《基于set的支付网关的研究与设计》由会员分享,可在线阅读,更多相关《基于set的支付网关的研究与设计(72页珍藏版)》请在金锄头文库上搜索。
1、华中科技大学 硕士学位论文 基于SET的支付网关的研究与设计 姓名:袁姗姗 申请学位级别:硕士 专业:计算机应用技术 指导教师:卢正鼎 20060508 华 中 科 技 大 学 硕 士 学 位 论 文 IV 摘 要 电子商务系统本身具有的实时性、便捷性等特性给它的应用带来了灵活的特点, 但同时也引入了网上交易和网上支付的安全问题。安全支付网关是银行与互连网之 间的安全枢纽,是电子商务中最重要的部分,由于 SSL(Secure Sockets Layer) 具有实现简单,处理交易便捷的特点,目前国内大部分使用基于 SSL 协议实现方式 的支付网关。但由于其密钥位数不高,敏感信息以明文形式存在于服
2、务器上,使得 其安全性不够高。 在分析比较了目前的两种电子商务交易协议 SSL 和 SET 的基础上,结合银行内 部金融网的特点,对如何保证电子商务环境下的支付安全,身份认证等技术进行了 探讨和研究。基于 SET 的安全支付网关采用密钥密码技术,数字签名技术以及数字 证书技术,成为银行金融网和互连网之间的一道安全屏障,完成了二者之间的数据 通信和协议转换,使电子商务交易的安全性大大提高。 研究和设计基于 SET 的安全支付网关,首先明确了支付网关在整个电子商务体 系中物理和逻辑的位置。由于 SET 是基于消息流的协议,在分析了 SET 所定义的支 付方式的消息流、数据流和安全技术的基础上,归纳
3、出支付网关应该完成的数据通 信功能和应处理的交易各方的消息流,设计了安全支付网关的数据结构和消息集合, 给出了支付网关应用的数据格式,建立了一个消息通信的模型并采用基于身份认证 的证书体系和数字签名技术保证了参与交易的各方之间通讯消息的安全性,进而设 计了基于 SET 的安全支付网关的系统模型,实现了支付网关保证电子商务交易安全 性的功能。 关键词:电子商务,安全电子商务标准协议,支付网关,支付安全 华 中 科 技 大 学 硕 士 学 位 论 文 V Abstract The security payment gateway is the hinge between the bank and
4、the internet, is the most inportant part of the E-Commerce. At present, most of the payment gateway are executed based on the SSL protocol, cause the simpleness and the convenient of the SSL protocol. But the shortcoming of the SSL protocol is that the secret-key of the encrpytion is not long enouth
5、 , and the sensitive imformation is exposive on the server of the web. So, we say that the payment gateway based on the SSL protocol is not security enough. The security payment gateway based on the SET protocol uses the secret-key encrpytion, numeric idiogragh and the numeric certification, which p
6、rovide the enough security. The security payment gateway becomes the security barrier between the Internet and the finance net. At the same time, the payment gateway transforms the protocol between them, and does the communication. So, we provide the payment on-line. Researching and designing the pa
7、yment gateway based on the SET, we must know the physical and logistic position of the payment gateway in the E-commerce system, and the function of it. SET is the protocol that based on the message-flow, this paper analyse the message-flow and the data-flow of the SET payment, design the data-frame
8、 and message-collection of the security payment gateway based on the SET protocol, and the encrytion realization.We make the detailed analysis and design about the message-flow of the payment gateway based on the SET, in succession, advance the prototype system of the payment gateway, realize the se
