資源描述:
《網(wǎng)上支付的安全》由會員上傳分享��,免費在線閱讀���,更多相關內容在教育資源-天天文庫�。
1��、第7章網(wǎng)上支付的安全7.1網(wǎng)上支付安全概述7.2網(wǎng)上支付安全協(xié)議7.3金融安全認證7.4中國金融認證中心教學目的與要求:了解電子商務網(wǎng)上支付所面臨的安全現(xiàn)狀�,掌握電子交易安全協(xié)議SSL和SET的基本概念和原理教學重點與難點:重點:掌握電子交易協(xié)議SSL和SET的不同難點:金融安全認證技術的組成與運作方法7.1.1網(wǎng)上支付所面臨的安全問題(1)交易支付信息被篡改。(2)交易支付信息被截獲和竊取�。(3)交易信息假冒。(4)交易抵賴��。7.1.2網(wǎng)上支付安全的主要內容電子商務安全從整體上分為兩大部分:計
2��、算機網(wǎng)絡安全和商務交易安全��。計算機網(wǎng)絡安全的內容主要包括計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全�、數(shù)據(jù)庫安全等。其特點是針對計算機網(wǎng)絡本身可能存在的安全問題問題���,實施網(wǎng)絡安全增強方案����,以保證計算機網(wǎng)絡自身的安全性為目標����。商務交易安全是指在計算機網(wǎng)絡安全的基礎上,如何保障電子商務過程的順利進行��,實現(xiàn)電子商務交易支付結算的保密性�����、完整性����、可鑒別性、不可偽造性和不可抵賴性��。包括交易支付過程中的各種交易安全技術���,如SET�、SSL���、安全認證手段和CA體系等�。7.2網(wǎng)上支付安全協(xié)議7.2.1SSL協(xié)議(Sec
3���、ureSocketLayer)SSL協(xié)議是由網(wǎng)景(Netscape)公司1994年設計開發(fā)推出的一種安全通信協(xié)議���,主要用于提高應用程序之間的數(shù)據(jù)的安全系數(shù)��,它能夠對信用卡和個人信息提供較強的保護���,也是目前使用最廣泛的安全協(xié)議�。SSL協(xié)議保障了在Internet上數(shù)據(jù)傳輸?shù)陌踩?,利用?shù)據(jù)加密(Encryption)技術,可確保數(shù)據(jù)在網(wǎng)絡上之傳輸過程中不會被截取及竊聽����。SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議可分為兩層:SSL記錄協(xié)議(SSLRecord
4�����、Protocol):它建立在可靠的傳輸協(xié)議(如TCP)之上�,為高層協(xié)議提供數(shù)據(jù)封裝、壓縮����、加密等基本功能的支持。SSL握手協(xié)議(SSLHandshakeProtocol):它建立在SSL記錄協(xié)議之上��,用于在實際的數(shù)據(jù)傳輸開始前���,通訊雙方進行身份認證����、協(xié)商加密算法�、交換加密密鑰等。1)SSL協(xié)議提供的基本服務(1)認證用戶和服務器��,使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務器�。(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。(3)維護數(shù)據(jù)的完整性�����,確保數(shù)據(jù)在傳輸過程中不被改變。2)SSL協(xié)議的工作流程:服
5��、務器認證階段:1)客戶端向服務器發(fā)送一個開始信息“Hello”以便開始一個新的會話連接�����;2)服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰����,如需要則在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;3)客戶根據(jù)收到的響應信息��,產(chǎn)生一個主密鑰�����,并用服務器的公開密鑰加密后傳給服務器�;4)服務器恢復該主密鑰�����,并返回給客戶一個用主密鑰認證的信息��,以此讓客戶認證服務器。用戶認證階段:在此之前�����,服務器已經(jīng)通過了客戶認證��,這一階段主要完成對客戶的認證��。經(jīng)認證的服務器發(fā)送一個提問給客戶�,客戶則返回(數(shù)
6、字)簽名后的提問和其公開密鑰��,從而向服務器提供認證�。概括為以下階段:(1)接通階段。(2)密碼交換階段�����。(3)會談密碼階段�����。(4)檢驗階段�����。(5)客戶認證階段。(6)結束階段�����。存在的問題(1):從SSL協(xié)議提供的服務及工作流程看出��,SSL協(xié)議運行的基礎是商家對消費者信息保密的承諾��,這就有利于商家而不利于消費者�����。在電子商務初級階段���,由于運作電子商務的企業(yè)大多是信譽較高的大公司��,因此這問題還沒有充分暴露出來�。但隨著電子商務的發(fā)展����,各中小型公司也參與進來��,這樣在電子支付過程中的單一認證問題就越來越突出
7���、�。雖然在SSL3.0中通過數(shù)字簽名和數(shù)字證書可實現(xiàn)瀏覽器和Web服務器雙方的身份驗證,但是SSL協(xié)議仍存在一些問題�,比如,只能提供交易中客戶與服務器間的雙方認證���,在涉及多方的電子交易中�����,SSL協(xié)議并不能協(xié)調各方間的安全傳輸和信任關系����。在這種情況下�,Visa和MasterCard兩大信用卡公組織制定了SET協(xié)議,為網(wǎng)上信用卡支付提供了全球性的標準����。3)SSL協(xié)議的應用SSL協(xié)議是國際上最早應用于電子商務的一種網(wǎng)絡安全協(xié)議,至今仍然有許多網(wǎng)上商店在使用��,也經(jīng)常應用于點對點的網(wǎng)上銀行業(yè)務�。世界上一些大
8、型公司�,如Microsoft����、IBM等提供的客戶機���、服務器以及相關的軟件都支持SSL協(xié)議���,它已經(jīng)成為一個事實上的工業(yè)標準。SSL協(xié)議與電子支付SSL協(xié)議下的電子交易過程客戶商家銀行12453(1)客戶購買信息發(fā)往商家���;(2)商家在將信息轉發(fā)銀行�;(3)銀行驗證客戶信息合法性����;(4)銀行通知商家付款成功;(5)商家通知客戶購買成功�。SSL協(xié)議交易流程的缺陷客戶的銀行資料信息先送到商家,讓商家閱讀�����,故客戶銀行資料的安全性得不到保證��。SSL只能保證資料傳遞過程的安全,而傳輸過程是否有人截取就無法保障����。
