安全認(rèn)證模式下的網(wǎng)上支付安全問題研究

安全認(rèn)證模式下的網(wǎng)上支付安全問題研究

隨著電子商務(wù)近年來的快速發(fā)展，電子支付已成為人們常見的支付方式。國內(nèi)各大銀行都已建立了自己的網(wǎng)上銀行。僅2003年一年,工商銀行網(wǎng)上銀行交易額接近20萬億,比上一年度增長35%;建設(shè)銀行也達(dá)到1萬億,比上一年度增長25%。中國銀聯(lián)成立以后,銀行卡業(yè)務(wù)在中國飛速發(fā)展。相比郵政匯款、銀行電匯,銀行卡網(wǎng)上支付由于其高實(shí)時(shí)、便捷性,成為網(wǎng)上BtoC業(yè)務(wù)的一種主要支付手段。BtoC網(wǎng)上支付是一個(gè)“四角模式”,它包括:消費(fèi)者(持卡人)、商戶、收單行、發(fā)卡行。常規(guī)流程是:(1)消費(fèi)者瀏覽商戶網(wǎng)站并進(jìn)行商品選擇;(2)消費(fèi)者在信息確認(rèn)頁面按提交來確認(rèn)支付,提交支付信息;(3)商戶網(wǎng)站與發(fā)卡銀行確認(rèn)持卡人的合法性;(4)商戶網(wǎng)站將支付信息發(fā)送到支付網(wǎng)關(guān);(5)支付網(wǎng)關(guān)將網(wǎng)上支付信息轉(zhuǎn)化為銀行交易處理的標(biāo)準(zhǔn)化信息(ISO8583),并送到收單銀行,收單銀行通過銀行卡網(wǎng)絡(luò)得到發(fā)卡銀行的授權(quán)后完成支付。由于在網(wǎng)上的銀行卡支付交易雙方不見面,傳輸環(huán)節(jié)多,網(wǎng)絡(luò)環(huán)境復(fù)雜,因此網(wǎng)上支付的安全問題,如身份驗(yàn)證、抗抵賴、數(shù)據(jù)私密及完整成為交易各方普遍關(guān)注的問題。一、銀行卡身份驗(yàn)證系統(tǒng)的應(yīng)用2001年,VISA和MasterCard都推出了自己的銀行卡網(wǎng)上支付標(biāo)準(zhǔn)。VISA推出的是3-Dsecure標(biāo)準(zhǔn)(名稱為VerifiedbyVISA),MasterCard推出的是UCAF標(biāo)準(zhǔn)(名稱為SecureCode)。VISA的3-D(Domain,域)標(biāo)準(zhǔn)是一個(gè)開放的標(biāo)準(zhǔn),美國運(yùn)通、大萊、JCB等機(jī)構(gòu)都已經(jīng)或準(zhǔn)備采用此標(biāo)準(zhǔn)。下面分別就這兩種安全認(rèn)證模式進(jìn)行分析。(1)交易原理3-DSecure包含3個(gè)不同的域:發(fā)卡方域——包括持卡人(瀏覽器)和其發(fā)卡機(jī)構(gòu)(ACS服務(wù)器、注冊服務(wù)器ES);收單方域——包括商戶(MPI插件)和其收單機(jī)構(gòu)(驗(yàn)證服務(wù)器);中間操作域——包含目錄服務(wù)器(DS)和驗(yàn)證歷史服務(wù)器(AHS),由VISA負(fù)責(zé)發(fā)卡機(jī)構(gòu)和收單機(jī)構(gòu)之間的驗(yàn)證信息交互。在進(jìn)行3-DSecure交易前,用戶需要完成一個(gè)注冊過程:(1)持卡人訪問發(fā)卡機(jī)構(gòu)的3-DSecure登記網(wǎng)頁。(2)持卡人提供信用卡的卡號、有效期以及其他個(gè)人信息,以便登記網(wǎng)站進(jìn)行核實(shí)。同時(shí)與發(fā)卡機(jī)構(gòu)之間建立一個(gè)共享的秘密信息,如密碼、個(gè)人私密問題等。(3)發(fā)卡機(jī)構(gòu)對用戶提供的信息進(jìn)行驗(yàn)證,確認(rèn)登記人是持卡人,并向持卡人返回一個(gè)3-D密碼。如果持卡人是智能卡,驗(yàn)證過程要確認(rèn)持卡人在登記的同時(shí)確實(shí)擁有該智能卡。(4)發(fā)卡機(jī)構(gòu)存儲(chǔ)驗(yàn)證信息。并把信息提供給AccessControlServer。至此,持卡人就可以利用3-D支付進(jìn)行網(wǎng)上購物了。在整個(gè)登記過程中,VISA并不參與。有了3-D密碼,持卡人就可以利用3-DSecure進(jìn)行網(wǎng)上支付了,其交易流程如圖1所示。3-DSecure是一個(gè)基于SSL協(xié)議、重點(diǎn)解決安全認(rèn)證的銀行卡網(wǎng)上支付協(xié)議。它利用了SSL在加密傳輸和數(shù)據(jù)完整方面的特點(diǎn),同時(shí)又弱化了數(shù)字證書給客戶帶來的不方便性,采用持卡人使用口令來進(jìn)行身份認(rèn)證的方法,保證交易的安全。(2)身份驗(yàn)證3-D將身份驗(yàn)證和授權(quán)分為兩個(gè)階段。持卡人在登記注冊過程中,提交自己的銀行卡信息,并獲取3-D密碼。以后在進(jìn)行網(wǎng)上支付時(shí),持卡人將在身份驗(yàn)證頁面內(nèi)向發(fā)卡行提交3-D密碼。3-D密碼就是標(biāo)識該持卡人的身份信息,類同于傳統(tǒng)交易中借記卡的密碼或信用卡的簽名。持卡人確認(rèn)交易時(shí),發(fā)卡銀行將對持卡人進(jìn)行身份確認(rèn),驗(yàn)證3-D密碼無誤后,發(fā)卡行使用CVV計(jì)算方法計(jì)算出CAVV值,并通過持卡人傳到商戶、再從商戶傳到收單機(jī)構(gòu),收單行構(gòu)造交易授權(quán)請求,并將CAVV置于授權(quán)請求內(nèi),傳回發(fā)卡行。發(fā)卡行利用收單行傳來的交易數(shù)據(jù)并與傳來的CAVV匹配,如一致,則發(fā)卡機(jī)構(gòu)確認(rèn)已經(jīng)對持卡人進(jìn)行了身份驗(yàn)證,并據(jù)此將授權(quán)響應(yīng)傳到收單行。(1)這種驗(yàn)證方式支持密碼口令、數(shù)字證書、智能卡、移動(dòng)設(shè)備、短消息等多種措施來進(jìn)行身份驗(yàn)證。其中最為大眾普遍接受的模式是密碼口令。(2)加強(qiáng)了持卡人對發(fā)卡行的驗(yàn)證:持卡人在登記的過程中,發(fā)卡行要求持卡人填入“個(gè)人保障信息”,該信息將在持卡人支付過程中,發(fā)卡行對其進(jìn)行身份驗(yàn)證的頁面上出現(xiàn),這樣就確保持卡人填入密碼的頁面,確實(shí)來自于發(fā)卡行。這種手段是針對不法商戶偽造銀行身份驗(yàn)證頁面來獲取持卡人密碼的犯罪行為而制訂的。(3)身份驗(yàn)證與授權(quán)的連接點(diǎn)——CAVV值:CAVV的計(jì)算方法是采用CVV的計(jì)算方法(標(biāo)準(zhǔn)方法和ATN方法)。它的值是對主賬號,加入交易序列號(在標(biāo)準(zhǔn)CVV中由商戶產(chǎn)生、在ATN方法中由發(fā)卡行ACS產(chǎn)生)和一些認(rèn)證狀態(tài)值,然后進(jìn)行DES運(yùn)算和數(shù)學(xué)運(yùn)算(XOR、MOD運(yùn)算)產(chǎn)生的結(jié)果。DES的密鑰由發(fā)卡行自己管理。由于CAVV值與持卡人賬號(身份信息)有關(guān)聯(lián),并加入交易序列號等隨機(jī)因素(每次都變化、抗分析),并使用加密方法(只有發(fā)卡行掌握、不可仿冒),因此它能夠標(biāo)識請求本次交易的持卡人身份,并做為證明發(fā)卡行對該用戶已經(jīng)認(rèn)證的依據(jù)。(4)商戶與收單行、商戶與目錄服務(wù)、發(fā)卡行與目錄服務(wù)器、發(fā)卡行與驗(yàn)證歷史服務(wù)器等都可以使用數(shù)字證書來進(jìn)行身份驗(yàn)證。(3)數(shù)據(jù)傳輸安全與完整各個(gè)點(diǎn)對點(diǎn)的通信環(huán)節(jié)(除持卡人以外)都使用數(shù)字證書+SSL/TLS,來保證通道加密和數(shù)據(jù)完整。