第7章 安全电子交易协议SET信息安全技术(电子商务安全)信息安全技术(电子商务安全)Date1第7章 安全电子交易协议SET第7章 安全电子交易协议SET7.1 SET支付系统概述 7.2 SET证书管理 7.3 SET协议的相关技术 7.4 SET协议流程 7.5 安全套接层协议SSL 7.6 典型交易协议比较 Date2第7章 安全电子交易协议SET7.1 SET支付系统概述作用:SET安全电子交易协议是一种应用于因特网环境,以信 用卡为基础的电子支付交易协议,用来实现开放网络上持卡 交易的安全性 制定者:在上世纪90年代中期,由信用卡国际组织、IT企业及 网络安全专业团体(如:Visa International、MasterCard International、IBM、Microsoft、Netscape、GTE、Verisign、SAIC等) 使用的技术:公开密钥RSA 、对称密钥DES 、HASH函数、 数字签名、数字信封、双重签名、数字证书等安全技术 部署范围:符合SET协议的相关软件安装在持卡人的个人计 算机、网络商店与收单银行的网络服务器主机与认证中心服 务器中Date3第7章 安全电子交易协议SET7.1 SET支付系统概述7.1.1 SET的目标 7.1.2 SET的参与方 Date4第7章 安全电子交易协议SET7.1.1 SET的目标标 §SET要实现的目标是:实现因特网环境安全电子交 易;保证信息在互联网上的安全传输;保证网上传 输的数据不被黑客或内部人员窃取;实现定单信息 和个人帐号信息的分离(如:在将包括持卡人帐号信 息的定单送到商家时,商家只能看到定货信息,而 看不到持卡人的帐号信息。
同样,这一信息传到银 行时,银行只能看到帐号信息而看不到定货信息); 持卡人和商家的身份认证,以确定通信双方身份的 真实性SET是一个基于可信的第三方认证中心 CA(Certificate Authority)的安全电子交易协议 Date5第7章 安全电子交易协议SET7.1.1 SET的目标标 1. 应用的跨平台性:提供一个开放的协议标准明确定义 细节,以确保不同厂商开发的应用程序可共同动作,促成软 件互通;在现存各种标准下构建协议,允许在任何软硬件平 台上实现 2. 保障支付安全:确保支付信息的隐密性及完整性,提供 持卡人、网络商家、支付网关的认证,并定义所需要的算法 及相关协定 3. 全球市场的接受性:在易使用性和对网络商家、持卡人 影响最小的前提下,达到全球普遍性允许在目前使用者的 应用软件环境中,嵌入支付协定的执行,对收单银行与网络 商家、持卡人与发卡银行间的关系,以及信用卡组织的基础 构架改变最少Date6第7章 安全电子交易协议SET7.1.2 SET的参与方 在SET系统中,完成一笔安全电子商务的交易,通常 包含六个主要的参与方各参与方之间有着严谨的信赖关系Date7第7章 安全电子交易协议SET7.1.2 SET的参与方 消费者 网上商店 支付网关 认证中心CA 发卡银行银行网络 收单银行 Internet Date8第7章 安全电子交易协议SET7.1.2 SET的参与方 1. 持卡人(Cardholder):持卡人通过WEB浏览器或客 户端软件直接与网络商家互动购物。
第一次上网购 物前,须向认证中心CA注册登记,取得数字证书后 ,才可以使用经过 SET协议认证的电子钱包(E- Wallet)以及其他电子凭证进行交易持卡人要在安 全电子商务环境中进行付款操作,还必须做到以下 几点: (1) 安装一套符合SET协议标准的钱包软件;(2) 从发卡银行获取一张信用卡/银行卡;(3) 从身份认证机构获取一张数字证书Date9第7章 安全电子交易协议SET7.1.2 SET的参与方 2. 