第13讲 安全电子交易

第13讲安全电子交易第十二讲安全电子交易13.1电子交易的基本流程13.2电子交易的安全标准13.3安全电子交换协议SET简述13.4SET的安全需求与特征13.5SET中的支付处理13.6SET存在的问题第13讲安全电子交易（1）电子交易的基本流程（2）SSL协议与常用数据交换协议（3）安全电子交换协议SET的基本原理（4）SET中的支付处理过程（5）SET存在的问题本章学习目标第13讲安全电子交易电子交易的模式按交易主体分类：1）企业对企业的电子交易模式（B2B）2）企业对消费者的电子交易模式（BusinessToCustomer,B2C）3）消费者对消费者的电子交易模式（CustomerToCustomer,C2C）4）企业对政府的电子交易模式（BusinessToGovernment,B2G）第13讲安全电子交易按交易对象分类1、数字化商品电子交易模式2、实物类商品电子交易模式3、网络服务电子交易模式第13讲安全电子交易电子交易的支付模式目前的电子支付系统可以分为四类：1）大额支付系统大额支付系统是一个国家支付体系的核心应用系统，它通常由中央银行运行，采用RTGS模式。2）联机小额支付系统联机小额支付系统指POSE机系统和ATM系统，其支付工具为银行卡（信用卡、借记卡或ATM卡等）。3）脱机小额支付系统脱机小额支付系统也被称为批量电子支付系统，它主要指自动清算所（ACH），主要处理预先授权的定期借记（如公共设施缴费）或定期贷记（如发放工资）。第13讲安全电子交易4）电子货币常用的电子货币有以下几种：①储值和信用卡型：如储蓄卡（depositcard）和信用卡（creditcard）；②智能卡型：如IC卡（ICcard）；③电子支票型：电子支票（electroniccheck）指启动支付过程后，计算机屏幕上出现的支票图像，出票人用电子方式做成支票并进行电子签名而出票；④数字现金型：指依靠Internet支持在网络上发行、购买、支付的数字现金（digitalcash）。第13讲安全电子交易企业对企业交易模式案例——中国商品交易中心第13讲安全电子交易企业对消费者交易模式案例——当当网上书店第13讲安全电子交易网络平台发展当当网已经发展成为全球最大的中文书刊和音像网上零售商，成为了名副其实的中国网上购物第一店。但是在这些荣耀的背后我们应该看到竞争也是残酷的，自从2004年8月19日卓越网被亚马逊以7500万美元收购以后，当当网失去了一个国内的强劲对手，对当当网来说应该是件好事情，但是换来的对手却是国际电子商务领域的巨头。面对亚马逊这样的对手，当当网会被逼向绝境吗？这需要我们拭目以待。但当当网联合总裁李国庆否认亚马逊收购卓越网会把当当逼向绝境，他认为，“竞争对手卓越网卖给亚马逊等于是当当捡了一个便宜，很多原来他们的客户都跑到我这来了。我们认为我们能打赢这场仗才没卖当当网。”对于互联网行业的企业来讲，被收购和自主上市始终是两个主要的发展方向。电子商务公司也不例外。EBAY以2个多亿注资易趣，软银等以7200万美元投资阿里巴巴，亚马逊以7500万美元收购卓越都是这两个方向的标准样板。在未来激烈的竞争中，当当网应该迅速地把盘子做大从而吸引投资或自主上市。第13讲安全电子交易人手操作最简单的国际贸易最少包括12个参予者，而每个都有独特的权责和文件要求1。ImporterImporter互联网速递增值网络电子数据交换傳真邮递专用网络Importer进口商出口商代理运输公司承揽业者保险公司海关银行电子化现在的贸易情况贸易的N方业务模式•点对点垂直行业的B2B应用（包括EDI）已经蓬勃发展；•“一点接入”、“综合服务平台”、区域集成解决方案“等，也在发展中•电子贸易中“规则”、“流程控制”方面的任务尚未有雏形第13讲安全电子交易第13讲安全电子交易招商银行的网上银行自1997年以来，国内招商银行、中国银行、中国建设银行、中国工商银行陆续推出网上银行业务，其中中国银行采用的是SET协议，另外则使用了SSL。