在线支付系统简介43879.pptx

《在线支付系统简介43879.pptx》由会员分享，可在线阅读，更多相关《在线支付系统简介43879.pptx（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、3.3 在线支付系统3.3.1 SSL提供网上购物安全的协议3.3.2 SET提供安全的电子商务数据交换3.3.3 SET与SSL对比及SET的缺陷SSL提供网上购物安全的协议提供网上购物安全的协议HTTPIMAPFTPSMTPSSL层层TCP/IP应用层应用层网络层网络层SSL协议中使用了许多加密解密技术、信息摘要技术和数字签名与认证技术SSL依靠证书来验证通信双方的身份SSL提供的安全内容(1)SSL把客户机和服务器之间的所有通信都进行加密，保证了机密性(2)SSL提供完整性检验，可防止数据在通信过程中被改动(3)SSL提供认证性，使用数字证书识别对方SSL先进行“握手”以保证以后的通信按

2、预定步骤进行1.SSL记录协议：定义了信息交换中所有数据项的格式，MAC用于信息的完整性，信息内容是应用层传来的数据，附加数据是加密后的附加信息 MAC 信息内容 附加数据SSL体系结构SSL由两层协议组成HTTP SSL握手协议SSL更改密码规格协议SSL警告协议SSL记录协议TCPIP2.SSL更改密码规格协议：更新用于当前连接的密码组3.SSL警告协议：用于传送SSL的有关警告信息4.SSL握手协议：用于用户和服务器之间相互认证，协商加密算法，传送所需的公钥证书，建立SSL记录协议处理完整性检验、所需的会话密钥大多数服务器和浏览器支持SSL协议TLS是对IETF的标准化，RFC2246，

3、与SSL version 3接近SET(Secure Electronic Transfer protocol)安全数据交换协议SEPP(Secure Electronic Payment Protocol)安全电子支付协议SET在保留对客户信用卡认证的前提下，增加了对商家身份的认证SET是一种以信用卡为基础的、在Internet上交易的付款协议，是授权业务信息传输的安全标准，它采用RSA算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用散列函数算法来鉴别信息的完整性1.SET的目标(1)信息的安全传输(2)信息的相互隔离(3)多方认证的解决(4)交易的实时性(5

4、)效仿EDI贸易形式，规范协议和消息格式10.2 SET提供安全的电子商务数据交换1.SET的交易成员(1)持卡人(2)网上商店(3)收单银行(4)发卡银行(5)认证中心CA(6)支付网关1.SET的技术范围(1)加密算法的应用(2)证书信息和对象格式(3)购买信息和对象格式(4)认可信息和对象格式(5)划账信息和对象格式(6)对话实体之间消息的传输协议1.SET软件的组成SET的认证过程1.注册登记2.动态认证3.商业机构处理流程SET安全支付参与方及应用系统框架CA认证认证中心中心持持卡卡用用户户网网上上商商家家支付网关支付网关收单银行收单银行发卡银行发卡银行认证认证协商协商订单订单确认确

5、认审核审核确认确认确认确认请求请求审审核核批批准准SET协议的安全技术1.SET的安全保障(1)将所有消息文本用双钥密码体制加密(2)将上述密钥的公钥和私钥的字长增加到512-2048位(3)采用联机动态的授权和认证检查，确保交易安全2.安全保障的技术基础(1)通过加密方式确保信息机密性(2)通过数字化签名确保数据的完整性(3)通过数字化签名和商家认证确保交易各方身份真实(4)通过特殊的协议和消息形式确保动态交互式系统的可操作性SET交易中的电子钱包商店服务器和支付网关SET网上购物实例SET实际操作的全过程SET协议的特点在SET协议中，使用DES对称密钥算法、RSA非对称密钥算法等提供数据

6、加密、数字签名、数字信封等功能，给信息在网络中的传输提供可靠的安全性保证。SET协议通过DES算法和RSA算法的结合使用，保证了数据的一致性和完整性，并可实现交易以预防抵赖；通过数字信封、双重签章，确保用户信息的隐私性和关联性。在完成一个SET协议交易过程中，需验证电子证书9次，验证数字签名6次，传递各方证书7次，进行5次签名，4次对称加密和4次非对称加密。完成一个SET协议交易过程需花费1.52分钟，甚至更长的时间。比较对象SETSSL使用目的和场合主要用于信用卡交易，传送电子现金主要用于购买信息的交流：传送电子商贸信息安全性要求很高：整个交易过程中都要保护要求很低：因为保护范围只是持卡人到

7、商家一端的信息交换必须具有认证资格对象安全需求高，因此所有参与者与SET交易的成员都必须先申请数字证书来识别身份通常只是商家一端的服务器，而客户端认证是可选择的实施时所需的设置费用较高：持卡人必须先申请数字证书，然后安装SET电子钱包较低：不需要另外安装软件当前使用情况(比率)SET设置成本高于SSL，目前普及率较低目前普及率较高SET存在一些问题和缺陷 （1）协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书，否则，一旦在线商店的货物不符合质量标准，消费者提出疑义或要求退货，责任由谁来承担。（2）协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。（3）SET技术规范没有提及在事务处理完成后，如何安全的保有或销毁此类证据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。（4）SET安全协议大部分操作依赖CA认证中心的认证，但SET无法确认认证中心是否被攻击、被假冒，也无法确认认证中心的密钥是否已经泄漏或被修改。