电子商务安全协议及支付安全
电子商务中的在线支付安全机制
电子商务中的在线支付安全机制随着互联网的快速发展,电子商务成为了现代商业活动的重要部分。
在线支付作为电子商务的核心环节之一,其安全性尤为重要。
本文将探讨电子商务中的在线支付安全机制。
一、加密技术保障在线支付安全加密技术是保障在线支付安全的关键手段。
具体而言,主要有以下几种常见的加密技术应用:1. SSL/TLS协议SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议是互联网上最广泛应用的加密技术。
通过将用户和商家之间传输的数据进行加密,有效防止了黑客攻击、信息泄漏等风险。
2. 公钥加密算法公钥加密算法采用两个密钥,即公钥和私钥。
用户可以将公钥公开,用于加密支付信息,而只有持有私钥的商家才能解密。
3. 数字证书数字证书是一种由第三方认证机构颁发的加密文件,用于确认用户身份和商家的真实性。
用户在进行支付时,可以验证商家的数字证书,确保信息交换的安全性。
以上加密技术的使用,可以有效保护在线支付过程中的隐私数据,杜绝黑客攻击、信息窃取等不安全因素的发生。
二、多因素身份验证提升支付安全性多因素身份验证是为了防止支付过程中的身份欺诈行为而采取的措施。
除了常见的用户名和密码,支付平台还加入了其他因素的认证要求,如短信验证码、指纹识别、面部识别等。
通过这些多重身份验证方式,可以大大提高支付交易的安全性。
三、监控和风险评估防范支付风险在线支付平台通常配备了专业的监控系统和风险评估工具,用于实时监控并评估支付风险。
一旦系统检测到可疑活动,如异地登录、异常消费等,将自动触发风险控制措施,如冻结账户、拒绝支付等,确保用户的支付安全。
四、安全意识教育加强用户防范意识在实施在线支付安全机制的同时,加强用户的安全防范意识也是至关重要的。
支付平台可以定期向用户提供安全知识和操作指南,如如何设置强密码、避免点击钓鱼链接等,帮助用户更好地保护自己的支付账户。
结论:在电子商务中的在线支付安全机制是电子商务发展的重要环节。
《电子商务安全与支付》PPT课件
保障交易双方的权益,维护市场秩序, 促进电子商务健康发展。
电子商务面临的安全威胁
01
02
03
04
信息泄露
交易信息、用户隐私等敏感数 据泄露。
网络攻击
恶意攻击、病毒传播等网络安 全问题。
交易欺诈
虚假交易、欺诈行为等。
系统故障
软硬件故障、网络中断等技术 问题。
电子商务安全体系结构
ISO 27001标准
ISO 27001是信息安全管理体系 的国际标准,提供了一套全面的 信息安全管理方法和最佳实践。
COBIT标准
COBIT(Control Objectives for Information and Related Technologies)是信息及相关技 术的控制目标框架,为企业提供 了一套全面的IT治理和管理指南。
非对称加密
采用双钥密码系统,公钥 用于加密,私钥用于解密, 如RSA、ECC等算法。
混合加密
结合对称加密和非对称加 密技术,保证数据传输的 安全性和效率。
防火墙技术
包过滤防火墙
根据预先设定的规则,对 进出网络的数据包进行过 滤,阻止不符合规则的数 据包通过。
代理服务器防火墙
客户端不直接与外部网络 通信,而是通过代理服务 器转发请求和响应,实现 网络隔离和访问控制。
06
电子商务安全与支付未 来趋势
新兴技术对电子商务安全与支付的影响
人工智能和机器学
习
通过智能算法和大数据分析,提 高交易安全性和用户体验,例如 实时欺诈检测和个性化支付体验。
区块链技术
提供去中心化、安全可靠的交易 记录,降低交易风险和成本,例 如跨境支付和供应链金融。
电子商务中安全支付协议实验报告(2024版)
电子商务中安全支付协议实验报告(2024版)合同编号:__________鉴于甲方为提供电子商务服务,乙方为实现安全支付,双方本着平等互利的原则,就安全支付协议实验报告(2024版)达成如下协议:一、实验目的1.1 确保甲方电子商务平台的安全性,保护甲方、乙方及消费者的合法权益;1.2 测试乙方提供的安全支付系统在实际运行中的性能、稳定性和安全性;1.3 双方共同探讨并优化安全支付解决方案,提高支付成功率,降低支付风险。
