《電子商務(wù)安全》第6章 安全電子交易協(xié)議

第6章安全電子交易協(xié)議第6章安全電子交易協(xié)議本章主要內(nèi)容什么是SET協(xié)議SET協(xié)議的目標(biāo)和涉及的角色SET協(xié)議相關(guān)的技術(shù)SET協(xié)議的交易流程本章重/難點(diǎn)雙重簽名SET協(xié)議的交易流程6.1SET協(xié)議概述6.1.1SET協(xié)議的由來SET協(xié)議Secure（安全）Electronic

（電子）Transaction

（交易）

協(xié)議是計(jì)算機(jī)網(wǎng)絡(luò)中通信雙方為了實(shí)現(xiàn)通信而必須遵守的規(guī)則和約定。SET協(xié)議是應(yīng)用層的協(xié)議。

SET協(xié)議的由來安全電子交易(SecureElectronicTransaction)協(xié)議在Internet上開發(fā)對所有公眾開放的電子商務(wù)系統(tǒng)，從技術(shù)角度來看，關(guān)鍵的技術(shù)問題有兩個(gè)：一是信息傳遞的準(zhǔn)確性；二是信息傳遞的安全可靠性。前者是各種數(shù)據(jù)交換協(xié)議已經(jīng)解決了的問題；后者則是目前學(xué)術(shù)界、工商界和消費(fèi)者最為關(guān)注的問題。SET協(xié)議的由來1996年提出SET、SEPP等協(xié)議模式1997年4月，IBM、Netscape、MasterCard、Visa聯(lián)手推出基于SET和SEPP的網(wǎng)絡(luò)商貿(mào)系統(tǒng)。SET的實(shí)質(zhì)——密碼技術(shù)+數(shù)字證書保護(hù)各方的安全。版本1997年5月，1.0版本SET管理機(jī)構(gòu)——SETCo

SET協(xié)議的由來安全電子交易(SecureElectronicTransaction)協(xié)議1997年由美國Visa和MasterCard兩大信用卡公司共同制定實(shí)施SET主要是為了解決用戶，商家，銀行之間通過信用卡的交易而設(shè)計(jì)的SET協(xié)議確保了網(wǎng)上交易所需要的保密性、數(shù)據(jù)的完整性、交易的不可否認(rèn)性和交易的身份認(rèn)證。中國銀行是國內(nèi)第一家使用SET協(xié)議的金融機(jī)構(gòu)InternetInternet銀行網(wǎng)絡(luò)收單行發(fā)卡行Web和商務(wù)服務(wù)器其他商業(yè)處理盤點(diǎn)、會(huì)計(jì)、行銷等數(shù)據(jù)庫服務(wù)器認(rèn)證和安全認(rèn)證和安全支付網(wǎng)關(guān)SET交易系統(tǒng)示意圖

SET協(xié)議的由來SET協(xié)議主要通過使用密碼技術(shù)和數(shù)字證書的方式來保證信息的機(jī)密性和安全性。SET協(xié)議的內(nèi)容包括：SET的交易流程程序設(shè)計(jì)規(guī)格SET協(xié)議的完整描述

SET協(xié)議的由來在SET協(xié)議中主要定義了以下內(nèi)容：1）加密算法（如RSA和DES）的應(yīng)用；2）證書消息和對象格式；3）購買消息和對象格式；4）請款消息和對象格式；5）參與者之間的消息協(xié)議。

SET協(xié)議的由來SET協(xié)議中的核心技術(shù)主要有共享密鑰加密技術(shù)公開密鑰加密技術(shù)電子數(shù)字簽名數(shù)字信封技術(shù)

6.1.2網(wǎng)上購物和現(xiàn)實(shí)中購物的比較在傳統(tǒng)購物中，商家和消費(fèi)者需要直接見面，交易過程中需要的信息傳輸手段往往也是多種多樣的，如電話、傳真、信件等。與傳統(tǒng)購物一樣，網(wǎng)上購物也分為查詢、訂貨、交易等環(huán)節(jié)，但這種交易不需要消費(fèi)者和商家之間直接見面，并且可以通過Internet這一媒介來進(jìn)行。傳統(tǒng)購物流程協(xié)商賣方買方一手交錢一手交貨網(wǎng)上購物流程賣方協(xié)商銀行收帳支付買方發(fā)貨能收到錢嗎？能收到貨嗎？密碼安全嗎？6.1.3SET協(xié)議的主要目標(biāo)SET是一個(gè)基于可信的第三方認(rèn)證中心的方案，它要實(shí)現(xiàn)的主要目標(biāo)有下列三個(gè)方面：（1）保障付款安全（2）確定應(yīng)用的互通性（3）達(dá)到全球市場的接受性6.1.3SET協(xié)議的主要目標(biāo)

