第五章 网上支付协议

第五章网上支付协议§5.1SSL协议协议技术协议是使用密码系统进行数据通信的双方或多方，为完成某些任务共同采取的一系列相互制约的有序步骤协议特性：要事先建立相互同意非二义性完整性§5.1SSL协议ISO/OSI参考模型物理层(Physicallayer)数据链路层(Datalinklayer)网络层(Networklayer)传输层(Transportlayer)会话层(Sessionlayer)表示层(Presentationlayer)应用层(Applicationlayer)§5.1SSL协议一、TCP/IP协议(Transmissioncontrolprotocol/internetprotocol)由如下四层组成应用层：提供一组常用的应用程序和应用接口，如FTP、E-MAIL、TELNET等传输层：又称TCP传输层，提供应用程序之间可靠的或高效的通信，实现格式化信息流和可靠传输两大功能。与ISO/OSI参考模型中传输层一样§5.1SSL协议互联层：也称IP网络层，是互联网的核心层，是通信子网的最高层，提供无连接数据报传送机制和点到点的数据通信网络接口层：TCP/IP软件的最底层，是IP层和物理网络的接口层，主要处理IP数据报和网络物理帧的转换§5.1SSL协议电子商务作为一种全新的交易方式，一般通过INTERNET在WEB站点上进行，要保障交易中的网上支付的安全，需要采取多种信息安全技术一、WEB的安全WEB安全的实现，可有多种方案，根据他们在TCP/IP协议栈中的工作位置，有下面三种：HTTPFTPSMTPTCPIP/IPSecHTTPFTPSMTPSSL或TLSTCPIP/IPSecS/MIMEPGPSETKerberosSMTPHTTPUDPTCPIP1.网络级2.传输级3.应用级§5.1SSL协议在网络层（IP层）上的安全服务主要是IPSec协议。可在IP层上加密/解密、压缩/解压缩、验证所有的通信量。可保证所有分布式应用的安全，并具有过滤功能，对终端用户和应用程序来说是透明的在传输层（TCP层）上的安全服务主要是SSL协议和TLS协议。常用两种实现选择：作为低层协议；嵌入特定的软件包种，如IE。§5.1SSL协议在应用层上的安全服务主要有SET、用于电子邮件安全的PGP和S/MIME、用于身份验证的Kerberos等§5.1SSL协议二、SSL协议概述SSL协议是由Netscape开发出来的一种在持有证书的浏览器软件和Web服务器之间构造的安全通道中传输数据的协议，它运行在TCP层之上，应用层之下。为应用程序之间的数据传输提供安全保护提供信息保密、信息完整性、相互认证三种基本安全服务主要用于B2B，也可用B2C包含两层：上层握手协议；下层为记录协议§5.1SSL协议ApplicationDatalinkSSL握手协议SSL记录协议TCP协议IP协议PhysicalDatalinkNetworkPhysicalApplicationDatalinkSSL握手协议SSL记录协议TCP协议IP协议PhysicalDatalinkNetworkPhysical通讯子网两点之间安全交换信息§5.1SSL协议三、SSL实现步骤：建立一个虚拟通信信道；加密方式和压缩方式的选择建立信道后，通信双方即进行加密方式和压缩方式的选择。客户机将自己能支持的以清单方式提供给服务器，服务器选择适合自己的算法后，将选择结构反馈给客户机确定的加密方式内容：密钥交换算法加密算法HASH算法压缩方式选择是可选的，如有一方不支持，可无压缩§5.1SSL协议3.身份识别SSL采用身份认证技术进行身份识别，通信双方都必须持有由认证中心颁发的身份证书和认证中心的公开密钥，每方向对方提供自己的身份证书，对方使用特定算法进行真伪检查，进行身份认证4.会话密钥和HASH密数的确定5.电文的传输6.关闭通信信道§5.1SSL协议注：SSL只保证了数据传输的安全性，缺乏交易各方的认证机制，可能导致交易争议§5.2安全电子支付中的SET一、SET协议概述安全电子交易（SecurityElectronicTransaction,SET),是目前已经标准化且被业界广泛接收的一种基于信用卡的付款机制。在网上购物环境中，持卡人希望在交易中保密自己的账户信息，使之不被他人盗用；商家则希望客户的订单不可抵赖；在交易过程中双方都希望验明对方的身份，防止被欺诈。