网络安全导论 实验 第16章 安全电子支付 实验汇报

信息安全实训答辩PraticalTrainingDefense目录CONTENTS

第十六章安全电子支付

实验16A安全网络支付实验16B网上银行在线支付安全性分析01.安全网络支付SET协议(SecureElectronicTransaction，安全电子交易)是由VISA和MasterCard两大信用卡公司联合推出的规范它采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。SET协议涉及的当事人包括持卡人、发卡机构、商家、银行以及支付网关。SET协议提供了消费者、商家和银行之间的认证，确保了交易数据的机密性、真实性、完整性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家，因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。了解SET协议SET协议中的角色：持卡人：在电子商务环境中，消费者和团体购买者通过计算机与商家交流，持卡人通过由发卡机构颁发的付款卡(例如信用卡、借记卡)进行结算。在持卡人和商家的会话中，SET可以保证持卡人的个人帐号信息不被泄漏。发卡机构：它是一个金融机构，为每一个建立了帐户的顾客颁发付款卡，发卡机构根据不同品牌卡的规定和政策，保证对每一笔认证交易的付款。商家：提供商品或服务，使用SET，就可以保证持卡人个人信息的安全。接受卡支付的商家必须和银行有关系。银行：在线交易的商家在银行开立帐号，并且处理支付卡的认证和支付。支付网关：是由银行操作的，将Internet上的传输数据转换为金融机构内部数据的设备，或由指派的第三方处理商家支付信息和顾客的支付指令。SET协议的主要目标1.信息在Internet上的安全传输，保证网上传输的数据不被黑客窃听；2.订单信息和个人账号信息的隔离，在将包括消费者账号信息的订单送到商家时，商家只能看到订货信息，而看不到消费者的账户信息；3.消费者和商家的相互认证，以确定通信双方的身份，一般由第三方机构负责为在线通信双方提供信用担保；4.要求软件遵循相同的协议和消息格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。SET是一个基于可信的第三方认证中心的方案，保证了电子交易的机密性、数据完整性、身份的合法性和不可否认性。SET交易过程中要对商家，客户，支付网关等交易各方进行身份认证，因此它的交易过程相对复杂。(1)客户在网上商店看中商品后，和商家进行磋商，然后发出请求购买信息。(2)商家要求客户用电子钱包付款。(3)电子钱包提示客户输入口令后与商家交换握手信息，确认商家和客户两端均合法。(4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。(5)商家将含有客户支付指令的信息发送给支付网关。(6)支付网关在确认客户信用卡信息之后，向商家发送一个授权响应的报文。(7)商家向客户的电子钱包发送一个确认信息。(8)将款项从客户帐号转到商家帐号，然后向顾客送货，交易结束。从上面的交易流程可以看出，SET交易过程十分复杂性，在完成一次SET协议交易过程中，需验证电子证书9次，验证数字签名6次，传递证书7次，进行签名5次，4次对称加密和非对称加密。通常完成一个SET协议交易过程大约要花费1.5－2分钟甚至更长时间。由于各地网络设施良莠不齐，因此，完成一个SET协议的交易过程可能需要耗费更长的时间。SET进行安全电子支付的支付流程SSL：安全套接层协议（SSL协议：SecureSocketLayer)是由网景（Netscape）公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于NetscapeCommunicator和MicrosoftIE浏览器，用以完成需要的安全交易操作。在SSL中，采用了公开密钥和私有密钥两种加密方法。了解SSL协议用户接口：SSL协议已被浏览器和Web服务器内置，不需要安装专门软件；SET协议中客户端需安装专门的电子钱包软件，在商家服务器和银行网络上也需安装相应的软件。处理速度：SET协议非常复杂，处理速度慢；而SSL协议则简单得多，处理速度比SET协议快。认证要求：在安全性方面，SET协议规范了整个商务活动的流程，从持卡人到商家，到支付网关，到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准，从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。安全性：SET协议的安全性远比SSL协议高。SET协议采用了公钥加密、信息摘要和数字签名技术可以确保信息的保密性、可鉴别性、完整性和不可否认性，商家只能看到持卡人的订购数据，而银行只能取得持卡人的信体系，不能提供完备的防抵赖功能。应用领域方面：SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全，因此如果电子商务应用只是通过Web或是电子邮件，则可以不要SET。但如果电子商务应用是一个涉及多方交易的过程，则使用SET更安全、更通用些。协议层次和功能：SSL协议属于传输层的安全技术规范，不具备电子商务的商务性、协调性和集成性功能；而SET协议位于应用层，它不仅规范了整个商务活动的流程，而且制定了严格的加密和认证标准，具备商务性、协调性和集成性功能。用卡信息；而SSL协议虽也采用了公钥加密、信息摘要和MAC检测技术，但缺乏一套完整的认证SSL协议与SET协议差别支付过程：1.商户app下订单，商户服务器接收到订单返回订单信息给商户app2.商户app确认支付sdk调起支付宝app,将订单信息提交到支付宝服务器，支付宝服务器进行签名将信息返回给支付宝app，支付宝app将结果通知给商户app大体结构图:支付宝的支付原理详细结构图：支付宝安全性是非常高的。