50KB
返回 下载 相关 举报
电子商务信息安全技术资源陈孟建电子支付安全协议课件_第1页
第1页 / 共50页
电子商务信息安全技术资源陈孟建电子支付安全协议课件_第2页
第2页 / 共50页
电子商务信息安全技术资源陈孟建电子支付安全协议课件_第3页
第3页 / 共50页
电子商务信息安全技术资源陈孟建电子支付安全协议课件_第4页
第4页 / 共50页
电子商务信息安全技术资源陈孟建电子支付安全协议课件_第5页
第5页 / 共50页
点击查看更多>>
资源描述

《电子商务信息安全技术资源陈孟建电子支付安全协议课件》由会员分享,可在线阅读,更多相关《电子商务信息安全技术资源陈孟建电子支付安全协议课件(50页珍藏版)》请在金锄头文库上搜索。

1、 电子商务信息安全技术 21世纪高职高专规划教材世纪高职高专规划教材 沈美莉沈美莉 陈孟建陈孟建 郁晓红郁晓红 编著编著 机械工业出版社机械工业出版社电子商务信息安全技术资源陈孟建电子支付安全协议第七章第七章 电子支付安全协议电子支付安全协议 学习目标学习目标学习目标学习目标1 1 1 1了解传统支付方式。了解传统支付方式。了解传统支付方式。了解传统支付方式。2 2 2 2掌握安全套接层协议(掌握安全套接层协议(掌握安全套接层协议(掌握安全套接层协议(SSLSSLSSLSSL)的概念和工作流程。)的概念和工作流程。)的概念和工作流程。)的概念和工作流程。3 3 3 3掌握安全电子交易协议(掌握

2、安全电子交易协议(掌握安全电子交易协议(掌握安全电子交易协议(SETSETSETSET)的概念和工作流程。)的概念和工作流程。)的概念和工作流程。)的概念和工作流程。电子商务信息安全技术资源陈孟建电子支付安全协议7.17.1 电子支付概述电子支付概述7.1.1 7.1.1 传统支付方式传统支付方式 1 1现金现金现金指由一国中央银行发行的,其有效性和价值现金指由一国中央银行发行的,其有效性和价值是由中央银行保证的是由中央银行保证的, ,我国发行人民币的银行是我国发行人民币的银行是中国银行。人民币有纸币和硬币两种形式,纸币中国银行。人民币有纸币和硬币两种形式,纸币本身没有价值,它只是一种由国家发

3、行并强制流本身没有价值,它只是一种由国家发行并强制流通的货币符号,但却可以代替货币加以流通,其通的货币符号,但却可以代替货币加以流通,其价值是由国家加以保证的;硬币本身含有一定的价值是由国家加以保证的;硬币本身含有一定的金属成分,故而具有一定的价值。金属成分,故而具有一定的价值。显然,现金是一种开放的支付方式。任何人只要显然,现金是一种开放的支付方式。任何人只要持有现金,就可以进行款项支付,而无须经中央持有现金,就可以进行款项支付,而无须经中央银行收回重新分配。银行收回重新分配。电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付

4、概述2 2 2 2票据票据票据票据票据分为广义票据和狭义票据。广义上的票票据分为广义票据和狭义票据。广义上的票票据分为广义票据和狭义票据。广义上的票票据分为广义票据和狭义票据。广义上的票据包括各种具有法律效力、代表一定权利的据包括各种具有法律效力、代表一定权利的据包括各种具有法律效力、代表一定权利的据包括各种具有法律效力、代表一定权利的书面凭证,如股票、债券、货单、车船票、书面凭证,如股票、债券、货单、车船票、书面凭证,如股票、债券、货单、车船票、书面凭证,如股票、债券、货单、车船票、汇票等,人们将它们统称为票据;狭义上的汇票等,人们将它们统称为票据;狭义上的汇票等,人们将它们统称为票据;狭义

5、上的汇票等,人们将它们统称为票据;狭义上的票据指的是票据指的是票据指的是票据指的是票据法票据法票据法票据法所规定的汇票、本票所规定的汇票、本票所规定的汇票、本票所规定的汇票、本票和支票,是一种载有一定的付款日期、付款和支票,是一种载有一定的付款日期、付款和支票,是一种载有一定的付款日期、付款和支票,是一种载有一定的付款日期、付款地点、付款人的无条件支付的流通凭证,也地点、付款人的无条件支付的流通凭证,也地点、付款人的无条件支付的流通凭证,也地点、付款人的无条件支付的流通凭证,也是一种可以由持票人自由转让给他人的债券是一种可以由持票人自由转让给他人的债券是一种可以由持票人自由转让给他人的债券是一

6、种可以由持票人自由转让给他人的债券凭证。这里所指的都是狭义票据。凭证。这里所指的都是狭义票据。凭证。这里所指的都是狭义票据。凭证。这里所指的都是狭义票据。电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述3 3 3 3信用卡信用卡信用卡信用卡(1 1 1 1)概述)概述)概述)概述信用卡是一种由银行或信用卡公司签发,证明持卡信用卡是一种由银行或信用卡公司签发,证明持卡信用卡是一种由银行或信用卡公司签发,证明持卡信用卡是一种由银行或信用卡公司签发,证明持卡人信誉良好,可以在指定的商店、服务场所消费或人信誉良好,可以在指定的商店

7、、服务场所消费或人信誉良好,可以在指定的商店、服务场所消费或人信誉良好,可以在指定的商店、服务场所消费或在各地的金融机构取现,办理结算的信用凭证和支在各地的金融机构取现,办理结算的信用凭证和支在各地的金融机构取现,办理结算的信用凭证和支在各地的金融机构取现,办理结算的信用凭证和支付工具。信用卡现已在全世界成为一种被普遍采用付工具。信用卡现已在全世界成为一种被普遍采用付工具。信用卡现已在全世界成为一种被普遍采用付工具。信用卡现已在全世界成为一种被普遍采用的支付方式,也越来越为人们所接受。的支付方式,也越来越为人们所接受。的支付方式,也越来越为人们所接受。的支付方式,也越来越为人们所接受。信用卡业

8、信用卡业信用卡业信用卡业务管理办法务管理办法务管理办法务管理办法规定,我国目前的信用卡是由商业银规定,我国目前的信用卡是由商业银规定,我国目前的信用卡是由商业银规定,我国目前的信用卡是由商业银行向个人或单位发行的,禁止非金融机构和非银行行向个人或单位发行的,禁止非金融机构和非银行行向个人或单位发行的,禁止非金融机构和非银行行向个人或单位发行的,禁止非金融机构和非银行金融机构经营信用卡业务。金融机构经营信用卡业务。金融机构经营信用卡业务。金融机构经营信用卡业务。电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述(2 2 2 2

9、)类型)类型)类型)类型信用卡按使用对象可以分为单位卡和个人卡;按信信用卡按使用对象可以分为单位卡和个人卡;按信信用卡按使用对象可以分为单位卡和个人卡;按信信用卡按使用对象可以分为单位卡和个人卡;按信誉等级可以分为金卡和普通卡;按币种可以分为人誉等级可以分为金卡和普通卡;按币种可以分为人誉等级可以分为金卡和普通卡;按币种可以分为人誉等级可以分为金卡和普通卡;按币种可以分为人民币卡和外币卡;按载体材料可以分为磁条卡和智民币卡和外币卡;按载体材料可以分为磁条卡和智民币卡和外币卡;按载体材料可以分为磁条卡和智民币卡和外币卡;按载体材料可以分为磁条卡和智能卡。现在我国的工商银行、农业银行、中国银行、能

10、卡。现在我国的工商银行、农业银行、中国银行、能卡。现在我国的工商银行、农业银行、中国银行、能卡。现在我国的工商银行、农业银行、中国银行、建设银行、交通银行、浦东发展银行、招商银行等建设银行、交通银行、浦东发展银行、招商银行等建设银行、交通银行、浦东发展银行、招商银行等建设银行、交通银行、浦东发展银行、招商银行等发行的信用卡有牡丹卡、金穗卡、长城卡、龙卡、发行的信用卡有牡丹卡、金穗卡、长城卡、龙卡、发行的信用卡有牡丹卡、金穗卡、长城卡、龙卡、发行的信用卡有牡丹卡、金穗卡、长城卡、龙卡、太平洋卡、东方卡、一卡通卡等如图太平洋卡、东方卡、一卡通卡等如图太平洋卡、东方卡、一卡通卡等如图太平洋卡、东方卡