招商银行的网上银行于1999年底正式运行，其功能主要包括了个人银行系统、网上支付系统、网上证券统、网上商城系统等。中国建设银行开发了日处理业务130万笔、允许5万个客户同时访问和交易的网上银行系统。第13讲安全电子交易安全电子交易——淘宝网购物实例分析登录淘宝网通过用户登录进入淘宝网，注册用户可以选购商品，未注册用户只能浏览商品。第13讲安全电子交易登录淘宝网点击“请登录”进入登录页面，用户名可以是手机号、会员名、邮箱。第13讲安全电子交易登录淘宝网http方式登录https方式登录（安全登录）第13讲安全电子交易https全称：HypertextTransferProtocoloverSecureSocketLayer，是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容请看SSL。第13讲安全电子交易选定商品第13讲安全电子交易信用信用包括卖家信用和买家信用，是由交易完成之后，根据双方对交易的满意程度，自愿反馈的信息。淘宝网一般以右图形式表示信用。第13讲安全电子交易确认购买信息选定商品之后点击“立即购买”之后，页面会提示用户确认购买信息。第13讲安全电子交易确认提交表单提交表单包括金额，校验码等要素。第13讲安全电子交易验证码校验码在这里可以认为是一种验证码。它可以有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试，实际上是用验证码是现在很多网站通行的方式。第13讲安全电子交易常见验证码四位数字，随机的一数字字符串，最原始的验证码，验证作用几乎为零。目前常用的随机数字图片验证码。图片上的字符比较中规中矩，验证作用比四位数字好。没有基本图形图像学知识的人就很难破解。汉字是注册目前最新的验证码，随机生成，破解起来就更难了！第13讲安全电子交易检测支付宝安全控件在确认提交表单之后，便转向支付系统，在这个过程中，支付宝服务会自动检测在用户PC上的支付保安全控件。第13讲安全电子交易支付宝支付宝（中国）网络技术有限公司是国内领先的独立第三方支付平台，由阿里巴巴集团创办。支付宝（www.alipay.com）致力于为中国电子商务提供“简单、安全、快速”的在线支付解决方案。第13讲安全电子交易选择支付方式第13讲安全电子交易第13讲安全电子交易使用网银付款选择“中国工商银行”，然后付款。第13讲安全电子交易登录网银网银付款采用https第13讲安全电子交易网银登录表单要求用户填写银行账号和验证码第13讲安全电子交易网银安全控件如果用户PC上没有安装网银安全控件，则会在鼠标聚焦验证码时提示用户安装网银安全控件第13讲安全电子交易网银预留信息这是用户在银行办理网银时设置的信息，以便用户在网上确认自己的银行卡。第13讲安全电子交易网银付款付款同时需要：口令卡密码、网银登录密码、验证码。第13讲安全电子交易口令卡密码又称为动态密码（DynamicPassword），它指用户的密码按照时间或使用次数不断动态变化。根据提示的坐标S1和A7输入口令卡上对应的数值。黑客要想破解用户密码，首先要从物理上获得用户的口令卡，其次还要获得用户的网银密码。由此可以看出网银的安全性得到了加强。电子支付流程图审核定单协商认证认证认证确认确认审核扣款消费者在线商店支付网关收单发卡银行认证中心.第13讲安全电子交易支付网关的主要功能支付网关是整个系统的关键，它的主要功能有：（1）实现交易功能，即完成持卡人网上支付的正常流程。（2）进行交易的异常处理，如持卡人的帐户余额改动之后，并为未得到所期望的交易结果，则这样的交易将被部分或全部地冲正。（3）提供仲裁信息。（4）提供多种报表。（5）提供查询功能。（6）计费功能网上支付最常见的信用卡、电子支票；数字现钞（e-cash），在数字现钞中，货币仅仅是一串数据位，银行可能发行这样的数据位串，或者从消费者的帐户中划出相等的纸币。