电子商务基础03(编辑修改稿)

电子商务基础03(编辑修改稿)内容摘要：

在这些功能的保证下，商家可以对客户承诺客户信息保密。 但是，由于这是默认了商家是可以信赖的，因此没有提供客户对商家的认证，这实际上对客户是不公平的，这是 SSL协议的缺点。 在交易过程中， SSL协议要求客户首先把求购信息发往商家，商家再将此信息转发给银行，银行验证客户信息的合法性后，告知商家该客户可以支付，商家得知此信息后通知客户购买成功，并将商品寄给客户。 本 节 上一页 下一页 目 录 结 束 这个过程通过以下步骤进行： （ 1） 接通阶段：客户呼叫服务商，服务商回应客户； （ 2） 密码交换阶段：客户和服务商交换密钥； （ 3） 确立会话密钥：客户和服务商之间协议确立会话密钥； （ 4） 会话阶段：客户与服务商交换会话信息，客户提交自己的身份、求购信息和付款方式； （ 5）认证阶段：服务商认证客户的可信度； （ 6） 结束阶段：客户与服务商交换结束信息，通信结束。 SSL协议虽然提供了安全通道，但是没有授权功能，对建立的连接不支持访问控制，早期的 SSL没有提供数字签名，不能实现抗否认，这些弱点限制了它的安全功能。 本 节 上一页 下一页 目 录 结 束 VISA和 Master card两家国际上最大的信用卡公司连同一些计算机厂商，包括 IBM， Microsoft等信息产业巨头共同制定了电子安全交易协议（ Secure Electronic Transaction Protocol， SET）。 SET协议在 1997年 6月正式发布，是目前国际通用的网上支付标准。 该标准采用 RSA公开密钥体制对通信双方进行认证，采用 DES、BC4等对称加密体制加密要传输的信息，并用 Hash算法来鉴别消息的真伪和有无被篡改。 SET协议是一种支付协议，只是在持卡人向商家发送支付请求、商家向支付网关发送授权或获取请求、以及支付网关向商家发送授权或获取回应、商家向持卡人发送支付回应时才起作用，它并不包含挑选物品、价格协调、支付方式选择和信息传送等方面的协议。 SET协议 本 节 上一页 下一页 目 录 结 束 SET协议的目标是： （ 1） 保证信息在 Inter上的安全传输，防止数据被黑客和内部人员窃取。 （ 2）保证电子商务参与者信息的相互隔离，使商家不能看到客户的账户和密码。 （ 3） 完成多方认证，不仅对客户的信用卡认证，而且要对在线商家认证，客户、商家银行间的相互认证。 （ 4） 保证网上交易的实时性，实时在线进行支付的过程。 （ 5） 规范协议和消息格式，促进不同厂家开发的软件具有兼容性和互操作性，且可运行在不同的硬件和操作系统平台上。 本 节 上一页 下一页 目 录 结 束 SET协议的工作流程分为以下 7个步骤： （ 1） 客户通过网络选定欲购的商品，并在计算机上输入订单（含联系的在线商家、欲购商品名称、价格、数量、交货时间及地点等信息）； （ 2） 通过与在线商家联系，商家进行应答，并告知以上订单货物单价、应付款数额、交货方式； （ 3） 客户选择付款方式、确定订单、签发付款指令； （ 4） 客户通过 SET对订单和付款指令进行数字签名， SET协议通过处理使商家看不到客户的账号信息； （ 5） 在线商家接受订单后，向客户开户银行请求支付，此信息通过支付网关送达收单银行，并进一步提交发卡银行确认。 确认批准后，发卡银行返回确认信息，经收单银行通过支付网关发给在线商家； 本 节 上一页 下一页 目 录 结 束 （ 6） 在线商家发送订单确认信息给客户，客户端记录交易日志，以备日后查考； （ 7） 在线商家发送商品或提供服务，并通知收单银行将货款从客户账号转移到商家账号，或通知发卡银行请求支付。 从第 4步开始， SET协议介入处理过程。 在处理的过程中， SET协议规定的通信协议、请求信息格式、数据类型等都要严格符合。 每一步操作客户、在线商家、支付网关都通过认证中心（ CA）来验证通信主体的身份，以确保不会假冒。 本 节 上一页 下一页 目 录 结 束 身份认证在计算机系统和网络中非常重要。 目前采用的身份认证技术主要有 3种：固定密码的身份认证、动态密码身份认证和采用数字证书认证方式。 目前，动态密码的认证方式基本上采用 CHAP（ Challenge Handshake Authentication Protocol）。 CHAP能保证用户密码的安全，但其安全性又建立在用户客户机和服务器共享相同的用于认证用户身份的秘密值。 CHAP协议 本 节 上一页 下一页 目 录 结 束 ECHAP（ Extended Challenge Handshake Authentication Protocol）是一种更安全、灵活的 CHAP扩展认证协议。 ECHAP实现了安全的身份认证和用户敏感验证信息（秘密信息）在服务器和客户端的安全存储，防止了因超级用户泄露或复制用户的秘密值的安全隐患。 ECHAP协议 本 节 上一页 下一页 目 录 结 束 本 节 电子商务的安全技术。