11、、一卡通卡等如图7-27-27-27-2所示。所示。所示。所示。电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述(3 3 3 3)信用卡的优缺点)信用卡的优缺点)信用卡的优缺点)信用卡的优缺点使用信用卡作为支付方式,高效便捷,可以减少现使用信用卡作为支付方式,高效便捷,可以减少现使用信用卡作为支付方式,高效便捷,可以减少现使用信用卡作为支付方式,高效便捷,可以减少现金货币流通量,简化收款手续,并且可以用于

12、存取金货币流通量,简化收款手续,并且可以用于存取金货币流通量,简化收款手续,并且可以用于存取金货币流通量,简化收款手续,并且可以用于存取现金,十分灵活方便。但是,信用卡也存在以下一现金,十分灵活方便。但是,信用卡也存在以下一现金,十分灵活方便。但是,信用卡也存在以下一现金,十分灵活方便。但是,信用卡也存在以下一些缺点。些缺点。些缺点。些缺点。 交易费用较高。交易费用较高。交易费用较高。交易费用较高。 信用卡具有一定的有效期,过期失效。信用卡具有一定的有效期,过期失效。信用卡具有一定的有效期,过期失效。信用卡具有一定的有效期,过期失效。 有可能遗失而给持卡人带来风险和麻烦。有可能遗失而给持卡人带

13、来风险和麻烦。有可能遗失而给持卡人带来风险和麻烦。有可能遗失而给持卡人带来风险和麻烦。 电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述7.1.2 7.1.2 7.1.2 7.1.2 电子支付方式电子支付方式电子支付方式电子支付方式1 1 1 1电子支付的概念电子支付的概念电子支付的概念电子支付的概念电子支付是指单位、个人直接或授权他人通过电子电子支付是指单位、个人直接或授权他人通过电子电子支付是指单位、个人直接或授权他人通过电子电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行终端发

14、出支付指令,实现货币支付与资金转移的行终端发出支付指令,实现货币支付与资金转移的行终端发出支付指令,实现货币支付与资金转移的行为。这里所指的电子终端是指客户可用以发起电子为。这里所指的电子终端是指客户可用以发起电子为。这里所指的电子终端是指客户可用以发起电子为。这里所指的电子终端是指客户可用以发起电子支付指令的计算机、电话、销售点终端、自动柜员支付指令的计算机、电话、销售点终端、自动柜员支付指令的计算机、电话、销售点终端、自动柜员支付指令的计算机、电话、销售点终端、自动柜员机、移动通讯工具或其他电子设备等。机、移动通讯工具或其他电子设备等。机、移动通讯工具或其他电子设备等。机、移动通讯工具或其

15、他电子设备等。电子支付方式的出现要早于互联网电子支付方式的出现要早于互联网电子支付方式的出现要早于互联网电子支付方式的出现要早于互联网,电子支付的电子支付的电子支付的电子支付的5 5 5 5种形式分别代表着电子支付的不同发展阶段种形式分别代表着电子支付的不同发展阶段种形式分别代表着电子支付的不同发展阶段种形式分别代表着电子支付的不同发展阶段,如图,如图,如图,如图7-37-37-37-3所示。所示。所示。所示。电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17

16、.1 电子支付概述电子支付概述电子支付概述电子支付概述 2 2 2 2电子支付类型电子支付类型电子支付类型电子支付类型 (1 1 1 1)电子信用卡)电子信用卡)电子信用卡)电子信用卡 (2 2 2 2)电子支票电子支票电子支票电子支票 (3 3 3 3)电子支票的特点)电子支票的特点)电子支票的特点)电子支票的特点 电子支票以传统支票为雏形,客户容易接受而且容易上手。电子支票以传统支票为雏形,客户容易接受而且容易上手。电子支票以传统支票为雏形,客户容易接受而且容易上手。电子支票以传统支票为雏形,客户容易接受而且容易上手。 电子支票较好的支持了电子支票较好的支持了电子支票较好的支持了电子支票较

17、好的支持了B2BB2BB2BB2B、B2GB2GB2GB2G的电子商务市场。的电子商务市场。的电子商务市场。的电子商务市场。 电子支票采用先进技术提供了比传统支票更为可靠的安全防欺电子支票采用先进技术提供了比传统支票更为可靠的安全防欺电子支票采用先进技术提供了比传统支票更为可靠的安全防欺电子支票采用先进技术提供了比传统支票更为可靠的安全防欺诈手段。诈手段。诈手段。诈手段。 电子支票打破境域的限制,最大限度的提高支票运转周期,减电子支票打破境域的限制,最大限度的提高支票运转周期,减电子支票打破境域的限制,最大限度的提高支票运转周期,减电子支票打破境域的限制,最大限度的提高支票运转周期,减少在途资

18、金。少在途资金。少在途资金。少在途资金。 电子支票业务流程的自动化和网络化,节省了大量的人力物力,电子支票业务流程的自动化和网络化,节省了大量的人力物力,电子支票业务流程的自动化和网络化,节省了大量的人力物力,电子支票业务流程的自动化和网络化,节省了大量的人力物力,极大的降低了处理成本。极大的降低了处理成本。极大的降低了处理成本。极大的降低了处理成本。 (4 4 4 4)电子货币电子货币电子货币电子货币电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述7.1.3 7.1.3 7.1.3 7.1.3 电子支付体系结构电子支付体

19、系结构电子支付体系结构电子支付体系结构1 1 1 1电子支付系统的市场需求电子支付系统的市场需求电子支付系统的市场需求电子支付系统的市场需求 (1 1)对金融信息综合服务的需求)对金融信息综合服务的需求(2 2)网络银行的综合服务内容)网络银行的综合服务内容(3 3)要能够成功地克服电子商务网上支付过程中)要能够成功地克服电子商务网上支付过程中的诸多关键问题的诸多关键问题电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述2 2 2 2电子支付体系结构电子支付体系结构电子支付体系结构电子支付体系结构电子支付体系结构如图电子支付

20、体系结构如图电子支付体系结构如图电子支付体系结构如图7-47-47-47-4所示。所示。所示。所示。电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述7.1.4 7.1.4 7.1.4 7.1.4 电子支付的风险电子支付的风险电子支付的风险电子支付的风险1 1 1 1电子支付与在线电子支付电子支付与在线电子支付电子支付与在线电子支付电子支付与在线电子支付(1 1 1 1)电子支付)电子支付)电子支付)电子支付(2 2 2 2)在线电子支付在线电子支付在线电子支付在线电子支付电子商务信息安全技术资源陈孟建电子支付安全协议7.1

21、7.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述2 2 2 2电子支付的基本风险电子支付的基本风险电子支付的基本风险电子支付的基本风险 (1 1 1 1)经济波动的风险)经济波动的风险)经济波动的风险)经济波动的风险 (2 2 2 2)电子支付系统的风险)电子支付系统的风险)电子支付系统的风险)电子支付系统的风险 (3 3 3 3)交易风险)交易风险)交易风险)交易风险 电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述3 3 3 3电子支付的操作风险电子支付的操作风险电子支付的操作风险电子支付的操作风险

22、 (1 1 1 1)电子扒手)电子扒手)电子扒手)电子扒手 (2 2 2 2)网上诈骗)网上诈骗)网上诈骗)网上诈骗 (3 3 3 3)网上黑客攻击)网上黑客攻击)网上黑客攻击)网上黑客攻击 (4 4 4 4)电脑病毒破坏)电脑病毒破坏)电脑病毒破坏)电脑病毒破坏 (5 5 5 5)信息污染)信息污染)信息污染)信息污染 电子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述4 4 4 4电子支付的电子支付的电子支付的电子支付的法律法律法律法律风险风险风险风险 (1 1 1 1)主体资格和经营范围的风险)主体资格和经营范围的风险