第13讲安全电子交易移动支付从2002年开始，移动支付就已经成为移动增值业务中的一个亮点。目前我国的移动支付业务发展重点不是很明显，银行信用卡捆绑的缴费业务、查询业务等移动支付业务就是将移动网络与金融系统结合，商品交易、缴费等金融服务的业务，小商品交易、电子内容（产品）支付、服务付费、缴费等银行服务等几类。小额服务付费是指用户通过手机来支付服务业务费用。最流行支付停车或者洗车费等。第13讲安全电子交易手机当钱用.第13讲安全电子交易缴费业务以缴费业务为代表的移动银行目前是我国银行系统参与的移动支付主要业务类型。“手机钱包”服务其实就是这个业务非常典型的应用，通过与银行的捆绑，将SIM卡与银行帐号自然联系起来。第13讲安全电子交易电子商务交易中的安全措施安全交易标准和技术，主要的协议标准有：（1）安全超文本传输协议（S-HTTP）（2）安全套接层协议(SSL)（3）安全交易技术协议(STT,SecureTransactionTechnology)(4)安全电子交易协议(SET,SecureElectronicTransaction)第13讲安全电子交易SET的由来在Internet上开发对所有公众开放的电子商务系统，从技术角度来看，关键的技术问题有两个：一是信息传递的准确性；二是信息传递的安全可靠性。前者是各种数据交换协议已经解决了的问题；后者则是目前学术界、工商界和消费者最为关注的问题。第13讲安全电子交易SET的由来在SET协议中主要定义了以下内容：1）加密算法（如RSA和DES）的应用；2）证书消息和对象格式；3）购买消息和对象格式；4）请款消息和对象格式；5）参与者之间的消息协议。第13讲安全电子交易网上购物与现实中购物的比较在传统购物中，商家和消费者需要直接见面，交易过程中需要的信息传输手段往往也是多种多样的，如电话、传真、信件等。与传统购物一样，网上购物也分为查询、订货、交易等环节，但这种交易不需要消费者和商家之间直接见面，并且可以通过Internet这一媒介来进行第13讲安全电子交易SET的主要目标SET是一个基于可信的第三方认证中心的方案，它要实现的主要目标有下列三个方面：（1）保障付款安全（2）确定应用的互通性（3）达到全球市场的接受性SET协议保证了电子交易的机密性、数据完整性、身份的合法性和不可否认性。第13讲安全电子交易SET(SecureElectronicTransaction)持卡人密文商家银行发卡机构CA密文协商定单确认审核确认审核批准认证认证认证提供身份认证、数据保密、数据完整性等服务第13讲安全电子交易13.1电子交易的基本流程如图12-1所示，网络网际付款的流程有6个步骤。第13讲安全电子交易13.2电子交易的安全标准13.2.1常用数据交换协议13.2.2SSL协议第13讲安全电子交易13.2.1常用数据交换协议电子数据交换（EDI）开放贸易协议（OTP）开放数据标准（OPS）加密套接字层（SSL）安全电子交易（SET）第13讲安全电子交易13.2.2SSL协议SSL提供3种基本的安全服务：信息加密、信息完整性和相互认证。1．SSL安全协议的基本概念SSL安全协议主要提供三方面的服务：加密数据以隐藏被传送的数据。维护数据的完整性，确保数据在传输过程中不被改变。认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。第13讲安全电子交易2．SSL安全协议的运行步骤SSL的运行过程包括六步：（1）接通阶段，客户通过网络向服务商打招呼，服务商回应。（2）密码交换阶段，客户与服务商之间交换双方认可的密码。一般选用RSA密码算法，也有的选用Diffie-Hellman和Fortezza-KEA密码算法。（3）会谈密码阶段，客户与服务商间产生彼此交谈的会谈密码。（4）检验阶段，检验服务商取得的密码。（5）客户认证阶段，验证客户的可信度。（6）结束阶段，客户与服务商之间相互交换结束的信息。第13讲安全电子交易3．SSL安全协议的应用SSL安全协