機(jī)密性1

數(shù)據(jù)完整性2

身份認(rèn)證3

不可否認(rèn)性4

6.1.4

SET協(xié)議中的參與方6.1.4

SET協(xié)議中的參與方消費(fèi)者：在電子商務(wù)環(huán)境中，消費(fèi)者和團(tuán)體購買者通過計(jì)算機(jī)與商家交流，消費(fèi)者通過由發(fā)卡機(jī)構(gòu)頒發(fā)的付款卡(例如信用卡、借記卡)進(jìn)行結(jié)算。在消費(fèi)者和商家的會(huì)話中，SET可以保證消費(fèi)者的個(gè)人賬號(hào)信息不被泄露。發(fā)卡機(jī)構(gòu)：它是一個(gè)金融機(jī)構(gòu)，為每一個(gè)建立了賬戶的顧客頒發(fā)付款卡。商家：提供商品或服務(wù)，使用SET，就可以保證消費(fèi)者個(gè)人信息的安全。接受卡支付的商家必須和銀行有關(guān)系。

6.1.4

SET協(xié)議中的參與方銀行：在線交易的商家在銀行開立賬號(hào)，并且處理支付卡的認(rèn)證和支付。支付網(wǎng)關(guān)：是由銀行操作的，將Internet上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)據(jù)的設(shè)備，或由指派的第三方處理商家支付信息和顧客的支付指令。認(rèn)證中心：負(fù)責(zé)簽發(fā)數(shù)字證書給持卡人、商家和支付網(wǎng)關(guān)，讓持卡人、商家和支付網(wǎng)關(guān)之間通過數(shù)字證書進(jìn)行認(rèn)證。

