《安全电子交易协议SET》由会员分享,可在线阅读,更多相关《安全电子交易协议SET(61页珍藏版)》请在金锄头文库上搜索。
1、第六章 安全电子交易协议SET l6.1SET协议总述 l6.2SET协议信息结构 l6.3SET协议的扩展 l6.4SET购物B2C电子商务6.1SET协议总述l6.1.1SET协议介绍 l6.1.2基本概念l6.1.3证书发行 l6.1.4购物类型 6.1.1SET协议介绍l安全电子交易协议SET(Security Electronic Transaction)是由Visa和Master Card所开发的,是为了 在Internet上进行在线交易时,保证信用卡支付的安全 而设计开发的一个开放的规范。由于得到了IBM、HP、 Microsoft、NetScape、GTE、Verisign等很
2、多大公司的 支持,它已成了事实上的工业标准,目前它已获得 IEEE标准的认可。lSET提供了消费者、商家和银行之间的认证,确保了网 上交易数据的保密性、数据的完整性及交易的不可抵赖 性。特别是能保证不将消费者银行卡号暴露给商家,不 将消费者的购物内容暴露给银行等优点,SET在一些国 家中得到很好的应用。 lSET采用公钥密码体制,遵循X.509数字证书标准。 6.1.1SET协议介绍lSET协议使用加密技术提供信息的机密性,保 证支付的完整性,验证商家和持卡者。l支付安全的目标是:l验证持卡者、商家和收单行,为支付数据提 供机密性。l保护支付数据的完整性,为这些安全服务定 义算法和协议。6.1
3、.1SET协议介绍lSET为了保证互操作性,可采取以下措施 :l清晰定义消息信息;l保证不同开发商的应用程序能够协同工作;l产生和支持一个开发支付卡标准;l定义一种便于出口的技术以便在全球使用;l利用现有的标准,保证与标准化团体的兼容,可 以在任何软件和硬件平台使用,如Power-PC、 Intel、Spare、UNIX、MS-DOS、OS2、 Windows、Macintosh。6.1.1SET协议介绍lSET为了保证市场能够接受,采取以下措 施:l为商家和持卡者提供方便的应用,最低限度降低 现有应用的改变;l为现有客户应用的支付协议提供插件应用;l降低对收单行、商家、持卡者之间关系的改变;
4、l降低对现有商家、收单行、支付系统应用和结构 的改变;l为金融机构提供有效的协议。 6.1.1SET协议介绍l1SET的商业要求 l2SET应用在购物过程的环节l3SET协议的主要内容1对SET的商业要求lSET协议建立在以下7个商业要求的基础上。l(1)为支付信息提供机密性,保证与支付信息同时传输的 订购信息的机密性。 l(2)保证所有传输数据的完整性。l(3)为持卡者提供认证,保证一个持卡者是一个支付卡账 户的合法用户。 l(4)为商家提供认证,保证商家通过一个收单行金融机构 ,可以接收该品牌的支付卡的交易。 l(5)保证使用最好的安全技术和系统设计,来保护所有电 子商务交易的合法参与者。
5、 l(6)创建一个不依赖于传输安全机制的协议。l(7)鼓励网络和软件提供商支持互操作性。2SET应用在购物过程的环节 lSET制定了电子商务的部分消息协议,这些协议对 电子商务来说是必需的,主要支持支付卡的使用。l一个电子购物的典型过程如下。l(1)持卡者用各种方式浏览购物清单,如使用 Internet浏览器、查看购物光盘、翻看邮购目录等。l(2)持卡者选择要订购的物品项目。l(3)持卡者填写订购单,包括所订购物品的列表、价 格、合计等,订购单可以用电子方式传输给商家。l(4)持卡者选择支付方式,SET协议关心的是采用一 种支付卡 2SET应用在购物过程的环节l(5)持卡者向商家发出一个包含支
6、付指示的完全 订购单。在SET协议中、订购和支付由拥有证 书的持卡者数字签名。l(6)商家从持卡者的金融机构请求得到支付授权 。l(7)商家发出订购确认信息。l(8)商家发运商品或者执行订购的服务。l(9)商家从持卡者的金融机构请求付款。l当持卡者选择使用支付卡时,SET协议主要完 成电子购物步骤中的(5)(9)步。 3SET协议的主要内容 l在SET协议中主要定义了以下内容。l(1)加密算法的应用(如RSA和DES)。l(2)证书消息和对象格式。l(3)购买消息和对象格式。l(4)请款消息和对象格式。l(5)参与者之间的消息协议。 6.1.2基本概念l1.支付系统参与者 l2.加密概念 1.
