第四章电子支付安全管理介绍.ppt

SET协议中的参与方 1、消费者即持卡人：包括个人消费者和团体消费者，按照在线商店的要求填写定货单，通过由发卡银行发行的信用卡进行付款。 2、在线商店：即提供商品或服务，具备相应电子货币使用的条件、从事商业交易的公司组织。 3、收单银行：主要是负责授权与管理往来的特约商店，并且负责在交易进行的时候，提供信用卡付款的授权（Payment Authorization）申请及付款取得（Payment Capture）的服务。为了完成付款取得的服务，通过支付网关处理消费者和在线商店之间的交易付款问题。 4、 发卡行（Issuer）： 指向持卡人提供支付卡的金融机构。这张卡可以是Visa、MasterCard、AE或是JCB，依照持卡人的申请而定。当收款行透过金融网络要求付款授权的时候，发卡行就应该响应付款授权的申请，等到交易完成后再与收单行进行帐务清算并且交换讯息。 5、认证中心（CA）：在基于SET协议的电子商务体系中起着重要作用。可以为持卡人、商家和支付网关签发X.509V3数字证书，让持卡人、商家和支付网关通过数字证书进行认证。负责对交易对方的身份确认，对厂商的信誉度和消费者的支付手段进行认证。 CA同时要对证书进行管理。 6、支付网关（payment gateway）。 它是连接银行专用网络和Internet的一组服务器，其主要作用是完成两者之间的通信、协议转换和进行数据加密、解密，以保护银行内部网络的安全。 支付网关的主要功能有：将Internet传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包；接收银行系统内部反馈的响应信息，将数据转换为Internet上传送的数据格式，并对其进行加密。  SET的工作流程图如下：由确认订单开始，SET开始介入。在操作的每一步，均通过CA来验证通信主体的身份。以确保通信的对方不是冒名顶替。这里充分发挥了认证中心的作用。 SET协议的交易流程 SET的工作流程 1、消费者在网上选购好商品，下订单（订单上含在线商店和购买物品的名称、数量、交货时间和地点等信息）。 2、通过电子商务服务器与在线商店联系并作出应答，告诉消费者所添订单的单价、应付款数、交货方式等信息是否准确。 3、消费者选择付款方式、确认订单、签发付款指令，此时SET介入。 4、消费者对订单和付款指令进行数字签名，同时利用“双重签名”技术使商家看不到消费者的帐号信息。 5、商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，由发卡机构审核后返回确认信息给商店。 6、 商店发送订单确认信息给消费者。消费者软件记录交易日志以被查询。 7、商店发送货物或提供服务，并通知收单银行将钱从消费者帐号上转移到商店帐号上，或通知发卡银行请求支付。 SET协议的特点 优点： 以ＳＥＴ协议为基础的支付流程每一步都有严格与严谨的规范，并大量利用公开密钥加密法、私有密钥加密法、数字证书、数字摘要、数字签名、双重数字签名等安全技术，同时在操作的每一步，消费者、商家、支付网关都需要通过ＣＡ来验证交易各方的身份，以确保通信的对方不是冒名顶替者。所以，ＳＥＴ协议充分发挥了认证中心的作用，维护了在任何开放网络上的电子商务参与者所提供信息的真实性和必威体育官网网址名。因此，以ＳＥＴ协议支持的支付流程是非常安全的 缺点： 协议复杂，使用成本高，客户端必须安装“电子钱包”软件才能使用； 同时在ＳＥＴ交易过程中，需验证数字证书９次，验证数字签名６次，传递证书７次，进行５次签名、４次对称加密和４次非对称加密，整个交易过程花费时间1.5～2分钟，交易效率低 SSL与SET协议的比较 1.功能比较 1）SET是一个提供多方通讯的报文协议，而SSL则只能在客户端和服务器端两者之间建立一条安全的连接。 2）SSL协议在进行报文交换的时候需要实时通信，也就是需要双方都要在线。而SET协议允许交易各方在交换报文的时候不是实时的。 3）SET协议不仅可以在Internet上使用，而且也可以在公共网络和银行内部网络等其他网络使用。而建立在SSL协议上的支付系统只能和Web浏览器捆绑使用。 2.性能比较 使用SSL协议的缺点是： 1）客户不得不信任服务器端能够安全地保护它的信用卡 2）客户不能保证商家是自己支付卡的特约商家 3）商家在交易当中要承担一定的风险 4）由于SSL在传输信息的时候，需要对信息加密，所以如果被传输的页面很复杂得话，显示起来就会很慢 对称与非对称加密体制对比 2.2.3 信息认证技术 所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。 数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。 数字签名的文件的完整性是很容易验证的（不需要骑缝章，