二、实验内容2.1 甲方提供电子商务平台,包括但不限于商品展示、订单管理、支付接口等;2.2 乙方提供安全支付系统,包括但不限于支付接口、风险防控、交易保障等;2.3 双方共同对支付流程进行监控、数据分析和风险评估,以优化支付体验和降低风险。
三、实验期限3.1 本实验协议自双方签字之日起生效,有效期为____年;3.2 实验期满后,如双方同意继续合作,应签订新的合作协议。
四、实验成果归属4.1 实验过程中所得的数据、分析报告和优化方案归双方共同所有;4.2 双方在实验过程中所形成的知识产权归各自所有。
五、保密条款5.1 双方应对实验过程中获取的对方商业秘密和敏感信息予以保密;5.2 未经对方同意,不得向第三方披露本协议及实验相关事项;5.3 本保密条款在实验协议有效期内及实验结束后持续有效。
六、违约责任6.1 任何一方违反本协议的约定,导致实验无法进行或实验效果不佳,应承担相应的违约责任;6.2 违约方应赔偿对方因此遭受的损失,包括但不限于直接损失、间接损失和预期利益。
七、争议解决7.1 双方在履行本协议过程中发生的争议,应通过友好协商解决;7.2 如协商无果,任何一方均有权向实验协议签订地的人民法院提起诉讼。
八、其他条款8.1 本协议一式两份,甲乙双方各执一份;8.2 本协议未尽事宜,可由双方另行签订补充协议;8.3 本协议自双方签字盖章之日起生效。
甲方(盖章):乙方(盖章):签订日期:____年____月____日。
2024年电子商务领域安全支付交易细则协议
2024年电子商务领域安全支付交易细则协议本合同目录一览1. 协议范围1.1 适用对象1.2 适用范围2. 定义与术语2.1 定义2.2 术语3. 用户注册与认证3.1 用户注册3.2 用户认证4. 支付流程与规则4.1 支付流程4.2 支付规则5. 交易安全5.1 数据保护5.2 加密技术5.3 风险管理6. 支付系统故障处理6.1 故障分类6.2 故障处理流程7. 用户隐私保护7.1 隐私保护原则7.2 个人信息收集与使用7.3 信息安全保障8. 争议解决8.1 争议分类8.2 争议解决流程9. 违约责任与赔偿9.1 违约行为9.2 赔偿责任10. 合同的生效与终止10.1 生效条件10.2 终止条件11. 合同的修改与解除11.1 修改条件11.2 解除条件12. 法律适用与争议解决12.1 法律适用12.2 争议解决方式13. 其他条款13.1 通知与送达13.2 强制性规定13.3 合同的完整性与优先级14. 附则14.1 合同的版本与更新14.2 附件第一部分:合同如下:1. 协议范围1.1 适用对象1.2 适用范围2. 定义与术语2.1 定义(1)2024年电子商务平台:由甲方提供的在线交易服务平台,用户可通过该平台进行商品及服务的购买与销售。
(2)用户:指注册并同意本协议的个人或单位,在平台进行商品及服务交易的自然人、法人和其他组织。
(3)支付交易:用户通过平台进行的货币支付行为,包括但不限于在线支付、转账支付等方式。
2.2 术语(1)甲方:提供2024年电子商务平台服务的公司。
(2)乙方:使用平台进行支付交易的客户。
(3)交易金额:指交易双方在平台达成的交易价格,包括商品价格、服务费用等。
3. 用户注册与认证3.1 用户注册用户须按照平台要求提供真实、准确、完整的个人信息进行注册。
注册成功后,用户获得一个账户,该账户为本协议的绑定账户。
3.2 用户认证为保证交易安全,用户需通过平台认证程序,如实名认证、绑定银行卡等。
电子商务安全协议
电子商务安全协议引言随着互联网的迅猛发展,电子商务在全球范围内得到了广泛应用和推广。
然而,电子商务中的数据交换和在线支付等活动的安全性问题也随之增长。
为了确保电子商务的安全性和可靠性,各方需要遵守一定的安全协议和措施。
本文将介绍常用的电子商务安全协议,以及它们的工作原理和应用场景。
1. SSL/TLS(安全套接层/传输层安全)SSL/TLS是目前最常用的电子商务安全协议之一。
它通过加密通信和认证服务,确保了数据在传输过程中的安全性。
SSL/TLS使用了公钥加密和对称密钥加密相结合的方式,保证了数据传输的机密性和完整性。
在电子商务中,SSL/TLS通常用于网站的加密连接和用户身份验证,防止数据被第三方窃取或篡改。
SSL/TLS的工作原理是,服务器使用公钥加密算法生成一对公私钥,并将公钥向证书颁发机构(CA)申请证书。
用户在访问网站时,服务器将证书发送给用户,并由用户的浏览器进行验证。