7、支付系统参与者lSET改变了一个支付系统的交互方式,在一个面对面零 售方式或邮购交易中,电子处理开始于商家或收单行, 但是在SET交易中,电子处理开始于持卡者。l(1)持卡者(Cardholder)。在电子商务环境中,消费者和 团体购买者通过计算机与商家进行交互,持卡者使用一 个发卡行发行的支付卡。l(2)发卡行(Issuer)。一个发卡行是一个金融机构,为持 卡者建立一个账户并发行支付卡,一个发卡行保证对经 过授权的交易进行付款。l(3)商家(Merchant)。商家提供商品和服务,在SET中, 商家与持卡者可以进行安全电子交易,一个商家必须与 相关的收单行达成协议,保证可以接收支付卡付款。
8、 1.支付系统参与者l(4)收单行(Acquirer)。一个收单行是一个金融机构,为 商家建立一个账户并处理支付卡授权和支付。l(5)支付网关(Payment Gateway)。一个支付网关是一个 由收单行操作的设备,或者是指定的第三方,用于处理 支付卡授权和支付。l(6)品牌(Brand)。根据市场需要,金融机构建立不同的 支付卡品牌,每种支付卡品牌有不同的政策(包括消费 方式等),支付卡品牌将确定发卡行、收单行与持卡者 和商家之间的关系。l(7)第三方(Third Parties)。发卡行和收单行有时指定第 三方来处理支付卡交易,在SET协议中没有区分金融机 构和交易处理者,认为是一家。
9、2.加密概念 l在SET中所涉及到的密码技术主要有:l(1)密钥密码技术。l(2)公开密钥密码技术。l(3)加密。l(4)数字签名。l(5)数字信封。l(6)双重数字签名。6.1.4购物类型 l持卡者可以使用包括在线目录和电子目录在内的多种购物方 式,SET支持这些购物方式和定义的其他方式。 l1.在线目录(Online catalogs) l随着Internet的普及,商家可以建立一个网上商店的Web站点 ,持卡者可以在主页上浏览和选择购物项目。一旦持卡者完 成订购并指定一个支付卡,SET协议保证持卡者安全传输支 付指示,并保证商家获得支付授权和最后的付款。 l2电子目录(Electroni
10、c catalogs)l商家也可以发行电子购物目录,如采用光盘形式,让持卡者 采用非在线的方式进行购物。卡者可以在自己的计算机上浏 览光盘上的商品目录,其优点是可以在光盘中对商品加入图 、声音等多媒体信息,而不用考虑网络带宽问题:一旦持卡 者选择了要订购的商品并指定了支付卡,使用SET协议以电 子方式发给商家。该消息可以采用在线传输,如在商家的 Web页,或者通过一个存储转发机制(如email)来传输。 6.2SET协议信息结构 l参与SET协议支付系统的实体主要有持卡人、 商家和支付网关,SET协议信息结构就是一个 完整的电子交易过程中,信息流和资金流在这 三者之间是如何流动的。 lSET协
11、议信息结构共六大部分:交易初始化请 求、购置指令执行过程,授权检验过程、付款 请求执行过程、持卡人查询过程以及持卡人注 册登录过程等。l安全电子交易协议格式由一系列要求回答 (ReqRes)信息对组成。图10-2为ReqRes 的对应信息。 6.2SET协议信息结构持卡人商户支付网关(收单银行)PInit ReqPInit ResPReqPResIng ReqIng ResPReq之后时间可选Auth ReqAuth ResCap ReqCap ResSET交易步骤6.2SET协议信息结构l对于一些信息的流动必须要做到端对端加密。 但有些信息端对端加密还不够,如银行卡中与 资金有关的数据,持卡
12、人就不想让商户看到; 而购物有关的数据,商户又不想让收单银行看 到,但端对端加密办法就做不到这一点。l一个完整的购买交易所需的信息包括。l交易开始(PInit Req/PInit Res)。l购买指令(PReqPRes)。l授权请求(AuthReqAuthRes),l支付指令(Cap ReqCapRes)。l持卡人查询(InqReqlnq Res)6.2SET协议信息结构l6.2.1交易初始化(PInit ReqPlnit Res) l6.2.2购买指令(PReq/PRes) l6.2.3授权(Auth Req/Auth Res) l6.2.4付款信息(Cap Req/Cap Res) l6.
