计算机网络安全技术 笔记7

七、电子商务与 SET 协议

电子商务安全

• 电子商务安全要求:
  • 数据传输的安全性:
    • 保证在公网上传送的资金帐号、客户密码、支付金额等网络支付信息数据不被第三方窃取.
    • 采用对称加密实现, 数字信封利用非对称加密实现.
  • 数据的完整性:
    • 数据在传输过程中不被篡改.
    • 通过安全的散列函数和数字签名实现, 双重数字签名保证多方通信时数据的完整性.
  • 身份验证:
    • 交换敏感信息时确认对方真实身份, 支付时确认账户信息真实有效.
    • 采用口令技术, 非对称密码, 数字签名, 数字证书等技术实现.
  • 交易的不可抵赖:
    • 各方在进行数据传输时, 带有自身特有无法复制的信息, 交易双方在支付过程中都无法抵赖, 保证发生纠纷时有所对证.
    • 通过时间戳, 数字签名, 数字证书等技术实现.
• 电子商务安全包括:
  • 基本加密算法.
  • 以基本加密算法为基础的证书认证体系 CA, 及数字信封、数字签名等基本安全技术.
  • 以基本加密算法、安全技术、CA 体系为基础的安全应用协议.
• CA 认证体系:
  • 以基本加密算法为基础, 采用基本安全技术.
  • 为上层安全应用协议提供证书认证.
  • CA 证书标准:
    • 各国自行开发并拥有版权的认证体系.
    • 为用户发放 CA 证书, 包括 SSL 证书.
    • CA 证书以 X.509 为基础, 进行扩展, 兼容多种协议证书.
  • SET CA:
    • 符合 SET 标准.
    • 专为基于银行支付卡的电子商务服务提供者及用户发放 SET 证书.
• 电子商务安全体系:
  • 网络系统安全: 针对物理技术系统.
    • 保证网络设施的正常运行.
    • 避免受到外界的恶意攻击.
  • 网络信息安全: 针对商务逻辑系统.
    • 信息保密、信息完整.
    • 身份认证、不可抵赖.
    • 信息有效.
  • 网络交易安全:
    • 参与对象之间交易过程.
    • 如 SSL, SET, 公钥基础设施 PKI.

安全电子交易协议 SET

• SET 简介:

  • 应用于互联网环境, 以信用卡为基础的安全电子交付协议.
  • 不用信用卡支付的交易方式与 SET 无关.
  • 给出了电子交易的过程规范.
  • 实现电子商务交易中的加密、认证、密钥管理机制.

• SET 目标:

  • 保密性:
    • 防止数据被黑客或被内部人员窃取.
  • 真实性:
    • 多方认证问题:
      • 对消费者信用卡认证.
        • 商家能够验证卡用户是有效卡账号的合法用户.
      • 对网上商店认证.
        • 卡用户可以验证商家可以接受支付信用卡.
      • 消费者、商店与银行间的认证.
  • 隐私性:
    • 保证订单信息和个人账号信息的隔离:
      • 客户资料通过商家到达银行, 但商家不能看到客户帐号信息.
      • 银行不能看到用户订单信息.
  • 实时性:
    • 网上交易的实时性, 所有支付过程都是在线.

• SET 参与方:

  • 发卡银行 (issuer):
    • 发放信用卡, 交易中处理电子货币的审核和支付.
    • 交易开始前, 查验持卡人的数据有效, 交易才能成立.
  • 持卡人 (cardholder):
    • 包括个人和团体消费者.
    • 填写网上商店表单, 通过发卡银行的信用卡付费.
  • 网上商家 (merchant):
    • 网上符合 SET 规格的电子商店, 提供商品或服务.
    • 具备相应电子货币使用条件, 从事商业交易的公司组织.
    • 通常向用户提供 Web 界面, 和收款行建立信任关系.
  • 支付网关 (payment gateway):
    • 由银行操作, 将互联网传输数据转为金融机构内部数据.
    • 或由指派第三方处理商家支付信息和顾客支付指令.
    • 将 SET 和现有银行卡支付的网络系统作为接口.
  • 收款行 (acquirer):
    • 收款行为商家建立账号, 处理每笔交易的支付授权和实际支付.
    • 代替商家与多个发卡行联系, 验证持卡人信用卡信息的有效性.

  • 证书授权 (CA):

    • 可信赖的公正组织.
    • 接受持卡人、商店、银行及支付网关的数字认证申请, 签发管理数字证书, 使持卡人、商家和支付网关可通过数字证书进行认证.

    

• SET 交易过程:

  • 交易前完成认证:

    • 持卡人证书:
      • 持卡人的发卡机构向持卡人发放证书.
      • 持卡人向支付网关提供帐号信息和秘密值用于验证.
      • 持卡人证书连同购买请求和加密支付指令传给商家, 商家在最低程度上验证该帐号.
    • 商家证书:
      • 网上商家获得证书认证, 表明接受某个银行的支付卡.
    • 支付网关证书:
      • 持卡人从支付网关证书获取密钥, 加密账号信息.
      • 只有支付网关能看到持卡人账号信息.
    • 收款行证书/发卡行证书:
      • 收款行/发卡行通过证书, 接收并处理商家证书请求.

  • 网上支付处理过程——购买请求:

    • 发起请求报文:

      • 持卡人向商家发送信用卡品牌, ID.

    • 发起响应报文:

      • 商家向持卡人发送用商户私钥签名, Transiaction ID, 证书.

    • 持卡人验证商家证书, 生成 PI 和 OI, 将 Transiaction ID 放入.

    • PI 和 OI 必须分开加密和签名, 保证用户隐私不被泄漏.

    • PI 和 OI 必须有联系, 防止商家篡改信息产生纠纷.

    • 购买请求报文:

      • 持卡人向商家发送 PI 和 OI.

    • 双签名:

      • 连接两个发送给不同接收者的报文.

      • KRc 为顾客私有签名密钥.

        

    • 客户生成购买请求:

      

    • 商家验证用户的订单:

      

  • 网上支付处理过程——支付授权:

    • 商家通过支付网关、发卡行得到授权, 才能发货.
    • 授权请求报文:
      • 与购买有关的信息: PI, 双签名.
      • 与授权有关的信息: Es.
      • 证书: 客户, 商家.
    • 授权响应报文:
      • 与授权有关的信息.
      • 证书.
    • 支付网关处理授权请求:
      • 验证证书合法性.
      • 解密数字信封, 获得会话密钥.
      • 验证商家数字签名.
      • 解密支付信息.
      • 验证双签名.
      • 验证 Transiaction ID 与 PI 一致.
      • 从发卡行申请支付.
    • 商家获得授权后, 向用户确认商品清单.

  • 网上支付处理过程——支付获取:

    • 商家向发卡行申请支付.
    • 商家通过支付获取, 才能完成银行转帐业务.
    • 获取请求报文:
      • 支付的数量, 交易 ID, 获取权标, 商人签名密钥, 证书.
    • 获取响应报文:
      • 网关签名, 加密获取相应数据块, 网关签名密钥证书.

• SSL 与 SET 的比较: