关于第三方支付安全性地调查分析.doc

关于第三方支付安全性的调查分析 1、相关定义 1.1、Web视频下PPV协议的概念 他们收看的节目付费。 协议,是一种即看即付协议,在这种协议下,用户只 PPV协议的思想是将要支付的现金分成若干单位, 用户根据收到的信息商品逐个单位释放支付信息,将用户和商家的风险都降为一 个可容忍的单位。 3.1.2叭/eb视频下PPV协议的计费模型 Web浏览器 http浏览与节日选择 服务预约与请求 S逐单位提供视频流 丫Veb 视频服务器 用户逐单位提供支付证据 公开网络 兑现 结算 银行 信息商品经济方 图3一1 PPV服务模型 视频支付协议的设计与分析 北京邮电大学硕士学位论文 第巧页共72页 PPV服务系统主要涉及服务提供者S、用户C和经纪者B。服务提供者S 和用户C在经纪者B处都维持一帐户,这些帐户和常规的银行帐户相联系,当 用户收看了收费节目时,他的帐户将被扣除适当的量,同时S的帐户将存入适当 的量。用户的帐户可以从银行补充资金,同时S帐户里的奖金可以存入银行。 服务提供者在网上公布视频节目目录,其中包括每个节目的收费单位L(1min, smin,1 Omin等)和价格P以及每个节目包含的收费单位数m。用户通过wEB浏 览器选择要看的节目,并进行预约,然后用户和服务提供者执行一视频服务的请 求协议,通过协议的执行用户向服务提供者做支付承诺,服务提供者给用户解密 加密视频流密钥,同时实现了服务提供者和用户的相互认证。其后用户根据他要 看的视频流单位数不断向S提供它能够进行公平记帐的证据,S最后利用这些证 据与B兑现支付。 PPv协议采用HAsH链技术[33],主要是用作口令认证。其基本思想是用户随 机选择一个种子n,分别计算其单向HAsH值h(n),h(n), h功(n),发给远程服务 器消息h(n),{h’(n)}sx。,用户将依次向服务器出示h一(n), ,h(n),n,可证明自 己m次。这主要是基于单向HAsH函数从h(n)计算h+’(n)容易,但从h+’(n)推出 hi(n)困难。其中h(n)叫HAsH链的根。后来一些学者应用它构造微支付协议[34]、 数据流签名协议[35],这些协议都采用单HAsH链技术,示证者和验证者必须有精确 的同步,如果失去同步,一条新HASH链和它的数字签名必须被重新计算,这对 于口令认证显然是不方便的。对于PPV服务,想用HASH链值作为用户的支付依 据,因为节目价格和长度不一样,所以用一条HASH链作所有收看节目的支付依 据是不方便的。为了解决这个问题,一般推广签单HASH链到签多HASH链,让 用户c选择。个种子八,认, ,戈,计算f(b,),f’(瓦), ,f(瓦)(f(x)表示消息x 的单向HAsH值),而且对由这个式子算出的 HAsH值h汀(八),fn仇), ,fn(互,》签 名,因为每个f(乓),。之k之1能做m次不可否认链接,所以利用多HASH链签 名能做nm次不可否认链接。 PPV服务协议如下: (1)注册假定有一个视频服务提供者S提供WEB上的PPV服务,一个客户C 想从S得到服务,他首先必须在一C和S都信任的经纪B处申请一帐户和一用 HAsH链做支付的证书,用户c通过一安全的认证信道发给B:资金转移授权书 (从银行到经纪B处),公钥Px。,服务传送地址儿。他的服务费用将从他的帐 视频支付协议的设计与分析 )些鲤些竺l些全些上一~一一一-公一一.粤二哩些一 户上扣除,且这一证书仅授权用户对传送到Ac的视频流做支付[36]。证书包含经 纪名B、用户名c及IP地址Ac、用户公钥尺c及生存期E和别的附加信息I。。证 书必须由经纪B按期更新(每月或年),更新的条件是用户的帐户可以支付,而且 用户的公钥证书没有过期。证书的形式为Certi二{B,C,凡,尺。,EI。}:KB (2)服务预约协议 Messagel:C峥S: Certi,S汽,君,几,fm(八),气,月,几,fm(乓), ,几;,只,Ln,f”(bn),T {h(Certi,S,几,,君,几,fm(阮),几:,只,几,f”(乓),一几。,只,几,f”(氏),T)}:。 MessageZ:S峥C: {h(Certi,S,几.,君,L;,fm(八),几2,凡,几,fm(乓),一I、,,,只,Ln,f”(互,),T)}、* 在上述协议中,几,用来标识要观看的第i个节目,君是节目的价格,吞是计 费单位也就是释放HASH值的时间间隔,T是时戳。在消息1中,用户C向服务 提供者S发送它的证书及n条HASH链的根,每一个根和一选定的节目相联系。 并对这。个根及其所对应节目和价格签名。其中m,, ,m。根据用户选择节目所包 含的计费单位数而定。这一消息提供了用户准备使用PPV视频服务,并用HASH 链做支付依据的不可否认证据。消息中含有