在线支付系统简介.pptx

3.3 在线支付系统;3.3.1 SSL—提供网上购物安全的协议 3.3.2 SET—提供安全的电子商务数据交换 3.3.3 SET与SSL对比及SET的缺陷;SSL—提供网上购物安全的协议;HTTP;SSL协议中使用了许多加密解密技术、信息摘要技术和数字签名与认证技术 SSL依靠证书来验证通信双方的身份 SSL提供的安全内容 (1)SSL把客户机和服务器之间的所有通信都进行加密，保证了机密性 (2)SSL提供完整性检验，可防止数据在通信过程中被改动 (3)SSL提供认证性，使用数字证书识别对方;SSL先进行“握手”以保证以后的通信按预定步骤进行 1. SSL记录协议：定义了信息交换中所有数据项的格式，MAC用于信息的完整性，信息内容是应用层传来的数据，附加数据是加密后的附加信息;2.SSL更改密码规格协议：更新用于当前连接的密码组 3.SSL警告协议：用于传送SSL的有关警告信息 4.SSL握手协议：用于用户和服务器之间相互认证，协商加密算法，传送所需的公钥证书，建立SSL记录协议处理完整性检验、所需的会话密钥;大多数服务器和浏览器支持SSL协议 TLS是对IETF的标准化，RFC2246，与SSL version 3接近;SET(Secure Electronic Transfer protocol)安全数据交换协议 SEPP(Secure Electronic Payment Protocol)安全电子支付协议 SET在保留对客户信用卡认证的前提下，增加了对商家身份的认证 SET是一种以信用卡为基础的、在Internet上交易的付款协议，是授权业务信息传输的安全标准，它采用RSA算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用散列函数算法来鉴别信息的完整性;1.SET的目标 (1)信息的安全传输 (2)信息的相互隔离 (3)多方认证的解决 (4)交易的实时性 (5)效仿EDI贸易形式，规范协议和消息格式;10.2 SET—提供安全的电子商务数据交换;1.SET的技术范围 (1)加密算法的应用 (2)证书信息和对象格式 (3)购买信息和对象格式 (4)认可信息和对象格式 (5)划账信息和对象格式 (6)对话实体之间消息的传输协议;1.SET软件的组成;SET的认证过程 1.注册登记 2.动态认证 3.商业机构处理流程;SET安全支付参与方及应用系统框架;SET协议的安全技术 1.SET的安全保障 (1)将所有消息文本用双钥密码体制加密 (2)将上述密钥的公钥和私钥的字长增加到512-2048位 (3)采用联机动态的授权和认证检查，确保交易安全 2.安全保障的技术基础 (1)通过加密方式确保信息机密性 (2)通过数字化签名确保数据的完整性 (3)通过数字化签名和商家认证确保交易各方身份真实 (4)通过特殊的协议和消息形式确保动态交互式系统的可操作性;;SET协议的特点 在SET协议中，使用DES对称密钥算法、RSA非对称密钥算法等提供数据加密、数字签名、数字信封等功能，给信息在网络中的传输提供可靠的安全性保证。SET协议通过DES算法和RSA算法的结合使用，保证了数据的一致性和完整性，并可实现交易以预防抵赖；通过数字信封、双重签章，确保用户信息的隐私性和关联性。 在完成一个SET协议交易过程中，需验证电子证书9次，验证数字签名6次，传递各方证书7次，进行5次签名，4次对称加密和4次非对称加密。完成一个SET协议交易过程需花费1.5～2分钟，甚至更长的时间。;比较对象;SET存在一些问题和缺陷 （1）协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书，否则，一旦在线商店的货物不符合质量标准，消费者提出疑义或要求退货，责任由谁来承担。 （2）协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。 （3）SET技术规范没有提及在事务处理完成后，如何安全的保有或销毁此类证据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。 （4）SET安全协议大部分操作依赖CA认证中心的认证，但SET无法确认认证中心是否被攻击、被假冒，也无法确认认证中心的密钥是否已经泄漏或被修改。