安全电子支付系统的设计.pdfVIP

安全电子支付系统的设计 王海 （南京航空航天大学信息科学与技术学院 南京 210016） E-mail ：wwanghaih@ 摘 要：本文从电子支付的安全需求及安全攻击入手，结合多种网络安全技术，针对电子信用 卡提出了基于 SET 协议的安全电子支付系统，该系统可以从根本上保证了交易的安全性，是一 种很好的电子商务模式的解决方案。 关键词：电子商务；电子支付；网络安全 SET 协议 1.引言 所谓电子商务(Electronic Commerce)，是指通过电子手段来完成整个商业贸易活动的过程。 电子商务主要涉及三方面内容：信息、电子数据交换和电子资金转帐。在从传统的基于纸张的 贸易方式向电子化的贸易方式转变的过程中，如何保持电子化的贸易方式与传统方式一样安全 可靠是人们关注的焦点，同时也是电子商务全面应用的关键问题之一。电子支付作为电子商务 的核心环节和关键步骤，其实现程度一直是影响电子商务发展速度的主要因素之一。如何在不 安全的因特网上实现安全的支付，是人们密切关注的焦点，也是一个值得深入研究的课题。 2.电子支付的安全要素 2.1 信息传输的安全性： 机密性(Confidentiality)又叫必威体育官网网址性，是指信息在传送或存储的过程中不被他人窃取、不被泄 露或披露未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。机密性 一般通过密码技术对必威体育官网网址的信息进行加密处理来实现。 2.2 信息的完整性： 完整性(Integrity)又叫真实性，是保护数据不被未授权者修改、建立、嵌入、删除、重复传 送或由于其他原因使原始数据被更改。完整性一般可通过提取信息消息摘要的方式来获得。 2.3 信息的不可抵赖性： 不可抵赖性又叫不可否认性(Non-repudiation )，是指信息的发送方不能否认已发送的信息， 接收方不能否认已收到的信息，这是一种法律有效性要求。不可抵赖性可通过对发送信息进行 数字签名来获得。 2.4 交易各方身份的认证性： 认证性(Authentication)是指网络两端的使用者在沟通之前相互确认对方的身份。在电子商务 中，认证性一般都通过证书机构CA 和证书来实现。 3.电子支付的安全隐患 电子支付的安全隐患五花八门，我们把它们划归为两个大类：一类是技术层面；另一类属 于非技术层面。 3.1 技术层面的安全隐患 从技术上看，对网络的攻击包括对静态数据的攻击和对动态数据的攻击。对静态数据的攻 - 1 - 击主要有： 3.1.1 口令猜测 通过穷举方式有哪些信誉好的足球投注网站口令空间，逐一测试，得到口令，进而非法入侵系统。 3.1.2 IP 地址欺骗 攻击者从一个外部地点伪装成源自一台内部主机传送信息包，这些信息包中包含有内部系 统的源 IP 地址，冒名他人，窃取信息。 3.1.3 指定路由 发送方指定一个信息包到达目的地的地点的路由，而这条路由是经过精心设计的，绕过设 有安全控制的路由。 3.2 非技术层面的安全隐患 非技术层面的安全隐患主要包括管理方面的风险和法律方面的风险。由于非技术层面的问 题不是本文研究的重点，所以在此不再赘述。 4.基于 SET 电子支付交易流程 目前，比较完善的电子商务安全技术通常采用基于SSL 协议和采用基于 SET 协议的两种技 术。基于 SET 的电子商务安全技术是专门为电子支付设计的，保证了电子交易的机密性、数据 完整性、身份的合法性和抗否认性。下面我们所介绍的这个安全电子支付系统就是基于 SET 协 议。 电子商务模式的参与方有客户、商家、认证中心、商业银行和支付网关。参与电子商务交 易的各方，他们都必须拥有CA(即数字证书认证中心，Certification Authority)所发放的数字证书。 数字证书包含了证书拥有者的信息和所签发证书的CA的相关信息，该证书既可以对信息进行加 密，又可以用于签名，它保证了信息传