信用卡支付系統(tǒng)的安全協(xié)議

1

持卡人銀行商家電話、FAXInternet等合法性檢查風(fēng)險(xiǎn)由商家負(fù)責(zé)、安全性差，持卡人的信用卡隱私信息完全被商家掌握，支付效率低信用卡在線支付模式1.無(wú)安全措施的信用卡支付模式1)由于賣方?jīng)]有得到買方的簽字，如果買方拒付或否認(rèn)購(gòu)買行為，賣方將承擔(dān)一定的風(fēng)險(xiǎn)；2)信用卡信息可以在線傳送，但無(wú)安全措施，買方（即持卡人）將承擔(dān)信用卡信息在傳輸過(guò)程中被盜取及賣方獲得信用卡信息等風(fēng)險(xiǎn)2信用卡支付形式通過(guò)第三方經(jīng)紀(jì)人的支付1.開立帳戶

信用卡號(hào)、授權(quán)等2.購(gòu)物帳戶

訂貨數(shù)據(jù)、應(yīng)用賬號(hào)3.帳戶應(yīng)用賬號(hào)、支付信息等4.支付確認(rèn)5.支付確認(rèn)信用卡信息主要風(fēng)險(xiǎn)由第三方代理機(jī)構(gòu)承擔(dān)，提高了支付的安全性，支付效率低，成本高3信用卡在線支付模式3、信用卡在線支付SSL模式1）SSL安全協(xié)議的基本概念SSL安全協(xié)議是一種保護(hù)Web通信的工業(yè)標(biāo)準(zhǔn)，是基于強(qiáng)公鑰加密技術(shù)以及RSA的專用密鑰序列密碼，能夠?qū)π庞每ê蛡€(gè)人信息、電子商務(wù)提供較強(qiáng)的加密保護(hù)。SSL安全協(xié)議最初由NetscapeCommunication公司設(shè)計(jì)開發(fā)，又叫“安全套接層(SecureSocketsLayer)協(xié)議”，其主要目的是提供因特網(wǎng)上的安全通信服務(wù)，提高應(yīng)用程序之間數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的整個(gè)概念可以被總結(jié)為：一個(gè)保證任何安裝了安全套接字的客戶和服務(wù)器間事務(wù)安全的協(xié)議，它涉及所有TCP/IP應(yīng)用程序4。3、信用卡在線支付SSL模式2）SSL安全協(xié)議主要提供三方面的服務(wù)：(1)認(rèn)證用戶和服務(wù)器，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。(3)維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變53、信用卡在線支付SSL模式3）SSL安全協(xié)議的運(yùn)行步驟SSL運(yùn)行步驟包括6步：(1)接通階段：客戶向服務(wù)商通過(guò)絡(luò)打招呼，服務(wù)商回應(yīng)(2)密碼交換階段：客戶與服務(wù)商間交換雙方認(rèn)可的密碼(3)會(huì)談密碼階段：客戶與服務(wù)商間產(chǎn)生彼此交談的會(huì)談密碼(4)檢驗(yàn)階段：檢驗(yàn)服務(wù)商取得的密碼(5)客戶認(rèn)證階段：驗(yàn)證客戶的可信度(6)結(jié)束階段：客戶與服務(wù)商之間相互交換結(jié)束信息當(dāng)上述動(dòng)作完成之后，兩者間的資料傳送就會(huì)加以密碼，等到另外一端收到資料后，再將編碼后的資料還原。即使盜竊者在網(wǎng)絡(luò)上取得編碼后的資料，如果沒(méi)有原先編制的密碼算法，也不能獲得可讀的有用資料6在電子商務(wù)交易過(guò)程中，由于有銀行參與，按照SSL安全協(xié)議，客戶購(gòu)買的信息首先發(fā)往商家，商家再將信息轉(zhuǎn)發(fā)給銀行，銀行驗(yàn)證客戶信息的合法性后，通知商家付款成功，商家再通知客戶購(gòu)買成功，將商品寄送給客戶。7信用卡在線支付SSL模式工作流程金融專用網(wǎng)認(rèn)證、轉(zhuǎn)賬支付成功確認(rèn)支付平臺(tái)信用卡號(hào)、密碼、支付金額等傳遞與授權(quán)Internet確認(rèn)特點(diǎn)①部分信息加密，效率高；②使用對(duì)稱和非對(duì)稱加密技術(shù)；③使用商家身份驗(yàn)證數(shù)字證書；④無(wú)需其他硬件設(shè)施。需要一定成本，微額交易不實(shí)用8信用卡支付簡(jiǎn)單加密信用卡支付商家銀行業(yè)務(wù)服務(wù)器商家服務(wù)器1.開戶2.交易信用卡加密信息3.交易