23、)主体资格和经营范围的风险)主体资格和经营范围的风险(2 2 2 2)结算和虚拟账户资金沉淀风险)结算和虚拟账户资金沉淀风险)结算和虚拟账户资金沉淀风险)结算和虚拟账户资金沉淀风险(3 3 3 3)期权安全的风险)期权安全的风险)期权安全的风险)期权安全的风险(4 4 4 4)反洗钱法反洗钱法反洗钱法反洗钱法带来的洗钱风险带来的洗钱风险带来的洗钱风险带来的洗钱风险(5 5 5 5)信用卡套现的风险)信用卡套现的风险)信用卡套现的风险)信用卡套现的风险(6 6 6 6)电子商务纠纷引发的连带责任风险)电子商务纠纷引发的连带责任风险)电子商务纠纷引发的连带责任风险)电子商务纠纷引发的连带责任风险电

24、子商务信息安全技术资源陈孟建电子支付安全协议7.17.17.17.1 电子支付概述电子支付概述电子支付概述电子支付概述5 5 5 5电子支付的其它风险电子支付的其它风险电子支付的其它风险电子支付的其它风险(1 1 1 1)市场风险)市场风险)市场风险)市场风险 (2 2 2 2)信用风险)信用风险)信用风险)信用风险 (3 3 3 3)流动性风险)流动性风险)流动性风险)流动性风险 (4 4 4 4)声誉风险)声誉风险)声誉风险)声誉风险 (5 5 5 5)结算风险)结算风险)结算风险)结算风险 电子商务信息安全技术资源陈孟建电子支付安全协议7.2 7.2 安全套接层协议安全套接层协议SSLS

25、SL7.2.1 SSL7.2.1 SSL7.2.1 SSL7.2.1 SSL安全协议概述安全协议概述安全协议概述安全协议概述SSLSSLSSLSSL协议协议协议协议(Secure Socket Layer(Secure Socket Layer(Secure Socket Layer(Secure Socket Layer,安全套接层,安全套接层,安全套接层,安全套接层) ) ) )主要主要主要主要是使用公开密钥体制和是使用公开密钥体制和是使用公开密钥体制和是使用公开密钥体制和X.509X.509X.509X.509数字证书技术保护数字证书技术保护数字证书技术保护数字证书技术保护信信信信息传输

26、息传输息传输息传输的机密性和完整性,它不能保证信息的不可的机密性和完整性,它不能保证信息的不可的机密性和完整性,它不能保证信息的不可的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用抵赖性,主要适用于点对点之间的信息传输,常用抵赖性,主要适用于点对点之间的信息传输,常用抵赖性,主要适用于点对点之间的信息传输,常用Web ServerWeb ServerWeb ServerWeb Server方式。方式。方式。方式。 电子商务信息安全技术资源陈孟建电子支付安全协议7.2 7.2 安全套接层协议安全套接层协议SSLSSL7.2.2 SSL7.2.2 SSL7.2.2

27、 SSL7.2.2 SSL安全协议结构安全协议结构安全协议结构安全协议结构1 1 1 1SSLSSLSSLSSL协议功能协议功能协议功能协议功能(1 1 1 1)用户和服务器械的合法性认证)用户和服务器械的合法性认证)用户和服务器械的合法性认证)用户和服务器械的合法性认证(2 2 2 2)加密数据以隐藏被传送的数据)加密数据以隐藏被传送的数据)加密数据以隐藏被传送的数据)加密数据以隐藏被传送的数据(3 3 3 3)保护数据的完整性)保护数据的完整性)保护数据的完整性)保护数据的完整性电子商务信息安全技术资源陈孟建电子支付安全协议7.2 7.2 安全套接层协议安全套接层协议SSLSSL2 2 2

28、 2SSLSSLSSLSSL协议结构协议结构协议结构协议结构SSLSSLSSLSSL协议由两层组成,分别是握手协议层和记录协协议由两层组成,分别是握手协议层和记录协协议由两层组成,分别是握手协议层和记录协协议由两层组成,分别是握手协议层和记录协议层,握手协议建立在记录协议之上,此外还有警议层,握手协议建立在记录协议之上,此外还有警议层,握手协议建立在记录协议之上,此外还有警议层,握手协议建立在记录协议之上,此外还有警告协议,更改密码说明协议和应用数据协议等对话告协议,更改密码说明协议和应用数据协议等对话告协议,更改密码说明协议和应用数据协议等对话告协议,更改密码说明协议和应用数据协议等对话协议

29、和管理提供支持的子协议。其组成如图协议和管理提供支持的子协议。其组成如图协议和管理提供支持的子协议。其组成如图协议和管理提供支持的子协议。其组成如图7-57-57-57-5所所所所示。示。示。示。电子商务信息安全技术资源陈孟建电子支付安全协议7.2 7.2 安全套接层协议安全套接层协议SSLSSL电子商务信息安全技术资源陈孟建电子支付安全协议7.2 7.2 安全套接层协议安全套接层协议SSLSSL(1 1 1 1)握手协议)握手协议)握手协议)握手协议SSLSSLSSLSSL握手协议是用来在客户端和服务和服务器端传握手协议是用来在客户端和服务和服务器端传握手协议是用来在客户端和服务和服务器端传

30、握手协议是用来在客户端和服务和服务器端传输应用数据而建立的安全通信机制,其目的有三个,输应用数据而建立的安全通信机制,其目的有三个,输应用数据而建立的安全通信机制,其目的有三个,输应用数据而建立的安全通信机制,其目的有三个,即,第一,客户端与服务器需要就一组用于保护数即,第一,客户端与服务器需要就一组用于保护数即,第一,客户端与服务器需要就一组用于保护数即,第一,客户端与服务器需要就一组用于保护数据的算法达成一致。第二,它们需要确立一组由那据的算法达成一致。第二,它们需要确立一组由那据的算法达成一致。第二,它们需要确立一组由那据的算法达成一致。第二,它们需要确立一组由那些算法所使用的加密密钥。

31、第三,握手还可以选择些算法所使用的加密密钥。第三,握手还可以选择些算法所使用的加密密钥。第三,握手还可以选择些算法所使用的加密密钥。第三,握手还可以选择对客户端进行认证。对客户端进行认证。对客户端进行认证。对客户端进行认证。SSLSSLSSLSSL还包括以下内容。还包括以下内容。还包括以下内容。还包括以下内容。 算法协商算法协商算法协商算法协商 身份验证身份验证身份验证身份验证 确定密钥确定密钥确定密钥确定密钥 电子商务信息安全技术资源陈孟建电子支付安全协议7.2 7.2 安全套接层协议安全套接层协议SSLSSL(2 2 2 2)记录协议)记录协议)记录协议)记录协议SSLSSLSSLSSL记

32、录协议定义了数据传送的格式,上层数据报记录协议定义了数据传送的格式,上层数据报记录协议定义了数据传送的格式,上层数据报记录协议定义了数据传送的格式,上层数据报文包括文包括文包括文包括SSLSSLSSLSSL握手协议建立安全连接时所需传送的数握手协议建立安全连接时所需传送的数握手协议建立安全连接时所需传送的数握手协议建立安全连接时所需传送的数据都通过据都通过据都通过据都通过SSLSSLSSLSSL记录协议再往传送。这样,应用层通记录协议再往传送。这样,应用层通记录协议再往传送。这样,应用层通记录协议再往传送。这样,应用层通过过过过SSLSSLSSLSSL协议把数据数据传送给传输层时,已经是被协议

33、把数据数据传送给传输层时,已经是被协议把数据数据传送给传输层时,已经是被协议把数据数据传送给传输层时,已经是被加密后的数据,此时,加密后的数据,此时,加密后的数据,此时,加密后的数据,此时,TCP/IPTCP/IPTCP/IPTCP/IP协议只需负责将其可协议只需负责将其可协议只需负责将其可协议只需负责将其可靠地传送到目的地,从而弥补了靠地传送到目的地,从而弥补了靠地传送到目的地,从而弥补了靠地传送到目的地,从而弥补了TCP/IPTCP/IPTCP/IPTCP/IP协议安全性协议安全性协议安全性协议安全性较差的弱点。较差的弱点。较差的弱点。较差的弱点。 更改密码说明协议更改密码说明协议更改密码

