《密码学结课论文-set协议及其在电子支付中的应用》由会员分享,可在线阅读,更多相关《密码学结课论文-set协议及其在电子支付中的应用(20页珍藏版)》请在金锄头文库上搜索。
1、密码学结课论文题目名称:set协议及其在电子支付中的应用院系名称:计算机学院班 级:网络 15 卓越学 号:学生姓名:指导教师:2017年 5月- 1 - set协议及其在电子支付中的应用Set protocol and its application in electronic payment院系名称:计算机学院班 级:网络15卓越学 号:学生姓名:指导教师:2017年 5月- 3 -中文摘要本文在以下几个方面对set协议进行了简单的讨论:简介,主要目标,提供的服务,交易流程,安全性,SET改进,并分析其在电子支付中的应用情况。关键词:set协议,公钥密码体制,信息摘要AbstractThi
2、s article has carried on the simple to the set protocol in the following several aspects: the discussion of introduction, main goal, to provide services, transaction process, security, improve the set, and analyzes its application in the electronic payment. Keywords: set protocol ,public key system
3、,informative abstract 目 录中文摘要- 3 -ABSTRACT- 3 -目 录- 4 -第 1 章 引 言- 5 -第 2 章 SET协议- 5 -2.1 set协议简介- 5 -2.2 set协议主要目标及提供的服务- 6 -2.3 交易流程- 7 -2.4 安全性- 8 -2.5 SET改进- 9 -第 3 章 SET 协议密码算法分析与研究- 10 -3.1 RSA 公开密钥密码算法研究分析- 10 -3.2 DES 数据加密算法研究分析- 11 -3.3 SET 协议中RSA 与DES 组合加密技术- 13 -第 4 章 基于SET协议的电子支付- 14 -4.1
4、 电子商务支付系统的发展- 14 -4.2 基于set协议的支付系统结构- 14 -4.3 基于set协议的网上支付流程- 16 -4.4 基于set协议的网上支付系统缺陷- 18 -第 5 章 结束语- 19 -参考文献- 19 -第 1 章 引 言随着电子商务时代的到来,作为电子商务的重要组成部分的支付问题就显得越来越突出了。电子商务在线支付成熟的金融法律制度下得到了一定的发展,目前国外已经开发出了Cybercash,Digicash,Fist Data/Netscape,First Virtual等商用电子支付系统。在国内也有支付宝,微信,各大银行也在构建现代化支付系统。电子商务在提供机
5、遇和便利的同时,也面临着一个最大的挑战,即交易的安全问题。在网上购物的环境中,持卡人希望在交易中保密自己的帐户信息,使之不被人盗用;商家则希望客户的定单不可抵赖,并且,在交易过程中,交易各方都希望验明其他方的身份,以防止被欺骗。针对这种情况,由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构,共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准,这就是“安全电子交易”(Secure Electronic Transaction,简称SET)。它采用公钥密码体质和X.509数字证书标准,主要应用于保障网上购物信息的安全性。本文分析了主要分析了set协议的
6、工作流程,阐述了其在电子商务支付方面的应用。第 2 章 set协议2.1 set协议简介为了实现更加完善的即时电子支付,SET协议应运而生。SET协议(Secure Electronic Transaction),被称之为安全电子支付协议,是由Master Card和Visa联合Netscape,Microsoft等公司,于1997年6月1日推出的一种新的电子支付模型。SET协议是B2C上基于信用卡支付模式而设计的,它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成
7、为目前公认的信用卡网上交易的国际标准。由于SET 提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点。因此,至2012年,它成为了公认的信用卡/借记卡的网上交易的国际安全标准。SET(Secure Electronic Transaction)安全电子交易协议主要应用于B to C模式中保障支付信息的安全性。SET协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现,同时也在不断升级和完善,如SET 2.0将支持借记卡电子交易。2
8、.2 set协议主要目标及提供的服务1)主要目标 (1)防止数据被非法用户窃取,保证信息在互联网上安全传输。 (2)SET 中使用了一种双签名技术保证电子商务参与者信息的相互隔离。客户的资料加密后通过商家到达银行,但是商家不能看到客户的帐户和密码信息。 (3)解决多方认证问题。不仅对客户的信用卡认证,而且要对在线商家认证,实现客户、商家和银行间的相互认证。 (4)保证网上交易的实时性,使所有的支付过程都是在线的。 (5)提供一个开放式的标准,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能。可在不同的软硬件平台上执行并被全球广泛接受。2)提供的服务SET协议为电子交易提供了许多