因为支付宝是网上交易安全的支付工具，通过以下技术与制度确保支付宝账户的安全：第一、支付宝账户采用了先进的128位SSL加密技术（参照国内银行网站的普遍做法），确保您在支付宝页面上输入的任何信息可以安全传送到支付宝，而不用担心有人会通过网络窃取您的敏感信息。第二、支付宝账户有两个密码，一个是登录密码，用于登录账户，查看账目等一般性操作；另一个是支付密码，凡是牵涉到资金流转的过程，都需要使用支付密码。缺少任何一个密码，都不能使资金发生流转。同时，同一天内系统只允许密码输入出错两次，第三次密码输入出错，系统将自动锁定该账户，三个小时后才会自动解除锁定。第三、支付宝账户提现时，系统将检查您登记的银行账户姓名是否与您的认证姓名一致，否则不予提现。第四、作为协议的一部分，支付宝账户中的资金将不会用于您指定的用途以外的任何用途。支付宝的安全措施如绑定手机短信、动态口令（防止穷举破解）、安全控件（SSL）、短信校验服务、数字证书（网上身份确认）、第三方证书、支付盾（硬件加密技术）、宝令、宝令手机版、安全保护问题、安全策略、手机安全设置、赔付机制、安全监控等支付宝的安全性动态口令卡就是在网上银行办理转账、汇款、支付等需要从账户中转出资金时进行用户身份验证的一种工具。卡上有横纵坐标，对应的有数字，根据银行页面反馈的坐标，输入相应的数字就可以通过验证了。动态口令是根据特定算法生成不可预测的随机数字组合，每个口令只能使用一次。动态口令认证技术被认为是能够最有效解决用户的身份认证方式之一。U盾是网银安全的卫士。它的外形酷似U盘，像一面盾牌，时刻保护着网上银行资金安全。U盾采用高强度信息加密，数字认证和数字签名技术，具有不可复制性，可以有效防范支付风险，确保客户网上支付资金安全，使用方便。动态口令卡和U盾02.网上银行在线支付安全性分析简单的网上购物车程序使用MD5withRSA算法进行签名，然后进行base64转码微信支付分很多种不同场景支付方式，每种支付方式传的参数是不完全一致的，有App支付，H5支付，JsAPI支付，小程序支付，人脸支付，付款码支付，Native支付。调用接口都是一个：///<summary>///统一支付接口///</summary>conststringUnifiedPayUrl="/pay/unifiedorder";谢谢观赏THANKYOU16A安全网络支付1．了解国内各金融机构的网上支付方案及安全措施。2．熟悉申请网上银行金融交易服务流程，了解网络购物常用的支付方式。3．掌握基于SET协议的网上支付过程。4．熟悉电子商务网站设计中在线支付模块的实现方法。实验目的1.熟悉利用SET进行安全电子支付的支付流程2.熟悉SSL协议，并注意与SET协议的区别3.中国银行的电子钱包完全符合SET标准，可在Windows操作系统上运行实验准备16A安全网络支付SET协议采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。SET协议涉及的当事人包括持卡人、发卡机构、商家、银行以及支付网关。提供消费者、商家和银行之间的认证，确保交易数据的机密性、真实性、完整性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家，因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。SET是一个基于可信的第三方认证中心的方案，保证了电子交易的机密性、数据完整性、身份的合法性和不可否认性。SSL协议安全套接层协议，一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。采用了公开密钥和私有密钥两种加密方法。能够对信用卡和个人信息提供较强的保护。SSL被用于NetscapeCommunicator和MicrosoftIE浏览器，用以完成需要的安全交易操作。SSL协议属于传输层的安全技术规范，不具备电子商务的商务性、协调性和集成性功能。用户接口处理速度认证要求安全性应用领域协议层次和功能客户端需安装电子钱包软件，在商家服务器和银行网络上也需安装相应的软件已被浏览器和Web服务器内置，不需要安装专门软件协议非常复杂，处理速度慢；协议规范了整个商务活动的流程，制定了严密的加密以及认证标准，从而最大限度地保证了商务性、服务性、协调性和集成性安全性远比SSL协议高，采用了公钥加密、信息摘要和数字签名技术可以确保信息的保密性、可鉴别性、完整性和不可否认性为信用卡交易提供安全，如果电子商务应用是一个涉及多方交易的过程，则使用SET更安全、更通用些。位于应用层，它不仅规范了整个商务活动的流程，而且制定了严格的加密和认证标准，具备商务性、协调性和集成性功能简单得多，处理速度比SET协议快只对持卡人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。主要是和Web应用一起工作SSL协议属于传输层的安全技术规范，不具备电子商务的商务性、协调性和集成性功能；也采用了公钥加密、信息摘要和MAC检测技术，但缺乏一套完整的认证16A安全网络支付

支付宝支付原理支付流程图详细结构图支付宝的安全措施如绑定手机短信、动态口令（防止穷举破解）、安全控件（SSL）、短信校验服务、数字证书（网上身份确认）、第三方证书、支付盾（硬件加密技术）、宝令、宝令手机版、安全保护问题、安全策略、手机安全设置、赔付机制、安全监控等16B网上银行在线支付安全性分析1.熟悉网上银行在线支付流程。2.掌握网上银行安全支付的相关措施、技术和协议。3.熟悉在线支付各接口，能根据接口规范进行相关开发。实验目的中国工商银行网上银行C2C在线支付流程支付宝的安全支付措施实验准备16B网上银行在线支付安全性分析简易的网上购物车程序（在线选取货物）运行结果（形成相关订单）运行结果16B网上银行在线支付安全性分析根据订单中各数据项，使用&符进行连接成签名明文串（各字段顺序固定；每个数据项由变量名称加等号加变量值组成；如果变量值为空仍需保留字段位置），然后使用M