坝l‘论文娃十SET执 ̄义的史付模型SafePay的岍究
摘要y
s3186l
安全支付是电子商务的核心和关键。目前支持国内两种主流支付方式的协议安全套接层协议和安全电子交易协议各有利弊,分析支付方式发展的趋势,参照前人的研究经验,作者提出了一种基于安全电子交易协议的网上支付模型,陔模型充分利用协议安全性高的特点,根据国内支付的实际情况,对繁杂的安全电子交易协议做出适当的精简与修改,使之能够应用于国内借记卡的网上支付。之后,作者对整个模型进行了详尽的系统分析,依据协议参与方的要求,将整个模型划分为四个核心功能模块:持卡者电子钱包、商家系统、支付网关和认证中心。在对模块子功能划分和具体实现中,完全按照协议的加密和认证要求进行,在尊重协议对安全级别的要求的同时还充分体现了模型设计的简洁、灵活和高效,并给出了一个完整的应用演示以增加对模型的理解。最后,论文对该模型在电子政务中的衍生应用进行了初步的展望。 关键词:
安全套接层协议安全电子交易协议加密认证持卡者电子钱包商家系统支付网关认证中心
坝h仑史罐十SET啡议的支l寸模型SafePay的研究
Abstract
Paymentsecurityisthecoreissueofelectroniccommerce.TherearetwoprotocolssupportInternetpaymentinChina,OneisSecureSocketLayerprotocol,theotherisSecureElectronicTransactionprotocol,theybothhaveadvantageanddisadvantage.TheauthoranalyzedthetrendofIntemetpayment,thenbroughtforthaInternetpaymentmodelbasedSecureElectronicTransactionprotocolforChinesedebitcardThemodelhashighsecurityasoriginalprotocol,buthasbeenmodifiedinidentityauthenticationandhasbeensimplifiedinpaymentstyle.ThenauthorcarriedOUtthesystemdesignandrealizedthesystemaccordingthepaymentmodel,thesystemhasbeendividedintofourcomponentsasfollowing:electronicw
allet,merchantserver,paymentgatewayandcertificateauthority.Theauthorputforwardacompletedemoofthismodel.Theelectronicwalletiscardholderclientsoftware,itsavescardinformation
andpersonalinformation,andcertificateauthorityisathirdpartyorganization.Atlastauthorbrow【ghtforthsomeprospectsinapplyingthispaymentmodeltoelectronicgovernmentaffairs.
KEYWORDS:
E1ectronicCommerceTransaction,Debitcard,PaymentGatewaySecureSocketLayer,SecureE1ectronicIdentityAuthenticatior],E1ectronicwallet
坝i‘论文堪十SET协议的支付模型SafePa、的研究
第一章绪论
§1.1国内电子商务支付现状
莎士比亚说过:“Tobeornottobe,thatisaquestion.”,2l世纪的今天,我们可以肯定的说:“ToE-CommerceornottoE-Commerce,thatis
nolongeraquestion.”。新一轮的产业革命中,电子商务将不可逆转的成为21世纪经济的主导,未来的经济模式将越来越清晰,或者电子商务,或者无商可务。
安全支付是电子商务的核心和关键。基于以下国内网上电子支付的现状以及
存在的安全问题,电子支付的安全性和便捷性的矛盾摆到了我们面前。
§1.1.1基于SSL协议的招商银行“一网逶”
招商银行网上支付业务向客户提供的网上消费支付结算,真正实现了足不出
户进行网上购物。招行互联网站已通过国际权威认证且采用了先进的加密技术,客户在使用“网上支付”时,所有数据均经过加密才在网上传输。我与名著
招商银行支付业务系统具有便捷的特点,网上支付系统全国联网,没有地区
的限制,并且可以直接在浏览器上使用,无需安装任何附加软件,适用范围广,
包括电脑、机顶盒或其它家电。
在安全方面,为了确保网上交易的安全,采用了多种技术和业务措施防范风
险。
1)网上支付卡和“一卡通”实行帐号分立,密码分设。