1995年开始筹备，1996年6月，由IBM，MASTERCARDInternational，VisaInternational、Microsoft、Netscape、Verisign等共同制定的标准SET正式公布§5.2安全电子支付中的SETSET协议和网上支付机制保证B2C电子商务联机支付安全的一种技术，专为保护INTERNET上的银行卡交易而设计的，采用公钥密码体制（PKI）和X.509电子证书标准银行卡安全支付的需求和特点保证消息的保密性数据的完整性身份验证（包括持卡人和商户）保护参与电子商务的所有合法实体SET可在原始TCP/IP栈上安全操作，同时步妨碍其他安全机制使用独立于硬件平台、操作系统和WEB软件§5.2安全电子支付中的SETSET，它涵盖了信用卡在电子交易中的交易协定、信息保密、资料完整性、数字认证、数字签名等。被公认为是未来“电子商务”的规范。在SET协议中，参与交易的主要有4种实体：持卡人电子商家收单银行发卡银行网上购物与现实中购物的比较：持卡人将订单和付款指令发给商户（商户看不到付款信息）；商家将持卡人的帐号信息送到持卡人开户银行验证；商家接受订货合同；；持卡人开户银行通过银行间结算网络予以结算§5.2安全电子支付中的SET信息在Internet上安全传输；定单信息和个人帐号信息的隔离；（商家只能看到订单信息，但看不到持卡人帐户信息）持卡人和商家相互认证，以确定通信双方的身份；要求软件遵循相同的协议和消息格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。SET要达到的最主要目标SET协议中的角色持卡人发卡行商家收单行：指的是为在线交易的商家在银行开立账号的金融机构，并处理支付卡的认证和货款的收付；支付网关：由银行操作的将Internet上的传输数据转换为金融机构内部数据的设备，或由指派的第三方处理商家支付信息和顾客的支付指令；认证机构：交易双方都信任的第三方中立组织，它接受发卡行和收单行的委托，对支付网关及交易双方进行身份验证；SET协议的模型发卡行认证认证机构（CA）业务服务器用户商家银行认证开户订单、支付指令（数字签名、加密）SET协议SET协议银行间结算SET交易流程SET购物流程浏览商品选购商品填写订单选择付款方式（SET开始介入）持卡人发送给商家订单及付款指令；商家接受订单后，向持卡人的金融机构请求支付认可；商家发送订单确认信息给顾客，顾客有凭条；商家配送货，完成订购服务。商家从持卡人的金融机构请求支付，在认证操作和支付操作中间一般会有一个时间间隔，如每天下班前请求银行结一天的账。支付处理流程持卡人特约商店收单银行1、确认商店的合法身份3、数字签名、订单和电子证书7、请款要求5、交易授权回复4、确认商店的合法身份8、请款回复2、提交商店的证书6、提交商店的证书SET协议流程示意图§5.2安全电子支付中的SET采用SET的联机购物和支付过程银行浏览器电子钱包电子商务应用电子收银台支付网关认证机构网上安全联机购物和支付过程§5.2安全电子支付中的SET在完成一个SET协议交易过程中，需验证电子证书9次，验证数字签名6次，传递证书7次，进行5次签名，4次对称加密和4次非对称加密；完成一个SET协议交易过程需花费15~2分钟以上；只适用于客户具有电子钱包（Wallet）的场合；SET支付方式和认证结构只适合于卡支付，不支持银行的其它支付方式；SET协议保密性好，具有不可否认性，可保证B2C类型的电子商务顺利地进行。SET的相关技术SET的加密技术密钥系统公钥系统数字信封数字签名消息摘要§5.2安全电子支付中的SET与SSL双重签名定购信息支付信息HASH摘要O摘要PHASH合并HASH摘要私钥非对称加密双重签名发送发私钥K双重签名的产生过程在一次电子商务活动过程中可能同时有两个有联系的消息M1和M2，要对它们同时进行数字签名。例如，一个是送银行B的有关转帐财务明细表，即消息M1，另一个是厂商C的进货清单即消息M2；但要求交送银行B的数字签名不应知道M2，送厂商C的数字签名不应知道M1.A将发给C的信息M1和发给B的信息M2分别生成信息摘要MD1和MD2A将MD1和MD2合在一起生成MD，并签名。将M1、MD2和MD发给C，将M2、MD1和MD发给B。