搜索
1SET协议2•在开放的互联网上处理电子商务,如何保证买卖双方传输数据的安全已经成为电子商务能否顺利实现的最重要的问题之一。•1995年信用卡国际组织、资讯业者及网络安全专业团体等开始组成策略联盟,共同研发用于电子商务的安全交易系统。1996年,MarsterCard和Visa国际信用卡组织与技术合作伙伴GTE、Netscape、IBM、TerisaSystem、Versign、Microsoft、SAIC等一批跨国公司共同开发了安全电子规范(SET协议)。SET协议的研发3SET协议•SET协议是英文SecureElectronicTransaction的缩写,被译为安全电子交易协议,是由世界上两大信用卡公司VISA和MaterCard于1997年6月1日联合推出的网上信用卡交易的模型和规范。•SET是开放的,SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份,以及可操作性。•SET中的核心技术主要有密钥加密、电子数字签名、电子信封、电子安全认证等。4SET的核心安全技术(1)消息摘要是一个唯一对应一个消息的值,它由哈希(Hash)加密算法对一个消息摘要成一串密文,由此验证消息在传输过程中没有被修改。消息摘要方法解决了信息的完整性问题。(2)数字信封在SET中使用对称密钥来加密数据,然后将此对称密钥用接收者的公钥加密,称为消息的“数字信封”,将其和数据一起送给接收者。接收者先用自己的私钥解密数字信封,得到对称密钥,然后使用对称密钥解开数据。5(4)SET主要证书:持卡人证书、商家证书、支付网关证书根认证中心品牌认证中心支付网关认证中心商户认证中心持卡人认证中心支付网关商家、银行持卡人(3)双重签名SET要求将订单信息和个人信用卡账号信息分别用商家和银行的公钥进行数字签名,保证商家只能看到订货信息,而看不到持卡人的账户信息,并且银行只能看账户信息,而看不到订货信息。6•(1)保证信息在互联网上安全传输,防止数据被黑客或被内部人员窃取。•(2)保证电子商务参与者信息的相互隔离。•(3)解决多方认证的问题。•(4)保证了网上交易的实时性,使所有的支付过程都是在线的。•(5)达到全球市场的接受性,在容易使用与对特约商店、持卡人影响最小的前提下,达到全球普遍性。•(6)确定应用的互通性,提供一个开放式的标准,明确定义细节,以确保不同厂商开发的应用程序可共同运作,促成软件互通。SET协议运行的目标7•SET最主要的使用对象在消费者与商店,商店与收单银行(付款银行)之间。一项SET交易涉及的对象有:•(1)持卡人。•(2)在线商店。•(3)收单银行。•(4)支付网关。•(5)发卡人,即客户的金融机构。•(6)认证中心(CA)。SET协议涉及的范围8SET协议的参与对象9使用SET进行交易的工作流程购物者商家结算卡处理中心银行发卡行认证中心1订单及信用卡号6确认认证认证认证5确认2审核3审核4批准10•SSL是基于传输层的通用安全协议,它只占电子商务体系中一部分,可以看做其中由于传输的那部分技术规范。从电子商务特性来讲,它并不具备商务性、服务性、协调性和集成性。SET协议位于应用层,它对网络上其他各层也有所涉及。SET中规范了整个商务的活动流程,从信用卡持卡人到商家,到支付网关,到认证中心及信用卡结算中心之间的信息流向及必须参与的加密,认证都制定了严密的标准,从而最大限度地保证了商务性、服务性、协调性和集成性。SET与SSL的主要区别见下表。SET协议与SSL协议的区别11SET与SSL协议购物过程的对比表比较项目SETSSL基础信用卡传输通信协议采用技术私用密钥加密公开密钥加密RSA和DES算法公开密钥加密实质安全电子付款协议网络安全协议使用范围广泛应用难于大规模应用安全性很强的保护较强的保护局限性复杂、速度较慢有利于商家而不利于客户,客户资料的安全性受到威胁实际应用三方执行,认证程序较复杂,推广效果较SSL低使用于浏览器界面,易于执行,较多经销商使用12SET安全协议的缺陷•从1996年4月SET安全协议1.0版面市以来,获得了业界的支持,促进了SET良好的发展趋势。但也发现了一些问题,主要包括以下几方面:•(1)协议没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接受证书。否则的话,在线商店提供的货物不符合质量标准,消费者提出疑义,责任由谁承担。•(2)协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。13SET安全协议的缺陷•(3)SET技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这些漏洞可能使这些数据以后受到潜在的攻击。•(4)在完成一个SET协议交易的过程中,需验证电子证书9次,验证数字签名6次,传递证书7次,进行5次签名、4次对称加密和4次非对称加密。所以,完成一个SET协议交易过程需花费1.5~2分钟,甚至更长的时间(新式小型电子钱包将多数信息放在服务器上,时间可缩短到10~20秒)。SET协议过于复杂,使用麻烦,成本高,连接一个商户需要花费约1万美元,1个月以上时间测试。14•(5)SET的证书格式比较特殊,虽然也遵循X.509的标准,但它主要是由Visa和MarsterCard开发并按信用卡支付方式来定义的。银行的支付业务不光是卡支付业务,而SET支付方式和认证结构适应于卡支付,对其他支付方式是有所限制的。•(6)一般认为,SET协议保密性好,具有不可否认性,SETCA是一套严密的认证体系,可保证B-C类型的电子商务安全顺利地进行。事实上,安全是相对的,我们提出电子商务中信息的保密性问题,即要保证支付和定单信息的保密性,也就是要求商户只能看到定单信息,支付网关只能解读支付信息。但在SET协议中,虽然账号不会明文传递,它通常用1074位RSA不对称密钥加密,商户电子证书确实指明了是否允许商户从支付网关的响应消息中看到持卡人的账号,可是事实上大多数商户都收到了持卡人的账号。15对比结论总之,两者相比SSL的安全性较差,如果不改进客户方软件的话,基于SSL的系统达不到像SET这种专用银行卡支付协议所能达到的安全性。16安全认证协议在我国的前景•安全认证在我国的发展趋势将可能为以下两种:•一、SET与SSL共存,优势互补。如美国较多采用的是“面向商家的SET协议”,即在银行与商家之间采用SSL协议,但这对银行的要求就更高了;•二、随着SET与SSL的融合程度上升,有可能出现一种新的安全认证体系,类似于目前的公钥基础结构(PKI)。从广义上来说,所有提供公钥加密和数字签名服务的系统都可叫做PKI系统,因此它既支持SET、SSL,还支持其它一些协议,并且可为BtoB及BtoC两种电子商务模式提供兼容性服务,其前景目前较为看好。17哪些银行用SET协议对支付信息进行加密?课后资料查找:18•中国银行的部分网银产品