电子商务信息安全技术第七章-电子支付安全协议PPT课件.ppt

电子商务信息安全技术 21世纪高职高专规划教材 沈美莉陈孟建郁晓红编著 机械工业出版社 1 第七章电子支付安全协议 学习目标1 了解传统支付方式 2 掌握安全套接层协议 SSL 的概念和工作流程 3 掌握安全电子交易协议 SET 的概念和工作流程 2 7 1电子支付概述 7 1 1传统支付方式1 现金现金指由一国中央银行发行的 其有效性和价值是由中央银行保证的 我国发行人民币的银行是中国银行 人民币有纸币和硬币两种形式 纸币本身没有价值 它只是一种由国家发行并强制流通的货币符号 但却可以代替货币加以流通 其价值是由国家加以保证的 硬币本身含有一定的金属成分 故而具有一定的价值 显然 现金是一种开放的支付方式 任何人只要持有现金 就可以进行款项支付 而无须经中央银行收回重新分配 3 7 1电子支付概述 2 票据票据分为广义票据和狭义票据 广义上的票据包括各种具有法律效力 代表一定权利的书面凭证 如股票 债券 货单 车船票 汇票等 人们将它们统称为票据 狭义上的票据指的是 票据法 所规定的汇票 本票和支票 是一种载有一定的付款日期 付款地点 付款人的无条件支付的流通凭证 也是一种可以由持票人自由转让给他人的债券凭证 这里所指的都是狭义票据 4 7 1电子支付概述 3 信用卡 1 概述信用卡是一种由银行或信用卡公司签发 证明持卡人信誉良好 可以在指定的商店 服务场所消费或在各地的金融机构取现 办理结算的信用凭证和支付工具 信用卡现已在全世界成为一种被普遍采用的支付方式 也越来越为人们所接受 信用卡业务管理办法 规定 我国目前的信用卡是由商业银行向个人或单位发行的 禁止非金融机构和非银行金融机构经营信用卡业务 5 7 1电子支付概述 2 类型信用卡按使用对象可以分为单位卡和个人卡 按信誉等级可以分为金卡和普通卡 按币种可以分为人民币卡和外币卡 按载体材料可以分为磁条卡和智能卡 现在我国的工商银行 农业银行 中国银行 建设银行 交通银行 浦东发展银行 招商银行等发行的信用卡有牡丹卡 金穗卡 长城卡 龙卡 太平洋卡 东方卡 一卡通卡等如图7 2所示 6 7 1电子支付概述 7 7 1电子支付概述 3 信用卡的优缺点使用信用卡作为支付方式 高效便捷 可以减少现金货币流通量 简化收款手续 并且可以用于存取现金 十分灵活方便 但是 信用卡也存在以下一些缺点 交易费用较高 信用卡具有一定的有效期 过期失效 有可能遗失而给持卡人带来风险和麻烦 8 7 1电子支付概述 7 1 2电子支付方式1 电子支付的概念电子支付是指单位 个人直接或授权他人通过电子终端发出支付指令 实现货币支付与资金转移的行为 这里所指的电子终端是指客户可用以发起电子支付指令的计算机 电话 销售点终端 自动柜员机 移动通讯工具或其他电子设备等 电子支付方式的出现要早于互联网 电子支付的5种形式分别代表着电子支付的不同发展阶段 如图7 3所示 9 7 1电子支付概述 10 7 1电子支付概述 2 电子支付类型 1 电子信用卡 2 电子支票 3 电子支票的特点 电子支票以传统支票为雏形 客户容易接受而且容易上手 电子支票较好的支持了B2B B2G的电子商务市场 电子支票采用先进技术提供了比传统支票更为可靠的安全防欺诈手段 电子支票打破境域的限制 最大限度的提高支票运转周期 减少在途资金 电子支票业务流程的自动化和网络化 节省了大量的人力物力 极大的降低了处理成本 4 电子货币 11 7 1电子支付概述 7 1 3电子支付体系结构1 电子支付系统的市场需求 1 对金融信息综合服务的需求 2 网络银行的综合服务内容 3 要能够成功地克服电子商务网上支付过程中的诸多关键问题 12 7 1电子支付概述 2 电子支付体系结构电子支付体系结构如图7 4所示 13 7 