9、curity-payment based on the SET. Key words: E-commerce, Secure Electronic Transactions Protocol, Payment gateway,Payment Secure. 华 中 科 技 大 学 硕 士 学 位 论 文 III 独创性声明独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体,均已在 文中以明确方式标明。本人完全意识到,本声明的法
10、律结果由本人承担。 学位论文作者签名: 日期: 年 月 日 学位论文版权使用授权书学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。 本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密 ,在_年解密后适用本授权书。 不保密。 (请在以上方框内打“” ) 学位论文作者签名: 指导教师签名: 日期: 年 月 日 日期: 年 月 日 本 论 文 华 中 科 技 大 学 硕 士 学 位 论 文 1
11、 1 绪 论 在 21 世纪知识经济时代,信息技术已成为社会生产力中重要的组成部分。电子 商务可以使得持卡人(Cardholder)和商户(Merchant)可以 24 小时获得信息查询和 订货服务,方便了用户,提高了效率,并降低了商户的运营成本。正是由于电子商 务的这种强大的经济效益,驱动着世界各国的商户由传统商务向电子商务的转移, 实现电子商务是增强商户竞争力的有力手段。从某种意义上说,电子商务已经成为 人类真正进入电子信息社会的标志。而是否具有在线支付功能是电子商务是否完整 的一个重要标志,而支付的安全性又是整个支付过程乃至整个电子商务过程的核心 问题。因而,如何保证和实现在电子交易过程
12、中的支付安全性是具有重要研究价值 和现实意义的课题。 传统的电子商务中的支付模式多为: 电子货币, 离线第三方支付 (如 First Virtual 系统) ,都不是完全基于 SET 模式的支付,因而都存在潜在的可攻击漏洞,或只适合 于特定的小范围交易。 为了确保电子商务的安全性,VISA 和 MasterCard 两大国际信用卡组织于 1997 年 6 月联合制定发布了 Secure Electronic Transactions Protocol(安全电子交易协议), 即 SET 协议。根据 SET 协议中的规定,支付环节由收单行或是收单行指定的第三方 完成,在银行金融内部网和外部公用网之
13、间应建立一道安全屏障,即支付网关。目 前在国内,对安全支付网关的实现,多采用 SSL 实现方式,主要是由于其实现简单, 速度较快的优点。但存在缺乏完整的认证机制和密钥位数不够高的缺点,因而安全 性不够。所以,为电子商务应用提供一个既有足够安全性,又有较高实现速度的安 全支付网关系统就成为了一个亟待解决的问题。 1.1 课题背景 支付网关的建设是整个电子商务构建过程当中最为重要的一环,目前国内在支 付网关的建设方面经验相当缺乏,因而研究安全的支付网关技术是非常具有现实意 华 中 科 技 大 学 硕 士 学 位 论 文 2 义和研究价值的。支付网关是参与电子商务交易的三方(即持卡人,商户,收单行)
14、 之间进行消息传送的接口和中介,连接了各方的业务后台系统。 随着银行业应用电子商务的步伐越来越快,支付网关将大量用于银行业,在给 银行业带来巨大经济效益的同时,也带来了新的风险。电子商务的应用层次越高, 对互联网的依赖程度越大,那么所面临的风险也相应的越大。因而,如何提高系统 的安全性,有效保护用户的敏感信息,是我们进行研究的时候应该首要考虑的问题。 另外,如何尽可能地缩减系统开销和能耗,缩短交易时间;以及使支付网关对 各种交易模式和业务系统都具有可扩展性,也是我们在研究的时候应该考虑的问题。 1.2 国内外研究概况 1.2.1 国内外的研究成果 1. 电子商务安全体系结构的研究现状 随着网上
15、业务和技术的发展,电子商务成为了一个含义广泛和使用普遍的概念, 简单地说,它是指商务流程的电子化。目前,国内外研究和使用较多的电子商务安 全体系,主要包含以下这样的一些组件:电子钱包;电子收款组件;支付网关软件; CA 认证。在网上商务活动中,要求数据和信息以加密方式传送,这样就要使用到安 全协议和规范。目前电子商务领域使用的多为 SET 和 SSL 这样两种协议。而又由于 SSL 实现较 SST 更为简单,成本较低,所以实际应用中 SSL 居多,但随着网上电子 商务越来越多的应用,交易的安全性将是电子商务各方首要考虑的问题。而 SET 因 为具有优越的安全性,越来越呈现出取代 SSL 在电子
16、商务领域应用的趋势。 2. 支付系统的研究现状 在电子商务中,是否具有真正意义上的安全的在线的支付功能是判断整个电子 商务流程完整性的一个重要方面,因而支付系统的研究一直是国内外研究领域的研 究重点。 (1) 传统的支付模式 采用可信任的第三方的支付模式: 美国的 First Virtual 就是这种模式的典型代表。 华 中 科 技 大 学 硕 士 学 位 论 文 3 持卡人和商户的敏感信息由可信任的第三方托管和维护。在网络上传送的消息不包 括任何敏感信息,真正的金融交易都是离线实施的,而在开始交易之前,持卡人和 商户都必须到第三方进行注册,才能够进行在线交易。这种模式的特点决定了它仅 适合小面额交易; 电子货币(Electronic Money)和数字现金(Digital Cash)的模式:数字现金是 一种表示现金的加密序列数。ECash 系统就是这种模式的典型。用户使用 ECash 客户软件,在银行提取,并在自己的计算机上存储 ecash 货币,支付者的身份是非 公开