网络商家(Merchant):提供网络商店或商品光盘给 消费者;首先须与信用卡收单银行签定协议,向认 证中心申请到数字证书,其次必须使用经过 SET 协 议认证过的商家服务器软件,负责消费者在网上付 款的查核网络商家要在安全电子商务环境中提供 付款操作,还必须: (1) 安装一套符合SET标准的商家软件;(2) 在收款银行开有自己的收款帐户;(3) 从身份认证机构获取一张数字证书 Date10第7章 安全电子交易协议SET7.1.2 SET的参与方 3. 发卡银行(Issuer):为持卡人建立一个银行帐户,并 发放支付卡(信用卡或借记卡);负责持卡人身份 认证,同时从事发放数字证书的各项审核工作;持 卡人数字证书的签发既可以由发卡银行发放,也可 以由专业的认证中心CA签发。
在符合银行管理规则 与地方法规的前提下,持卡人使用支付卡进行授权 交易时,发卡银行应保证兑现付款发卡银行不属 于安全电子商务交易的直接组成部分,但却是授权 与清算操作的主要参与方 Date11第7章 安全电子交易协议SET7.1.2 SET的参与方 4. 收单银行(Acquirer):为商家建立一个银行帐户,并 且处理支付卡的授权和付款事宜同样,收单银行 也不属于安全电子商务交易的直接组成部分,但却 是授权与清算操作的主要参与方 Date12第7章 安全电子交易协议SET7.1.2 SET的参与方 5. 支付网关(Payment Gateway):是由收单银行或收 单银行指定的第三方运行的一套设备,用来处理商 家的付款信息以及持卡人发出的付款指令,将网络 商家传来的SET报文转换成原信用卡信息,处理支 付卡的授权和支付1) 安装一套符合SET标准的网关软件;(2) 与收款银行交易处理主机建立符合ISO8583消息 格式的通信;(3) 从身份认证机构获取一张数字证书Date13第7章 安全电子交易协议SET7.1.2 SET的参与方 6. 认证中心CA:为每个交易参与方生成一个数字证 书作为交易方身份的验证工具。
在安全电子商务环 境中,认证中心CA必须:(1) 安装一套符合SET标准的CA软件;(2) 绝对安全的运作与管理以下设备与软件:A. 物理设备;B. CA软件的运行;C. 根密钥的保管;D. 证书生成时用硬件加密; Date14第7章 安全电子交易协议SET7.2 SET证书管理 7.2.1 数字证书7.2.2 认证中心7.2.3 认证中心业务流程 Date15第7章 安全电子交易协议SET7.2.1 数字证书数字证书(Digital Certificate) 又称为数字标识 (Digital ID),是一段包含用户身份信息、用户公 钥信息及认证中心CA数字签名的数字信息文件 其 中,认证中心CA的数字签名可以确保证书的真实性 数字证书提供了一种在因特网上身份验证的方式 ,用来标志和证明网络通信双方的身份,与司机驾 照或日常生活中的身份证的作用相似,起验证身份 的作用Date16第7章 安全电子交易协议SET7.2.1 数字证书在因特网环境下两个人要进行一笔交易,交易双方都 需要鉴别对方的身份是否真实可信例如,张先生 收到了含有王小姐数字签名的一封信,用属于王小 姐的公钥解密,他要确定公钥属于王小姐,而不是 在网上冒充王小姐的其他人。
确定公钥属于王小姐 的方法之一就是,通过秘密途径接收由王小姐亲自 送来的公钥显然,在实际网络交易中,这种办法 是不现实的一个可行的办法就是由一个大家都相 信的第三方(认证中心CA)来验证公钥是否确实属于 王小姐 Date17第7章 安全电子交易协议SET7.2.1 数字证书在进行交易时,交易双方向对方提交一个由CA签发的 包含个人身份和公钥的数字证书,使对方相信自己 的身份数字证书是各类终端实体和最终用户在网 上进行信息交流及商务活动的身份证明在电子交 易的各个环节,交易的各方都需验证对方数字证书 的有效性,从而解决相互间的信任问题 Date18第7章 安全电子交易协议SET7.2.1 数字证书数字证书是一个经证书认证中心CA数字签名的文件, 对证书信息的任何改动都会导致对证书的校验不能 通过,所以,数字证书从认证中心CA到用户手中的 这一过程中,证书信息是不可篡改的,且证书中信 息均为可公开信息在传输过程中即使信息被截获 也没有关系,只要用户不公开自己的私钥(私钥只存 在用户的本机上),都不会有安全漏洞证书到达用 户自己的机器上时,系统会校验证书中的公钥和本 机上的私钥是否匹配,所以用户可以相信,自己申 请到的数字证书肯定是自己申请的原始证书,在传 输过程中未经任何人篡改。
