信用卡支付系统的安全协议

1、1 持卡人持卡人银行银行商家商家电话、FAXInternet等合法性检查风险由商家负责、安全性差，持卡人的信用卡隐私信息完全被商家掌握，支付效率低信用卡在线支付模式 1.无安全措施的信用卡支付模式1 )由于卖方没有得到买方的签字，如果买方拒付或否认购买行为，卖方将承担一定的风险；2 )信用卡信息可以在线传送，但无安全措施，买方（即持卡人）将承担信用卡信息在传输过程中被盗取及卖方获得信用卡信息等风险2信用卡支付形式 通过第三方经纪人的支付1.开立帐户开立帐户信用卡号、 授权等2.购物帐户购物帐户订货数据、应用账号3.帐户帐户应用账号、支付信息等4.支付确认支付确认5.支付确认支付确认信用卡信息信

2、用卡信息主要风险由第三方代理机构承担，提高了支付的安全性，支付效率低，成本高3信用卡在线支付模式3、信用卡在线支付SSL模式1） SSL安全协议的基本概念 SSL安全协议是一种保护Web通信的工业标准，是基于强公钥加密技术以及RSA的专用密钥序列密码，能够对信用卡和个人信息、电子商务提供较强的加密保护。SSL安全协议最初由Netscape Communication公司设计开发，又叫“安全套接层(Secure Sockets Layer)协议”，其主要目的是提供因特网上的安全通信服务，提高应用程序之间数据的安全系数。SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接字的客户和服务器间

3、事务安全的协议，它涉及所有TCP/IP应用程序4。 3、信用卡在线支付SSL模式2）SSL安全协议主要提供三方面的服务：(1) 认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。(2) 加密数据以隐藏被传送的数据。(3) 维护数据的完整性，确保数据在传输过程中不被改变53、信用卡在线支付SSL模式3） SSL安全协议的运行步骤 SSL运行步骤包括6步： (1) 接通阶段：客户向服务商通过络打招呼，服务商回应 (2) 密码交换阶段：客户与服务商间交换双方认可的密码 (3) 会谈密码阶段：客户与服务商间产生彼此交谈的会谈密码(4) 检验阶段：检验服务商取得的密码(5) 客户认

4、证阶段：验证客户的可信度 (6) 结束阶段：客户与服务商之间相互交换结束信息 当上述动作完成之后，两者间的资料传送就会加以密码，等到另外一端收到资料后，再将编码后的资料还原。即使盗窃者在网络上取得编码后的资料，如果没有原先编制的密码算法，也不能获得可读的有用资料6 在电子商务交易过程中，由于有银行参与，按照SSL安全协议，客户购买的信息首先发往商家，商家再将信息转发给银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，将商品寄送给客户。客户商家银行信息发货信息通知7交易支付授权转账请求支付网关收款人付款人认证中心发卡行收单行认证认证信用卡在线支付SSL模式工作流程金融专

5、用网认证、转账支付成功确认支支付付平平台台信用卡号、密码、支付金额等传递与授权Internet确认特点特点部分信息加密，效率高；使用对称和非对称加密技术；使用商家身份验证数字证书；无需其他硬件设施。需要一定成本，微额交易不实用8信用卡支付 简单加密信用卡支付商家银行商家银行业务服务器业务服务器商家服务器商家服务器1.开户开户2.交易交易信用卡加密信息信用卡加密信息3.交易交易情况情况4.加密信息加密信息5.解密解密 信息信息6.信用卡认证信用卡认证7. 认证认证信息信息8. 认证信息认证信息9在线支付SSL模式工作流程可分以下几个步骤(1) 身份认证。SSL模式的身份认证机制比较简单，只是付款

