支付安全协议

电子付款安全协议、学习点：SSL协议进程和应用程序SET协议进程和应用程序SSL协议和SET协议的优缺点，计算机系统的安全措施从层次和内容上可以分为安全立法、安全管理和安全技术三个级别。为了维护电子商务活动的安全性，必须保证一套有效的安全机制，这就需要建立电子商务的安全体系结构基础设施。电子商务的安全控制体系结构是确保电子商务中数据安全的完整逻辑结构。由五部分组成。如图8-1所示。8.1安全协议概述，图8-1电子商务安全技术体系结构，打开说明，网络层为TCP/IP的internet或IP层。IP地址是TCP/IP网络中唯一标识主机的32位地址。TCP仅负责将信息截断为数据包。如果TCP重新传输丢失，则TCP/IP完全不安全。为了确保所有IP网络中的安全个人通信，必须设置开放式标准网络安全协议IP security(IPSec)集，以集成各种标准和供应商产品。在网络层应用密码技术，以提供传输、接收端的数据身份验证、完整性、访问控制和机密性等安全服务。早期电子交易中应用了一些简单的安全措施，如“部分通知”和“进一步确认”，实现真正的安全可靠性的工作既麻烦又难操作。近年来，IT行业与金融业合作，推出了安全超文本传输协议(s-http)、安全套接字层协议(SSL)、安全交易技术协议、安全电子交易协议(set)其中，SSL协议和SET协议是两种常用协议。Netscape在推出web浏览器第一版时提出了安全通信协议安全套接字层(SSL)，这是因为有时在web上传输重要或重要的数据。SSL协议基于TCP/IP协议，在应用层协议(例如HTTP、Telnet、FTP)和TCP/IP之间提供数据安全性。SSL协议层由两个子层组成：SSL日志记录协议和SSL握手协议。8.2安全套接字层协议SSL，8.2.1SSL协议概述，SSL协议主要用于提高应用程序间数据的安全性。SSL使用TCP作为传输协议，提供可靠的数据传输和接收。SSL在套接字层上工作。SSL与TCP层类似，使用两种加密机制(公钥和私钥)为web服务器和客户端的通信提供机密性、数据完整性和身份验证。SSL的握手协议，是客户端和服务器之间交换消息增强安全性的协议。SSL握手协议包括建立隐私通信信道的第一阶段和客户验证的第二阶段。第一步是通信的初始化阶段，要使用SSL，必须向服务器提供证书。步骤2的主要任务是认证客户。此时服务器已经过身份验证。实际上，SSL协议本身也是包含消息子层的分层协议，以及承载消息的记录子层。SSL日志记录协议首先根据特定原则(如最佳性能原则)将消息数据分成一定长度的片段。然后执行消息摘要和MAC计算以获得MAC值。然后加密这些碎片计算。最后，将加密片段与MAC值相关联，以计算其长度，显示记录标头，然后将其发送到传输层。这是记录层在典型消息数据到达后执行的任务。消息子层是应用程序层和SSL记录层之间的接口，可视为整个SSL层的核心，用于在应用程序层和SSL记录层之间标识和传输数据，或处理握手信息和预警信息的逻辑。SSL提供的服务可概括为以下三个方面：(一)用户和服务器的合法性认证；(2)加密数据以隐藏传输的数据。(3)保持数据的完整性。安全套接字层协议是确保计算机通信安全的协议，可以保护通信对话过程的安全。1 .运行SSL安全协议的步骤包括步骤6:连接步骤。密码交换阶段；会谈密码阶段；检查阶段；客户认证阶段；收尾阶段。8.2.2SSL协议流。完成此操作后，两个数据传输将指定密码，等待从另一侧接收数据，然后还原编码的数据。在电子商务交易过程中，SSL的工作流如图8-2所示。2 .SSL应用程序完整的SSL事务处理进程。SSL安全协议是第一个用于电子商务的国际网络安全协议，现在很多网络商店都在使用。SSL提供的机密连接有很大的漏洞。SSL位于TCP层之上，独立于直接构建在SSL上的应用程序层，位于应用程序层之下。1996年1月，VISA和MasterCard共同启动了安全电子交易(SET)协议的开发、测试和实施，1997年5月公布了正式的1.0版标准。SET主要使用RSA和DES算法的电子身份验证技术。安全电子交易规范是由信用卡发行公司参与制定的，因此一般认为安全电子交易规范的认证系统有效。8.3SET协议，这是比SSL协议更大的SET协议。其特点是在网络上安全地传输信息，并确保在线上传输的数据不会被黑客窃听。隔离订单信息和个人帐户信息。持卡人和商家通过相互认证，了解通信当事人的身份。通常，向在线运营商双方提供信用担保的责任由第三方机构解决多个认证问题。8.3.1。设置协议的特点，在线交易的实时保证。确保所有支付流程在线进行。软件必须遵循相同的协议和消息格式，由不同供应商开发的软件具有兼容性和互操作性，并且可以在不同的硬件和操作系统平台上运行。1 .设定合约规格的对象：(1)消费者；(2)网上商店；(三)收单方银行；(四)电子货币发行公司和电子货币发行银行；(5)认证中心(CA)。