Date19第7章 安全电子交易协议SET7.2.1 数字证书客户在向认证中心CA申请证书时,可提交证明自己身 份的证件,如:身份证、驾驶执照或护照等经验 证后,认证中心CA颁发证书,证书一般包含拥有者 的标识名称和公钥并且由认证中心CA进行过数字签 名,以此作为网络环境下证明自己身份的依据在 SET中,最主要的证书是持卡人证书和商家证书除 了持卡人证书和商家证书以外,还有支付网关证书 、收单银行证书、发卡银行证书等 Date20第7章 安全电子交易协议SET7.2.1 数字证书认证中心CA作为权威的、可信赖的、公正的第三方机 构,专门负责为各种认证需求提供数字证书服务 认证中心颁发的数字证书遵循ITU-T X.509 V3标准 X.509版本3的证书格式如下:Date21第7章 安全电子交易协议SET7.2.1 数字证书Certificate format version: 证书版本号Certificate serial number: 证书序列号Signature algorithm identifier for CA: 签名算法标识Issuer X.500 name: 证书签发者名称Validity period: 证书有效期Subject X.500 name: 用户名称Subject public key information: 用户公钥信息Issuer unique identifier: 证书签发者标识符Subject unique identifier: 用户标识符Version Type: 扩展类型Criticality: 关键/非关键Value: 字段值……Version Type: 扩展类型Criticality: 关键/非关键Value: 字段值CA Signature: 认证中心的数字签名Date22第7章 安全电子交易协议SET7.2.1 数字证书认证中心发放的数字证书有三种类型:⑴ 个人证书⑵ 企业(服务器)证书⑶ 软件(开发者)证书Date23第7章 安全电子交易协议SET7.2.2 认证中心 认证中心CA,是由信用卡发卡单位或收单机构共同委 派的公正代理组织,主要功能是产生、分配及管理 所有持卡人、网络商家及参与交易的银行所需的数 字证书。
需经过 VISA/MasterCard的实地审核(Site Inspection),并定期接受检验CA签发数字证书给 持卡人、商家和支付网关,让持卡人、商家和支付 网关之间通过数字证书进行认证 Date24第7章 安全电子交易协议SET7.2.2 认证中心 认证中心CA是一个网上各方都信任的机构,专门负责 数字证书的发放和管理,确保网上信息的安全各 级CA认证机构的存在组成了整个电子商务的信任链 如果CA机构不安全或发放的数字证书不具有权威 性、公正性和可信赖性,电子商务就根本无从谈起 Date25第7章 安全电子交易协议SET7.2.2 认证中心 数字证书认证中心CA是整个网上电子交易安全的关键 环节它主要负责产生、分配并管理所有参与网上 交易的实体所需的身份认证数字证书每一份数字 证书都与上一级的数字签名证书相关联,数字证书 的这种信任关系是一种树状连接的信任关系Date26第7章 安全电子交易协议SET7.2.2 认证中心 不同CA签发的数字证书都包括其上一级签发者的数字 证书,两个数字证书是否彼此信任是通过向上层层 追溯证书签发者来实现。