6、人与收款人在建立“握手”关系时交换数字证书。(2) 付款人建立和收款人之间的加密传输通道之后，将商品订单和信用卡转账授权传递给收款人。(3) 收款人通过支付网关将转账授权传递给其收单行。(4) 收单行通过信用卡清算网络向发卡行严正授权信息，发卡行验证信用卡相关信息无误后，通知收单行。(5) 收单行通知收款人电子支付成功，收款人向收单行请款。10SSL安全协议的应用 SSL安全协议是国际上最早应用于电子商务的一种网络安全协议，至今仍然有许多网上商店在使用。当然，在使用时，SSL协议根据邮购的原理进行了部分改进。在传统的邮购活动中，客户首先寻找商品信息，然后汇款给商家，商家再把商品寄给客户。这里，

7、商家是可以信赖的，所以客户必须先付款给商家。在电子商务的开始阶段，商家也担心客户购买后不付款，或使用过期作废的信用卡，因而希望银行给予认证。SSL安全协议正是在这种背景下应用于电子商务的。114、信用卡在线支付SET模式简介 在开放的因特网上处理电子商务，如何保证买卖双方传输数据的安全成为电子商务能否普及的最重要问题。为了克服SSL安全协议的缺点，两大信用卡组织，VISA和Master Card，联合开发了SET (Secure Electronic Transaction，安全电子交易)协议。SET是一种应用于开放网络环境下、以智能卡为基础的电子支付系统协议。SET给出了一套完备的电子交易过

8、程的安全协议，可实现电子商务交易中的加密、认证、密钥管理等任务。在保留对客户信用卡认证的前提下，SET又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。12 SET协议要达到的目标主要有以下5个： (1) 完整性：保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。 (2) 保密性：保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。(3) 解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。(4) 保证了网上交易的实时性，使所有的支付过程都是

9、在线的。(5) 仿效EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上13协商确认转账请求支付网关收款人付款人认证中心发卡行收单行认证认证定单确认审核信用卡在线支付SET模式的工作流程注册，领取并安装相关软件颁发数字证书、认证身份客户端软件商家服务器软件网关转换软件14信用卡在线支付SET模式的工作流程1)付款人在发卡行柜台办理应用SET在线支付的信用卡；收款人（商家）与收单行签订相关结算合同，得到商家服务器端的SET支持软件，并安装2）付款人从银行网站下载客户端软件，安装并设置应用此软件的用户、密码等，以防止被人非法运

10、行3）付款人访问认证中心，申请一数字证书4）付款人在商家网站上选购商品，选择SET信用卡付款方式，确认定单，签发付款指令。此时SET开始介入5）客户端软件自动与商家服务器对应软件进行身份验证，双方验证成功后，将订单信息及信用卡信息一同发送到商家6）商家服务器接收到付款人的相关信息，验证通过后，一边回复付款人边进行支付结算请求，连同从客户端来的转发信息一并发给支付网关7）支付网关将收到的支付信息转入后台银行网络处理，通过各项验证审核后，收到银行端发来的支付确认信息。否则向商家回复支付不成功8）商家收到支付网关发回的支付确认信息后，认可付款人本次购物，同时给付款人发回相关购物确认和支付确认信息9）

11、付款人收到商家的确认信息（购物、支付）后，关闭客户端软件（表示购物及网络支付成功）15基于SET协议机制的信用卡支付模式的特点1.需要在持卡客户端安装客户端软件2.需要各方申请安装数字证书并且验证真实身份3.实现的是部分信息加密，以提高效率4.使用对称密钥加密法、非对称密钥加密法、数字摘要技术、数字签名、数字信封等多种技术，各尽所长5.充分发挥CA的作用6.客户端软件功能多样 支付处理速度相比于SSL机制，速度稍慢一些，各方开销大一些16 与传统的支付方式相比较，电子支付具有以下特点： (1)电子支付是采用先进的信息技术来完成信息传输的，其各种支付方式都是采用数字化的方式进行款项支付的，而传统

12、的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体的流转和信息交换来完成款项支付的。 (2)电子支付的工作环境是基于一个开放的系统平台(如互联网)之上，而传统支付则是在较为封闭的系统中运作，如银行系统的专用网络。(3)电子支付使用的是最先进的通信手段，如互联网、外联网，传统支付使用的则是传统的通信媒介。电子支付对软、硬件设施的要求很高，如联网的微机、相关的软件及其他一些配套设施，而传统支付除了在银行端有较高的要求，在客户端几乎没有什么要求。(4)电子支付具有方便、快捷、高效、经济的优势。用户只要拥有一台联网的微机，足不出户便可在很短的时间内完成整个支付过程END8.3.2 银行卡支

