secule一种多域信息融合的认证模式

secule一种多域信息融合的认证模式

信用卡和卡的认证2.secure代码。万事达于2002年9月推出了新的网上交易方式——SecureCode,适用于MasterCard和Maestro品牌的信用卡和借记卡,它利用了UCAF(此隐藏域为持卡人的认证信息)域和SPA算法(基于发卡行的远程交易安全方法)。为了支持VISA的3-D,它还提供了一种3-D的认证方式,修改了3-D的部分内容来兼容UCAF和SPA运算,但对其定义、消息、协议未做任何改变。下面分别讨论这两种模式。(1)：发卡行下载,支持spa支付网页与Visa3-Dsecure不同,它只有两个域:发卡行域持卡人(浏览器和相关软件spaapplet)和发卡行(注册服务器、SPA验证服务器和AAV验证模块)。收单行域:商户(包含UCAF隐藏域、AAV验证模块)和收单行。持卡人需要使用一个基于SPA的applet,用户可从发卡行下载(或用其它手段获得)。在用户浏览带有支持SPA支付网页时,该软件能自己激活。与3-D类似,持卡人也需要有一个登记过程来获取securecode。拥有此码后,持卡人可以进行网上支付。交易流程如图2所示。——持卡人浏览商户网站,确认购买信息。——持卡人的SPAApplet诊测到支持SPA的网页。——持卡人SPAApplet连接到发卡行,发卡行弹出验证页面,要求消费者输入认证信息,持卡人填入密码,SPAApplet将认证和交易信息发送给发卡行。——发卡行验证持卡人密码是否证确,产生认证令牌—AAV,通过持卡人传递给商户。——商户将交易请求信息(含AAV)传递给收单行,并要求授权——收单行将授权请求信息(含AAV)通过Banknet传给发卡行,并要求授权。——发卡行验证AAV,将授权响应信息传递给收单行。——收单行将交易响应信息回送到商户。——商户确认交易,向消费者开具收款凭证。acson地位信息SecureCode的最普及的认证模式也是采用口令。持卡人在登记注册过程中,提交自己的银行卡信息,并获取自己的SecureCode,该密码就是标识持卡人的身份信息,类似于3-D密码。发卡行确认持卡人身份后,产生AAV值(AccountholderAuthenticationValue)并以此作为授权交易凭据,商户通过收单行发来交易请求时,发卡行将验证AAV值。SecureCode的身份验证和授权验证原理与3-D十分相似,都是在身份验证完成后,对持卡人的账号和其它交易信息,利用一定的方法(如加密等)生成“验证令牌”,生成验证令牌的方法只能被发卡行掌握,这个“验证令牌”作为对持卡人已经完成身份验证,可以授权响应的凭据。个人保障信息——验证方式:支持密码口令、智能卡方式,其中应用较多的模式是采用密码口令的方式。——与3-D类似,加强了持卡人对发卡行的验证,持卡人在登记的过程中发卡行要求持卡人填入“个人保障信息”,该信息将在持卡人支付过程中发卡行对其进行身份验证的页面上出现。——安全交易令牌—AAV值。AAV的值是由本次交易的交易金额、商户名称HASH、交易序列码、商户交易印章和发卡行定义数据组成。发卡行定义数据有两种生成方法:加密方法和比较方法。加密方法适用于生成AAV的设备和验证AAV的设备不能实时交互的情形;比较方法适用于生成AAV的设备和验证AAV的设备能够实时交互的情形。发卡行定义数据是对持卡人的主账号、加入交易序列号,再根据生成方法的不同采用加密或加入随机数并进行数学运算生成。数据安全和完整性各个点对点的通讯环节都使用SSL/TLS通道加密和数据完整。aav配合交易记录,减少交易纠纷,减轻交易风险SecureCode交易不可否认性依赖于发卡行的日志记录和AAV值。AAV值里包含交易序列号、商户名称、交易金额以及与此相对应的一次性发卡行定义数据。由于发卡行定义数据是对主帐号、交易序列号使用加密或其它方法运算生成,这种方法只被发卡行掌握,他人无法仿冒,因此减少了交易纠纷。AAV配合交易记录,能为交易不可否认提供一定的证据。与VISA3-DSecure类似,由于它不强制要求持卡人使用数字证书,因此无法达到严格的抗抵赖性。