6.1.4

SET協(xié)議中的參與方SET是針對信用卡支付的網(wǎng)上交易而設(shè)計(jì)的支付規(guī)范，對不用卡支付的交易方式，像貨到付款方式、郵局匯款方式則與SET無關(guān)。另外像網(wǎng)上商店的頁面安排、保密數(shù)據(jù)在購買者計(jì)算機(jī)上如何保存等，也與SET無關(guān)。注意！6.2SET協(xié)議的相關(guān)技術(shù)6.2SET協(xié)議的相關(guān)技術(shù)SET協(xié)議中的核心技術(shù)主要有共享密鑰加密技術(shù)公開密鑰加密技術(shù)電子數(shù)字簽名數(shù)字信封技術(shù)6.2.1SET的雙重簽名技術(shù)雙重簽名示意圖6.2.2SET的協(xié)議的認(rèn)證技術(shù)1.身份驗(yàn)證問題2.電子證書持卡人證書商家證書支付網(wǎng)關(guān)證書收單行證書發(fā)卡行證書1）持卡人證書持卡人證書表示持卡人合法擁有支付卡。持卡人的發(fā)卡金融機(jī)構(gòu)對用戶驗(yàn)證并同意以后，向持卡人發(fā)放證書。持卡人證書中包含一個(gè)利用單向散列算法計(jì)算出的一個(gè)秘密值，不包含賬號(hào)信息和過期時(shí)間。在SET協(xié)議中，持卡人向支付網(wǎng)關(guān)提供帳號(hào)信息和秘密值用于驗(yàn)證。在電子商務(wù)交易中，持卡人證書連同購買請求和加密后的支付指令一同傳送給商家。商家接收到持卡人證書后，能夠在最低程度上驗(yàn)證該帳號(hào)。2）商家證書商家證書表明商家同金融機(jī)構(gòu)有一定的關(guān)系，能夠接受支付卡品牌支付。商家證書由商家金融機(jī)構(gòu)數(shù)字簽名，商家證書不能被任何第三方修改，并且只能由金融機(jī)構(gòu)產(chǎn)生。每個(gè)商家對每個(gè)它接受的支付卡品牌擁有一對證書。3）支付網(wǎng)關(guān)證書支付網(wǎng)關(guān)證書由收單行或處理授權(quán)和請款消息的受理系統(tǒng)擁有。持卡人從支付網(wǎng)關(guān)證書中獲取其加密密鑰，用于加密持卡人賬號(hào)信息。這樣，只有支付網(wǎng)關(guān)才能看到持卡人的賬號(hào)信息。4）收單行證書收單行必須有收單行證書才能接收并處理商家的證書請求。收單行從支付卡品牌接收證書。5）發(fā)卡行證書發(fā)卡行必須有發(fā)卡行證書才能接收并處理持卡人的證書請求。發(fā)卡行從支付卡品牌接收證書。3.認(rèn)證中心4.國內(nèi)CA現(xiàn)狀為促進(jìn)電子商務(wù)在中國的順利開展，一些行業(yè)都已建成了自己的一套CA體系，如中國電信CA安全認(rèn)證體系（CTCA）、中國金融認(rèn)證中心（CFCA）等；還有一些行政區(qū)也建立了或正在建立區(qū)域性的CA體系，如上海電子商務(wù)CA認(rèn)證中心（SHECA）、廣東省電子商務(wù)認(rèn)證中心（CNCA）、海南省電子商務(wù)認(rèn)證中心（CNCA）、云南省電子商務(wù)認(rèn)證中心（CNCA）。6.3SET購物與支付處理流程SET協(xié)議交易流程支付網(wǎng)關(guān)收單銀行發(fā)卡銀行認(rèn)證中心持卡人在線商店訂單請求請求確認(rèn)確認(rèn)協(xié)商確認(rèn)審核認(rèn)證認(rèn)證認(rèn)證發(fā)貨第一階段：支付申請階段第二階段：身份認(rèn)證階段第三階段：支付審核階段第四階段：支付確認(rèn)階段支付網(wǎng)關(guān)是銀行金融網(wǎng)絡(luò)系統(tǒng)和Internet網(wǎng)絡(luò)之間的接口，是由銀行操作的將Internet上傳輸?shù)臄?shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)據(jù)的一組服務(wù)器設(shè)備，或由指派的第三方處理商家支付信息和顧客的支付指令。

下面以中國銀行SET電子錢包為例

說明SET協(xié)議的購物流程選擇新東方在線為在線商店第一步：選購新東方在線的產(chǎn)品，并選擇中國銀行支付方式，并點(diǎn)擊確認(rèn)，到下面這個(gè)頁面。

中國銀行SET電子錢包購物流程第二步：根據(jù)您所在的區(qū)域，輸入卡號(hào)、密碼即可進(jìn)入電子錢包。中國銀行SET電子錢包購物流程第三步：進(jìn)入“電子錢包”后在“訂單說明”處，你會(huì)看到你購買的商品的訂單描述。如：購買金額、商城名稱、訂購單號(hào)、商品描述等信息訂單詳情信用卡詳情中國銀行SET電子錢包購物流程第四步：點(diǎn)按“確定”按鈕后，這時(shí)要求你輸入你卡的PIN，密碼輸入完成后，點(diǎn)按“確定”按鈕。中國銀行SET電子錢包購物流程第五步：點(diǎn)按“確定”按鈕后，屏幕返回交易狀態(tài)。這時(shí)候，電子錢包軟件開始與商家交換支付信息，并通過商家與銀行支付網(wǎng)關(guān)交換支付信息。交易狀態(tài)總結(jié)SET協(xié)議每一步驟都通過數(shù)字證書驗(yàn)證對方身份，保證持卡人和商家身份的合法性.實(shí)現(xiàn)訂單信息和個(gè)人帳號(hào)信息的分離，安全性很高。協(xié)議復(fù)雜，數(shù)據(jù)處理時(shí)間較長，成本高簡答題1.SET協(xié)議和SSL協(xié)議的主要區(qū)別是什么？（1）SSL協(xié)議主要是在通信雙方建立安全的通道，保證信息傳遞的安全，而SET協(xié)議主要指針對信用卡支付而開發(fā)的協(xié)議，實(shí)現(xiàn)較為復(fù)雜；（2）SET協(xié)議參與交易時(shí)，客戶的訂單信息和個(gè)人賬號(hào)相隔離，商家只能看到訂單而看不到賬號(hào)信息，而SSL協(xié)議不能保證商家不閱讀客戶的賬號(hào)信息；（3）SET協(xié)議參與交易時(shí)，商家和持卡人可以相互確定雙方的身份，而SSL協(xié)議只有商家和銀行對客戶身份的認(rèn)證，缺少客戶對商家的認(rèn)證；（4）SET協(xié)議要求軟件遵循相同的協(xié)議和報(bào)文格式，是不同的軟件與郵件融合得操作功能，并可以運(yùn)行在不同的軟件和操作平臺(tái)上。1.SET用戶證書不包括(