13、付系统银行卡支付系统pFirstVirtual协议协议u First Virtual协议由协议由First Virtual Holding Inc.提供的支付系统，它与其提供的支付系统，它与其他电子商务系统在许多方面都不同，其中一个主要方面就是它不依赖他电子商务系统在许多方面都不同，其中一个主要方面就是它不依赖加密技术。事实上它将非重要的信息和重要的信息分开传送来确保安加密技术。事实上它将非重要的信息和重要的信息分开传送来确保安全。商家和消费者需要事先向全。商家和消费者需要事先向First Virtual注册，申请注册，申请ID和和PIN。而后。而后消费者可以通过电话提供信用卡号等信息。消费者

14、可以通过电话提供信用卡号等信息。u 当商家和消费者有交易意图时，基于当商家和消费者有交易意图时，基于e-mail或或First Virtual自己开发的自己开发的e-mail实时交换协议实时交换协议SMXP，向，向First Virtual提交交易。商家在收到提交交易。商家在收到First Virtual发来的账户合法确认后，向发来的账户合法确认后，向First Virtual发出交易细节。发出交易细节。First Virtual利用用户利用用户ID和和PIN在数据库中搜索消费者的在数据库中搜索消费者的e-mail地址，地址，通过通过e-mail向消费者发出购买证实请求。向消费者发出购买证实请

15、求。 图图8.3.2-2 FirstVirtual支付系统模型支付系统模型8.3.2 银行卡支付系统银行卡支付系统8.3.2 银行卡支付系统银行卡支付系统u First Virtual不是完整意义上的网上支付系统，因为它的支不是完整意义上的网上支付系统，因为它的支付过程有部分是离线进行的，并且由付过程有部分是离线进行的，并且由First Virtual Sever管理管理用户账户，每隔一段时间与银行结算一次，用户情况不能用户账户，每隔一段时间与银行结算一次，用户情况不能实时认证，可能会有透支情况出现，而用户恶意透支会给实时认证，可能会有透支情况出现，而用户恶意透支会给商家带来损失。商家带来损失

16、。uFirst Virtual系统最大的优点就是简易性。因为它没有利用系统最大的优点就是简易性。因为它没有利用加密，从而没有出口问题。组成协议的简单交换意味着在加密，从而没有出口问题。组成协议的简单交换意味着在前端不需要特别的软件，后端软件也并不复杂。前端不需要特别的软件，后端软件也并不复杂。pFirstVirtual协议协议8.3.2 银行卡支付系统银行卡支付系统uFirst Virtual系统最大的缺点就是：在商户或购买者使用该系统最大的缺点就是：在商户或购买者使用该系统之前，他们必须提前注册，并拥有一个银行账户（对系统之前，他们必须提前注册，并拥有一个银行账户（对商户来说）或一张信用卡（

17、对购买者来说）。然而，与信商户来说）或一张信用卡（对购买者来说）。然而，与信用卡收单行通常提出的要求相比，这里对商户没有其他的用卡收单行通常提出的要求相比，这里对商户没有其他的限制。这一点值得该系统对于那些具有优先营业额的商户限制。这一点值得该系统对于那些具有优先营业额的商户来说更具有吸引力。来说更具有吸引力。pFirstVirtual协议协议8.3.2 银行卡支付系统银行卡支付系统u SET（Secure Electronic Transaction）是由）是由VISA公司和公司和Master Card两两大信用卡公司联合开发设计的，用以支持大信用卡公司联合开发设计的，用以支持B To C这