(2)pc认证cavSecureCode内的3-D方案,与VISA的非常相似,同样也有三个域,内容也大致相同,区别在于:——持卡人端还装有持卡人软件(SPAapplet)。——发卡行还装有AAV验证服务器。——验证历史服务器作为可选项使用。它的登记过程与PC认证解决方案一致,其网上支付流程与VISA3-D流程也非常相似,区别在于:发卡行对持卡人验证成功后,产生AAV值作为授权的凭证。AAV值可以不发往AHS服务器,而是由发卡行自行归档,作为交易纠纷的证据。身份验证、通道安全及抗抵赖性与VISA3-Dsecure相同。口令身份验证是3-DSecure和SecureCode的主要认证方式。两种模式都引入了CAVV或AAV这样的“一次性签名”,作为身份验证通过、交易授权的凭据。由于这种“一次性签名”是把主账号和交易序列号再加上一次性数据进行绑定,虽然它无法提供基于数字证书的数字签名的严格抗抵赖,但也为交易的纠纷提供了一定的数据依据。银行卡支付功能的实现近几年,国内的银行卡网上支付发展迅速,这主要得益于它的方便、快捷和实时到账的优点。除了国内大银行建立的网上商城,发卡行与收单行同属一行这种情形,其它的大型网上商城,基本都以银联网关作为网上交易和传统卡交易的信息转接。这种架构不同于国外的网上支付模式,发卡行和收单行并不在Internet上,银联网关将网上交易信息转化为ISO8583格式进入银行卡网络,提交到发卡行和收单行进行处理,其流程如图3所示。——消费者浏览商户网站,选购商品,放入购物车,进入收银台。——网上商户根据购物车内容,生成付款单,并调用支付网关商户端接口插件对付款单进行数字签名。——网上商户将付款单和商户对该付款单的数字签名一起交消费者确认。——旦消费者确认支付,则该付款单和商户对该付款单的数字签名将自动转发至支付网关。——支付网关验证该付款单的商户身份及数据一致性,生成支付页面显示给消费者,同时在消费者浏览器与支付网关之间建立SSL连接。——消费者填写银行卡卡号、密码和有效期(适合信用卡),通过支付页面将支付信息加密后提交支付网关。——支付网关验证交易数据后,按照银联交换中心的要求组装消费交易报文,并通过硬件加密机加密后提交银联交换中心。——银联交换中心将交易请求路由到发卡机构,发卡机构系统处理后将交易结果返回到银联交换中心。——银联交换中心将支付结果回传到支付网关。——支付网关验证交易应答,并进行数字签名后,发送给商户,同时向消费者显示支付结果。——商户接收交易应答报文,并根据交易状态码进行后续处理。公众对支付网关的身份认证采用银行卡口令来对持卡人进行身份验证。在支付网关对持卡人的验证页面内,持卡人需要输入自己的PIN码、卡片有效期(信用卡)等信息进行验证,以确认自己的身份。数据完整性检验银联网关与持卡人、商户间信息通道采用SSL协议,保证数据的完整和私密。持卡人身份信息在银联网关硬件加密服务器内非对称解密、再对称加密转换为银行卡网络内的数据格式。抗抑郁药依赖于银联网关的日志记录和发卡行的日志。由于持卡人对订单不进行数据签名,因此无法做到真正的抗抵赖。国外对在线支付的安全认证1.银行卡组织的优势保障持卡人账户的资金安全,关键在于对账户访问者的身份认证。按照“谁管理,谁认证,谁负责”的原则,两大银行卡组织都把对持卡人的身份验证责任转移到发卡银行,由发卡银行对持卡人进行直接的、点对点的、安全的认证,这样减少了关键信息的传输环节,避免了身份数据可能的泄露,同时也减少了银行卡组织的风险。2.普通的认证交易模式VISA的流程比较繁琐,但它推出了一种既保障持卡人、商户和银行利益,又使用口令这种很简单的认证交易模式。在它所推介的最普通的模式中,持卡人只需要有一台装有浏览器的计算机,就可以在世界上任何能接入互联网的地方,进行网上交易。目前国内的银行卡支付模式中,口令验证大行其道,它的方便易用为持卡人所推崇。3.选择合适的认证方式两大卡组织提出的安全认证模式,都支持除口令以外的电子证书、智能卡、移动设备等多种认证手段。银行可以根据交易额度,确定不同的安全级别,自主