)。A.持卡人證書B.商家證書C.支付網(wǎng)關(guān)D.企業(yè)證書2．?dāng)?shù)字證書不包含以下哪部分信息（）。A.用戶公鑰B.用戶身份信息C.CA簽名D.工商或公安部門簽章3．電子商務(wù)安全協(xié)議SET主要用于（）。A.信用卡安全支付B.數(shù)據(jù)加密B.交易認(rèn)證D.電子支票支付單選題：DDA4.SET的含義是()A．安全電子支付協(xié)議B．安全電子交易協(xié)議C．安全電子郵件協(xié)議D．安全套接層協(xié)議5.關(guān)于SET協(xié)議，以下說法不正確的是（）SET是“安全電子交易”的英文縮寫屬于網(wǎng)絡(luò)對話層標(biāo)準(zhǔn)協(xié)議與SSL協(xié)議一起同時(shí)在被應(yīng)用

D.規(guī)定了交易各方進(jìn)行交易結(jié)算時(shí)的具體流程和安全控制策略6.為網(wǎng)站和銀行之間通過互聯(lián)網(wǎng)傳輸結(jié)算卡結(jié)算信息提供安全保證的協(xié)議是()A.DESB.SETC.SMTPD.EmailBBB7．下列選項(xiàng)中不屬于Internet攻擊類型的是（）A．截?cái)嘈畔?B.偽造C．纂改 D.磁盤損壞8．下列選項(xiàng)中不屬于VPN（虛擬專用網(wǎng)）的優(yōu)點(diǎn)的是()A．傳輸速度快B.網(wǎng)絡(luò)結(jié)構(gòu)靈活C．管理簡單 D.成本較低DA9．認(rèn)證機(jī)構(gòu)通過電子證書機(jī)制來保證網(wǎng)上通信的合法身份，其提供的服務(wù)不包括()A．證書頒發(fā) B.證書更新C．證書歸檔 D.證書制作l0．下列選項(xiàng)中，不屬于CFCA體系結(jié)構(gòu)的是（）A．根CA B.目錄CAC．政策CA D.運(yùn)營CADCA中心的主要職責(zé)是頒發(fā)和管理數(shù)字證書。

BCFCA中國金融認(rèn)證中心（ChinaFinancialCertificationAuthority),是由中國人民銀行牽頭14家商業(yè)銀行共同建立的國家級(jí)權(quán)威金融認(rèn)證機(jī)構(gòu)。11．SSL協(xié)議可以插入到Internet的應(yīng)用協(xié)議中，它位于InternetTCP／IP協(xié)議的哪個(gè)協(xié)議之上?（）

A．TCP B.IPC．FTP D.HTTP應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理鏈路層OSI/RM模型應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理鏈路層TCP/IP協(xié)議模型AHTTP/Telnet/SMTP/FTPSSLTCPIPAPPLICATIONTCPIPSSL填空題1．電子商務(wù)安全協(xié)議主要有()和()兩個(gè)協(xié)議。2．SSL協(xié)議由()和()兩個(gè)協(xié)議構(gòu)成。SSLSET握手協(xié)議消息加密協(xié)議完SSL協(xié)議運(yùn)行的基點(diǎn)是商家對客戶信息保密的承諾。但在上述流程中SSL協(xié)議有利于商家而不利于客戶?？蛻舻男畔⑹紫葌鞯缴碳?，商家閱讀后再傳到銀行，這樣，客戶資料的安全性便受到威脅。返回

OSI/RM模型

國際標(biāo)準(zhǔn)