验证通过后,浏览器随机生成一个对称密钥,并使用服务器的公钥加密该对称密钥,并发送给服务器。
服务器接收到加密后的对称密钥后,使用私钥进行解密,并建立对称密钥加密的安全通道。
SSL/TLS协议的应用场景包括网上银行、电子商务网站和在线支付等。
它能够有效防止第三方对数据进行窃取和篡改,保障用户的隐私和个人信息的安全。
2. S/MIME(安全多用途Internet邮件扩展)S/MIME是一种用于保护电子邮件的安全协议。
它通过数字签名和加密技术,防止电子邮件在传输和存储过程中被篡改或窃取。
S/MIME为电子邮件提供了机密性、完整性和身份验证功能。
在使用S/MIME发送邮件时,发件人使用自己的私钥对消息进行加密和签名,然后发送给收件人。
收件人可以使用发件人的公钥进行解密和验证签名,确保邮件的机密性和完整性。
S/MIME还支持用户的数字证书,用于身份验证。
S/MIME常用于电子商务中的邮件通信,特别是在交换敏感信息或重要文件时,如订单信息、产品报价等。
实验电子商务支付与安全协议
实验电子商务支付与安全协议引言随着互联网技术的快速发展,电子商务在我们的日常生活中扮演着越来越重要的角色。
人们愈发依赖电子商务进行商品购买和支付。
然而,这也给电子商务支付的安全性带来了挑战,例如支付信息的泄露和支付欺诈等问题。
为了保护用户的支付安全,各种电子商务支付与安全协议被开发出来。
本文将介绍一些常见的电子商务支付与安全协议,包括支付协议、身份认证协议和安全传输协议。
这些协议的目标是确保支付信息的机密性、完整性和可用性,以及防止恶意第三方对支付过程进行干扰。
支付协议支付协议是一种用于确保交易方之间付款安全的协议。
是一些常见的支付协议:1. SSL/TLSSSL(Secure Sockets Layer)和TLS(Transport Layer Security)是一种常见的用于保护网络通信安全的协议。
在电子商务支付中,SSL/TLS用于创建加密的连接来保护支付信息的安全传输。
2. SETSET(Secure Electronic Transaction)是一种电子商务支付协议,主要用于确保支付信息的机密性和完整性。
SET协议使用了公钥加密和数字证书来保护支付信息,并采用了双重认证机制来确保交易的合法性。
3. 3D Secure3D Secure是一种基于密码的身份验证协议,用于加强电子商务支付的安全性。
用户在进行支付时需要输入一个专用的密码,以验证用户的身份。
4. 支付与支付支付和支付是中国最流行的电子支付方式之一。
它们使用了多种技术来保护支付安全,包括SSL/TLS加密、双重认证、方式短信验证等。
此外,它们还使用了风控系统来检测和阻止支付欺诈行为。
身份认证协议身份认证协议用于验证参与电子商务交易的实体的身份。
是一些常见的身份认证协议:1. 数字证书数字证书是一种用于验证实体身份的电子文件。
数字证书包含了实体的公钥、实体的信息和证书颁发机构的数字签名。
在电子商务支付中,数字证书被广泛用于验证支付参与方的身份。
电子商务与支付安全
支付管理办法主要内容
02
明确支付机构的资质要求、业务规范、风险管理等方面的规定
,保障支付服务的合法性和安全性。
支付管理办法实施
03
要求支付机构加强内部管理和风险控制,提高支付服务的质量
和安全性。
网络犯罪相关法律
网络犯罪相关法律
打击网络犯罪行为,维护网络安全和社会秩序。
网络犯罪相关法律主要内容
规定网络犯罪的种类、刑罚措施等方面的内容,对网络犯罪行为进 行严厉打击。
05
电子商务安全法规与政策
Chapter
电子商务法
电子商务法
电子商务法实施
规范电子商务行为,保护消费者权益 ,促进电子商务健康发展。
通过建立完善的监管机制,加强执法 力度,确保电子商务法的有效执行。
电子商务法主要内容
明确电子商务经营者的权利义务,规 范市场秩序,保障消费者信息安全等 。
个人信息保护法
身份验证
身份验证是确保电子商务支付安全的重要环节,通过验证用户身份,防止未经授 权的访问和操作。
常见的身份验证方式包括用户名和密码、动态令牌、多因素认证等。用户名和密 码是最基本的身份验证方式,动态令牌和多因素认证则提供了更高级别的安全保 障。
风险控制与检测
风险控制与检测是通过一系列技术和 手段,识别、评估和降低电子商务支 付风险的过程。
VS
加密货币
