电子支付安全协议.ppt

【导入案例】 支付协议的作用 电子商务网站多如牛毛，电子支付手段也不止一种。张明同学在当当网购买一本《电子商务》，张明同学选择好图书并下了订单后，卖主会用一份自己证书的副本作为给顾客的答复。张明同学证实卖主的身份后，用对称密钥加密订单，并用卖主的公钥加密这把对称密钥。张明同学利用中国建设银行龙卡进行网上实时支付，卖主使用自己的私钥解密对称密钥，然后解密订单，它将结算信息连同订单副本一齐转发给银行，因为它要依赖银行对交易进行认可。银行证实卖主的身份和消息的完整性，银行打开结算信息，证实结算的金额是这笔交易的金额，是付给这个卖主的。银行还要检查张明同学的信用额度，保证交易可以进行，并准许卖主将交易进行下去。卖主然后将张明同学订购的图书邮寄给他。 在这一电子交易的过程中，如何确保张明同学付款资料的隐密性及完整性？对持卡人、特约商店、收单银行怎么认证，如何保证电子交易的安全？ 不同厂商开发的应用程序、不同的银行卡在现存各种标准下应构建什么协定，允许在任何软硬件平台上执行，使标准达到相容性与接受性目标？ ??本章介绍的电子支付安全协议就可以解决上述问题。 1.2 HTTP协议简介 【实例链接8.1】 什么是http？ 当我们想浏览一个网站的时候，只要在浏览器的地址栏里输入网站的地址就可以了，例如我们要登陆百度网站，只需输入：，但是在浏览器的地址栏里面出现的却是：/，你知道为什么会多出一个“http”吗？ 1. HTTP协议 在认识HTTP之前，有必要先弄清楚URL的组成，例如：/china/index.htm。它的含义如下： （1）http://：代表超文本传输协议，通知服务器显示Web页，通常不用输入； （2）www：代表一个Web（万维网）服务器； （3）M/：这是装有网页的服务器的域名，或站点服务器的名称； （4）China/：为该服务器上的子目录，就好像我们的文件夹； （5）Index.htm：index.htm是文件夹中的一个HTML文件（网页）。 2. HTTP协议工作原理 由于HTTP协议是基于请求/响应范式的（相当于客户机/服务器）。一个客户机与服务器建立连接后，发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。 1.SSL协议构成 （1）SSL修改密文协议。SSL修改密文协议是使用SSL记录协议服务的SSL高层协议的3个特定协议之一，也是其中最简单的一个。协议由单个消息组成，该消息只包含一个值为1的单个字节。 （2）SSL报警协议。SSL报警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常，就需要给对方发送一条警示消息通告。 （3）SSL握手协议。SSL握手协议允许通信实体在交换应用数据之前协商密钥的算法、加密密钥和对客户端进行认证（可选）的协议，为下一步记录协议要使用的密钥信息进行协商，使客户端和服务器建立并保持安全通信的状态信息。SSL握手协议是在任何应用程序数据传输之前使用的。 （4）SSL记录协议。在SSL协议中，所有的传输数据都被封装在记录中。记录是由记录头和长度不为0的记录数据组成的。所有的SSL通信（包括握手消息、安全空白记录和应用数据）都使用SSL记录层。SSL记录协议包括了记录头和记录数据格式的规定。 握手协议 修改密文协议 报警协议 ??????? SSL记录协议 ?????????? TCP ?????????? IP 3.1 SET协议的目标和特点 1.SET协议的目标 SET协议要达到的的目标主要有五个： （1）保证电子商务参与者信息的相互隔离，客户的资料加密或打包后经过商家到达银行，但是商家不能看到客户的账户和密码信息； （2）保证信息在Internet上安全传输，防止数据被第三方窃取； （3）解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证； （4）保证了网上交易的实时性，使所有的支付过程都是在线的； （5）规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。 在认证操作和支付操作中间一般会有一个时间间隔，例如，在每天的下班前请求银行结一天的账。前两步与SET无关，从第③步开始SET起作用，一直到第⑦步。 一个完整的SET支付流程如下图所示。 【实例链接8.2】 SET协议的扩展 （1）商家初始授权扩展（The Merchant Initiated Auth