9、保证安全的措施。它能保证电子交易的机密性,数据完整性,交易行为的不可否认性和身份的合法性。SET协议设计的证书中包括:银行证书及发卡机构证书、支付网关证书和商家证书。(1)保证客户交易信息的保密性和完整性SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名,使得商家看不到支付信息,只能接收用户的订单信息;而金融机构看不到交易内容,只能接收到用户支付信息和帐户信息,从而充分保证了消费者帐户和定购信息的安全性。(2)确保商家和客户交易行为的不可否认性SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性。其理论基础就是不可否认机制,采用的核心技术包括X.50
10、9电子证书标准,数字签名,报文摘要,双重签名等技术。(3)确保商家和客户的合法性SET协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证,可以确保交易中的商家和客户都是合法的,可信赖的。2.3 交易流程SET交易过程中要对商家,客户,支付网关等交易各方进行身份认证,因此它的交易过程相对复杂。(1)客户在网上商店看中商品后,和商家进行磋商,然后发出请求购买信息。(2)商家要求客户用电子钱包付款。(3)电子钱包提示客户输入口令后与商家交换握手信息,确认商家和客户两端均合法。(4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。(5)商家将含有客户支付指令的信息发送给支付网
11、关。(6)支付网关在确认客户信用卡信息之后,向商家发送一个授权响应的报文。(7)商家向客户的电子钱包发送一个确认信息。(8)将款项从客户帐号转到商家帐号,然后向顾客送货,交易结束。从上面的交易流程可以看出,SET交易过程十分复杂性,在完成一次S ET协议交易过程中,需验证电子证书9次,验证数字签名6次,传递证书7次,进行签名5次,4次对称加密和非对称加密。通常完成一个SET协议交易过程大约要花费1.52分钟甚至更长时间。由于各地网络设施良莠不齐,因此,完成一个SET协议的交易过程可能需要耗费更长的时间。2.4 安全性采用公钥加密和私钥加密相结合的办法保证数据的保密性SET协议中,支付环境的信息
12、保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而获得的。它采用的公钥加密算法是RSA的公钥密码体制,私钥加密算法是采用DES数据加密标准。这两种不同加密技术的结合应用在SET中被形象的成为数字信封,RSA加密相当于用信封密封,消息首先以56位的DES密钥加密,然后装入使用1024位RSA公钥加密的数字信封在交易双方传输。这两种密钥相结合的办法保证了交易中数据信息的保密性。一、采用信息摘要技术保证信息的完整性SET协议是通过数字签名方案来保证消息的完整性和进行消息源的认证的,数字签名方案采用了与消息加密相同的加密原则。即数字签名通过RSA加密算法结合生成信息摘要,信息摘要是消息通过
13、HASH函数处理后得到的唯一对应于该消息的数值,消息中每改变一个数据位都会引起信息摘要中大约一半的数据位的改变。而两个不同的消息具有相同的信息摘要的可能性及其微小,因此HASH函数的单向性使得从信息摘要得出信息的摘要的计算是不可行的。信息摘要的这些特征保证了信息的完整性。二、采用双重签名技术保证交易双方的身份认证SET协议应用了双重签名(Dual Signatures)技术。在一项安全电子商务交易中,持卡人的定购信息和支付指令是相互对应的。商家只有确认了对应于持卡人的支付指令对应的定购信息才能够按照定购信息发货;而银行只有确认了与该持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进
14、行支付。为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同时不会侵犯顾客的私人隐私这一目的,SET协议采用了双重签名技术来保证顾客的隐私不被侵犯。2.5 SET改进SET协议提供了在B2C平台上信用卡在线支付的方式,不过由于其实现起来非常复杂,商家和银行都需要改造系统来实现相互操作,如此看来,SET的普遍应用还需要假以时日。无论是使用SSL协议还是使用SET协议进行在线支付,它们总有不如人意之处。但由于SET在安全性,保密性上的优势,它本应成为未来电子商务实现在线支付的主流方式。笔者针对其主要问题商品质量和残留数据的处理方式上,提出了改进方案:引入商品质量检测机制来保证商品
15、的质量;建立一个“交易信息档案中心”来解决交易后残留数据的归属,以此保证用户的利益。一、引入商品质量检测机制保证商品质量引入这种机制的具体做法是商家把商品直接发送到消费者所在地的官方商品质量检测机构,由这些专业质检机构来检测商品质量问题,检测完毕后再通知消费者前来领取商品。如果消费者需要此服务,必须和商家协商分摊质量检测的费用;如果不需要,就按照一般的SET流程交易。因此,我们引入商品质量检测机制可以检查商品质量,解决了SET协议中产生的“如果商品质量问题由谁负担”的问题。这样既能保证用户的利益,也能保证商家的利益不被损害。二、引进商品质量检测机制后SET的交易流程引进商品质量检测机制后,基于SET的交易过程与原来相比更复杂了些,也需要对SET消息报文进行修改,需要将质量检测信息作为附件形式加入SET消息报文中。因此要在SET 信息报文中增加附件位,可考虑附件位的标识为0和1两种情况,其中0表示没有附件,1表示存在附件。附加的附件信息包括交易双方的有关信息(