情況4.加密信息5.解密信息6.信用卡認(rèn)證7.認(rèn)證信息8.認(rèn)證信息9在線支付SSL模式工作流程可分以下幾個(gè)步驟(1)身份認(rèn)證。SSL模式的身份認(rèn)證機(jī)制比較簡(jiǎn)單，只是付款人與收款人在建立“握手”關(guān)系時(shí)交換數(shù)字證書。(2)付款人建立和收款人之間的加密傳輸通道之后，將商品訂單和信用卡轉(zhuǎn)賬授權(quán)傳遞給收款人。(3)收款人通過(guò)支付網(wǎng)關(guān)將轉(zhuǎn)賬授權(quán)傳遞給其收單行。(4)收單行通過(guò)信用卡清算網(wǎng)絡(luò)向發(fā)卡行嚴(yán)正授權(quán)信息，發(fā)卡行驗(yàn)證信用卡相關(guān)信息無(wú)誤后，通知收單行。(5)收單行通知收款人電子支付成功，收款人向收單行請(qǐng)款。10SSL安全協(xié)議的應(yīng)用SSL安全協(xié)議是國(guó)際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議，至今仍然有許多網(wǎng)上商店在使用。當(dāng)然，在使用時(shí)，SSL協(xié)議根據(jù)郵購(gòu)的原理進(jìn)行了部分改進(jìn)。在傳統(tǒng)的郵購(gòu)活動(dòng)中，客戶首先尋找商品信息，然后匯款給商家，商家再把商品寄給客戶。這里，商家是可以信賴的，所以客戶必須先付款給商家。在電子商務(wù)的開始階段，商家也擔(dān)心客戶購(gòu)買后不付款，或使用過(guò)期作廢的信用卡，因而希望銀行給予認(rèn)證。SSL安全協(xié)議正是在這種背景下應(yīng)用于電子商務(wù)的。114、信用卡在線支付SET模式簡(jiǎn)介在開放的因特網(wǎng)上處理電子商務(wù)，如何保證買賣雙方傳輸數(shù)據(jù)的安全成為電子商務(wù)能否普及的最重要問(wèn)題。為了克服SSL安全協(xié)議的缺點(diǎn)，兩大信用卡組織，VISA和MasterCard，聯(lián)合開發(fā)了SET(SecureElectronicTransaction，安全電子交易)協(xié)議。SET是一種應(yīng)用于開放網(wǎng)絡(luò)環(huán)境下、以智能卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。SET給出了一套完備的電子交易過(guò)程的安全協(xié)議，可實(shí)現(xiàn)電子商務(wù)交易中的加密、認(rèn)證、密鑰管理等任務(wù)。在保留對(duì)客戶信用卡認(rèn)證的前提下，SET又增加了對(duì)商家身份的認(rèn)證，這對(duì)于需要支付貨幣的交易來(lái)講是至關(guān)重要的。12SET協(xié)議要達(dá)到的目標(biāo)主要有以下5個(gè)：(1)完整性：保證信息在因特網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取。(2)保密性：保證電子商務(wù)參與者信息的相互隔離?？蛻舻馁Y料加密或打包后通過(guò)商家到達(dá)銀行，但是商家不能看到客戶的帳戶和密碼信息。