网络支付的安全解决方法.ppt

4.5 网络支付中的安全协议 一、基于SSL协议的安全网络支付机制 SSL协议（ Secure Sockets Layer，安全套接层协议）：提供internet上的安全通信服务，是一种在持有数字证书的客户端浏览器和远程的www服务器之间，构造安全通信通道并且传输数据的协议。 所谓SSL就是在和另一方通信前先讲好的一套方法，这个方法能够在它们之间建立一个电子商务的安全性秘密信道，确保电子商务的安全性，凡是不希望被别人看到的机密数据，都可通过这个秘密信道传送给对方，即使通过公共线路传输，也不必担心别人的偷窥。 一、基于SSL协议的安全网络支付机制 SSL协议提供的信道的三个安全特性： 机密性：交易双方在握手协议定义了会话密钥后，所有的消息都被加密； 完整性：通过利用数字摘要、数字签名等技术，保证了传输信息的完整性； 认证性：在SSL的握手层，双方交换数字证书，验证和保证对方身份的合法性。 SSL的体系结构 SSL安全协议实际是SSL握手协议（SSL Hand-shake Protocol），SSL修改密文协议，SSL警报协议和SSL记录协议（SSL Record Protocol）组成的一个协议族。 握手协议 修改密文协议 警报协议 SSL记录协议 TCP IP SSL协议的体系结构图 SSL的体系结构 SSL握手协议是在任何应用程序数据传输之前使用的。包含四个阶段： 建立安全能力； 服务器鉴别和密钥交换； 客户鉴别和密钥交换； 完成握手协议。 SSL的体系结构 SSL修改密文协议由单个消息组成，该消息只包含一个值为1的单个字节。该消息的唯一作用就是使未觉状态拷贝为当前状态,更新用于当前连接胡密码组.为了保证SSL传输过程的安全性,双方应该每隔一段时间改变加密规范. SSL的体系结构 SSL警报协议是用来为对等实体传递SSL的相关警告.如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告. SSL的体系结构 SSL记录协议为SSL连接提供了两种服务：机密性和消息完整性.主要完成分组和组合、压缩以及消息认证和加密等功能。 SSL的体系结构 应用数据 （1）分段 （2）压缩 （3）增加MAC （4）加密 （5）增加 SSL记录 SSL记录协议的操作 一、基于SSL协议的安全网络支付机制 一、基于SSL协议的安全网络支付机制 称密码 SSL安全协议的缺点主要有：不能自动更新证书，认证机构编码困难，浏览器的口令具有随意性，不能自动检测证书撤销表，用户的密钥信息在服务器上是以明文方式存储的。 优点 ：几乎所有操作平台上的Web浏览器以及流行的Web服务器都支持SSL协议。因此使用该协议便宜且开发成本小 二、基于SET协议的安全网络支付机制 为了满足电子商务交易持续不断的增加的安全需求，为了达到交易安全及合乎成本效益的市场要求，VISA国际组织及其他国际信用卡组织等共同开发了SET协议。 SET（安全电子交易）协议是一个为在线交易而设立的一个开放的、以银行卡为基础的电子付款系统规范。 SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对需要在线支付的交易来讲至关重要。 二、基于SET协议的安全网络支付机制 主要安全目标： （1）保护隐私：利用双重签名技术对客户的资料（如订单信息、支付信息）针对不同的对象进行隔离； （2）机密性：保证信息在internet上的安全传输； （3）完整性 （4）解决多方认证问题：消费者信用卡、在线商店、支付网关的认证； （5）标准性：体现在规范协议和消息格式上，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作平台系统上； （6）保证网上交易的实时性：所有的支付过程都是在线进行的。 二、基于SET协议的安全网络支付机制 消 费 者 在 线 商 店 支 付 网 关 收 单 银 行 协商 订单 确认 确认 审核 请求 确认 认 证 中 心 发卡银行 认 证 认 证 认 证 批 准 审 核 SET与SSL的特点比较 认证机制方面：SET安全需求较高，所有参与SET交易的成员（持卡人、商家、付款转接站等）都必须先申请数字证书来识别身份，而在SSL中只有商家服务器需要认证，客户端认证是有选择性的。 对消费者而言，SET保证了商家的合法性，并且用户的信用卡号不会被窃取； 安全性：SET安全性较高，整个过程都受到严密的保护；SSL安全范围只限于持卡人到商家的信息交流； 采用比率：SET设置成本较SSL高许多，进入国内时间短，因此目前是SSL普及率高。 电子商务的安全体系图 * （一）私有密钥加密法 私有密钥加密法的特点是加密和解密都共用一把密