1电子支付概述 7 1 4电子支付的风险1 电子支付与在线电子支付 1 电子支付 2 在线电子支付 14 7 1电子支付概述 2 电子支付的基本风险 1 经济波动的风险 2 电子支付系统的风险 3 交易风险 15 7 1电子支付概述 3 电子支付的操作风险 1 电子扒手 2 网上诈骗 3 网上黑客攻击 4 电脑病毒破坏 5 信息污染 16 7 1电子支付概述 4 电子支付的法律风险 1 主体资格和经营范围的风险 2 结算和虚拟账户资金沉淀风险 3 期权安全的风险 4 反洗钱法 带来的洗钱风险 5 信用卡套现的风险 6 电子商务纠纷引发的连带责任风险 17 7 1电子支付概述 5 电子支付的其它风险 1 市场风险 2 信用风险 3 流动性风险 4 声誉风险 5 结算风险 18 7 2安全套接层协议SSL 7 2 1SSL安全协议概述SSL协议 SecureSocketLayer 安全套接层 主要是使用公开密钥体制和X 509数字证书技术保护信息传输的机密性和完整性 它不能保证信息的不可抵赖性 主要适用于点对点之间的信息传输 常用WebServer方式 19 7 2安全套接层协议SSL 7 2 2SSL安全协议结构1 SSL协议功能 1 用户和服务器械的合法性认证 2 加密数据以隐藏被传送的数据 3 保护数据的完整性 20 7 2安全套接层协议SSL 2 SSL协议结构SSL协议由两层组成 分别是握手协议层和记录协议层 握手协议建立在记录协议之上 此外还有警告协议 更改密码说明协议和应用数据协议等对话协议和管理提供支持的子协议 其组成如图7 5所示 21 7 2安全套接层协议SSL 22 7 2安全套接层协议SSL 1 握手协议SSL握手协议是用来在客户端和服务和服务器端传输应用数据而建立的安全通信机制 其目的有三个 即 第一 客户端与服务器需要就一组用于保护数据的算法达成一致 第二 它们需要确立一组由那些算法所使用的加密密钥 第三 握手还可以选择对客户端进行认证 SSL还包括以下内容 算法协商 身份验证 确定密钥 23 7 2安全套接层协议SSL 2 记录协议SSL记录协议定义了数据传送的格式 上层数据报文包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往传送 这样 应用层通过SSL协议把数据数据传送给传输层时 已经是被加密后的数据 此时 TCP IP协议只需负责将其可靠地传送到目的地 从而弥补了TCP IP协议安全性较差的弱点 更改密码说明协议 警告协议 应用数据协议 24 7 2安全套接层协议SSL 3 SSL安全协议工作流程SSL安全协议的工作流程如图7 6所示 25 7 2安全套接层协议SSL 7 2 3SSL安全协议应用1 基于SSL的安全电子邮件系统的应用 26 7 2安全套接层协议SSL 2 基于SSL安全协议电子支付的应用 27 7 3安全电子交易SET协议 7 3 1SET安全电子交易概述1 概述SET协议 SecureElectronicTransaction 安全电子交易 是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范 SET主要是为了解决用户 商家和银行之间通过信用卡支付的交易而设计的 以保证支付信息的机密 支付过程的完整 商户及持卡人的合法身份 以及可操作性 SET中的核心技术主要有公开密匙加密 电子数字签名 电子信封 电子安全证书等 SSL协议 SecureSocketLayer 安全套接层 是由网景 Netscape 公司推出的一种安全通信协议 它能够对信用卡和个人信息提供较强的保护 SSL是对计算机之间整个会话进行加密的协议 在SSL中 采用了公开密钥和私有密钥两种加密方法 28 7 3安全电子交易SET协议 2 