§5.2安全电子支付中的SET支付网关互联网和金融专用网之间的接口，金融网的安全屏障功能主要由：交易管理证书管理密钥管理加密服务翻译服务应用管理§5.2安全电子支付中的SET与SSLSET软件四部分组成持卡人钱包软件商户软件支付网关服务器软件证书授权软件SSL和SET协议的比较支付系统是电子商务的关键，SSL和SET是两种重要的通信协议比较项目SETSSL认证机制所在参与SET的成员商店端设置成本较高较低安全性较高较低采用比率约15%约80%§5.3PKI系统的安全认证机制一、PKI概述PKI（publickeyinfrastructure）系统是提供公钥加密和数字签名服务的系统，包括认证中心CA、注册中心RA，通过使用SSL和SET或其他安全网上支付协议，实现数据加密、身份认证和数字签名，保证网上信息传输和网上结算交易的机密性、真实性、完整性和步可抵赖性，为电子商务提供了安全、可靠的环境。§5.3PKI系统的安全认证机制PKI体系的主要组件数字证书公钥加密体制SSL、SET或其他网上认证体系认证授权机构CA，提供数字证书的可信、独立的机构其他：证书和密钥的安全存储；请求证书的管理工具；访问钱包和管理用户；机器识别和验证的集中库的目录服务§5.3PKI系统的安全认证机制PKI系统的组成认证授权机构CARCA（根CA）注册机构RA证书目录管理协议：用于管理证书的注册、生效、发布和注销。操作协议保密安全环境（PSE）：保存用户私人信息的§5.3PKI系统的安全认证机制CA政策（一些证书的惯例声明）确认手：申请手续和步骤证书的范围：证书颁发的范围是有限制的授权：持有者的授权级别等证书周期：证书生命周期和换发频率交叉认证保护绝密资料：保护CA私钥不同的钥匙：CA产品支持的两种钥匙§5.3PKI系统的安全认证机制确认证书用户辩明证书的有效性的方式证书撤回目录（CRL），即数字证书废止列表CRL的发布点：CA可用专门程序分析CRL，发现证书失效原因再现证书状态协议（OCSP）：允许用户在线验证证书的有效性§5.3PKI系统的安全认证机制用户验证用户访问网站，通过SSL进行加密WEB服务器获得客户IE里证书，验证证书签发机构、有效期和其他扩展信息读取证书序列号，于CRL对比，再其中则为非法读取扩展信息和用户基本数据，确定用户的交易范围§5.3PKI系统的安全认证机制时间印记服务器用以证明一个合同的签署时间系统的安全性系统对信息进行数字签名，保证步客抵赖性和不可复制性对数据打印时间戳上述信息存放再数据库中，方面查阅传输中用SSL对数据加密，保证传输安全对特别重要信息提供加密存放，保证保密性§5.3PKI系统的安全认证机制二、认证中心的主要功能CA是具有权威的、可信赖的、公正的第三方机构，是承担网上安全电子交易认证服务、能签发数字证书、并能够认证用户身份的服务机构主要任务是受理数字证书的申请、签发和管理CA建立模式：层次结构和分布式§5.3PKI系统的安全认证机制三、我国的金融CA结构国内CA公司有三类行业主管部门建立的CA中心地方政府部门建立的CA中心民间资本建立的商业CA中国金融认证中心CFCA1998年由人民银行牵头组建，2000年6月建成CFCA采用PKI技术体系，由SETCA和Non-SETCA两套系统§5.3PKI系统的安全认证机制SETCA的结构和功能功能:发放、发布、管理数字证书和CRL，提供证书历史记录的查询等服务结构：三层，根CA，品牌CA，用户CA（分为持卡人、商户、支付网关）证书的管理：证书的申请、审批和发放，证书撤消，证书更新Non-SETCA的结构和功能§5.4防火墙及其配置一、防火墙的作用和安全机制防火墙的作用是安装有防火墙软件的计算机系统，是一种网络安全设备，在内外两个网络之间实施访问控制和信息检查，以保护内部网络不受外部网络的攻击、破坏和威胁§5.4防火墙及其配置基本特点：网络外部与内部之间的所有通信，必须全部经过防火墙防火墙能实施安全策略所要求的全部功能只有经过授权的通信业务才能通过防火墙进出系统自身对入侵是免疫的，防火墙本身必须是使用安全操作系统的可信计算机系统提供的控制服务：服务控制方向控制用户控制行为控制§5.4防火墙及其配置防火墙的功能：能分析进出防火墙的数据能识别和认证进出防火墙的用户，并进行登录管理能对进出防火墙的行为进行访问控制能对进出防火墙的保密信息进行加密和解密能对接收到的数据进行完整性检验能封读堵安全策略禁止的业务，能审计和跟踪通过防火墙的内容和活动能对入侵行为进行检测和报警§5.4防火墙及其配置防火墙的安全机制过滤机制网络层防火墙

应用层防火墙透明代理服务代理服务机制非透明代理服务数据加密机制审查跟踪机制§5.4防火墙及其配置二、防火墙的种类包过滤（PF）路由器包过滤面向网