负责对交易对象的身份确认，制造商的信誉和消费者的支付手段认证等。与8.3.2.SET安全协议相关的对象和技术范围，2 .SET协议规范的技术范围(1)加密算法(例如RSA和des)的应用；(二)证书信息和对象格式；(三)采购信息和对象格式；(四)承认信息和对象格式；(五)调整信息和对象格式；(6)对话实体之间的消息传输协议。设置协议的工作流分为以下7个阶段：消费者在网上搜索要购买的商品，通过电脑输入订单。通过电子商务服务器联系相应的网上商店，回复网上商店确认订单条件的正确性。消费者选择付款方法，确认订单，发放付款指示。消费者在数字签署订货单和支付指示的同时，利用双重签名技术，使商家看不到消费者的账户信息。8.3.3.SET安全合同的工作方式，网上商店收到订单后，请求消费者所在银行批准。网上商店向消费者发送订单确认信息。网上商店发送货物或提供服务，向收单方银行通知转账通知签发银行付款。认证作业和支付作业之间经常有一定的间隔。例如，每天下班前请银行结算一天。前两个阶段与设定无关，从步骤到设定功能，步骤继续。整个SET支付流程如下图所示。打开备忘录，合同没有表明收单方银行在向网上商店付款之前是否需要取得消费者的商品接受证明。网上商店提供商品如果不符合质量标准，消费者会提出怀疑，责任由谁来承担。合同不保证“不是拒绝”。这意味着，在网上商店，没有方法证明订单是由签署证书的消费者完成的。SET技术规范没有提到事务完成后如何安全地存储或销毁此类数据，此类数据以后可能受到潜在攻击。8.3.4.SET安全协议的缺点SET协议太复杂，使用麻烦，成本高，数据处理时间相对长，仅适用于客户有wallet的情况。SET的证书格式还符合X.509标准，但主要由Visa和MasterCard开发并以信用卡付款方式定义，因此SET主要支持信用卡付款业务，其他付款方式存在限制。在SET协议中，用户帐户没有以明文方式传递，通常使用1024位RSA非对称密钥加密，但实际应用中，大部分业务已收到持卡人的帐户，因此用户帐户泄漏问题仍然存在。实际上，SET和SSL在其他技术方面没有相似之处，只是它们都使用RSA公钥算法。RSA还用于实现两个安全目标。SET是定义银行、企业、持卡人之间所需消息规格的多方面消息协议。同时，SSL只是在两者之间建立安全连接。SSL是面向连接的，SET表明双方之间的消息交换不是实时的。SET消息可以在银行intranet或其它网络上发送，但是SSL以上的卡付款系统仅与web浏览器绑定。8.3.5.SSL与SET协议比较，SET与SSL相比具有以下优点：(1)SET提供了保护商家免受欺诈和降低运营成本的手段。(2)对于消费者，SET保证商人的合法性，防止用户的信用卡号码被盗用。(3)对于银行、发卡机构和各种信用卡组织，SET将业务扩展到互联网，从而降低信用卡在线支付的欺诈概率，比其他支付方法更具竞争力。(4)SET为交易相关人员定义了互操作性接口，允许他们使用各种供应商的产品构建系统。Digicash是匿名数字现金协议，其步骤如下：消费者从银行取钱，他就收到了可以变成钱的加密数码现金(Token)。消费者加密了这个代币，仍然可以让商家检查其有效性，但再也不能追踪消费者的身份了。消费者使用这个代币购买或购买服务时，为了将这个代币纳入企业身份，而改变了这个代币。8.4其他电子商务合同，8.4.1。digicash，运营商将检查此token，以确保此token以前没有收到此Token。商人向消费者发货。企业把电子Token送到银行。银行检查了这个Token的唯一性，对消费者的身份保密。除非银行表明该Token是消费者重复使用的，否则消费者的身份将暴露，消费者的士气将暴露。如果阶段发生通信故障，消费者无法判断是否真的收到了相应的电子Token。此时，消费者有两种选择：将电子Token返还给银行，或在其他商家消费。如果消费者这样做了，并且在步骤3中实际收到了Token，那么，当商人去银行兑现Token时，就会发现该Token的重复使用。如果消费者没有采取措施，消费者这样做了，如果在第3阶段实际上没有收到相应的Token，商家当然不会出货。这样的话，消费者连购买的东西都收不到，没有使用那个电子货币，购物行为就会失败。使用FirstVirtual，客户可以自由购买产品；使用E-mail，FirstVirtual可以查看客户和每个交易。FirstVirtual对通信安全表示怀疑，采用某种加密形式，并将每个电子商务事务转换为信用卡事务。FirstVirtual比Digicash好一点，但比其他电子商务系统差一点。8.4.2.FirstVirtual和Netbill协议针对的是客户、业务和Netbill服务器。客户拥有的Netbill帐户与虚拟电子信用卡帐户相同。合同步骤如下：顾客就商品价格向商家咨询。商人向顾客报价。顾客告诉商家他是否接受那个报价，如果接受，就进入下一