|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
安全电子交易(Secure Electronic Transaction,SET)协议是用于银行卡网上交付的协议。安全措施主要包含对称密钥系统、公钥系统、消息摘要、数字签名、数字信封、双重签名和认证等技术。消息摘要主要解决信息的完整性问题,即是否被修改过。数字信封是用来给数据加密和解密的。双重签名是将订单信息和个人账号信息分别进行数字签名,保证商家只看到订货信息而看不到持卡人账户信息,并且银行只能看到账户信息,而看不到订货信息。因此它成为公认的信用卡或者借记卡网上支付的国际标准。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
早期信用卡业务都是利用手工方式进行处理的。伴随计算机等先进技术的逐渐成熟,信用卡业务经过几十年的发展,基本上实现了电子化。信用卡的各项用途和基本功能,是由发卡银行根据社会需要和银行内部承受能力赋予的。信用卡具有下列四项基本功能:
|
|
|
|
|
|
顾客凭信用卡在指定的商场、饭店购物消费后,所需支付的款项,可以用信用卡签单方式办理支付,这是信用卡最主要的功能。它为社会提供广泛的结算服务,方便持卡人和商家的购销活动,免于支付现金。
|
|
|
|
|
|
凭信用卡可在同城或异地发卡银行指定的储蓄所办理存取款业务。用信用卡办理存款和取款手续比使用储蓄存折方便,不受存款地点和存款储蓄所的限制,可在开办信用卡业务的城市通存通取,并且凭信用卡支取现金。个人领用信用卡开立存款账户,发卡银行按照同期活期储蓄利率计付利息。
|
|
|
|
|
|
当持卡人外出旅游、办事,需在外地支取现金时,可在发卡银行办理存款手续,然后凭卡在汇入地银行办理取款手续。在我国,异地支取现金的手续费比照邮政银行,按取款金额的1%收取;异地存入现金的手续费比照中国人民银行结算办法有关汇兑收费的规定,千元以下的按1%收取,千元以上的收费10元,同城范围内存取现金免收手续费。
|
|
|
|
|
|
这是信用卡最本质的特点。持卡人凭借信用卡可从发卡人处获得一定的信用,也就是说,持卡人可从发卡人处获取一定额度的贷款或一定的延期付款期限,信用卡这一特点,使其与借记卡区别开来。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改,通常使用报文摘要的方法。
|
|
|
|
|
|
如果通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心(Key Distribution Center,KDC),如下图所示,其中的A和B分别代表发送者和接收者,KA、KB分别表示A、B与KDC之间的共享密钥。
|
|
|
|
|
|
|
|
认证过程如下:A向KDC发出消息{A,KA(B,KS)},说明自己要与B通信,并指定了与B会话的密钥KS。注意,这个消息中的一部分(B,KS)是用KA加密的,所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{KB(A,KS)}发给B。B用KB解密后就得到了A和KS,然后就可以与A用KS会话了。
|
|
|
|
然而,主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主,B代表银行。第三者C为A工作,通过银行转账取得报酬。如果C为A工作了一次,得到了一次报酬,并偷听和复制了A和B之间就转账问题交换的报文,那么贪婪的C就可以按照原来的次序向银行重发报文2,冒充A与B之间的会话,以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥KS,只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。
|
|
|
|
|
|
这种认证协议如下图所示。A向B发出EB(A,RA),该报文用B的公钥加密。B返回EA(RA,RB,KS),用A的公钥加密。这两个报文中分别有A和B指定的随机数RA和RB,因此能排除重放的可能性。通信双方都用对方的公钥加密,用各自的私钥解密,所以应答比较简单。其中的KS是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