通过使用加密货币(如比特币)进行支付 ,用户可以获得更高的交易隐私和安全性 。
04
电子商务支付安全保障措施
Chapter
加密技术
01
加密技术是保障电子商务支付安全的重要手段之一,通过数据加密,确保交易信 息在传输和存储过程中的机密性和完整性。
电子商务合同中的支付安全保障
电子商务合同中的支付安全保障随着互联网的迅猛发展,电子商务已经成为一种重要的商业模式。
在电子商务交易中,支付安全问题是非常关键的,因为涉及到双方的财务安全和信任。
本文将就电子商务合同中的支付安全保障措施进行探讨。
一、合同签订阶段的支付安全保障在电子商务合同签订阶段,为了确保支付的安全性,双方可以采取以下措施:1. 使用合法合规的支付平台:确保选择正规的、经过认证的支付平台,例如银行的支付网关、第三方支付机构等。
这些平台通常会有严格的风控体系,能够保证支付过程的安全性。
2. 采用加密技术:在支付环节使用加密技术,例如SSL/TLS等,以确保支付信息的保密性和完整性,防止信息被窃取或篡改。
3. 多重身份验证:通过在支付过程中要求双方进行多重身份验证,例如密码、短信验证码、指纹识别等,以确保交易双方身份的真实性。
二、交易过程中的支付安全保障在电子商务交易过程中,为了确保支付的安全性,双方可以采取以下措施:1. 风险监测和评估:建立风险监测和评估体系,通过实时监测交易数据、用户行为等指标,及时发现异常情况并采取相应措施,例如冻结账户、拒绝支付等。
2. 使用安全支付通道:确保支付通道的安全性,采用安全的传输协议和加密技术,防止信息在传输过程中被窃取或篡改。
3. 强化账户安全管理:促使用户设立复杂的密码,定期更新密码,定期检查账户安全状态,及时发现并处理异常情况。
4. 提供支付纠纷解决机制:在合同中明确约定支付纠纷的解决办法,例如仲裁、法院诉讼等,为交易双方提供一种合理、公正的解决途径。
三、合同履行后的支付安全保障在合同履行阶段,为了确保支付的安全性,双方可以采取以下措施:1. 及时结算:约定合理的结算周期,及时进行支付和结算,减少资金滞留的风险。
2. 监督和审核:对交易数据进行监督和审核,确保支付的准确性和完整性,避免支付遗漏或错误。
3. 资金监管:针对大额交易,可以采取资金托管、担保交易等方式来管理和保障资金安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SSL协议工作原理SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。
在建立一次SSL连接之前,首先建立TCP/IP连接。
SSL协议可以让应用层协议透明地加以应用。
运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。
SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。
SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。
SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。
它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。
图5-1 SSL协议的分层结构SSL记录协议SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。
发送方记录层的工作过程如图5-2所示:图5-2 记录层的工作过程1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。
2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。
3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。
记录层用指定的MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。
4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。
图5-3 SSL记录协议中数据项的格式SSL握手协议图5-4 SSL建立新会话时的握手过程1)建立新会话时的握手过程握手协议用于数据传输之前。