SET交易的三个阶段SET安全电子交易协议分以下三个阶段进行 1 在购买请求阶段 用户与商家确定所用支付方式的细节 2 在支付的认定阶段 商家会与银行核实 随着交易的进展 商家将得到付款 3 在收款阶段 商家向银行出示所有交易的细节 然后 银行以适当的方式转移货款 如果不用借记卡 而直接支付现金 那么 商家在第二阶段完成以后的任何时间即可以供货支付 第三阶段将紧接着第二阶段进行 用户只是和第二阶段交易有关 银行与第二 第三阶段有关 而商家与三个阶段都要发生关系 29 7 3安全电子交易SET协议 3 SET提供的服务SET安全电子交易协议主要提供以下三个方面的服务 1 保证客户交易信息的保密性和完整性 SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名 使得商家看不到支付信息 只能接收用户的订单信息 而金融机构看不到交易内容 只能接收到用户支付信息和帐户信息 从而充分保证了消费者帐户和定购信息的安全性 2 确保商家和客户交易行为的不可否认性 SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性 采用的核心技术包括X 509电子证书标准 数字签名 报文摘要 双重签名等技术 3 确保商家和客户的合法性 SET协议使用数字证书对交易各方的合法性进行验证 通过数字证书的验证 可以确保交易中的商家和客户都是合法的 可信赖的 30 7 3安全电子交易SET协议 4 SET安全电子交易协议运行的目标SET安全电子交易协议主要运行目标有以下几个方面 1 保证信息在Internet上安全传输 防止数据被黑客或被内部人员窃取 2 保证电子商务参与者信息的相互隔离 客户的资料加密或打包后通过商家到达银行 但是商家不能看到客户的账户和密码信息 3 解决双方论证问题 不仅要对消费者的信用卡认证 而且要对在线商店的信誉程度认证 同时还有消费者 在线商店与银行间的认证 4 保证网上交易的实时性 使所有的支付过程都是在线的 5 效仿EDI贸易的形式 规范协议和消息格式 促使不同厂家开发的软件具有兼容性和互操作功能 并且可以运行在不同的硬件和操作系统平台上 31 7 3安全电子交易SET协议 5 SET安全电子交易协议的功能SET安全电子交易协议主要功能有以下几个方面 1 确保在支付系统中支付信息和订购信息的安全性 2 确保数据在传输过程中的完整性 即数据不被篡改 3 对持卡者身份合法性进行验证 4 对商家的身份合法性进行验证 5 提供最优的安全系统 以保护在电子交易中的合法用户 6 确保该标准不依赖于传输安全技术 也不限定任何安全技术的使用 使通过网络和相应的软件所进行的交互作业简便易行 32 7 3安全电子交易SET协议 6 SET安全电子交易协议的对象SET安全电子交易协议的主要对象有以下几个 1 消费者 2 在线商店 3 收单银行 4 发卡行 5 认证中心 6 支付网关 33 7 3安全电子交易SET协议 7 3 2SET安全电子交易协议工作原理 34 7 3安全电子交易SET协议 1 初始请求 1 消费者使用浏览器在商家的WEB主页上查看在线商品目录浏览商品 2 消费者选择要购买的商品 3 消费者填写定单 包括 项目列表 价格 总价 运费 搬运费 税费 定单可通过电子化方式从商家传过来 或由消费者的电子购物软件 wallet 建立 有些在线商场可以让消费者与商家协商物品的价格 例如出示自己是老客户的证明 或给出了竞争对手的价格信息 4 消费者选择付款方式 5 消费者发送给商家一个完整的定单及要求付款的指令 在SET中 定单和付款指令由消费者进行数字签名 同时利用双重签名技术保证商家看不到消费者的帐号信息 35 7 3安全电子交易SET协议 2 初始应答 1 商家接受定单后 向消费者的金融机构请求支付认可 