电子商务支付与安全模块.pptVIP

第1单元 安全协议概述 情景案例 张丽艳同学在淘宝网购买一本《电子商务支付与安全》的参考书，选择好图书并下了订单后，利用支付宝，选择中国邮政储蓄银行卡进行网上实时支付。 张丽艳同学学习了模块5《电子商务系统的安全》的内容后，知道了网上交易安全面临很多威胁，她担心银行卡资料会不会被支付平台、卖家看到？会不会被黑客通过技术手段盗取？电子商务网站如何保证数据传输的机密性、完整性和支付的安全性呢？ 任务分析 为了保障电子商务交易安全，人们开发了各种用于加强电子商务安全的协议。这些协议主要有：安全套接层协议SSL、安全电子交易协议SET、超文本传输协议SHTTP、3-D secure协议和安全电子邮件协议(PEM、S/MIME)等。 安全协议可用于保障计算机网络信息系统中秘密信息的安全传递与处理，而安全协议的安全性分析验证仍是一个悬而未决的问题。 相关知识 1．电子商务安全体系 （1）电子商务安全体系的构成。 电子商务安全体系的基本构成如图8-1所示。 （2）网络服务层存在的安全隐患。 网络层为TCP/IP的Internet层或IP层的开放式的构造，使得IP层很容易成为黑客攻击的目标。 （3）安全协议。 也称作密码协议，是以密码学为基础的消息交换协议，其目的是在网络环境中提供各种安全服务。 主要有：安全超文本传输协议（S—HTTP）、“安全套接层”协议（SSL：Secure Sockets Layer）、安全交易技术协议、安全电子交易协议（SET：Secure Electronic Transaction）等。 2．HTTP协议简介 什么是http？ 当我们浏览一个网站的时候，只要在浏览器的地址栏里输入网站的地址就可以了，例如我们要登陆百度网站，只需输入：，但是在浏览器的地址栏里面出现的却是：/，你知道为什么会多出一个“http”吗？  （1）HTTP协议。 /china/index.htm。含义如下： （2）HTTP协议工作原理。 HTTP协议是基于请求/响应范式的（相当于客户机/服务器），一个客户机与服务器建立连接后，发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。 许多HTTP通讯是由一个用户代理初始化的并且包括一个申请在源服务器上资源的请求。最简单的情况可能是在用户代理和服务器之间通过一个单独的连接来完成。在Internet上，HTTP通讯通常发生在TCP/IP连接之上。缺省端口是TCP80，但其它的端口也是可用的。但这并不预示着HTTP协议在Internet或其它网络的其它协议之上才能完成。HTTP只预示着一个可靠的传输。 （3）HTTP协议操作过程. 在WWW中，“客户”与“服务器”是一个相对的概念，只存在于一个特定的连接期间，即在某个连接中的客户在另一个连接中可能作为服务器。基于HTTP协议的客户/服务器模式的信息交换过程，它分四个过程：建立连接、发送请求信息、发送响应信息、关闭连接。 当浏览器中输入了一个开始文件或点击了一个超级链接时，浏览器就向服务器发送了HTTP请求，此请求被送往由IP地址指定的URL。驻留程序接收到请求，在进行必要的操作后回送所要求的文件。在这一过程中，在网络上发送和接收的数据已经被分成一个或多个数据包（packet），每个数据包包括：要传送的数据；控制信息，即告诉网络怎样处理数据包。TCP/IP决定了每个数据包的格式。如果事先不告诉你，你可能不会知道信息被分成用于传输和再重新组合起来的许多小块。 实践训练 1．课堂讨论 （1）电子商务安全体系有哪几部分构成？ （2）什么是安全协议？ （3）什么是HTTP协议？工作原理是什么？ 2．案例分析 安全超文本转移协议（Secure Hypertext Transfer Protocol, S-HTTP）是一种结合HTTP而设计的消息的安全通信协议。S-HTTP协议为HTTP客户机和服务器提供了多种安全机制，这些安全服务选项是适用于Web上各类用户的。还为客户机和服务器提供了对称能力（及时处理请求和恢复，及两者的参数选择）同时维持HTTP的通信模型和实施特征。 S-HTTP不需要客户方的公用密钥证明，但它支持对称密钥的操作模式。这意味着在没有要求