34、说明协议更改密码说明协议 警告协议警告协议警告协议警告协议 应用数据协议,应用数据协议,应用数据协议,应用数据协议, 电子商务信息安全技术资源陈孟建电子支付安全协议7.2 7.2 安全套接层协议安全套接层协议SSLSSL3 3 3 3SSLSSLSSLSSL安全协议工作流程安全协议工作流程安全协议工作流程安全协议工作流程SSLSSLSSLSSL安全协议的工作流程如图安全协议的工作流程如图安全协议的工作流程如图安全协议的工作流程如图7-67-67-67-6所示。所示。所示。所示。电子商务信息安全技术资源陈孟建电子支付安全协议7.2 7.2 安全套接层协议安全套接层协议SSLSSL7.2.3 SS

35、L7.2.3 SSL7.2.3 SSL7.2.3 SSL安全协议应用安全协议应用安全协议应用安全协议应用1 1 1 1基于基于基于基于SSL SSL SSL SSL 的安全电子邮件系统的应用的安全电子邮件系统的应用的安全电子邮件系统的应用的安全电子邮件系统的应用电子商务信息安全技术资源陈孟建电子支付安全协议7.2 7.2 安全套接层协议安全套接层协议SSLSSL2 2 2 2基于基于基于基于SSL SSL SSL SSL 安全协议电子支付的应用安全协议电子支付的应用安全协议电子支付的应用安全协议电子支付的应用电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易

36、SETSET协议协议 7.3.1 SET7.3.1 SET7.3.1 SET7.3.1 SET安全电子交易概述安全电子交易概述安全电子交易概述安全电子交易概述 1 1 1 1概述概述概述概述 SETSETSETSET协议协议协议协议(SecureElectronicTransaction(SecureElectronicTransaction(SecureElectronicTransaction(SecureElectronicTransaction,安全电子交,安全电子交,安全电子交,安全电子交易易易易) ) ) )是由是由是由是由VISAVISAVISAVISA和和和和MasterCar

37、dMasterCardMasterCardMasterCard两大信用卡公司于两大信用卡公司于两大信用卡公司于两大信用卡公司于1997199719971997年年年年5 5 5 5月联月联月联月联合推出的规范。合推出的规范。合推出的规范。合推出的规范。SETSETSETSET主要是为了解决用户、商家和银行之间主要是为了解决用户、商家和银行之间主要是为了解决用户、商家和银行之间主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、通过信用卡支付的交易而设计的,以保证支付信息的机密、通过信用卡支付的交易而设计的,以保证支付信息的机密、通过信用卡支付的交易而设计的,以

38、保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作支付过程的完整、商户及持卡人的合法身份、以及可操作支付过程的完整、商户及持卡人的合法身份、以及可操作支付过程的完整、商户及持卡人的合法身份、以及可操作性。性。性。性。SETSETSETSET中的核心技术主要有公开密匙加密、电子数字签名、中的核心技术主要有公开密匙加密、电子数字签名、中的核心技术主要有公开密匙加密、电子数字签名、中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。电子信封、电子安全证书等。电子信封、电子安全证书等。电子信封、电子安全证书等。SSLSSLSSLSSL协议协议协议协议(Secur

39、eSocketLayer(SecureSocketLayer(SecureSocketLayer(SecureSocketLayer,安全套接层,安全套接层,安全套接层,安全套接层) ) ) )是由网景是由网景是由网景是由网景(NetscapeNetscapeNetscapeNetscape)公司推出的一种安全通信协议,它能够对信)公司推出的一种安全通信协议,它能够对信)公司推出的一种安全通信协议,它能够对信)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。用卡和个人信息提供较强的保护。用卡和个人信息提供较强的保护。用卡和个人信息提供较强的保护。SSLSSLSSLSSL是对

40、计算机之间整个是对计算机之间整个是对计算机之间整个是对计算机之间整个会话进行加密的协议。在会话进行加密的协议。在会话进行加密的协议。在会话进行加密的协议。在SSLSSLSSLSSL中,采用了公开密钥和私有密中,采用了公开密钥和私有密中,采用了公开密钥和私有密中,采用了公开密钥和私有密钥两种加密方法。钥两种加密方法。钥两种加密方法。钥两种加密方法。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议 2 2 2 2SETSETSETSET交易的三个阶段交易的三个阶段交易的三个阶段交易的三个阶段 SETSETSETSET安全电子交易协议分以下三

41、个阶段进行。安全电子交易协议分以下三个阶段进行。安全电子交易协议分以下三个阶段进行。安全电子交易协议分以下三个阶段进行。 (1 1 1 1)在购买请求阶段,用户与商家确定所用支付方式的细)在购买请求阶段,用户与商家确定所用支付方式的细)在购买请求阶段,用户与商家确定所用支付方式的细)在购买请求阶段,用户与商家确定所用支付方式的细节。节。节。节。 (2 2 2 2)在支付的认定阶段,商家会与银行核实,随着交易的)在支付的认定阶段,商家会与银行核实,随着交易的)在支付的认定阶段,商家会与银行核实,随着交易的)在支付的认定阶段,商家会与银行核实,随着交易的进展,商家将得到付款。进展,商家将得到付款。

42、进展,商家将得到付款。进展,商家将得到付款。 (3 3 3 3)在收款阶段,商家向银行出示所有交易的细节,然后,)在收款阶段,商家向银行出示所有交易的细节,然后,)在收款阶段,商家向银行出示所有交易的细节,然后,)在收款阶段,商家向银行出示所有交易的细节,然后,银行以适当的方式转移货款。银行以适当的方式转移货款。银行以适当的方式转移货款。银行以适当的方式转移货款。 如果不用借记卡,而直接支付现金,那么,商家在第二阶如果不用借记卡,而直接支付现金,那么,商家在第二阶如果不用借记卡,而直接支付现金,那么,商家在第二阶如果不用借记卡,而直接支付现金,那么,商家在第二阶段完成以后的任何时间即可以供货支

43、付,第三阶段将紧接段完成以后的任何时间即可以供货支付,第三阶段将紧接段完成以后的任何时间即可以供货支付,第三阶段将紧接段完成以后的任何时间即可以供货支付,第三阶段将紧接着第二阶段进行。用户只是和第二阶段交易有关,银行与着第二阶段进行。用户只是和第二阶段交易有关,银行与着第二阶段进行。用户只是和第二阶段交易有关,银行与着第二阶段进行。用户只是和第二阶段交易有关,银行与第二、第三阶段有关,而商家与三个阶段都要发生关系。第二、第三阶段有关,而商家与三个阶段都要发生关系。第二、第三阶段有关,而商家与三个阶段都要发生关系。第二、第三阶段有关,而商家与三个阶段都要发生关系。电子商务信息安全技术资源陈孟建电

44、子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议 3 3 3 3SETSETSETSET提供的服务提供的服务提供的服务提供的服务 SETSETSETSET安全电子交易协议主要提供以下三个方面的服务。安全电子交易协议主要提供以下三个方面的服务。安全电子交易协议主要提供以下三个方面的服务。安全电子交易协议主要提供以下三个方面的服务。 (1 1 1 1)保证客户交易信息的保密性和完整性,)保证客户交易信息的保密性和完整性,)保证客户交易信息的保密性和完整性,)保证客户交易信息的保密性和完整性,SETSETSETSET协议采用协议采用协议采用协议采用了双重签名技术对了双重签名

45、技术对了双重签名技术对了双重签名技术对SETSETSETSET交易过程中消费者的支付信息和订单交易过程中消费者的支付信息和订单交易过程中消费者的支付信息和订单交易过程中消费者的支付信息和订单信息分别签名,使得商家看不到支付信息,只能接收用户信息分别签名,使得商家看不到支付信息,只能接收用户信息分别签名,使得商家看不到支付信息,只能接收用户信息分别签名,使得商家看不到支付信息,只能接收用户的订单信息;而金融机构看不到交易内容,只能接收到用的订单信息;而金融机构看不到交易内容,只能接收到用的订单信息;而金融机构看不到交易内容,只能接收到用的订单信息;而金融机构看不到交易内容,只能接收到用户支付信息

