电子支付与网络银行第六讲_电子支付体系安全策略教材教学课件.ppt

电子支付与网络银行;;一、信息安全概述;二、安全风险分析与评估 ;;;;;四、常用技术手段 ;;;;;;;;;;认证技术： PKI：公开密钥基础设施 PKI具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分 ;;;;;;;;;安全协议SSL、SET、3D;;;（2）SET安全协议 SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。 ;;. SET安全协议涉及的所涉及的对象： 1)消费者 2)在线商店 3)收单银行 4)电子货币 5)认证中心（CA）;;;;SET协议的缺陷 （1）协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。 （2）协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是由签署证书的消费者发出的。 （3）协议提供了多层次的安全保障，但显著增加了复杂程度，因而变得昂贵，互操作性差，实施起来有一定难度。 （4）SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。 ;;持卡人;（1）持卡人登陆商户网站，浏览商品，输入口令及卡号，输入订购信息及支付信息。 （2）商户软件插件通过VISA的目录服务器检查卡号所示的发卡机构是否参与了3D安全协议。 （3）VISA目录服务器将卡号传送给发卡机构的访问控制服务器，通过发卡机构检查认证该卡是否已参与3D安全协议。 （4）发卡机构的ACS确认该卡是否已参与3D安全协议。 （5）VISA目录服务器将发卡机构的ACS的地址告知商户插件。 （6）商户插件将持卡人浏览器定位到ACS，同时附上交易信息待持卡人进一步确认。 （7）发卡机构的ACS要求持卡人输入用户名和密码。 （8）持卡人向发卡机构中输入用户名和密码。 （9）发卡方的ACS验证密码，产生回应信息，然后将客户重新定位向商户插件；与此同时将有关信息发送给VISA的历史验证服务器。 （10）商户将交易信息提交给收单机构。 （11）收单机构向发卡机构要求授权。 （12）发卡机构通过VISANET向收单机构发送授权（这里的交易流与传统刷卡交易一样）。 （13）收单机构将交易回???信息返回到商户。 （14）商户确认交易并向持卡人提供收据。 ;;