18、种类型的电子商务这种类型的电子商务模式。模式。 u SET协议使用加密技术提供信息的机密性，验证持卡者、商家和收单协议使用加密技术提供信息的机密性，验证持卡者、商家和收单行，保护支付数据的安全性和完整性，为这些安全服务定义算法和协行，保护支付数据的安全性和完整性，为这些安全服务定义算法和协议。议。SET为了保证市场能够接受，为持卡者提供方便的应用，最限度减为了保证市场能够接受，为持卡者提供方便的应用，最限度减小对现有应用的影响，使收单行、商家、持卡者之间的关系基本不变，小对现有应用的影响，使收单行、商家、持卡者之间的关系基本不变，充分利用现有、收单行、支付系统应用和结构。充分利用现有、收单行、

19、支付系统应用和结构。u SET并不是一种通用的支付协议，而是限制在卡基支付或类似的应用中。并不是一种通用的支付协议，而是限制在卡基支付或类似的应用中。它并不涉及从一方到另一方的资金转账，而是一栏现行的信用卡基础它并不涉及从一方到另一方的资金转账，而是一栏现行的信用卡基础设施来完成支付。收单行将其视为与商户的一种扩展。设施来完成支付。收单行将其视为与商户的一种扩展。 pSET协议协议8.3.2 银行卡支付系统银行卡支付系统pSET协议协议u SET购物流程的主要参与者如图购物流程的主要参与者如图8.3.2-4所示。所示。8.3.2 银行卡支付系统银行卡支付系统持卡者用各种方式浏览购物清单。持卡者

20、用各种方式浏览购物清单。持卡者选择要订购的物品项目。持卡者选择要订购的物品项目。持卡者填写订购单，包括所订购物品的列表、价格等，订购单可持卡者填写订购单，包括所订购物品的列表、价格等，订购单可 以用电子方式传输给商家。以用电子方式传输给商家。持卡者选择支付方式，持卡者选择支付方式，SET协议关心的是采用支付卡进行交易。协议关心的是采用支付卡进行交易。持卡者向商家传输一个包含支付指示的完全订购单。在持卡者向商家传输一个包含支付指示的完全订购单。在SET协议协议中，订购和支付由持卡者进行数字签名。中，订购和支付由持卡者进行数字签名。商家从持卡者的金融机构请求得到支付授权。商家从持卡者的金融机构请求

21、得到支付授权。商家发出订购确认信息。商家发出订购确认信息。商家发出商品或者订购的服务。商家发出商品或者订购的服务。商家从持卡者的金融机构实现转账付款。商家从持卡者的金融机构实现转账付款。SET只是从步骤只是从步骤4以后才起到作用。以后才起到作用。SET定义了这些步骤中使用的定义了这些步骤中使用的通讯协议、信息格式和数据类型等。通讯协议、信息格式和数据类型等。u SET协议的一个电子购物的典型步骤如下所述。协议的一个电子购物的典型步骤如下所述。图图8.3.2-5 SET购物的执行过程购物的执行过程8.3.2 银行卡支付系统银行卡支付系统8.3.2 银行卡支付系统银行卡支付系统 SET协议是一个电

22、子商务中的安全框架，很多具体的事务必须结合协议是一个电子商务中的安全框架，很多具体的事务必须结合具体的商业背景。在实际操作方面的存在问题可以归纳为以下三点：具体的商业背景。在实际操作方面的存在问题可以归纳为以下三点： 协议过于复杂，协议过于复杂，SET协议过于复杂，开发和使用都比较麻烦，造成运协议过于复杂，开发和使用都比较麻烦，造成运行速度较慢；行速度较慢；信任的建立存在困难：信任的建立存在困难：SET协议安全性是建立在严格的协议安全性是建立在严格的CA认证认证 基础上，基础上，该认证具有严格的层次结构和关系，必须由一个非常权威的机构才能该认证具有严格的层次结构和关系，必须由一个非常权威的机构才能实行。但在实际情况是各家都在建设自己的认证体系，各个认证体系实行。但在实际情况是各家都在建设自己的认证体系，各个认证体系之间的互相认证比较困难。之间的互相认证比较困难。SET协议主要针对发达国家的支付情况：在发达国家信用卡非常普及，协议主要针