(4)抗抵賴3-D的交易不可否認(rèn)性依賴于VISA的驗(yàn)證歷史服務(wù)器。每一次交易,在發(fā)卡行向持卡人發(fā)送帶有發(fā)卡行數(shù)字簽名的驗(yàn)證響應(yīng)信息的同時(shí),發(fā)卡行都向驗(yàn)證歷史服務(wù)器傳輸包含上述帶發(fā)卡行簽名的響應(yīng)信息的一份拷貝,同時(shí)附上商戶和持卡人的相關(guān)信息及有關(guān)本次交易的訂單序列號、持卡人主賬號等交易相關(guān)信息。這些信息歷史記錄作為證據(jù),在持卡人抵賴交易時(shí),VISA作為第三方機(jī)構(gòu)提供這些記錄。由于3-DSecure不強(qiáng)制要求持卡人使用數(shù)字證書,因此無法達(dá)到數(shù)字簽名的嚴(yán)格的抗抵賴性。但是VISA作為除發(fā)卡行、商戶和持卡人以外的第三方單位,它提供的歷史記錄,也為交易糾紛提供了一定的不可否認(rèn)的證據(jù)。MasterCard于2002年9月推出了新的網(wǎng)上交易方式——SecureCode,適用于MasterCardR和MaestroR品牌的信用卡和借記卡。它利用了UCAF(UniversalCardholderAuthenticationField,此隱藏域?yàn)槌挚ㄈ说恼J(rèn)證信息)域和SPA算法(SecurePaymentApplication,基于發(fā)卡行的遠(yuǎn)程交易安全方法)。為了支持VISA的3-D,它還提供了一種3-D的認(rèn)證方式,修改了3-D的部分內(nèi)容來兼容UCAF和SPA運(yùn)算,但對3-D的定義、消息、協(xié)議未做任何改變。下面分別討論這兩種模式。(1)PC認(rèn)證解決方案與VISA3-DSecure不同,它只有兩個(gè)域:發(fā)卡行域——持卡人(瀏覽器和相關(guān)軟件SPAApplet)和發(fā)卡行(注冊服務(wù)器、SPA驗(yàn)證服務(wù)器和AAV驗(yàn)證模塊);收單行域——商戶(包含UCAF隱藏域、AAV驗(yàn)證模塊)和收單行。持卡人需要使用一個(gè)基于SPA的Applet,用戶可以從發(fā)卡行下載(或其它手段從發(fā)卡行獲得)。在用戶瀏覽帶有支持SPA支付網(wǎng)頁時(shí),該軟件能自己激活。與3-D類似,持卡人也需要有一個(gè)登記過程來獲取SecureCode。擁有此碼后,持卡人可以進(jìn)行網(wǎng)上支付。交易流程如圖2所示。SecureCode的最普及的認(rèn)證模式也是采用口令(SecureCode密碼)。持卡人在登記注冊過程中,提交自己的銀行卡信息,并獲取自己的SecureCode。該密碼就是標(biāo)識持卡人的身份信息,類似于3-D密碼。發(fā)卡行確認(rèn)持卡人身份后,產(chǎn)生AAV值(AccountholderAuthenticationValue)并以此作為授權(quán)交易憑據(jù)。商戶通過收單行發(fā)來交易請求時(shí),發(fā)卡行將驗(yàn)證AAV值。SecureCode的身份驗(yàn)證和授權(quán)驗(yàn)證原理與3-D十分相似,它們都是在身份驗(yàn)證完成后,對持卡人的賬號和其它交易信息,利用一定的方法(如加密等)生成“驗(yàn)證令牌”。生成驗(yàn)證令牌的方法只能被發(fā)卡行掌握。這個(gè)“驗(yàn)證令牌”作為對持卡人已經(jīng)完成身份驗(yàn)證可以授權(quán)響應(yīng)的憑據(jù)。這種身份驗(yàn)證的特點(diǎn)有:(1)驗(yàn)證方式:支持密碼口令、智能卡方式。其中應(yīng)用較多的模式,是采用密碼口令的方式。(2)與3-D類似,加強(qiáng)了持卡人對發(fā)卡行的驗(yàn)證,持卡人在登記的過程中,發(fā)卡行要求持卡人填入“個(gè)人保障信息”,該信息將在持卡人支付過程中,發(fā)卡行對其進(jìn)行身份驗(yàn)證的頁面上出現(xiàn)。(3)安全交易令牌—AAV值。