(3)解決多方認(rèn)證問(wèn)題，不僅要對(duì)消費(fèi)者的信用卡認(rèn)證，而且要對(duì)在線商店的信譽(yù)程度認(rèn)證，同時(shí)還有消費(fèi)者、在線商店與銀行間的認(rèn)證。(4)保證了網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過(guò)程都是在線的。(5)仿效EDI貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上13信用卡在線支付SET模式的工作流程注冊(cè)，領(lǐng)取并安裝相關(guān)軟件頒發(fā)數(shù)字證書、認(rèn)證身份客戶端軟件商家服務(wù)器軟件網(wǎng)關(guān)轉(zhuǎn)換軟件14信用卡在線支付SET模式的工作流程1)付款人在發(fā)卡行柜臺(tái)辦理應(yīng)用SET在線支付的信用卡；收款人（商家）與收單行簽訂相關(guān)結(jié)算合同，得到商家服務(wù)器端的SET支持軟件，并安裝2）付款人從銀行網(wǎng)站下載客戶端軟件，安裝并設(shè)置應(yīng)用此軟件的用戶、密碼等，以防止被人非法運(yùn)行3）付款人訪問(wèn)認(rèn)證中心，申請(qǐng)一數(shù)字證書4）付款人在商家網(wǎng)站上選購(gòu)商品，選擇SET信用卡付款方式，確認(rèn)定單，簽發(fā)付款指令。此時(shí)SET開始介入5）客戶端軟件自動(dòng)與商家服務(wù)器對(duì)應(yīng)軟件進(jìn)行身份驗(yàn)證，雙方驗(yàn)證成功后，將訂單信息及信用卡信息一同發(fā)送到商家6）商家服務(wù)器接收到付款人的相關(guān)信息，驗(yàn)證通過(guò)后，一邊回復(fù)付款人邊進(jìn)行支付結(jié)算請(qǐng)求，連同從客戶端來(lái)的轉(zhuǎn)發(fā)信息一并發(fā)給支付網(wǎng)關(guān)7）支付網(wǎng)關(guān)將收到的支付信息轉(zhuǎn)入后臺(tái)銀行網(wǎng)絡(luò)處理，通過(guò)各項(xiàng)驗(yàn)證審核后，收到銀行端發(fā)來(lái)的支付確認(rèn)信息。否則向商家回復(fù)支付不成功8）商家收到支付網(wǎng)關(guān)發(fā)回的支付確認(rèn)信息后，認(rèn)可付款人本次購(gòu)物，同時(shí)給付款人發(fā)回相關(guān)購(gòu)物確認(rèn)和支付確認(rèn)信息9）付款人收到商家的確認(rèn)信息（購(gòu)物、支付）后，關(guān)閉客戶端軟件（表示購(gòu)物及網(wǎng)絡(luò)支付成功）15基于SET協(xié)議機(jī)制的信用卡支付模式的特點(diǎn)1.需要在持卡客戶端安裝客戶端軟件2.需要各方申請(qǐng)安裝數(shù)字證書并且驗(yàn)證真實(shí)身份3.實(shí)現(xiàn)的是部分信息加密，以提高效率4.使用對(duì)稱密鑰加密法、非對(duì)稱密鑰加密法、數(shù)字摘要技術(shù)、數(shù)字簽名、數(shù)字信封等多種技術(shù)，各盡所長(zhǎng)5.充分發(fā)揮CA的作用6.客戶端軟件功能多樣支付處理速度相比于SSL機(jī)制，速度稍慢一些，各方開銷大一些16與傳統(tǒng)的支付方式相比較，電子支付具有以下特點(diǎn)：