46、和帐户信息,从而充分保证了消费者帐户和定户支付信息和帐户信息,从而充分保证了消费者帐户和定户支付信息和帐户信息,从而充分保证了消费者帐户和定户支付信息和帐户信息,从而充分保证了消费者帐户和定购信息的安全性。购信息的安全性。购信息的安全性。购信息的安全性。 (2 2 2 2)确保商家和客户交易行为的不可否认性,)确保商家和客户交易行为的不可否认性,)确保商家和客户交易行为的不可否认性,)确保商家和客户交易行为的不可否认性,SETSETSETSET协议的协议的协议的协议的重点就是确保商家和客户的身份认证和交易行为的不可否重点就是确保商家和客户的身份认证和交易行为的不可否重点就是确保商家和客户的身份

47、认证和交易行为的不可否重点就是确保商家和客户的身份认证和交易行为的不可否认性,采用的核心技术包括认性,采用的核心技术包括认性,采用的核心技术包括认性,采用的核心技术包括X.509X.509X.509X.509电子证书标准,数字签名,电子证书标准,数字签名,电子证书标准,数字签名,电子证书标准,数字签名,报文摘要,双重签名等技术。报文摘要,双重签名等技术。报文摘要,双重签名等技术。报文摘要,双重签名等技术。 (3 3 3 3)确保商家和客户的合法性,)确保商家和客户的合法性,)确保商家和客户的合法性,)确保商家和客户的合法性,SETSETSETSET协议使用数字证书对协议使用数字证书对协议使用数

48、字证书对协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证,可以交易各方的合法性进行验证。通过数字证书的验证,可以交易各方的合法性进行验证。通过数字证书的验证,可以交易各方的合法性进行验证。通过数字证书的验证,可以确保交易中的商家和客户都是合法的,可信赖的。确保交易中的商家和客户都是合法的,可信赖的。确保交易中的商家和客户都是合法的,可信赖的。确保交易中的商家和客户都是合法的,可信赖的。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议 4 4 4 4SETSETSETSET安全电子交易协议运行的目标安全电子交易协议运行的目标

49、安全电子交易协议运行的目标安全电子交易协议运行的目标 SETSETSETSET安全电子交易协议主要运行目标有以下几个方面。安全电子交易协议主要运行目标有以下几个方面。安全电子交易协议主要运行目标有以下几个方面。安全电子交易协议主要运行目标有以下几个方面。 (1 1 1 1)保证信息在)保证信息在)保证信息在)保证信息在InternetInternetInternetInternet上安全传输,防止数据被黑客或上安全传输,防止数据被黑客或上安全传输,防止数据被黑客或上安全传输,防止数据被黑客或被内部人员窃取。被内部人员窃取。被内部人员窃取。被内部人员窃取。 (2 2 2 2)保证电子商务参与者信

50、息的相互隔离,客户的资料加)保证电子商务参与者信息的相互隔离,客户的资料加)保证电子商务参与者信息的相互隔离,客户的资料加)保证电子商务参与者信息的相互隔离,客户的资料加密或打包后通过商家到达银行,但是商家不能看到客户的密或打包后通过商家到达银行,但是商家不能看到客户的密或打包后通过商家到达银行,但是商家不能看到客户的密或打包后通过商家到达银行,但是商家不能看到客户的账户和密码信息。账户和密码信息。账户和密码信息。账户和密码信息。 (3 3 3 3)解决双方论证问题,不仅要对消费者的信用卡认证,)解决双方论证问题,不仅要对消费者的信用卡认证,)解决双方论证问题,不仅要对消费者的信用卡认证,)解

51、决双方论证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在而且要对在线商店的信誉程度认证,同时还有消费者、在而且要对在线商店的信誉程度认证,同时还有消费者、在而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证。线商店与银行间的认证。线商店与银行间的认证。线商店与银行间的认证。 (4 4 4 4)保证网上交易的实时性,使所有的支付过程都是在线)保证网上交易的实时性,使所有的支付过程都是在线)保证网上交易的实时性,使所有的支付过程都是在线)保证网上交易的实时性,使所有的支付过程都是在线的。的。的。的。 (5 5 5 5)效仿)效仿)效仿)效仿

52、EDIEDIEDIEDI贸易的形式,规范协议和消息格式,促使不贸易的形式,规范协议和消息格式,促使不贸易的形式,规范协议和消息格式,促使不贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运同厂家开发的软件具有兼容性和互操作功能,并且可以运同厂家开发的软件具有兼容性和互操作功能,并且可以运同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。行在不同的硬件和操作系统平台上。行在不同的硬件和操作系统平台上。行在不同的硬件和操作系统平台上。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSE

53、T协议协议 5 5 5 5SETSETSETSET安全电子交易协议的功能安全电子交易协议的功能安全电子交易协议的功能安全电子交易协议的功能 SETSETSETSET安全电子交易协议主要功能有以下几个方面。安全电子交易协议主要功能有以下几个方面。安全电子交易协议主要功能有以下几个方面。安全电子交易协议主要功能有以下几个方面。 (1 1 1 1)确保在支付系统中支付信息和订购信息的安全性。)确保在支付系统中支付信息和订购信息的安全性。)确保在支付系统中支付信息和订购信息的安全性。)确保在支付系统中支付信息和订购信息的安全性。 (2 2 2 2)确保数据在传输过程中的完整性,即数据不被篡改。)确保数

54、据在传输过程中的完整性,即数据不被篡改。)确保数据在传输过程中的完整性,即数据不被篡改。)确保数据在传输过程中的完整性,即数据不被篡改。 (3 3 3 3)对持卡者身份合法性进行验证。)对持卡者身份合法性进行验证。)对持卡者身份合法性进行验证。)对持卡者身份合法性进行验证。 (4 4 4 4)对商家的身份合法性进行验证。)对商家的身份合法性进行验证。)对商家的身份合法性进行验证。)对商家的身份合法性进行验证。 (5 5 5 5)提供最优的安全系统,以保护在电子交易中的合法用)提供最优的安全系统,以保护在电子交易中的合法用)提供最优的安全系统,以保护在电子交易中的合法用)提供最优的安全系统,以保

55、护在电子交易中的合法用户。户。户。户。 (6 6 6 6)确保该标准不依赖于传输安全技术,也不限定任何安)确保该标准不依赖于传输安全技术,也不限定任何安)确保该标准不依赖于传输安全技术,也不限定任何安)确保该标准不依赖于传输安全技术,也不限定任何安全技术的使用,使通过网络和相应的软件所进行的交互作业全技术的使用,使通过网络和相应的软件所进行的交互作业全技术的使用,使通过网络和相应的软件所进行的交互作业全技术的使用,使通过网络和相应的软件所进行的交互作业简便易行。简便易行。简便易行。简便易行。 电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议

56、协议6 6 6 6SETSETSETSET安全电子交易协议的对象安全电子交易协议的对象安全电子交易协议的对象安全电子交易协议的对象SETSETSETSET安全电子交易协议的主要对象有以下几个。安全电子交易协议的主要对象有以下几个。安全电子交易协议的主要对象有以下几个。安全电子交易协议的主要对象有以下几个。(1 1 1 1)消费者)消费者)消费者)消费者(2 2 2 2)在线商店)在线商店)在线商店)在线商店(3 3 3 3)收单银行)收单银行)收单银行)收单银行(4 4 4 4)发卡行)发卡行)发卡行)发卡行(5 5 5 5)认证中心)认证中心)认证中心)认证中心(6 6 6 6)支付网关)支

57、付网关)支付网关)支付网关 电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议7.3.2 SET7.3.2 SET7.3.2 SET7.3.2 SET安全电子交易协议工作原理安全电子交易协议工作原理安全电子交易协议工作原理安全电子交易协议工作原理电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议 1 1 1 1初始请求初始请求初始请求初始请求 (1 1 1 1)消费者使用浏览器在商家的)消费者使用浏览器在商家的)消费者使用浏览器在商家的)消费者使用浏览器在商家的WEBWEBWEBWE

58、B主页上查看在线商品主页上查看在线商品主页上查看在线商品主页上查看在线商品目录浏览商品。目录浏览商品。目录浏览商品。目录浏览商品。 (2 2 2 2)消费者选择要购买的商品。)消费者选择要购买的商品。)消费者选择要购买的商品。)消费者选择要购买的商品。 (3 3 3 3)消费者填写定单,包括:项目列表、价格、总价、运)消费者填写定单,包括:项目列表、价格、总价、运)消费者填写定单,包括:项目列表、价格、总价、运)消费者填写定单,包括:项目列表、价格、总价、运费、搬运费、税费。定单可通过电子化方式从商家传过来,费、搬运费、税费。定单可通过电子化方式从商家传过来,费、搬运费、税费。定单可通过电子化

59、方式从商家传过来,费、搬运费、税费。定单可通过电子化方式从商家传过来,或由消费者的电子购物软件(或由消费者的电子购物软件(或由消费者的电子购物软件(或由消费者的电子购物软件(walletwalletwalletwallet)建立。有些在线商)建立。有些在线商)建立。有些在线商)建立。有些在线商场可以让消费者与商家协商物品的价格(例如出示自己是场可以让消费者与商家协商物品的价格(例如出示自己是场可以让消费者与商家协商物品的价格(例如出示自己是场可以让消费者与商家协商物品的价格(例如出示自己是老客户的证明,或给出了竞争对手的价格信息)。老客户的证明,或给出了竞争对手的价格信息)。老客户的证明,或给

60、出了竞争对手的价格信息)。老客户的证明,或给出了竞争对手的价格信息)。 (4 4 4 4)消费者选择付款方式。)消费者选择付款方式。)消费者选择付款方式。)消费者选择付款方式。 (5 5 5 5)消费者发送给商家一个完整的定单及要求付款的指令。)消费者发送给商家一个完整的定单及要求付款的指令。)消费者发送给商家一个完整的定单及要求付款的指令。)消费者发送给商家一个完整的定单及要求付款的指令。在在在在SETSETSETSET中,定单和付款指令由消费者进行数字签名。同时利中,定单和付款指令由消费者进行数字签名。同时利中,定单和付款指令由消费者进行数字签名。同时利中,定单和付款指令由消费者进行数字签

61、名。同时利用双重签名技术保证商家看不到消费者的帐号信息。用双重签名技术保证商家看不到消费者的帐号信息。用双重签名技术保证商家看不到消费者的帐号信息。用双重签名技术保证商家看不到消费者的帐号信息。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议2 2 2 2初始应答初始应答初始应答初始应答(1 1 1 1)商家接受定单后,向消费者的金融机构请求)商家接受定单后,向消费者的金融机构请求)商家接受定单后,向消费者的金融机构请求)商家接受定单后,向消费者的金融机构请求支付认可。支付认可。支付认可。支付认可。(2 2 2 2)通过支付网关到银行,

62、再到发卡机构确认,)通过支付网关到银行,再到发卡机构确认,)通过支付网关到银行,再到发卡机构确认,)通过支付网关到银行,再到发卡机构确认,批准交易。然后返回确认信息给商家。批准交易。然后返回确认信息给商家。批准交易。然后返回确认信息给商家。批准交易。然后返回确认信息给商家。(3 3 3 3)商家发送定单确认信息给顾客。顾客端软件)商家发送定单确认信息给顾客。顾客端软件)商家发送定单确认信息给顾客。顾客端软件)商家发送定单确认信息给顾客。顾客端软件可记录交易日志,以备将来查询。可记录交易日志,以备将来查询。可记录交易日志,以备将来查询。可记录交易日志,以备将来查询。(4 4 4 4)用商客的私钥

63、对初始应答报文摘要进行数字)用商客的私钥对初始应答报文摘要进行数字)用商客的私钥对初始应答报文摘要进行数字)用商客的私钥对初始应答报文摘要进行数字签名。签名。签名。签名。(5 5 5 5)将商家证书、支付网关证书、初始应答报文)将商家证书、支付网关证书、初始应答报文)将商家证书、支付网关证书、初始应答报文)将商家证书、支付网关证书、初始应答报文摘要的数字签名等,发送给消费者。摘要的数字签名等,发送给消费者。摘要的数字签名等,发送给消费者。摘要的数字签名等,发送给消费者。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议3 3 3 3购物请

64、求购物请求购物请求购物请求(1 1 1 1)消费者授受初始应答,验证商家和支付网关)消费者授受初始应答,验证商家和支付网关)消费者授受初始应答,验证商家和支付网关)消费者授受初始应答,验证商家和支付网关的证书,以确认它们的有效性。的证书,以确认它们的有效性。的证书,以确认它们的有效性。的证书,以确认它们的有效性。(2 2 2 2)用商家公钥解开初始应答报文摘要的数字签)用商家公钥解开初始应答报文摘要的数字签)用商家公钥解开初始应答报文摘要的数字签)用商家公钥解开初始应答报文摘要的数字签名,得到初始应答报文摘要。名,得到初始应答报文摘要。名,得到初始应答报文摘要。名,得到初始应答报文摘要。(3

65、3 3 3)检查商家传送过来的购买项目和价格正确无)检查商家传送过来的购买项目和价格正确无)检查商家传送过来的购买项目和价格正确无)检查商家传送过来的购买项目和价格正确无误,并确认商家的基本资料,向商家提出购物请求。误,并确认商家的基本资料,向商家提出购物请求。误,并确认商家的基本资料,向商家提出购物请求。误,并确认商家的基本资料,向商家提出购物请求。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议4 4 4 4网络商家发出支付授权请求网络商家发出支付授权请求网络商家发出支付授权请求网络商家发出支付授权请求(1 1 1 1)商家接受消费

66、者的购物请求,验证消费者的)商家接受消费者的购物请求,验证消费者的)商家接受消费者的购物请求,验证消费者的)商家接受消费者的购物请求,验证消费者的数字证书。数字证书。数字证书。数字证书。(2 2 2 2)用商家的私钥解密订单信息,并进行双重签)用商家的私钥解密订单信息,并进行双重签)用商家的私钥解密订单信息,并进行双重签)用商家的私钥解密订单信息,并进行双重签名比较,检查数据在传输过程中是否被篡改。名比较,检查数据在传输过程中是否被篡改。名比较,检查数据在传输过程中是否被篡改。名比较,检查数据在传输过程中是否被篡改。(3 3 3 3)产生支付授权请求,将支付授权请求用哈希)产生支付授权请求,将

67、支付授权请求用哈希)产生支付授权请求,将支付授权请求用哈希)产生支付授权请求,将支付授权请求用哈希算法生成报文摘要,并签名,形成密文和数字信封。算法生成报文摘要,并签名,形成密文和数字信封。算法生成报文摘要,并签名,形成密文和数字信封。算法生成报文摘要,并签名,形成密文和数字信封。(4 4 4 4)将商家证书、支付请求密文、商家数字签名、)将商家证书、支付请求密文、商家数字签名、)将商家证书、支付请求密文、商家数字签名、)将商家证书、支付请求密文、商家数字签名、数字信封等相关信息发往支付网关数字信封等相关信息发往支付网关数字信封等相关信息发往支付网关数字信封等相关信息发往支付网关 电子商务信息

68、安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议 5 5 5 5支付网关发出支付授权请求支付网关发出支付授权请求支付网关发出支付授权请求支付网关发出支付授权请求 (1 1 1 1)商家通过互联网送出的支付授权和消费者通过商家转)商家通过互联网送出的支付授权和消费者通过商家转)商家通过互联网送出的支付授权和消费者通过商家转)商家通过互联网送出的支付授权和消费者通过商家转发的付款指示密文等,在收单行的支付网关收到后,支付网发的付款指示密文等,在收单行的支付网关收到后,支付网发的付款指示密文等,在收单行的支付网关收到后,支付网发的付款指示密文等,在收单行

69、的支付网关收到后,支付网关难商家证书、商家签名等信息。关难商家证书、商家签名等信息。关难商家证书、商家签名等信息。关难商家证书、商家签名等信息。 (2 2 2 2)用私钥打开商家数字信封,获取商家对称密钥,解开)用私钥打开商家数字信封,获取商家对称密钥,解开)用私钥打开商家数字信封,获取商家对称密钥,解开)用私钥打开商家数字信封,获取商家对称密钥,解开支付授权请求密文等信息。支付授权请求密文等信息。支付授权请求密文等信息。支付授权请求密文等信息。 (3 3 3 3)支付网关验证消费者的证书,并用私钥解开消费者的)支付网关验证消费者的证书,并用私钥解开消费者的)支付网关验证消费者的证书,并用私钥

