【正文】 HTTP協(xié)議存在哪些不足？需要做哪些改進(jìn)？ SHTTP協(xié)議有哪些優(yōu)勢？ ? 3．實(shí)務(wù)訓(xùn)練 ? 請上網(wǎng)查詢 HTTP/。 ? SHTTP不需要客戶方的公用密鑰證明，但它支持對稱密鑰的操作模式。最簡單的情況可能是在用戶代理和服務(wù)器之間通過一個(gè)單獨(dú)的連接來完成。 ? （ 3）安全協(xié)議。 模塊 8 ?學(xué)習(xí)目標(biāo) ?知識(shí)目標(biāo)： ??了解 HTTP協(xié)議 ?? 掌握 SSL協(xié)議流程 ?? 掌握 SET協(xié)議流程 ?? 了解其他電子支付協(xié)議 ?能力目標(biāo)： ?? 掌握 SSL協(xié)議的具體應(yīng)用 ?? 掌握 SET協(xié)議的具體應(yīng)用 ?? 知道 SSL協(xié)議與 SET協(xié)議的優(yōu)缺點(diǎn) ?素質(zhì)目標(biāo)： ?? 培養(yǎng)時(shí)刻關(guān)注互聯(lián)網(wǎng)上的欺騙行為習(xí)慣 ?? 培養(yǎng)并逐步具備管理、使用電子支付安全體系的能力 ?? 養(yǎng)成嚴(yán)謹(jǐn)、規(guī)范的遵守安全協(xié)議的工作習(xí)慣 第 1單元 安全協(xié)議概述 ? 情景案例 ? 張麗艷同學(xué)在淘寶網(wǎng)購買一本《電子商務(wù)支付與安全》的參考書，選擇好圖書并下了訂單后，利用支付寶，選擇中國郵政儲(chǔ)蓄銀行卡進(jìn)行網(wǎng)上實(shí)時(shí)支付。 ? 電子商務(wù)安全體系的基本構(gòu)成如圖 81所示。 ? HTTP協(xié)議是基于請求 /響應(yīng)范式的（相當(dāng)于客戶機(jī) /服務(wù)器），一個(gè)客戶機(jī)與服務(wù)器建立連接后，發(fā)送一個(gè)請求給服務(wù)器，請求方式的格式為：統(tǒng)一資源標(biāo)識(shí)符（ URL）、協(xié)議版本號(hào)，后邊是 MIME信息包括請求修飾符、客戶機(jī)信息和可能的內(nèi)容。 實(shí)踐訓(xùn)練 ? 1．課堂討論 ? （ 1）電子商務(wù)安全體系有哪幾部分構(gòu)成？ ? （ 2）什么是安全協(xié)議？ ? （ 3）什么是 HTTP協(xié)議？工作原理是什么？ ? 2．案例分析 ? 安全 超文本 轉(zhuǎn)移協(xié)議（ Secure Hypertext Transfer Protocol, SHTTP）是一種結(jié)合 HTTP而設(shè)計(jì)的 消息 的安全通信協(xié)議。響應(yīng)報(bào)文由響應(yīng)行、通用信息頭、響應(yīng)頭、實(shí)體頭、信息主體組成。 如何為通信雙方提供安全可靠的通信協(xié)議服務(wù)，在通信雙方間建立一個(gè)傳輸層安全通道，安全套接層協(xié)議 SSL彌補(bǔ)了 HTTP協(xié)議存在的不足，是保證通信安全、支付安全的重要協(xié)議。 ① SSL修改密文協(xié)議。 2． SSL協(xié)議流程 （ 1） SSL的運(yùn)行步驟 。如果合法性驗(yàn)證沒有通過，通訊將斷開；如果合法性驗(yàn)證通過，將繼續(xù)進(jìn)行第四步。 ? ⑨服務(wù)器向客戶端發(fā)出信息，指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時(shí)通知客戶端服務(wù)器端的握手過程結(jié)束。 在國內(nèi)，開展網(wǎng)上銀行業(yè)務(wù)的銀行對安全標(biāo)準(zhǔn)的選擇也不一致，中國銀行網(wǎng)上支付的安全協(xié)議采用的是 SET標(biāo)準(zhǔn)，而建設(shè)銀行、招商銀行采用的是 SSL協(xié)議。服務(wù)器可以通過使用公共密鑰密碼學(xué)的標(biāo)準(zhǔn)技術(shù)對終端用戶的有效性進(jìn)行認(rèn)證。 SET是一個(gè)為在線交易而設(shè)立的一個(gè)開放的以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范 ， 它采用公鑰密碼體制和 ， 主要應(yīng)用于 BtoC模式中保障支付信息的安全性 。 ? 它采用公鑰密碼體制和 ，主要應(yīng)用于 B to C模式中保障支付信息的安全性。 ? ②訂單信息和個(gè)人賬號(hào)信息的隔離。 ②證書信息和對象格式。 ? ③消費(fèi)者選擇付款方式，確認(rèn)訂單，簽發(fā)付款指令。當(dāng)客戶決定要購買商家的商品并使用SET錢夾付錢時(shí)，商家服務(wù)器上 POS軟件發(fā)報(bào)文給客戶的瀏覽器 SET錢夾付錢， SET錢夾則要求客戶輸入口令然后與商家服務(wù)器交換“握手”信息，使客戶和商家相互確認(rèn)，即客戶確認(rèn)商家被授權(quán)可以接受信用卡，同時(shí)商家也確認(rèn)客戶是一個(gè)合法的持卡人。授權(quán)請求報(bào)文通過到達(dá)收單銀行后，收單銀行再到發(fā)卡銀行確認(rèn)。 （ 3） SET技術(shù)規(guī)范沒有提及事務(wù)處理完成后，如何安全地保存或銷毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費(fèi)者、在線商店或收單銀行的計(jì)算機(jī)里，這些漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。 實(shí)踐訓(xùn)練 ? 1．課堂討論 ? （ 1）什么是 SET協(xié)議？有什么特點(diǎn)？ ? （ 2） SET協(xié)議的工作流程是什么？ ? （ 3） SSL協(xié)議有哪些優(yōu)點(diǎn)和不足？ 2．案例分析 ? SET協(xié)議的擴(kuò)展 ? （ 1）商家初始授權(quán)擴(kuò)展（ The Merchant Initiated Authorization Extension）版本。一是持卡人通過任何方式（包括鍵盤）來輸入PIN；二是通過安全設(shè)備來輸入 PIN。 實(shí)訓(xùn)說明： 本部分實(shí)訓(xùn)在授課后分散實(shí)訓(xùn)。 ? 第三方支付平臺(tái)的功能大致可歸納為 3項(xiàng)：第一，接收、處理、并向開戶銀行傳遞網(wǎng)上客戶的支付指令；第二，進(jìn)行跨行之間的資金清算（清分）；第三，代替銀行，開展金融增值服務(wù)。該協(xié)議的步驟如下： ? （ 1）消費(fèi)者從銀行取款，他收到一個(gè)加密的數(shù)字現(xiàn)金（ Token），此Token可當(dāng)錢用； ? （ 2）消費(fèi)者對該 Token作加密變換，使之仍能被商家檢驗(yàn)其有效性，但已不能追蹤消費(fèi)者的身份； ? （ 3）消費(fèi)者在某商家消費(fèi)即使用該 Token購物或購買服務(wù)，消費(fèi)者進(jìn)一步對該 Token密碼變換以納入商家的身份； ? （ 4）商家檢驗(yàn)該 Token以確認(rèn)以前未收到過此 Token； ? （ 5）商家給消費(fèi)者發(fā)貨； ? （ 6）商家將該電子 Token送銀行； ? （ 7）銀行檢驗(yàn)該 Token的唯一性，至此消費(fèi)者的身份仍保密，除非銀行查出該 Token被消費(fèi)者重復(fù)使用，則消費(fèi)者的身份將會(huì)被暴露，消費(fèi)者的欺詐行為也就暴露了。沒有附加費(fèi)用，在用戶端也不需要特殊的軟件。然后檢查客戶的賬號(hào)，保證有足夠的資金以便批準(zhǔn)該交易，同時(shí)檢查 EPO上的超時(shí)值以驗(yàn)證其是否過期。 4．課后拓展 說明為什么沒有一個(gè)統(tǒng)一使用的安全協(xié)議？ 知識(shí)小結(jié) 演講完畢，謝謝觀看！ 。然后準(zhǔn)備一份包含值 K的簽好的收據(jù)，將該收據(jù)發(fā)給商家。協(xié)議步驟如下： ? （ 1）客戶向商家查詢某商品價(jià)格。 ? 在用 First Cirtual系統(tǒng)購物之前，顧客先要到 First Virtual的節(jié)點(diǎn)填寫聯(lián)機(jī)申請表，取得一個(gè) First Cirtual賬號(hào)。相對于其它的資金支付結(jié)算方式， 第三方支付 可以比較有效地保障了貨物質(zhì)量、交易誠信、退換要求等環(huán)節(jié)。是消費(fèi)者、商家和金融機(jī)構(gòu)之間使用安全電子手段交換商品或服務(wù)，實(shí)現(xiàn)支付的綜合系統(tǒng)。該擴(kuò)展版本增強(qiáng)了信用卡的認(rèn)證信息，為借記卡和 IC卡采用 SET協(xié)議提供了新的用戶信息識(shí)別方式。而商家初始授權(quán)擴(kuò)展允許一個(gè)商家為非 SET的訂購進(jìn)行授權(quán)和請款（