21网上传输的信息采用随机密码机制,每次传输都使用不同的密码。
3)支付信息直接发送银行。
41帐户信息和交易信息不在客户的电脑上存储。
51以国际通行的SSL协议加强信息传输的安全性。
6)每曰消费设置限额。
71完善的事后追溯能力。
择业意愿>陈白露
同时,招商银行推出的网上商城汇集全国各地知名网上商户,经营商品包括
百货、家电、书籍、软件、音像制品及各种付费服务,是目前规模最大的网上商
城,所有商品均可使用招商银行“网上支付卡”进行实时的网上支付。
。哩Ij论文娃十SET协议的支付模型SafePay的研究
§1.1.2基于SET协议的中国银行“支付网上行”
“支付网上行”是中国银行推出的基于中国银行长城电子借记卡和氏城囡际信用卡的符合SET标准进行网上支付的服务产品。中国银行长城电子借记卡持卡人可以利用免费发送的电子钱包软件,在中银电子商城,轻松实现网上购物支付。
消费者必须拥有一张由银行签发的可以进行网上支付的卡,并在计算机上安装名叫“中银电子钱包”的软件,用于进行网上支付、管理卡帐户、管理电子证书、处理交易记录、导入导出信息、设置相关选项、更改口令等。
连云港核废料处理§1.1.3两种主流支付方式的分析比较
特比萘芬招商银行“一网通”和中国银行“支付网上行”分别代表了国内两种主流的电子商务支付方式。它们分别采用了目前被广泛使用的两种在线安全支付协议:安全套接层SSL(SecureSocketLayer)协议和安全电子交易SET协议(SecureElectronicTransaction)。两种均是非常成熟的协议,能为电子商务提供有力的安全保障。
SSL协议是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。它已被广泛地应用于Web浏览器和服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,协议总共分为两层:SSL记录协议和SSL握手协议,SSL记录协议建立在可靠的传输协议之上,为高层协议提供数据封装、压缩、加密等功能的支持,而SSL握手协议建立在SSL记录协议之上,用于在实际的数据传输开始前,通信双方进行身份认证、协商机密算法、交换会话密钥等。SSL提供了两台机器间的安全连接,对计算机之间的整个会话进行加密。
SSL协议所采用的机密算法和认证算法构成了它具有较高的安全性,但也存在着明显的安全缺陷:
·密钥管理问题
设计一个安全秘密的密钥交换协议是很复杂的,因此SSL的握手协议也存在~些密钥管理的问题。首先客户机和服务器在发送自己能够支持的加密算法时,是以明文传输的,存在被攻击修改的可能。
刘文玺 张媛●加密强度问题
依照美国内政部的规定,Netscape的128位加密密钥在美国之外的地方变得不合法,国际版的浏览器及服务器上只能使用40位的密钥。最近~个著名的例f就是一个法国的研究尘和两个美国伯克菜大学的研究生破译了一个ssL的密钥。
㈣l:it史拈十SET协议的支付模型SafePa),的研究
●数字签名问题
SSL没有数字签名功能,即没有抗否认服务。若要增加数字签名功能,需要在协议中打“补丁”。这样做,密钥在用于加密的同时又用于数字签名,这在安全上存在漏洞。
相对于SSL而言,SET在信用卡帐号在网上交易安全性方面控制远比SSL,m密,它引入了一套完整的认证体系,其中认证中心(CA)就是该体系的重要执行者。与此同时,它还明确规定了整套协议中信息流的加密、验证乃至于整个交易的处理过程。它不仅可以实现客户的身份鉴别,同时也最大限度地确保了客户信息保密性。
但是SET协议也并非无懈可击,SET协议也存在着一些缺点,比如SET只支持信用卡消费、SET消费模式适用性差、SET报文消息太复杂、SET协议参与方太多等等,这所有的一切都制约
着SET协议应用上的推广。
为了能够使得网上支付变得更安全、更便捷,便产生了这个课题,怎样解决安全和便捷之间的矛盾,使得电子商务真正地在国内迅速的推广开,这是我们要解决的问题,也是这篇论文的主旨。
§1.2电子支付的发展趋势
§1.2.1电子商务是新经济的代表
电子商务改变了什么?
首先,电子商务改变了商务活动的方式。它将传统商务活动中最常见的术语“采购”、“推销”、“促销”等名词一一否定,利用互联网,人们可以在网上商场浏览、购买各类产品、得到在线服务、和客户联系、进行货款结算服务:政府还可以方便的进行电子招标、政府采购。
其次,电子商务改变了人们的消费方式。随着互联网具备消费者资料的保密性、信息搜索的便利性及订购商品的快速性等特点,消费者将具有更大的自出性和主导性。互联网将逐渐改变一般大众日常的消费模式。
再次,电子商务带来一个全新的金融业,随着电子商务在电子交易环节上的突破,网上银行、银行卡
支付网络、银行电子支付系统以及网上服务、电子支票、电子现金等服务,将传统的金融业带入一个全新的领域。
最后,电子商务将转变政府的行为。在电子商务时代,同样对政府管理行为提出新的要求,电子政府或称网上政府,将随着电子商务的发展而成为一个重要的社会角。
根据美国互联网调查公司(eMarketer)的研究报告,2000年全球2.3亿上网