70、解开消费者的)支付网关验证消费者的证书,并用私钥解开消费者的相关信息,确认信息是否正确。相关信息,确认信息是否正确。相关信息,确认信息是否正确。相关信息,确认信息是否正确。 (4 4 4 4)验证来自商家的交易标识和来自消费者的付款的交易)验证来自商家的交易标识和来自消费者的付款的交易)验证来自商家的交易标识和来自消费者的付款的交易)验证来自商家的交易标识和来自消费者的付款的交易标识是否相匹配。标识是否相匹配。标识是否相匹配。标识是否相匹配。 (5 5 5 5)通过银行专网,向消费者所属的发卡银行发送支付授)通过银行专网,向消费者所属的发卡银行发送支付授)通过银行专网,向消费者所属的发卡银行发

71、送支付授)通过银行专网,向消费者所属的发卡银行发送支付授权请求。权请求。权请求。权请求。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议6 6 6 6发卡银行的支付授权应答发卡银行的支付授权应答发卡银行的支付授权应答发卡银行的支付授权应答(1 1 1 1)发卡银行检查消费者的信用卡是否有效。)发卡银行检查消费者的信用卡是否有效。)发卡银行检查消费者的信用卡是否有效。)发卡银行检查消费者的信用卡是否有效。(2 2 2 2)向支付网关发送支付授权应答。)向支付网关发送支付授权应答。)向支付网关发送支付授权应答。)向支付网关发送支付授权应答。

72、7 7 7 7支付网关向商家发送支付授权应答支付网关向商家发送支付授权应答支付网关向商家发送支付授权应答支付网关向商家发送支付授权应答支付网关产生支付授权应答信息,它包括发卡银行支付网关产生支付授权应答信息,它包括发卡银行支付网关产生支付授权应答信息,它包括发卡银行支付网关产生支付授权应答信息,它包括发卡银行的响应信息和支付网关的签名证书等,并将其生成的响应信息和支付网关的签名证书等,并将其生成的响应信息和支付网关的签名证书等,并将其生成的响应信息和支付网关的签名证书等,并将其生成数字信封,作为支付授权应答信息发给商家。数字信封,作为支付授权应答信息发给商家。数字信封,作为支付授权应答信息发给

73、商家。数字信封,作为支付授权应答信息发给商家。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议 8 8 8 8向消费者发送购物应答向消费者发送购物应答向消费者发送购物应答向消费者发送购物应答 (1 1 1 1)商家验证支付网关证书,解密支付授权应答,验证支付网关的数字签名,)商家验证支付网关证书,解密支付授权应答,验证支付网关的数字签名,)商家验证支付网关证书,解密支付授权应答,验证支付网关的数字签名,)商家验证支付网关证书,解密支付授权应答,验证支付网关的数字签名,用私钥打开数字信封,得到网关对称密钥,用此密钥解开支付授权应答,产生用

74、私钥打开数字信封,得到网关对称密钥,用此密钥解开支付授权应答,产生用私钥打开数字信封,得到网关对称密钥,用此密钥解开支付授权应答,产生用私钥打开数字信封,得到网关对称密钥,用此密钥解开支付授权应答,产生支付授权应答报文摘要。支付授权应答报文摘要。支付授权应答报文摘要。支付授权应答报文摘要。 (2 2 2 2)用网关公钥解开其数字签名,得到原始支付授权应答报文摘要,并与新产)用网关公钥解开其数字签名,得到原始支付授权应答报文摘要,并与新产)用网关公钥解开其数字签名,得到原始支付授权应答报文摘要,并与新产)用网关公钥解开其数字签名,得到原始支付授权应答报文摘要,并与新产生的摘要比较。生的摘要比较。

75、生的摘要比较。生的摘要比较。 (3 3 3 3)商家产生购物应答,对购物应答生成报文摘要,并签名。)商家产生购物应答,对购物应答生成报文摘要,并签名。)商家产生购物应答,对购物应答生成报文摘要,并签名。)商家产生购物应答,对购物应答生成报文摘要,并签名。 (4 4 4 4)将商家证书,购物应答,数字签名一起发往消费者。)将商家证书,购物应答,数字签名一起发往消费者。)将商家证书,购物应答,数字签名一起发往消费者。)将商家证书,购物应答,数字签名一起发往消费者。 9 9 9 9消费者接收并处理应答消费者接收并处理应答消费者接收并处理应答消费者接收并处理应答 (1 1 1 1)消费者收到购物应答后

76、,验证商家证书。)消费者收到购物应答后,验证商家证书。)消费者收到购物应答后,验证商家证书。)消费者收到购物应答后,验证商家证书。 (2 2 2 2)验证通过后,对购物应答产生报文摘要,用商家公钥解开数字签名,得到)验证通过后,对购物应答产生报文摘要,用商家公钥解开数字签名,得到)验证通过后,对购物应答产生报文摘要,用商家公钥解开数字签名,得到)验证通过后,对购物应答产生报文摘要,用商家公钥解开数字签名,得到原始报文摘要。原始报文摘要。原始报文摘要。原始报文摘要。 (3 3 3 3)SETSETSETSET软件记录交易日志,以备后查。软件记录交易日志,以备后查。软件记录交易日志,以备后查。软件

77、记录交易日志,以备后查。 (4 4 4 4)消费者等待商家发货。)消费者等待商家发货。)消费者等待商家发货。)消费者等待商家发货。 10101010发送货物发送货物发送货物发送货物 商家由物流公司发送货物或提供服务,并在适当的时候通知收单银行将钱从消商家由物流公司发送货物或提供服务,并在适当的时候通知收单银行将钱从消商家由物流公司发送货物或提供服务,并在适当的时候通知收单银行将钱从消商家由物流公司发送货物或提供服务,并在适当的时候通知收单银行将钱从消费者的账号转移到商家的账号,或通知发卡银行请求支付,即实现支付获取,费者的账号转移到商家的账号,或通知发卡银行请求支付,即实现支付获取,费者的账号

78、转移到商家的账号,或通知发卡银行请求支付,即实现支付获取,费者的账号转移到商家的账号,或通知发卡银行请求支付,即实现支付获取,完成清算。完成清算。完成清算。完成清算。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议7.3.3 SET7.3.3 SET7.3.3 SET7.3.3 SET安全电子交易协议应用安全电子交易协议应用安全电子交易协议应用安全电子交易协议应用1 1 1 1概述概述概述概述电子钱包是一个加密来存放电子现金的特定标准程电子钱包是一个加密来存放电子现金的特定标准程电子钱包是一个加密来存放电子现金的特定标准程电子钱包是一个

79、加密来存放电子现金的特定标准程序,加密密钥根据钱包的序,加密密钥根据钱包的序,加密密钥根据钱包的序,加密密钥根据钱包的IDIDIDID、用户的身份信息和用、用户的身份信息和用、用户的身份信息和用、用户的身份信息和用户的密码按一定的规则构成。其标准由权威公共机户的密码按一定的规则构成。其标准由权威公共机户的密码按一定的规则构成。其标准由权威公共机户的密码按一定的规则构成。其标准由权威公共机构根据电子钱包的功能需求、电子现金存放和使用构根据电子钱包的功能需求、电子现金存放和使用构根据电子钱包的功能需求、电子现金存放和使用构根据电子钱包的功能需求、电子现金存放和使用的要求制定。的要求制定。的要求制定

80、。的要求制定。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议(1) (1) (1) (1) 对持卡人来说,交易前需要下载安装电子钱包对持卡人来说,交易前需要下载安装电子钱包对持卡人来说,交易前需要下载安装电子钱包对持卡人来说,交易前需要下载安装电子钱包软件,简便性不够。软件,简便性不够。软件,简便性不够。软件,简便性不够。(2) (2) (2) (2) 电子钱包集成的功能较多,软件较大,对非电子钱包集成的功能较多,软件较大,对非电子钱包集成的功能较多,软件较大,对非电子钱包集成的功能较多,软件较大,对非PC PC PC PC 设备的应