2 通过支付网关到银行 再到发卡机构确认 批准交易 然后返回确认信息给商家 3 商家发送定单确认信息给顾客 顾客端软件可记录交易日志 以备将来查询 4 用商客的私钥对初始应答报文摘要进行数字签名 5 将商家证书 支付网关证书 初始应答报文摘要的数字签名等 发送给消费者 36 7 3安全电子交易SET协议 3 购物请求 1 消费者授受初始应答 验证商家和支付网关的证书 以确认它们的有效性 2 用商家公钥解开初始应答报文摘要的数字签名 得到初始应答报文摘要 3 检查商家传送过来的购买项目和价格正确无误 并确认商家的基本资料 向商家提出购物请求 37 7 3安全电子交易SET协议 4 网络商家发出支付授权请求 1 商家接受消费者的购物请求 验证消费者的数字证书 2 用商家的私钥解密订单信息 并进行双重签名比较 检查数据在传输过程中是否被篡改 3 产生支付授权请求 将支付授权请求用哈希算法生成报文摘要 并签名 形成密文和数字信封 4 将商家证书 支付请求密文 商家数字签名 数字信封等相关信息发往支付网关 38 7 3安全电子交易SET协议 5 支付网关发出支付授权请求 1 商家通过互联网送出的支付授权和消费者通过商家转发的付款指示密文等 在收单行的支付网关收到后 支付网关难商家证书 商家签名等信息 2 用私钥打开商家数字信封 获取商家对称密钥 解开支付授权请求密文等信息 3 支付网关验证消费者的证书 并用私钥解开消费者的相关信息 确认信息是否正确 4 验证来自商家的交易标识和来自消费者的付款的交易标识是否相匹配 5 通过银行专网 向消费者所属的发卡银行发送支付授权请求 39 7 3安全电子交易SET协议 6 发卡银行的支付授权应答 1 发卡银行检查消费者的信用卡是否有效 2 向支付网关发送支付授权应答 7 支付网关向商家发送支付授权应答支付网关产生支付授权应答信息 它包括发卡银行的响应信息和支付网关的签名证书等 并将其生成数字信封 作为支付授权应答信息发给商家 40 7 3安全电子交易SET协议 8 向消费者发送购物应答 1 商家验证支付网关证书 解密支付授权应答 验证支付网关的数字签名 用私钥打开数字信封 得到网关对称密钥 用此密钥解开支付授权应答 产生支付授权应答报文摘要 2 用网关公钥解开其数字签名 得到原始支付授权应答报文摘要 并与新产生的摘要比较 3 商家产生购物应答 对购物应答生成报文摘要 并签名 4 将商家证书 购物应答 数字签名一起发往消费者 9 消费者接收并处理应答 1 消费者收到购物应答后 验证商家证书 2 验证通过后 对购物应答产生报文摘要 用商家公钥解开数字签名 得到原始报文摘要 3 SET软件记录交易日志 以备后查 4 消费者等待商家发货 10 发送货物商家由物流公司发送货物或提供服务 并在适当的时候通知收单银行将钱从消费者的账号转移到商家的账号 或通知发卡银行请求支付 即实现支付获取 完成清算 41 7 3安全电子交易SET协议 7 3 3SET安全电子交易协议应用1 概述电子钱包是一个加密来存放电子现金的特定标准程序 加密密钥根据钱包的ID 用户的身份信息和用户的密码按一定的规则构成 其标准由权威公共机构根据电子钱包的功能需求 电子现金存放和使用的要求制定 42 7 3安全电子交易SET协议 1 对持卡人来说 交易前需要下载安装电子钱包软件 简便性不够 2 电子钱包集成的功能较多 软件较大 对非PC设备的应用有很大的局限性 3 数字证书等重要信息存放在个人计算机上 容易引发安全隐患 4 处理支付流和交换数据对网速要求较高 不适于SET协议应用的扩展 43 7 3安全电子交易SET协议 2 电子钱包的优化策略电子钱包的优化策略体系结构如图7 10所示 44 7 3安全电子交易SET协议 3 基于SET协议的电子钱包的模型基于SET协议的电