(1)電子支付是采用先進(jìn)的信息技術(shù)來(lái)完成信息傳輸?shù)?，其各種支付方式都是采用數(shù)字化的方式進(jìn)行款項(xiàng)支付的，而傳統(tǒng)的支付方式則是通過(guò)現(xiàn)金的流轉(zhuǎn)、票據(jù)的轉(zhuǎn)讓及銀行的匯兌等物理實(shí)體的流轉(zhuǎn)和信息交換來(lái)完成款項(xiàng)支付的。

(2)電子支付的工作環(huán)境是基于一個(gè)開放的系統(tǒng)平臺(tái)(如互聯(lián)網(wǎng))之上，而傳統(tǒng)支付則是在較為封閉的系統(tǒng)中運(yùn)作，如銀行系統(tǒng)的專用網(wǎng)絡(luò)。(3)電子支付使用的是最先進(jìn)的通信手段，如互聯(lián)網(wǎng)、外聯(lián)網(wǎng)，傳統(tǒng)支付使用的則是傳統(tǒng)的通信媒介。電子支付對(duì)軟、硬件設(shè)施的要求很高，如聯(lián)網(wǎng)的微機(jī)、相關(guān)的軟件及其他一些配套設(shè)施，而傳統(tǒng)支付除了在銀行端有較高的要求，在客戶端幾乎沒(méi)有什么要求。(4)電子支付具有方便、快捷、高效、經(jīng)濟(jì)的優(yōu)勢(shì)。用戶只要擁有一臺(tái)聯(lián)網(wǎng)的微機(jī)，足不出戶便可在很短的時(shí)間內(nèi)完成整個(gè)支付過(guò)程END8.3.2銀行卡支付系統(tǒng)FirstVirtual協(xié)議

FirstVirtual協(xié)議由FirstVirtualHoldingInc.提供的支付系統(tǒng)，它與其他電子商務(wù)系統(tǒng)在許多方面都不同，其中一個(gè)主要方面就是它不依賴加密技術(shù)。事實(shí)上它將非重要的信息和重要的信息分開傳送來(lái)確保安全。商家和消費(fèi)者需要事先向FirstVirtual注冊(cè)，申請(qǐng)ID和PIN。而后消費(fèi)者可以通過(guò)電話提供信用卡號(hào)等信息。當(dāng)商家和消費(fèi)者有交易意圖時(shí)，基于e-mail或FirstVirtual自己開發(fā)的e-mail實(shí)時(shí)交換協(xié)議SMXP，向FirstVirtual提交交易。商家在收到FirstVirtual發(fā)來(lái)的賬戶合法確認(rèn)后，向FirstVirtual發(fā)出交易細(xì)節(jié)。FirstVirtual利用用戶ID和PIN在數(shù)據(jù)庫(kù)中搜索消費(fèi)者的e-mail地址，通過(guò)e-mail向消費(fèi)者發(fā)出購(gòu)買證實(shí)請(qǐng)求。圖8.3.2-2FirstVirtual支付系統(tǒng)模型8.3.2銀行卡支付系統(tǒng)8.3.2銀行卡支付系統(tǒng)

FirstVirtual不是完整意義上的網(wǎng)上支付系統(tǒng)，因?yàn)樗闹Ц哆^(guò)程有部分是離線進(jìn)行的，并且由FirstVirtualSever管理用戶賬戶，每隔一段時(shí)間與銀行結(jié)算一次，用戶情況不能實(shí)時(shí)認(rèn)證，可能會(huì)有透支情況出現(xiàn)，而用戶惡意透支會(huì)給商家?guī)?lái)?yè)p失。FirstVirtual系統(tǒng)最大的優(yōu)點(diǎn)就是簡(jiǎn)易性。因?yàn)樗鼪](méi)有利用加密，從而沒(méi)有出口問(wèn)題。組成協(xié)議的簡(jiǎn)單交換意味著在前端不需要特別的軟件，后端軟件也并不復(fù)雜。FirstVirtual協(xié)議8.3.2銀行卡支付系統(tǒng)FirstVirtual系統(tǒng)最大的缺點(diǎn)就是：在商戶或購(gòu)買者使用該系統(tǒng)之前，他們必須提前注冊(cè)，并擁有一個(gè)銀行賬戶（對(duì)商戶來(lái)說(shuō)）或一張信用卡（對(duì)購(gòu)買者來(lái)說(shuō)）。然而，與信用卡收單行通常提出的要求相比，這里對(duì)商戶沒(méi)有其他的限制。這一點(diǎn)值得該系統(tǒng)對(duì)于那些具有優(yōu)先營(yíng)業(yè)額的商戶來(lái)說(shuō)更具有吸引力。FirstVirtual協(xié)議8.3.2銀行卡支付系統(tǒng)

