基于ssl安全协议机制的信用卡网络支付..docVIP

在基于SSL安全协议机制的信用卡网络支付 单向认证：又称匿名SSL连接，是SSL安全连接的最基本模式。它便于使用，主要的浏览器都支持这种方式，适合单向数据安全传输应用。在这种模式下客户端没有数字证书，只是服务器端具有证书，认证用户访问的是自己要访问的站点。典型的应用是用户进行网站注册时采用ID＋口令的匿名认证，即过去网上银行所谓的“大众版”。该方式在互联网上极易被黑客用木马程序所窃取。近几年网上银行出现的许多安全问题，都是由于黑客十分了解ID＋口令的脆弱性和易攻破性。他们采用木马程序、“网上钓鱼”等手段窃取用户的网上身份。双向认证：是对等的安全认证，通信双方都必须安装数字证书，他们可以发起和接收SSL连接请求。通信双方可以利用安全应用程序（控键）或安全代理软件，来完成双方对等的安全认证。前者一般适合于B/S结构，而后者适用于C/S结构。安全代理相当于一个加密/解密的网关，这种模式双方皆需安装证书，进行双向认证。在此要强调的证书介质一定要安装在USB-KEY安全智能介质中，不能以“文件证书”存放。1. SSL协议在网上银行的应用网上银行是借助于互联网数字通信技术，向客户提供金融信息发布和金融交易服务的电子银行，它是传统银行业务在互联网上的延伸，是一种电子虚拟世界的银行。网上银行业务和运营模式与传统银行运营模式有很大区别，其服务对象和业务范围涵盖了银行的所有对公业务（B2B）和对私业务（B） 。此外，它还利用互联网的特点对传统银行业务有所创新。网上银行基于互联网，采用SSL协议将客户与银行连接起来，实现客户端与网银服务器网关的端对端的连接。按上述SSL握手协议和记录协议的原理，客户与网上银行之间形成一个安全管道，进行客户与网银之间的证书交换，交易数据的加密，实现身份认证与交易的数字的签名。数字证书是可信的、权威的第三方认证机构CA所签发，它是网上身份、虚拟世界身份的证明。证书的存放介质一定要采用USB-KEY，它是一种CPU智能卡，内存密码算法、公钥证书及其对应的私钥，其内容不可拷贝。但是，存放在硬盘中的“文件证书”存在被黑客攻击的风险。首先，利用它实现网上身份认证，根据交易的模式B2B或B进行单向或双向认证。认证时，客户端与服务器端由安全应用软件，按需求分别向第三方认证机构 CA的目录服务器，利用LDAP轻型查询协议去查询证书的有效期或黑名单CRL，以证明双方身份的真实性，即完成网上身份的识别与鉴别。其次，利用数字证书完成网上交易数据的加密传输与数字签名。网上交易数据要经过客户与银行的双方数字签名，才能达到交易的不可否认性，符合《电子签名法》的要求。数据电文一旦签名，即不可改动，如果被改变，则可被发现。数字签名的验签是接收方利用发放的公钥，解密用其私钥加密的交易数据电文的杂凑值；然后，收方再利用同样的杂凑算法，对交易原数据作杂凑运算，得出一个新的杂凑值。二杂凑值作比较运算，比较结果相等，证明签字是可靠的，验证通过。2.SSL协议在电子商务中的应用国家发展和改革委员会、国务院信息化工作办公室联合发布了我国首部《电子商务发展“十一五”规划》。《规划》明确提出了“十一五”时期我国电子商务发展的总体目标：到2010年，电子商务发展环境、支撑体系、技术服务和推广应用协调发展的格局基本形成。《规划》强调着力完善电子商务支撑环境。支撑环境包括电子安全认证、在线支付、现代物流、信用服务和标准规范体系。电子商务与网上银行交易不同，其参加角色包含商户，形成客户-商家-支付平台-银行，需要多次点对点的SSL连接。客户、商家、银行与支付平台都必须安装数字证书，需要多次点对点的双向认证，最后完成身份认证和交易支付。电子商务应用如图3所示，为了支付的安全性，客户、商家、银行与支付平台都必须具有数字证书。其支付流程是：当客户购物时，可先登录商家网站，通过SSL建立点对点的连接，客户浏览商品并下定单；商家将支付信息转发至第三方支付平台，经平台识别后，转发至相应客户的开户银行，这其中也是通过SSL建立起端对端的连接；银行的网关在接受平台转来的客户付款信息后，进行通信格式转换，传向银行后台核心业务系统进行授权；当授权成功后，即银行将客户买东西的金额，从客户的账号划入商家的账号。并回答平台授权完成，平台同时回答商家扣款成功的信息，商家回答客户交易成功。在这个交易过程中，基于Internet的SSL协议起到了点对点的安全连接作用。交易中的身份认证和交易授权的数字签名，与上述网上银行原理基本相同，在此不再赘述。