它可以进行服务器与客户之间的身份鉴别,同时通过服务器和客户协商,决定采用的协议版本、加密算法,并确定加密数据所需的对称密钥,随后采用公钥加密技术产生共享机密信息(例如对称密钥)。
每次连接,握手协议都要建立一个会话。
会话中包含了一套可在多次会话中使用的加密安全参数,从而减轻了每次建立会话的负担。
然而,必须指出的是,SSL中的每次连接时,在握手协议中产生的对称密钥都是独特的,这种每次更换密钥的方法显然在更大程度上确保了系统的不易攻破性。
根据是否验证对方的证书,SSL的握手过程可以分为以下三种验证模式:客户和服务器都被验证;只验证客户机,不验证服务器,这是Internet上使用最广泛的形式;客户和服务器都不验证,也称为完全匿名模式。
SSL握手协议建立一个新的会话的过程如图5-4所示,具体如下:阶段1:确定一些相关参数,包括协议版本、会话ID、加密规格、压缩算法和初始随机数(1)客户端发送client_hello消息给服务器,向服务器传送客户端支持的SSL协议的版本号、加密算法的种类、MAC算法的种类、会话标识、密码属性(如hash块的大小),以及其他服务器和客户端之间通信所需要的各种信息。
(2)服务器以server_hello向客户应答,服务器端传选定的SSL 协议的版本号、加密算法的种类、MAC算法的种类、密码属性及其他相关信息。
阶段2:服务器端发送自身证书(或临时公钥)及证书请求,最后发送hello阶段结束信号。
(3)如果需要验证服务器,服务器将发送certificate消息。
服务器首先建立一个随机数,然后对这个随机数进行数字签名,将这个含有签名的随机数和服务器的证书,放在certificate消息中发送给客户端。
若不需要验证服务器证书,服务器发送包含其临时公钥的server_key_exchange消息。
(4)若服务器需要验证客户,则发送certificate_request消息(5)服务器发送hello_done消息,表示双方握手过程中的hello 阶段结束。
阶段3:客户端验证服务器端证书、发送自身证书、交换对称密钥。
(6)客户利用服务器传过来的信息验证服务器的合法性,发送certificate_verify消息,确定验证通过。
服务器的合法性包括:证书是否过期,发行服务器证书的CA是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。
如果合法性验证没有通过,通信将断开;如果合法性验证通过,则将继续进行下一步。
(7)客户端先随机产生一个用于后面通信的预主密码(pre-master-key),然后用服务器的公钥(从服务器的证书中获得)对其加密,再将加密后的预主密码通过client_key_exchange消息传给服务器。
(8)如果服务器要求客户的身份认证(在握手过程中为可选),客户端会首先建立一个随机数,然后对这个随机数进行数字签名,将这个含有签名的随机数和客户自己的证书放在certificate消息中,发送给服务器端。
如果客户端没有证书,则会回应no_certificate告警。
阶段4:双方确定加密规格,结束握手协议。
(9)客户端向服务器端发出chenge_cipher_spec信息,指明后面的数据通信将“预主密码”为对称密钥,同时向服务器发送finished 消息,表示完成了与服务器的握手。
(10)服务器检验客户证书和签名随机数的合法性,发送certificate_verify消息。
具体的合法性验证包括:客户的证书使用日期是否有效,为客户提供证书的CA是否可靠,发行CA的公钥能否正确解开客户证书的发行CA的数字签名,检查客户的证书是否在证书撤销列表(CRL)中。
检验如果没有通过,则通信立刻中断;如果验证通过,则服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生通信使用的主密码(master-key)(客户端也将通过同样的方法产生相同的主密码)。
(11)服务器向客户端发出change_cipher_spec信息,指明后面的数据通信将使用预主密码为对称密钥,同时发送finished消息,通知客户端服务器端的握手过程结束。
(12)SSL的握手部分结束,SSL安全通道的数据通信开始,客户和服务器开始使用相同的对称密钥进行数据通信,同时进行通信完整性的检验。
