电子支付的协议模式与安全性

【电子支付】电子支付的协议模式与安全性

在电子商务中无论采用哪一种付款工具，都必须具备以下几个条件：安全性、处理成本低、且广为全球金融市场所接受，而安全性是第一位的。所以，保证支付工具的真实与识别该使用者的合法身份就是金融业在网络环境下实现电子支付所面临的问题。解决这一问题的关键是使用安全的电子支付模式，SSL和SET是目前实现安全电子支付的两种

论文报告

主要模式。

1、SSL支付模式

SSL即安全套接层协议，主要用于提高应用程序之间的数据的安全系数，采用了公开密钥和专有密钥两种加密：在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。

SSL协议在运行过程中可分为六个阶段：

建立连接阶段：客户通过网络向服务商打招呼，服务商回应;

交换密码阶段：客户与服务商之间交换双方认可的密码;

会谈密码阶段：客户与服务商之间产生彼此交谈的会谈密码;

检验阶段：检验服务商取得的密码;

客户认证阶段：验证客户的可信度;

结束阶段：客户与服务商之间相互交换结束信息。

当上述动作完成之后，两者之间的资料传输就以对方公密进行加密后再传输，另一方收到资料后以私钥解密。即使盗窃者在网上取得加密的资料，如果没有解密密钥，也无法看到可读的资料。

在电子商务交易过程中，由于有银行参与，按照SSL协议，客户购买的信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，将商品寄送客户。

在SSL协议中主要提供三方面的服务：认证用户和服务器，使得他们能够确信数据将被发送到正确的客户和服务器上;加密数据，以保证数据在传送过程中的安全，即使数据被窃，盗窃者没有解密密钥也得不到可读的资料;维护数据的完整性，确保数据在传送过程中不被改变。

SSL协议的缺点：首先，客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证;其次，SSL只能保证资料信息传递的安全，而传递过程是否有人截取就无法保证了。所以，SSL并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。

2、SET支付模式

SET即安全电子交易模式，是由Visa和MasterCard两大信用卡组织提出的以信用卡为基础的电子付款系统规范，用来确保在开放网络上持卡交易的安全性。SET规范使用了公开密钥体系对通信双方进行认证，利用DES、RC4或任何标准对称加密方法进行信息的加密传输，并利用Hash算法鉴别消息的真伪、有无篡改，以维护在任何开放网络上的个人金融资料的安全性。SE

T体系中还有一个关键的认证机构，此机构根据X.509标准发布和管理证书。

SET协议规定发给每个持卡人一个数字证书。客户选中一个口令，用它对数字证书和私钥、信用卡号以及其他信息加密存储。这些与一个SET协议的软件一起组成了一个SET电子“钱夹”。

SET协议的工作流程如下：

支付初始化请求和响应阶段当客户决定要购买商家的商品并使用SET钱夹付钱时，商家服务器上POS软件发报文给客户的浏览器SET钱夹付钱，SET钱夹则要求客户输入口令然后与商家服务器交换“握手”信息，使客户和商家相互确认，即客户确认商家被授权可以接受信用卡，同时商家也确认客户是一个合法的持卡人。

支付请求阶段客户发一报文，包括订单和支付命令。在订单和支付命令中必须有客户的数字签名，同时利用双重签名技术保证商家看不到客户的帐号信息。只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。

授权请求阶段商家收到订单后，POS组织一个授权请求报文，其中包括客户的支付命令，发送给支付网关。支付网关是一个Internet服务器，是连接Internet和银行内部网络的接口。授权请求报文通过到达收单银行后，收单银行再到发卡银行确认。

授权响应阶段收单银行得到发卡银行的批准后，通过支付网关发给商家授权响应报文。

支付响应阶段商家发送购买响应报文给客户，客户记录交易日志备查。

在SET协议中，定义了五种实体：持卡人，拥有信用卡的消费者;商家，在Internet上提供商品或服务的商店;支付网关，由金融机构或第三方控制，它处理持卡人购买和商家支付的请求;收单行，负责将持卡人的帐户中资金转入商家帐户的金融机构;发卡行，负责向持卡人发放信用卡的金融机构。涉及SET交易的有持卡人、商家和支付网关三个实体。认证机构需分别向持卡人、商家和支付网关发出持卡人证书、商家证书和支付网关证书。三者在传输信息时，要加上发方的数字签字，并用接收方的公开密钥对信息加密。实现商家无法获得持卡人的信用卡信息，银行无法获得持卡人的购物信息，同时保证商家能收到货款的SET支付的目标。

SET协议在安全性方面主要解决五个问题：保证信息在Internet上安全传输，防止数据被黑客或内部人员窃取;保证电子商务参与者信息的相互隔离，客户的资料加密或打包后

通过商家到达银行，但是商家不能看到客户的帐户和密码信息;解决多方论证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证;保证网上交易的实时性，使所有的支付过程都是在线的;仿效EDI贸易的形式，规范协议和消息格式，促使不同厂家按照一定的规范开发软件，使其具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。

SET协议的缺陷：自1996年4月SET协议面市以来，得到了IBM、HP、Microsoft、Netscape、VeriFone、GET、Verisign等许多大公司的支持，促进了SET的发展。但SET仍然存在一些问题：只适用于客户安装了“电子钱夹”的场合;使用成本高，在一个典型的SET交易过程中，整个交易过程可能需花费1.5分钟至2分钟;协议复杂，SET证书虽也遵循X.509标准，但格式比较特殊。

SSL协议是国际上最早应用于电子商务的一种网络安全协议，在一些发达国家有许多网上商店至今仍然在使用。在美国几乎所有提供安全交易的在线网址都依靠网景公司的安全套接层提供安全交易，SSL保护使用公用密钥编码方案传输的数据。在我国也有一些网上支付系统采用了SSL协议，例如上海长途电信局设计的网上支付系统。几乎无人否认，SSL在限制电子窃听方面很有效。但是SSL运行的基点是商家对客户信息保密的承诺，缺乏客户对商家的认证，在认证交易双方方面几乎无能为力。这是由于电子商务的开始阶段，参与电子商务的大都是一些大公司，信誉较高。随着参与电子商务的厂商迅速增加，对厂商的认证问题越来越突出，SSL协议的缺点完全暴露出来。

相比之下，SET标准更适合于消费者、商家和银行三方进行网上交易的国际安全标准。网上银行采用SET，确保交易各方身份的合法性和交易的不可否认性，使商家只能得到消费者的订购信息而银行只能获得有关支付信息，确保了交易数据的安全、完整和可靠，从而为人们提供了一个快捷、方便、安全的网上购物环境。