SET（SecureElectronicTransaction）是由VISA公司和MasterCard兩大信用卡公司聯(lián)合開發(fā)設(shè)計(jì)的，用以支持BToC這種類型的電子商務(wù)模式。

SET協(xié)議使用加密技術(shù)提供信息的機(jī)密性，驗(yàn)證持卡者、商家和收單行，保護(hù)支付數(shù)據(jù)的安全性和完整性，為這些安全服務(wù)定義算法和協(xié)議。SET為了保證市場(chǎng)能夠接受，為持卡者提供方便的應(yīng)用，最限度減小對(duì)現(xiàn)有應(yīng)用的影響，使收單行、商家、持卡者之間的關(guān)系基本不變，充分利用現(xiàn)有、收單行、支付系統(tǒng)應(yīng)用和結(jié)構(gòu)。SET并不是一種通用的支付協(xié)議，而是限制在卡基支付或類似的應(yīng)用中。它并不涉及從一方到另一方的資金轉(zhuǎn)賬，而是一欄現(xiàn)行的信用卡基礎(chǔ)設(shè)施來(lái)完成支付。收單行將其視為與商戶的一種擴(kuò)展。SET協(xié)議8.3.2銀行卡支付系統(tǒng)SET協(xié)議

SET購(gòu)物流程的主要參與者如圖8.3.2-4所示。8.3.2銀行卡支付系統(tǒng)持卡者用各種方式瀏覽購(gòu)物清單。持卡者選擇要訂購(gòu)的物品項(xiàng)目。持卡者填寫訂購(gòu)單，包括所訂購(gòu)物品的列表、價(jià)格等，訂購(gòu)單可以用電子方式傳輸給商家。持卡者選擇支付方式，SET協(xié)議關(guān)心的是采用支付卡進(jìn)行交易。持卡者向商家傳輸一個(gè)包含支付指示的完全訂購(gòu)單。在SET協(xié)議中，訂購(gòu)和支付由持卡者進(jìn)行數(shù)字簽名。商家從持卡者的金融機(jī)構(gòu)請(qǐng)求得到支付授權(quán)。商家發(fā)出訂購(gòu)確認(rèn)信息。商家發(fā)出商品或者訂購(gòu)的服務(wù)。商家從持卡者的金融機(jī)構(gòu)實(shí)現(xiàn)轉(zhuǎn)賬付款。SET只是從步驟4以后才起到作用。SET定義了這些步驟中使用的通訊協(xié)議、信息格式和數(shù)據(jù)類型等。

SET協(xié)議的一個(gè)電子購(gòu)物的典型步驟如下所述。圖8.3.2-5SET購(gòu)物的執(zhí)行過(guò)程8.3.2銀行卡支付系統(tǒng)8.3.2銀行卡支付系統(tǒng)

SET協(xié)議是一個(gè)電子商務(wù)中的安全框架，很多具體的事務(wù)必須結(jié)合具體的商業(yè)背景。在實(shí)際操作方面的存在問(wèn)題可以歸納為以下三點(diǎn)：協(xié)議過(guò)于復(fù)雜，SET協(xié)議過(guò)于復(fù)雜，開發(fā)和使用都比較麻煩，造成運(yùn)行速度較慢；信任