网络银行与电子支付-第4讲.ppt

SSL 记录包含在有效数据被加密之前计算出来的MAC信息，用于进行数据完整性检查。 为了防止重传攻击，在HASH 函数作用之前将一个序号放入消息中。 * * 三、电子支付的安全问题 3) SSL 协议的缺陷 电子商务至少是由用户、网站、银行 3 家协作完成，而SSL协议只能提供交易中客户与服务器间的双方认证； 传输过程中可能被窃听或破坏Web 信息； 客户信息对商家是全透明的； 新的 SSL 协议被命名为 TLS(Transport Layer Security)，安全可靠 性有所提高，但仍然不能消除原在技术的基本缺陷。 * * 三、电子支付的安全问题 对称加密算法——实现快速加密 * * 三、电子支付的安全问题 * * 三、电子支付的安全问题 非对称加密算法原理——公钥加密私钥签名 具有数据摘要的数字签名-验明身份真实性 * * 三、电子支付的安全问题 SET协议 * * 三、电子支付的安全问题 （2）SET协议 由美国 VISA 和 MasterCard 两大信用卡组织联合国际上多家科技机构，共同制定了应用于互联网上的以银行卡为基础进行在线交易的安全标准，即 SET(Secure Electronic Transaction)协议SET 协议要达到的目标主要有 5 个。 * * 三、电子支付的安全问题 1) 保证电子商务参与者信息的相互隔离。客户的资料加密或打包后经过商家到达银 行，但是商家不能看到客户的账户和密码信息。 2) 保证信息在 Internet 上安全传输，防止数据被黑客或被内部人员窃取。 * * 三、电子支付的安全问题 3) 解决多方认证问题。不仅要对消费者的信用卡认证，而且要对网上商店的信誉程度 认证，同时还有消费者、网上商店与银行间的认证。 4) 保证了网上交易的实时性，使所有的支付过程都是在线的。 * * 三、电子支付的安全问题 5) 规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。 * * 三、电子支付的安全问题 网上购物的前期准备： 消费者到发卡银行办理一张借记卡，该卡的卡号即账号，惟一的确定了持卡人的身份。 持卡人将一定数量的现金存入该帐户。 通过上网为该卡申请一张安全数字证书。 然后就可以开始网上交易了。 三、电子支付的安全问题 SET协议操作流程: (1)消费者上网浏览商户网站，从商品目录选择商品，将购物名称及数量、交货时间及地点、订货人及收货人等相关信息填入表单或“购物篮”提交。网站回执确认接受该订单，于是认为交易双方在品种、价格、数量、时间、送货、交货等方面达成合同。 三、电子支付的安全问题 （2）持卡人将订货单和支付单发送给商家。并对两张单据进行双重数字签名； （3）商家收到订货单和支付单后，将订货单存下，将支付单发向收单银行支付网关请求支付认可； （4）收单银行到发卡银行确认该卡有可支付能力后，返回确认信息给商家，于是商家可放心的送货给客户。 三、电子支付的安全问题 （5）商家发送订单确认回执给持卡人，客户端软件可保存该回执，以备将来查询。 （6）商家按照订货单给客户送货和实际发票到预定交货点。 （7）收单银行将货款从持卡人帐号转移到商家帐号，可能每天或每周划帐一次。 至此完成交易过程。 三、电子支付的安全问题 三、电子支付的安全问题 客户、商家、银行三家合作完成： 客户端处理过程如下： （1） 将订货单B和支付单C分别做MD5摘要计算，得到HB和HC，拼接后以客户的私钥SKA进行数字签名，得到DSA，称为双重签名。 （2）?客户端拼接出两个相对独立的信息模块。一块供商务网站解读，称为订货模块，内容包括订货单B、支付单C的摘要HC、双重签名DSA、用户的公钥PKA。另一块供支付银行解读，称为支付模块，但需经商务网站转发给收单银行，内容包括支付单C、订货单B的摘要HB、双重签名DSA、用户的公钥PKA。 三、电子支付的安全问题 （3）客户端使用两个对称密钥KB和KC分别对上述两个模块加密，得到EB和EC。 （4）?以商务网站B的公钥PKB将KB加密；以支付银行C的公钥PKC将KC加密，分别得到两个数字信封EKB和EKC。 （5）将两个加密模块和两个数字信封拼接后发送出去：EB+EKB+EC+EKC。 三、电子支付的安全问题 三、电子支付的安全问题 商务网站B的处理过程： （1）商务网站收到的EB+EKB+EC+EKC，但只能读懂与己相关的订货模块EB+EKB。将EC+EKC转发给支付银行。 （2）商务网站用自己的私钥SKB解密数字信封EKB得到KB，再用KB解密使用DES算法加密的EB。用其中携带的客户公钥PKA，解密双重签名DSA，得到HBHC。 （3）对收到的