在线支付系统简介.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,3.3 在线支付系统,在线支付系统简介,第1页,3.3.1 SSL提供网上购物安全协议,3.3.2 SET提供安全电子商务数据交换,3.3.3 SET与SSL对比及SET缺点,在线支付系统简介,第2页,SSL提供网上购物安全协议,SSL(Secure Sockets Layer)，安全套接口层协议,SSL类似于S-HTTP，但S-HTTP本质上是问答式交易协议，而SSL是对会话保护,SSL是客户和商家在通信之前，在Internet上建立一个“秘密传输信息信道”，保障了传输信息机密性、完整性和认证性，SSL设置方便、实施成本低,SSL协议是一个在持有数字证书浏览器和远程WWW服务器(如Netscape Enterprise Server、IIS等等)之间，结构安全通道而且传输数据协议。,在线支付系统简介,第3页,HTTP,IMAP,FTP,SMTP,SSL层,TCP/IP,应用层,网络层,SSL是由Netscape开发协议，SSL能够插入Internet应用协议中，成为运行于TCP/IP网络层协议之上一个应用协议层，用于保护正常运行于TCP上任何应用协议，如HTTP、FPT、SMTP、Telnet通信，最常见是用SSL来保护HTTP通信，比如，网址协议为,在线支付系统简介,第4页,SSL协议中使用了许多加密解密技术、信息摘要技术和数字署名与认证技术,SSL依靠证书来验证通信双方身份,SSL提供安全内容,(1)SSL把客户机和服务器之间全部通信都进行加密，确保了机密性,(2)SSL提供完整性检验，可预防数据在通信过程中被改动,(3)SSL提供认证性，使用数字证书识别对方,在线支付系统简介,第5页,SSL先进行“握手”以确保以后通信按预定步骤进行,1.SSL统计协议：定义了信息交换中全部数据项格式，MAC用于信息完整性，信息内容是应用层传来数据，附加数据是加密后附加信息,MAC 信息内容 附加数据,SSL体系结构,SSL由两层协议组成,HTTP,SSL握手协议,SSL更改密码规格协议,SSL警告协议,SSL统计协议,TCP,IP,在线支付系统简介,第6页,2.SSL更改密码规格协议：更新用于当前连接密码组,3.SSL警告协议：用于传送SSL相关警告信息,4.SSL握手协议：用于用户和服务器之间相互认证，协商加密算法，传送所需公钥证书，建立SSL统计协议处理完整性检验、所需会话密钥,在线支付系统简介,第7页,大多数服务器和浏览器支持SSL协议,TLS是对IETF标准化，RFC2246，与SSL version 3靠近,在线支付系统简介,第8页,SET(Secure Electronic Transfer protocol)安全数据交换协议,SEPP(Secure Electronic Payment Protocol)安全电子支付协议,SET在保留对客户信用卡认证前提下，增加了对商家身份认证,SET是一个以信用卡为基础、在Internet上交易付款协议，是授权业务信息传输安全标准，它采取RSA算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用散列函数算法来判别信息完整性,在线支付系统简介,第9页,1.SET目标,(1)信息安全传输,(2)信息相互隔离,(3)多方认证处理,(4)交易实时性,(5)效仿EDI贸易形式，规范协议和消息格式,在线支付系统简介,第10页,10.2 SET提供安全电子商务数据交换,1.SET交易组员,(1)持卡人,(2)网上商店,(3)收单银行,(4)发卡银行,(5)认证中心CA,(6)支付网关,在线支付系统简介,第11页,1.SET技术范围,(1)加密算法应用,(2)证书信息和对象格式,(3)购置信息和对象格式,(4)认可信息和对象格式,(5)划账信息和对象格式,(6)对话实体之间消息传输协议,在线支付系统简介,第12页,1.SET软件组成,在线支付系统简介,第13页,SET认证过程,1.注册登记,2.动态认证,3.商业机构处理流程,在线支付系统简介,第14页,SET安全支付参加方及应用系统框架,CA认证,中心,持,卡,用,户,网,上,商,家,支付网关,收单银行,发卡银行,认证,协商,订单,确认,审核,确认,确认,请求,审,核,批,准,在线支付系统简介,第15页,SET协议安全技术,1.SET安全保障,(1)将全部消息文本用双钥密码体制加密,(2)将上述密钥公钥和私钥字长增加到512-2048位,(3)采取联机动态授权和认证检验，确保交易安全,2.安全保障技术基础,(1)经过加密方式确保信息机密性,(2)经过数字化署名确保数据完整性,(3)经过数字化署名和商家认证确保交易各方身份真实,(4)经过特殊协议和消息形式确保动态交互式系统可操作性,在线支付系统简介,第16页,SET交易中电子钱包,商店服务器和支付网关,SET网上购物实例,SET实际操作全过程,在线支付系统简介,第17页,SET协议特点,在SET协议中，使用DES对称密钥算法、RSA非对称密钥算法等提供数据加密、数字署名、数字信封等功效，给信息在网络中传输提供可靠安全性确保。SET协议经过DES算法和RSA算法结合使用，确保了数据一致性和完整性，并可实现交易以预防抵赖；经过数字信封、双重签章，确保用户信息隐私性和关联性。,在完成一个SET协议交易过程中，需验证电子证书9次，验证数字署名6次，传递各方证书7次，进行5次署名，4次对称加密和4次非对称加密。完成一个SET协议交易过程需花费1.52分钟，甚至更长时间。,在线支付系统简介,第18页,比较对象,SET,SSL,使用目标和场所,主要用于信用卡交易，传送电子现金,主要用于购置信息交流：传送电子商贸信息,安全性,要求很高：整个交易过程中都要保护,要求很低：因为保护范围只是持卡人到商家一端信息交换,必须含有认证资格对象,安全需求高，所以全部参加者与SET交易组员都必须先申请数字证书来识别身份,通常只是商家一端服务器，而客户端认证是可选择,实施时所需设置费用,较高：持卡人必须先申请数字证书，然后安装SET电子钱包,较低：不需要另外安装软件,当前使用情况(比率),SET设置成本高于SSL，当前普及率较低,当前普及率较高,在线支付系统简介,第19页,SET存在一些问题和缺点,（1）协议没有说明收单银行给在线商店付款前，是否必须收到消费者货物接收证书，不然，一旦在线商店货物不符合质量标准，消费者提出疑义或要求退货，责任由谁来负担。,（2）协议没有担保“非拒绝行为”，这意味着在线商店没有方法证实订购是不是由签署证书消费者发出。,（3）SET技术规范没有提及在事务处理完成后，怎样安全保有或销毁这类证据，是否应该将数据保留在消费者、在线商店或收单银行计算机里。这种漏洞可能使这些数据以后受到潜在攻击。,（4）SET安全协议大部分操作依赖CA认证中心认证，但SET无法确认认证中心是否被攻击、被假冒，也无法确认认证中心密钥是否已经泄漏或被修改。,在线支付系统简介,第20页,