set.pptVIP

第8章 安全电子交易协议SET SET协议是应用层协议，由Master Card和Visa以及其他一些业界的主流厂商设计发布，是一种基于消息流的协议，用于保证在公共网络，特别是Internet上进行银行卡支付交易的安全性，能够有效地防止电子商务中的各种诈骗。它是目前已经标准化并且被业界所广泛接受的一种基于信用卡的付款机制。 主要学习内容： 1、SET的功能、模型和组件 2、SET协议的加密技术和认证技术 3、SET协议的处理逻辑 4、SET协议中各方所涉及的主要过程分析 5、SET协议的安全性 6、SET协议和SSL协议的比较 8.1 安全电子交易协议SET 1、提出的背景 学术界、工商界和消费者最关心安全性 1996年提出SET、SEPP等协议模式 1997、4，IBM、Netscape、Master Card、Visa联手推出基于SET和SEPP的网络商贸系统。 2、SET的实质——密码技术+数字证书保护各方的安全。 3、版本 1997年5月，1.0版本 4、SET管理机构——SETCo 8.1.1 SET协议的功能 1、SET协议的三个阶段 2、SET协议的主要目标 ①保障付款安全；②确保应用的互通性；③达到全球市场的接受性。 SET协议保证了电子交易的机密性、数据完整性、身份的合法性和不可否认性。 8.1.2 SET协议的模型 8.1.3 SET协议的组件 软硬件成员组件：①电子钱包 ②商家服务器 ③支付网关 ④认证中心 1）持卡人——电子钱包 2）特约商店——商家软件 3）支付网关（专用连接系统） 支付网关 4）收单行（商家的开户银行） 5）发卡行 6）认证中心 8.2 SET的加密技术和认证技术 8.2.1 与SET有关的密码技术 1）常规密码体制 2）公开密钥密码体制 3）数字信封 4）数字签名 5）消息摘要 双重签名——房产报价问题 8.2.2 SET的加密和解密流程 （1）加密流程 （2）解密流程 8.2.3 SET的认证技术 （1）证书 1）持卡人证书 2）特约商店证书 3）支付网关证书 4）收单行证书 5）发卡行证书 （2）证书管理机构（CA） （3）证书的树型验证机制 在网上购物中，持卡人的证书与发卡机构的证书关联，而发卡机构证书通过不同品牌卡的证书连接到Root CA ，而Root的公共签名密钥对所有的SET软件都是开放的，可以校验每一个已经签发的证书。 8.3 SET协议的处理逻辑 8.3.1 SET购物流程 8.3.2 SET完整处理流程分析 整个处理流程对持卡人来说是透明的，软件自动完成。 SET支付处理基本流程包括： ①持卡人注册 ②商家注册 ③购买请求 ④支付授权 ⑤支付获得 （1）持卡人注册 持卡人注册的全过程分为七个基本步骤： 1）持卡人初始化注册 前提 2）CA发出响应 3）持卡人接收到响应并请求注册表——信任链问题 4）CA处理请求和发送注册表——注册账号 5）持卡人接收注册表和请求证书——填写信息，产生另外一个随机对称密钥 6）CA处理请求和产生证书——秘密值 7）持卡人接收证书——有哪些信誉好的足球投注网站信任链验证证书 （2）商家注册 整个商家注册的过程包括五个基本步骤： 1）商家请求注册表 2）CA发出响应 3）商家接收注册表和请求证书 4）CA处理请求和产生证书 5）商家接收证书 （3）购买请求 购买请求处理流程的五个基本步骤： 1）持卡人初始化请求 2）商家发出证书 3）持卡人接收响应和发出请求 OI——订购信息 PI——支付指示 双重签名 4）商家处理请求信息 5）持卡人接收购买响应 （4）支付授权 支付授权三个步骤： 1）商家请求授权 2）支付网关处理授权请求 OI——识别号——PI 3）商家处理响应 （5）支付请款 支付请款处理过程三个步骤： 1）商家请求支付 2）支付网关处理请款请求 支付网关解出请款标记，并用来和请款请求的消息和请款标记形成一个清算请求，该清算请求通过支付卡支付系统发向发卡行。 3）商家接收响应 8.3.3 SET中几种不同的授权及确认方式 1）先授权后确认 2）授权、确认同时进行 3）分批发货 4）分期付款和定期付款 8.3.4 SET交易流程与传统信用卡交易流程的比较 ①银行部分完全相同 ②商家身份的证实 ③持卡人身份证实 ④持卡人签名，交易的不可抵赖性 8.4 SET协议分析 8.4.1 SET协议复杂性分析 8.4.2 SET协议的安全性分析 1）DES的安全性 2）RSA的安全性 3）SHA-1的安全性 4）随机数的安全性 8.5 SET协议和SSL协议的比较 SSL被广泛应用的原因在于它被大部分Web浏览器和服务器所内置和支持。 SET是一个复杂的协议，详细而准确地反映了卡交易各方之间存在的各种关系。 SET和SSL都采用了