AAV的值是由本次交易的交易金額、商戶名稱HASH、交易序列碼、商戶交易印章和發(fā)卡行定義數(shù)據(jù)組成。發(fā)卡行定義數(shù)據(jù)有兩種生成方法,即加密方法和比較方法。加密方法適用于生成AAV的設(shè)備和驗(yàn)證AAV的設(shè)備不能實(shí)時(shí)交互的情形;比較方法適用于生成AAV的設(shè)備和驗(yàn)證AAV的設(shè)備能夠?qū)崟r(shí)交互的情形。發(fā)卡行定義數(shù)據(jù)是對持卡人的主賬號,加入交易序列號,再根據(jù)生成方法的不同采用加密或加入隨機(jī)數(shù)并進(jìn)行數(shù)學(xué)運(yùn)算生成。各個(gè)點(diǎn)對點(diǎn)的通信環(huán)節(jié)都使用SSL/TLS保證通道加密和數(shù)據(jù)完整。SecureCode交易不可否認(rèn)性依賴于發(fā)卡行的日志記錄和AAV值。AAV值里包含交易序列號、商戶名稱、交易金額以及與此相對應(yīng)的一次性發(fā)卡行定義數(shù)據(jù)。由于發(fā)卡行定義數(shù)據(jù)是對主賬號、交易序列號使用加密或其它方法運(yùn)算生成,這種方法只被發(fā)卡行掌握,他人無法仿冒,因此可以極大減少交易糾紛。AAV配合交易記錄,能為交易不可否認(rèn)提供一定的證據(jù)。與VISA3-DSecure類似,由于它不強(qiáng)制要求持卡人使用數(shù)字證書,因此無法達(dá)到數(shù)字簽名的嚴(yán)格的抗抵賴性。(2)3-D解決方案SecureCode內(nèi)的3-D方案,與VISA的非常相似。同樣也有三個(gè)域,內(nèi)容也大致相同,區(qū)別在于:(1)持卡人端還裝有持卡人軟件(SPAapplet);(2)發(fā)卡行還裝有AAV驗(yàn)證服務(wù)器;(3)驗(yàn)證歷史服務(wù)器作為可選項(xiàng)使用。它的登記過程與PC認(rèn)證解決方案一致。它的網(wǎng)上支付流程與VISA3-D流程也非常相似,區(qū)別在于:(1)發(fā)卡行對持卡人驗(yàn)證成功后,不產(chǎn)生CAVV,而是產(chǎn)生AAV值,AAV值作為授權(quán)的憑證;(2)AAV值可以不發(fā)往AHS服務(wù)器,而是由發(fā)卡行自行歸檔,作為交易糾紛的證據(jù)。身份驗(yàn)證、通道安全及抗抵賴性與VISA3-Dsecure相同。口令身份驗(yàn)證是3-DSecure和SecureCode的主要認(rèn)證方式。兩種模式都引入了CAVV或AAV這樣的“一次性簽名”,作為身份驗(yàn)證通過、交易授權(quán)的憑據(jù)。由于這種“一次性簽名”,是把主賬號和交易序列號再加上一次性數(shù)據(jù)進(jìn)行綁定,雖然它無法提供基于數(shù)字證書的數(shù)字簽名的嚴(yán)格抗抵賴,但也為交易的糾紛提供了一定的數(shù)據(jù)依據(jù)。二、中國銀行在線支付模式安全分析1、收提單的實(shí)現(xiàn)國內(nèi)的銀行卡網(wǎng)上支付近幾年來發(fā)展迅速,這主要得益于它的方便、快捷和實(shí)時(shí)到賬的優(yōu)點(diǎn)。除了國內(nèi)大銀行建立的網(wǎng)上商城,發(fā)卡行與收單行同屬一行這種情形,其它的大型網(wǎng)上商城,為了方便持卡人和商家實(shí)現(xiàn)網(wǎng)上跨行支付,基本都利用了銀聯(lián)建立的支付網(wǎng)關(guān)的跨行特點(diǎn),以銀聯(lián)網(wǎng)關(guān)作為網(wǎng)上交易和傳統(tǒng)卡交易的信息轉(zhuǎn)接。這種架構(gòu)不同于國外的網(wǎng)上支付模式,發(fā)卡行和收單行并不在Internet上,銀聯(lián)網(wǎng)關(guān)將網(wǎng)上交易信息轉(zhuǎn)化為ISO8583格式進(jìn)入銀行卡網(wǎng)絡(luò),提交到發(fā)卡行和收單行進(jìn)行處理,其流程如圖3所示。2、銀校和信用卡驗(yàn)證采