安全认证模式下的网上支付安全问题研究.docxVIP

安全认证模式下的网上支付安全问题研究 随着电子商务近年来的快速发展，电子支付已成为人们常见的支付方式。国内各大银行都已建立了自己的网上银行。仅2003年一年, 工商银行网上银行交易额接近20万亿, 比上一年度增长35%;建设银行也达到1万亿, 比上一年度增长25%。中国银联成立以后, 银行卡业务在中国飞速发展。相比邮政汇款、银行电汇, 银行卡网上支付由于其高实时、便捷性, 成为网上BtoC业务的一种主要支付手段。 BtoC网上支付是一个“四角模式”, 它包括:消费者 (持卡人) 、商户、收单行、发卡行。常规流程是: (1) 消费者浏览商户网站并进行商品选择; (2) 消费者在信息确认页面按提交来确认支付, 提交支付信息; (3) 商户网站与发卡银行确认持卡人的合法性; (4) 商户网站将支付信息发送到支付网关; (5) 支付网关将网上支付信息转化为银行交易处理的标准化信息 (ISO8583) , 并送到收单银行, 收单银行通过银行卡网络得到发卡银行的授权后完成支付。 由于在网上的银行卡支付交易双方不见面, 传输环节多, 网络环境复杂, 因此网上支付的安全问题, 如身份验证、抗抵赖、数据私密及完整成为交易各方普遍关注的问题。 一、 银行卡身份验证系统的应用 2001年, VISA和MasterCard都推出了自己的银行卡网上支付标准。VISA推出的是3-D secure标准 (名称为Verified by VISA) , MasterCard推出的是UCAF标准 (名称为Secure Code) 。VISA的3-D (Domain, 域) 标准是一个开放的标准, 美国运通、大莱、JCB等机构都已经或准备采用此标准。下面分别就这两种安全认证模式进行分析。 (1) 交易原理 3-D Secure包含3个不同的域: 发卡方域——包括持卡人 (浏览器) 和其发卡机构 (ACS服务器、注册服务器ES) ; 收单方域——包括商户 (M P I插件) 和其收单机构 (验证服务器) ; 中间操作域——包含目录服务器 (DS) 和验证历史服务器 (AHS) , 由VISA负责发卡机构和收单机构之间的验证信息交互。 在进行3-D Secure交易前, 用户需要完成一个注册过程: (1) 持卡人访问发卡机构的3-D Secure登记网页。 (2) 持卡人提供信用卡的卡号、有效期以及其他个人信息, 以便登记网站进行核实。同时与发卡机构之间建立一个共享的秘密信息, 如密码、个人私密问题等。 (3) 发卡机构对用户提供的信息进行验证, 确认登记人是持卡人, 并向持卡人返回一个3-D密码。如果持卡人是智能卡, 验证过程要确认持卡人在登记的同时确实拥有该智能卡。 (4) 发卡机构存储验证信息。并把信息提供给Access Control Server。 至此, 持卡人就可以利用3-D支付进行网上购物了。 在整个登记过程中, VISA并不参与。 有了3-D密码, 持卡人就可以利用3-D Secure进行网上支付了, 其交易流程如图1所示。 3-D Secure是一个基于SSL协议、重点解决安全认证的银行卡网上支付协议。它利用了SSL在加密传输和数据完整方面的特点, 同时又弱化了数字证书给客户带来的不方便性, 采用持卡人使用口令来进行身份认证的方法, 保证交易的安全。 (2) 身份验证 3-D将身份验证和授权分为两个阶段。持卡人在登记注册过程中, 提交自己的银行卡信息, 并获取3-D密码。以后在进行网上支付时, 持卡人将在身份验证页面内向发卡行提交3-D密码。3-D密码就是标识该持卡人的身份信息, 类同于传统交易中借记卡的密码或信用卡的签名。持卡人确认交易时, 发卡银行将对持卡人进行身份确认, 验证3-D密码无误后, 发卡行使用C V V计算方法计算出C A V V值, 并通过持卡人传到商户、再从商户传到收单机构, 收单行构造交易授权请求, 并将CAVV置于授权请求内, 传回发卡行。发卡行利用收单行传来的交易数据并与传来的C A V V匹配, 如一致, 则发卡机构确认已经对持卡人进行了身份验证, 并据此将授权响应传到收单行。 (1) 这种验证方式支持密码口令、数字证书、智能卡、移动设备、短消息等多种措施来进行身份验证。其中最为大众普遍接受的模式是密码口令。 (2) 加强了持卡人对发卡行的验证:持卡人在登记的过程中, 发卡行要求持卡人填入“个人保障信息”, 该信息将在持卡人支付过程中, 发卡行对其进行身份验证的页面上出现, 这样就确保持卡人填入密码的页面, 确实来自于发卡行。这种手段是针对不法商户伪造银行身份验证页面来获取持卡人密码的犯罪行为而制订的。 (3) 身份验证与授权的连接点——CAVV值:C A V V的计算方法是采用C V V的计算方法 (标准方法和AT