13、2.5持卡人查询(Inq Reqlnq Res) l6.2.6持卡人及商户注册(登录) 6.2.1交易初始化(PInit Req PlnitRes)l网络商店为持卡购物人提供了一个完整的 电子订货单,网络商场同意用银行卡支付 购物即可开始。购物过程可参用SET格式 ,但商品的选择和提交订货单的办法并不 属于SET格式的范围。lPlnit Req是交易开始请求的信息,请求交 易开始,具体内容包括6.2.1交易初始化(PInit Req PlnitRes)持卡人商户PInit Req;BrandID,Thumbs,LID_C,Chall_CPInit Res;TransID,Date,Chall_
14、C, Chall_M,SigM,CA,CM交易开始信息6.2.1交易初始化(PInit Req PlnitRes)lBrandID:指持卡人所用银行卡品牌Visa或MasterCard等。 lLIDC:交易所在地的识别码。 lThumbs:在持卡人软件中已存有的凭证及每张凭证的指纹 (SHA)是可选项。 lChallC:用持卡人的回答口令,以确保通信安全畅通。在 接收了Plnit Req请求之后,商户通过LIDC组合形成一个唯 一的交易识别码TransID,以识别所接收的特指购买的指令。 lPInit Res:商户的回答Plait Res应包括上述交易识别TranslD 、商户的数字签名、日期
15、、证书、持卡人和商户口令Chall C、ChallM、证书及证书中包括的支付用的公钥,如商户 的公钥及收单行的公钥。 l结论:持卡人在收到回答信息时,即可判断商户是否是一个 网上合法的售货商。 6.2.2购买指令(PReq/PRes) l购买指令使持卡人从商户那里实现真正的 购货。按SET协议格式完整的信息对内容 为。lPReq包括OI、PI。持卡人商户PReq OIPI1PReq l1PReql如上图所示,OI为订货信息,是让商户识 别的订货数据。lOI结构如图下所示。它主要包括OI Data 、Dual Sig。 1PReqPI Data . OI DataTrans ID Brand I
16、D Date Chall_C Chall_M ODsalt(nonce)H(OI Data)H(PI Data)HashOIOI Data Dual SigH2Sign H2Sigc订货信息结构OI lTransID:交易识别码。lBrandID:银行卡品牌。lDate:日期。lChall_C:客户口令。lChall_M:商家口令。lODsalt(nonce):Hash函数的杂凑码,以防止黑 客用词典进行穷举法的进攻。lHash(OIData):商户订货信息的hash函数。lHash(PIData):客户信息的hash函数。PIl二者关联起来,形成hash函数的关联函数H2, 形成数字签名,然后再形成双重数字签名支付 指令(PI)PI结构如图所示。客户PI的卡内容商户 是不能看的,但要传送给银行。l银行卡数据中个人口令及支付金额为杂凑码, 以防篡改,并以强加密措施加以保护。所谓强 密措施,是指1024位的RSA密钥算法和128位 的DES加密算法。订货单信息,用杂凑法加密 ,唯一识别订货人。