2)恢复一个已存在会话时的握手过程由上可以看出,SSL协议的握手过程是非常好使的,为了减少握手过程的交互次数,以及对网络带宽的占用,可将双方经过完整握手过程建立起来的会话状态记录下来。
在以后连接时,采用会话重用技术恢复会话过程,免去会话参数的协商。
SSL握手协议恢复一个已存在的会话的过程如图5-5所示。
客户端发送client_hello消息给服务器,其中的session id是要恢复的会话的标识,服务器在会话缓存中检查是否有这个会话标识:若有,服务器将在相应的会话状态下建立一个新的连接,服务器发送含有session id的server_hello;若没有,服务器会生成一个新的session id,建立一个新的会话过程。
当通过恢复一个会话建立一个连接时,这个新的连接将继承这个会话状态下的压缩算法、加密规格和预主密码。
但该连接会产生新的随机数和通信密码。
图5-5 SSL恢复一个已存在会话时的握手过程5.1.4 SSL协议的缺陷根据以上内容可知,SSL协议所采用的加密算法和认证算法使它具有一定的安全性,能够在一定程度上抵抗某些攻击。
除此之外SSL 协议具备很强的灵活性,在浏览器中大都建有SSL功能。
但是SSL协议也有很多缺陷,具体如下:(1)密钥管理问题设计一个安全秘密的密钥交换协议是很复杂的,因此,SSL握手协议中客户机和服务器在互相发送自己能够支持的加密算法时,是以明文传送的,存在被攻击修改的可能。
(2)加密强度问题服务器证书分为高端和低端两种,高端证书加密强度比低端证书高。
SSL通信中具体达到的加密强度与客户操作系统、浏览器版本、网络服务器的所采用的证书等因素相关。
如许多客户的系统不支持128位强度的加密链接,即便服务器证书可以支持128位,客户端也自动降低加密强度,除非他采用了支持SCG技术的服务器证书(强制型),方可实现128位加密强度。
因此,客户机的性能将会影响到SSL 的安全性。
(3)数字签名问题SSL协议对握手之后的通信内容没有数字签名功能,即没有抗否认服务。
若要增加数字签名功能,则需要在协议中打“补丁”。
这样做,在用于加密密钥的同时又用于数字签名,这在安全上存在漏洞。
后来PKI体系完善了这种措施,即双密钥机制,将加密密钥和数字签名密钥二者分开,成为双证书机制。
这是PKI完整的安全服务体系。
(4)必须建立在可靠连接基础上SSL协议的底层协议仅限于TCP协议。
由于SSL要求有TCP通道,所以对于使用UDP协议的DNS类型的应用场合是不适合的。
(5)多方通信表现欠佳由于SSL的连接本质上是一对一的,所以在通信方只有两个的情况下它会工作的很好。
在多对多的环境中,它的表现欠佳。
双重签名双重签名是SET协议中的一个重要技术。
生成双重签名的流程如图5-7所示。
假设持卡人为C,商家为M,银行支付网关为B,则双重签名的生成过程如下:图5-7 双重签名生成过程(1)产生发订购信息OI(Order Information)和支付指令PI (Payment Information)。
(2)产生OI、PI的摘要H(OI),H(PI)。
(3)连接H(OI)和H(PI)得到OP,(4)生成OP的摘要H(OP),(5)用C的RSA私钥K cp签名H(OP),得到sign[H(OP)],称为双重签名。
通过一系列交互和加解密过程,M将获得的数据包括OI、H(P1)和sign[H(OP)],B将获得的数据包括PI、H(OI)和sign[H(OP)] 。
下面以M为例,介绍验证双重签名的过程。
C验证双重签名的过程与此相似,不再赘述。
M验证双重签名的过程如图5-8所示,具体如下:图5-8 双重签名验证过程(1)用收到的OI,生成H' (OI)(2)将H' (OI)与接收到的摘要H (PI)连接生成OP(3)得到OP'的摘要H (OP')(4)用C公钥K cu解开Sign[H(OP)],得到H(OP)(5)比较H (OP')与H(OP)是否相同。
如果相同,则表示数据完整且未被篡改。
在交易中持卡人发往银行的支付指令是通过商家转发的,双重签名避免了交易的过程中商家窃取持卡人的信用卡信息,也避免了行跟踪持卡人的行为,侵犯消费者隐私;同时还不影响商家和银行对持卡人所发信息的合理的验证,以及银行和商家之间的沟通,保证当商家同意持卡人的购买请求后再让银行给商家付费。