电子商务安全 第7章 安全电子交易协议SET.ppt

四、支付认证 支付认证 商户计算机 支付网关 商户请求验证 商户处理响应 支付网关 处理 验证请求 验证请求 验证响应 1．商户请求认证 (1)商户端软件生成认证请求。 (2)商户端软件对认证请求进行数字签名(采用认证请求的“信息摘要”和商户私人签名密钥)。 (3)商户端软件用一个随机生成的对称密钥对认证请求进行加密。该密钥被支付网关“密钥交换”的公共密钥加密。 (4)客户端软件将加密的认证请求和从持卡人购买请求得来的加密支付指令发送给支付网关。 2.支付网关 支付网关顺着信任链回溯到根,对商户证书进行验证。 当支付网关收到认证请求时，它解开认证请求的数字信封，得到对称加密密钥。它采用该对称密钥对请求进行解密。然后，它顺着信任链回溯到根，对商户数字签名证书进行验证，并验证该证书是否过期。它用商户公共签名密钥以确保请求是由商户私人签名密钥进行数字签名的。 然后，支付网关解开支付指令的数字信封，得到对称加密密钥和账号信息，它用对称密钥对支付指令进行解密。它顺着信任链回溯到根，对持卡人数字签名证书进行验证，并验证该证书是否过期。然后，它用持卡人公共签名密钥和订货信息的“信息摘要”(在支付指令中)来检查数字签名，以确保支付指令在传输中没有变化，而且是由持卡人私人签名密钥进行数字签名的。 2.支付网关 然后，支付网关验证从商户收到的交易编号和持卡人支付指令中的交易标号是否一致。支付网关通过支付系统组织并发送认证请求给签发者。 在从签发者收到认证响应时，支付网关生成认证响应消息(包括签发者的响应和支付网关的数字签名证书)，并对它进行数字签名。在这些响应中还包括可选的支付编号(支付网关用来处理支付请求)。只有在“接受者”的要求之下才会包括支付编号。 然后，该响应被一个随机新生成的对称密钥加密。该对称密钥被商户“密钥交换”的“公共密钥”加密。该响应然后被发送给客户。 2.支付网关 3．处理认证请求 (1)支付网关用自己“密钥交换”的私人密钥解密得到对称密钥，再由该对称密钥对认证请求进行解密。 (2)支付网关用商户的公开签名密钥对商户的电子签名进行解密，并将结果与新生成的认证请求“信息摘要”进行比较，用来验证商户的数字签名。 (3)支付网关顺着信任链回溯到根，对持卡人证书进行验证。 (4)支付网关用自己“密钥交换”的私人密钥解开并得到对称密钥和持卡人账号信息，然后用该对称密钥对支付指令进行解密。 3．处理认证请求 (5)支付网关验证持卡人对支付指令的双重数字签名(用持卡人的公共签名密钥解密，并计算出各自新的“信息摘要”，将两个新的“信息摘要”连接起来，计算出结果的“信息摘要”，与解密结果进行比较)。 (6)支付网关确保商户认证请求和持卡人支付指令之间的一致性。 (7)支付网关通过金融网络向持卡人的金融机构发送认证请求。 (8)支付网关生成响应消息，并对它进行数字签名(采用认证请求的“信息摘要”和支付网关私人签名密钥)。 3．处理认证请求 (9)支付网关用一个随机新生成的对称密钥对认证请求进行加密。该密钥再由商户公共签名密钥加密。 (10)支付网关生成支付编号，并对它进行数字签名(采用支付编号的“信息摘要”和支付网关的私人签名密钥)。 (11)支付网关用一个随机新生成的对称密钥对支付编号进行加密。该密钥再由支付网关的“密钥交换”的公共密钥加密。 (12)支付网关将加密的认证响应发送给商户。 4．商户处理响应 (1)商户端软件顺着信任链回溯到根，对支付网关的证书进行验证。 (2)商户端软件用商户“密钥交换”的私人密钥进行解密，得到对称密钥。 (3)商户端软件用支付网关的公开签名密钥对支付网关的电子签名进行解密，并将结果与新生成的认证响应“信息摘要”进行比较，用来验证支付网关的数字签名。 (4)商户端软件将加密的支付编号和数字信封保存起来，为以后支付处理所用。 (5)商户端软件商户完成购买请求的处理。 当商户端软件从支付网关收到认证响应时，它解开数字信封，从中得到对称加密密钥。它采用该对称密钥对响应消息进行解密。它然后顺着信任链回溯到根，对支付网关数字签名证书进行验证。它用支付网关公共签名密钥来检查支付网关的数字签名。 商户端软件将认证响应和支付编号保存起来，为以后过程所用。商户然后完成持卡人订单的处理(根据持卡人订单)发送货物或提供服务。 4．商户处理响应 五、支付 支付的大致过程，共由三个基本步骤组成。以下会具体分析每—个步骤。 持卡人完成订货的全部过程后，商户将发出支付请求。通常，支付认证请求和支付请求之间会有很长的时间间隔 商户端软件生成支付请求，包括交易金额、交易识别号以及其他有关交易的信息，并对它进行数字签名。该请求被新生成的对称加密密钥加密，然后被支付网关“交换密钥”的“公开密钥”再次加密。支付请求和支付标志(如果