81、用有很大的局限性。设备的应用有很大的局限性。设备的应用有很大的局限性。设备的应用有很大的局限性。(3)(3)(3)(3)数字证书等重要信息存放在个人计算机上,容数字证书等重要信息存放在个人计算机上,容数字证书等重要信息存放在个人计算机上,容数字证书等重要信息存放在个人计算机上,容易引发安全隐患。易引发安全隐患。易引发安全隐患。易引发安全隐患。(4) (4) (4) (4) 处理支付流和交换数据对网速要求较高,不适处理支付流和交换数据对网速要求较高,不适处理支付流和交换数据对网速要求较高,不适处理支付流和交换数据对网速要求较高,不适于于于于SET SET SET SET 协议应用的扩展。协议应用

82、的扩展。协议应用的扩展。协议应用的扩展。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议2 2 2 2电子钱包的优化策略电子钱包的优化策略电子钱包的优化策略电子钱包的优化策略电子钱包的优化策略体系结构如图电子钱包的优化策略体系结构如图电子钱包的优化策略体系结构如图电子钱包的优化策略体系结构如图7-107-107-107-10所示。所示。所示。所示。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议3 3 3 3基于基于基于基于SET SET SET SET 协议的电子钱包的模型协议

83、的电子钱包的模型协议的电子钱包的模型协议的电子钱包的模型基于基于基于基于SET SET SET SET 协议的电子钱包模型如图协议的电子钱包模型如图协议的电子钱包模型如图协议的电子钱包模型如图7-117-117-117-11所示。电子所示。电子所示。电子所示。电子钱包接口安装在钱包接口安装在钱包接口安装在钱包接口安装在WAP WAP WAP WAP 终端,服务器钱包代表持卡人终端,服务器钱包代表持卡人终端,服务器钱包代表持卡人终端,服务器钱包代表持卡人与其他与其他与其他与其他SET SET SET SET 实体实体实体实体( ( ( (商家、支付网关、商家、支付网关、商家、支付网关、商家、支付

84、网关、CA)CA)CA)CA)进行通讯,进行通讯,进行通讯,进行通讯,WAP WAP WAP WAP 终端和服务器钱包之间采用终端和服务器钱包之间采用终端和服务器钱包之间采用终端和服务器钱包之间采用WAP WAP WAP WAP 的的的的WTLS WTLS WTLS WTLS 和和和和SSL SSL SSL SSL 安全协议,实现两者之间的安全通讯。安全协议,实现两者之间的安全通讯。安全协议,实现两者之间的安全通讯。安全协议,实现两者之间的安全通讯。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议电子商务信息安全技术资源陈孟建电子支付安

85、全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议4 4 4 4电子钱包的支付协议电子钱包的支付协议电子钱包的支付协议电子钱包的支付协议电子支付以数字信息形式存在,利用通信网来流电子支付以数字信息形式存在,利用通信网来流电子支付以数字信息形式存在,利用通信网来流电子支付以数字信息形式存在,利用通信网来流通。其生命周期中要经过取款、支付和存款三个通。其生命周期中要经过取款、支付和存款三个通。其生命周期中要经过取款、支付和存款三个通。其生命周期中要经过取款、支付和存款三个阶段,包括商家、用户和银行三方,还可以包括阶段,包括商家、用户和银行三方,还可以包括阶段,包括商家、用户和银行三

86、方,还可以包括阶段,包括商家、用户和银行三方,还可以包括一个可信赖的第三方一个可信赖的第三方一个可信赖的第三方一个可信赖的第三方( ( ( (它完成对电子现金流通过程它完成对电子现金流通过程它完成对电子现金流通过程它完成对电子现金流通过程及电子现金主人身份的追踪及电子现金主人身份的追踪及电子现金主人身份的追踪及电子现金主人身份的追踪) ) ) )。电子支付的基本流。电子支付的基本流。电子支付的基本流。电子支付的基本流通模式如图通模式如图通模式如图通模式如图7-127-127-127-12所示。银行与用户执行提取协议,所示。银行与用户执行提取协议,所示。银行与用户执行提取协议,所示。银行与用户执

87、行提取协议,并从银行提取电子现金;用户与商家执行支付协并从银行提取电子现金;用户与商家执行支付协并从银行提取电子现金;用户与商家执行支付协并从银行提取电子现金;用户与商家执行支付协议,并支付电子现金;商家与银行执行存款协议,议,并支付电子现金;商家与银行执行存款协议,议,并支付电子现金;商家与银行执行存款协议,议,并支付电子现金;商家与银行执行存款协议,将交易所得的电子现金存人银行。将交易所得的电子现金存人银行。将交易所得的电子现金存人银行。将交易所得的电子现金存人银行。电子商务信息安全技术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议电子商务信息安全技

88、术资源陈孟建电子支付安全协议7.3 7.3 安全电子交易安全电子交易SETSET协议协议 商家和用户的交易协议为:商家和用户的交易协议为:商家和用户的交易协议为:商家和用户的交易协议为: (1 1 1 1)客户在网上检索出自己想要的物品,并将订单和客户)客户在网上检索出自己想要的物品,并将订单和客户)客户在网上检索出自己想要的物品,并将订单和客户)客户在网上检索出自己想要的物品,并将订单和客户随机指定的会话密钥随机指定的会话密钥随机指定的会话密钥随机指定的会话密钥Ku Ku Ku Ku 用商家的公钥用商家的公钥用商家的公钥用商家的公钥PKs PKs PKs PKs 加密传给商家,加密传给商家,

89、加密传给商家,加密传给商家,并向该商家提出购买请求。并向该商家提出购买请求。并向该商家提出购买请求。并向该商家提出购买请求。 (2 2 2 2)该商家收到信息后,用自己的私钥解密,核实已经订)该商家收到信息后,用自己的私钥解密,核实已经订)该商家收到信息后,用自己的私钥解密,核实已经订)该商家收到信息后,用自己的私钥解密,核实已经订购的订单购的订单购的订单购的订单( ( ( (品种、数量、价格等品种、数量、价格等品种、数量、价格等品种、数量、价格等) ) ) ),自动生成唯一的订单号,自动生成唯一的订单号,自动生成唯一的订单号,自动生成唯一的订单号,加上签名并用客户指定的密钥加上签名并用客户指

90、定的密钥加上签名并用客户指定的密钥加上签名并用客户指定的密钥Ku Ku Ku Ku 加密向客户传出经过签名加密向客户传出经过签名加密向客户传出经过签名加密向客户传出经过签名的订单。的订单。的订单。的订单。 (3 3 3 3)客户收到其签名的订单后核实该订单,向商家支付经)客户收到其签名的订单后核实该订单,向商家支付经)客户收到其签名的订单后核实该订单,向商家支付经)客户收到其签名的订单后核实该订单,向商家支付经客户加密的电子现金。客户加密的电子现金。客户加密的电子现金。客户加密的电子现金。 (4 4 4 4)商家验明订单号后开具发票并签名传给客户。)商家验明订单号后开具发票并签名传给客户。)商

91、家验明订单号后开具发票并签名传给客户。)商家验明订单号后开具发票并签名传给客户。 (5 5 5 5)客户收到电子发票后给商家发电子现金解密指令。)客户收到电子发票后给商家发电子现金解密指令。)客户收到电子发票后给商家发电子现金解密指令。)客户收到电子发票后给商家发电子现金解密指令。 (6 6 6 6)商家收到解密指令后,解密电子现金:)商家收到解密指令后,解密电子现金:)商家收到解密指令后,解密电子现金:)商家收到解密指令后,解密电子现金:Dc(Ec(E-Dc(Ec(E-Dc(Ec(E-Dc(Ec(E-cash)cash)cash)cash),验证电子现金,然后给客户发货。,验证电子现金,然后给客户发货。,验证电子现金,然后给客户发货。,验证电子现金,然后给客户发货。 (7 7 7 7)客户凭电子发票收货,并向商家发送已收货消息。)客户凭电子发票收货,并向商家发送已收货消息。)客户凭电子发票收货,并向商家发送已收货消息。)客户凭电子发票收货,并向商家发送已收货消息。电子商务信息安全技术资源陈孟建电子支付安全协议 本次课程结束,谢谢合作!本次课程结束,谢谢合作!电子商务信息安全技术资源陈孟建电子支付安全协议

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号