信息安全SET協(xié)議

1、安全電子交易協(xié)議安全電子交易協(xié)議SET 什么是SET SET協(xié)議（Secure Electronic Transaction），被稱之為安全電子 交易協(xié)議，Master Card和Visa聯(lián)合Netscape，Microsoft等公司， 于1997年6月1日推出的一種新的電子支付模型。 SET協(xié)議是B2C上基于信用卡支付模式而設(shè)計(jì)的，它保證了開放網(wǎng) 絡(luò)上使用信用卡進(jìn)行在線購物的安全。SET主要是為了解決用戶 ，商家，銀行之間通過信用卡的交易而設(shè)計(jì)的，它具有的保證交 易數(shù)據(jù)的完整性，交易的不可抵賴性等種種優(yōu)點(diǎn)，因此它成為目 前公認(rèn)的信用卡網(wǎng)上交易的國際標(biāo)準(zhǔn)。 SET的目的 解決信用卡電子付款的安

2、全保障性問題 保證信息的機(jī)密性，保證信息安全傳輸，不能被竊聽，只有收件 人才能得到和解密信息 保證支付信息的完整性，保證傳輸數(shù)據(jù)完整接收，在中途不被篡 改 認(rèn)證商家和客戶，驗(yàn)證公共網(wǎng)絡(luò)上進(jìn)行交易活動包括會計(jì)機(jī)構(gòu)的 設(shè)置、會計(jì)人員的配備及其職責(zé)權(quán)利的履行和會計(jì)法規(guī)、制度的 制定與實(shí)施等內(nèi)容。 SET系統(tǒng)的組成： 持卡人、商家、發(fā)卡行、收單行、支付網(wǎng)關(guān)、認(rèn)證中心等六個部 分組成。 基于SET協(xié)議的網(wǎng)上購物系統(tǒng)至少包括電子錢包軟件、商家軟件 、支付網(wǎng)關(guān)軟件和簽發(fā)證書軟件。 支付網(wǎng)關(guān)： 銀行金融軟件系統(tǒng)和Internet網(wǎng)絡(luò)件的接口，是由銀行操作的將在 Internet上傳輸?shù)臄?shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)

3、據(jù)的一組服務(wù)器設(shè)備 或由指派的第三方處理商家支付信息和顧客的支付指令。 SET的工作流程： 1）消費(fèi)者選購商品，輸入相關(guān)信息 2）通過電子商務(wù)服務(wù)器與有關(guān)在線商店聯(lián)系，生成訂單 3）消費(fèi)者選擇付款方式，確認(rèn)訂單簽發(fā)付款指令。此時(shí)SET開始介入。 4）在SET中，消費(fèi)者必須對訂單和付款指令進(jìn)行數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證 商家看不到消費(fèi)者的帳號信息。 5）在線商店接受訂單后，向消費(fèi)者所在銀行請求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀 行，再到電子貨幣發(fā)行公司確認(rèn)。批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。 6）在線商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者端軟件可記錄交易日志，以備將來查詢 7）在線商店發(fā)

4、送貨物或提供服務(wù)并通知收單銀行將錢從消費(fèi)者的帳號轉(zhuǎn)移到商店帳號， 或通知發(fā)卡銀行請求支付。 前兩步與SET無關(guān)，從第三步開始SET起作用，一直到第六步，在處理過程中通信協(xié)議、 請求信息的格式、數(shù)據(jù)類型的定義等SET都有明確的規(guī)定。在操作的每一步，消費(fèi)者、在 線商店、支付網(wǎng)關(guān)都通過CA（認(rèn)證中心）來驗(yàn)證通信主體的身份，以確保通信的對方不 是冒名頂替，所以，也可以簡單地認(rèn)為SET規(guī)格充分發(fā)揮了認(rèn)證中心的作用，以維護(hù)在任 何開放網(wǎng)絡(luò)上的電子商務(wù)參與者所提供信息的真實(shí)性和保密性。 雙重簽名： 客戶用Hash函數(shù)對訂購信息和支付信息進(jìn)行散列處理，分別得到 訂購信息的消息摘要和支付信息的消息摘要。 將兩個

5、消息摘要連接起來再用Hash函數(shù)進(jìn)行散列處理，得到支付 訂購消息摘要 客戶用他的私鑰加密支付訂購消息摘要，最后得到的就是經(jīng)過雙 重簽名的信息 客戶將“訂購信息+支付信息的消息摘要+雙重簽名”發(fā)給商家， 將“支付信息+訂購信息的消息摘要+雙重簽名”發(fā)給銀行； 商家和銀行對收到的信息先生成摘要，再與另一個摘要連接起來 ，如果它與解密后的雙重簽名（利用客戶的公鑰）相等，就可確 定消息的真實(shí)性。 然商家看不到顧客賬戶信息、銀行不知道客戶的購買信息，但都 可確認(rèn)另一方是真實(shí)的。 安全性： 采用公鑰加密和私鑰加密相結(jié)合的辦法保證數(shù)據(jù)的保密性 SET協(xié)議中，支付環(huán)境的信息保密性是通過公鑰加密法和私鑰加密 法

6、相結(jié)合的算法來加密支付信息而獲得的。 它采用的公鑰加密算法是RSA的公鑰密碼體制，私鑰加密算法是采 用DES數(shù)據(jù)加密標(biāo)準(zhǔn)。這兩種不同加密技術(shù)的結(jié)合應(yīng)用在SET中被 形象的成為數(shù)字信封，RSA加密相當(dāng)于用信封密封，消息首先以56 位的DES密鑰加密，然后裝入使用1024位RSA公鑰加密的數(shù)字信封 在交易雙方傳輸。這兩種密鑰相結(jié)合的辦法保證了交易中數(shù)據(jù)信 息的保密性 采用信息摘要技術(shù)保證信息的完整性 采用雙重簽名技術(shù)保證交易雙方的身份認(rèn)證 數(shù)字證書驗(yàn)證9次，數(shù)字簽名驗(yàn)證6次，證書傳遞7次，5次簽名，4 次對稱加密和4次非對稱加密 缺陷： 商品原子性。即必須保證購買者如果付了款就一定能得到商品， 購買者如果得到了商品則一定付了款，不存在付了款而得不到商 品或得了商品而未曾付款。也就是說，當(dāng)商家從支付網(wǎng)關(guān)得到客 戶正確支付后，SET協(xié)議并不能保證商家一定會發(fā)貨給顧客，即不 能保證商品的原子性。 確認(rèn)發(fā)送原子性。需要有對客戶購買的和商家銷售的商品內(nèi)容及 品質(zhì)的雙方確認(rèn)，亦即協(xié)議保證購買者得到他所訂購的商品，商 家發(fā)送了客戶所訂購的商品。商家從支付網(wǎng)關(guān)得到客戶正確支付 后，SET協(xié)議一樣不能保證商家發(fā)