《安全电子交易协议SET.pptx》由会员分享,可在线阅读,更多相关《安全电子交易协议SET.pptx(61页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第七章第七章 平安电子交易协议平安电子交易协议SETnSET协议(SecureElectronicTransaction,平安电子交易)是由VISA和MasterCard两大信用卡公司联合推出的标准。nSET主要是为了解决用户、商家和银行之间通过主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付命令的信用卡支付的交易而设计的,以保证支付命令的机密、支付过程的完整、商户及持卡人的合法身机密、支付过程的完整、商户及持卡人的合法身份,以及可操作性。份,以及可操作性。nSET中的核心技术主要有公开密钥加密、数字签中的核心技术主要有公开密钥加密、数字签名、数字信封、数字平安证书等
2、。名、数字信封、数字平安证书等。n比比SSL协议复杂,因为前者不仅加密两个端点间协议复杂,因为前者不仅加密两个端点间的单个会话,它还可以加密和认定三方间的多个的单个会话,它还可以加密和认定三方间的多个信息信息7.1 SET协议概述协议概述nSET是在开放网络环境中的卡支付平安协议,它采是在开放网络环境中的卡支付平安协议,它采用公钥密码体制用公钥密码体制(PKI)和和X.509电子证书标准,通电子证书标准,通过相应软件、电子证书、数字签名和加密技术能在过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易电子交易环节上提供更大的信任度、更完整的交易信息、更高的平
3、安性和更少受欺诈的可能性。信息、更高的平安性和更少受欺诈的可能性。SET协议用以支持协议用以支持B-C这种类型的电子商务模式,即消这种类型的电子商务模式,即消费者持卡在网上购物与交易的模式。费者持卡在网上购物与交易的模式。nSET在保存对客户信用卡认证的前提下,又增加了在保存对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。讲是至关重要的。nSET协议得到了协议得到了IBM、HP、Microsoft、VeriFone、GTE、Verisign等许多大公等许多大公司的支持,已成为事实上的工业标准。司的支持,已
4、成为事实上的工业标准。目前,它已获得了目前,它已获得了IETF标准的认可。标准的认可。SET协议的开展协议的开展n1996年2月,MarsterCard和Visa国际信用卡组织与技术合作伙伴GTE、Netcape、IBM、TerisaSystems、Verisign、Microsoft、SAIC等一批跨国公司共同开辟了平安电子交易标准(SET)。n1997年2月,由MasterCard和Visa发起成立SETCO公司.nSETCO建设认证体系建设认证体系(CA)。n为了推动电子商务的开展,首先要验证为了推动电子商务的开展,首先要验证或识别参与网上交易活动的各个主体或识别参与网上交易活动的各个主
5、体(如如持卡消费者、商户、收单银行的支付网持卡消费者、商户、收单银行的支付网关关)的身份,并用相应的电子证书代表他的身份,并用相应的电子证书代表他们的身份。们的身份。各级认证机构n根认证机构(RootCA)、n品牌认证机构(BrandCA),n持卡人n商户n收单行支付网关认证机构(HolderCardCAorMerchantCAorPaymentGatewayCA)由上而下按层次结构建立的根认证机构(RootCA)功能:n生成和平安保存符合SET协议要求的属于根认证机构的公、私密钥。n生成和自行签署符合SET协议要求的根证书及其数字签名。n处理品牌认证机构的申请,生成、验证品牌证书并在品牌证书
6、上进行数字签名。n生成品牌证书撤销清单。n支持跨域交叉认证。n制定平安认证政策。7.1.1 平安付费需求平安付费需求1.付费与订购信息的保密性;2.确保所有传输数据的完整性;3.提供认证,确保每一个信用卡账户的持卡人都是合法的;4.提供认证,确保商家能根据与金融机构的关系,提供可信任的信用卡交易;5.确保使用最正确的平安操作及系统设计技术,以保护所有在电子商务交易上的合法当事人;6.SET能够在TCP/IP层上平安的运行。7.促进及鼓励软件和网络提供者之间的合作:7.1.2 SET协议的功能及其重要特征协议的功能及其重要特征nSETSET协议是信用卡在因特网上进行支付的协议是信用卡在因特网上进
7、行支付的一种开放式平安协议和格式一种开放式平安协议和格式.n解决持卡人、商家和银行之间通过信用解决持卡人、商家和银行之间通过信用卡来进行网上支付的交易,旨在保证支卡来进行网上支付的交易,旨在保证支付命令的机密性、支付过程的完整性、付命令的机密性、支付过程的完整性、商家以及持卡人身份的合法性以及可操商家以及持卡人身份的合法性以及可操作性。作性。SETSET协议分为三个阶段:协议分为三个阶段:n第一阶段为购置请求阶段,持卡人与商家确定所用支付方式的细节;n第二阶段是支付的认定阶段,商家与银行核实,随着交易的进行,他们将得到支付;n第三阶段为受款阶段,商家向银行出示所有交易的细节,然后银行以适当方式
8、转移货款。SET一个基于可信的第三方认证中心的方案,主要目标是:n 保证信息在互联网上平安传输,防止数据被黑客或被内保证信息在互联网上平安传输,防止数据被黑客或被内部人员窃取。部人员窃取。n 保证电子商务参与者信息的相互隔离。客户的资料加密保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行,但是商家不能看到客户的账或打包后通过商家到达银行,但是商家不能看到客户的账户和密码信息。户和密码信息。n 解决多方认证问题。不仅要对消费者的信用卡认证,而解决多方认证问题。不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线且要对在线商店的信誉程度认证,同时
9、还有消费者、在线商店与银行间的认证。商店与银行间的认证。n 保证网上交易的实时性,使所有的支付过程都是在线的。保证网上交易的实时性,使所有的支付过程都是在线的。n 效仿效仿EDI贸易的形式,标准协议和消息格式,促使不同贸易的形式,标准协议和消息格式,促使不同厂家开辟的软件具有兼容性和互操作功能,并且可以运行厂家开辟的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。在不同的硬件和操作系统平台上。7.2 SET交易的参与者交易的参与者持卡人持卡人 特约商店特约商店 发卡银行发卡银行 收单银行收单银行 收单银行(Acquirer)n收单银行建立一个特约商店的账户,对信用卡做认证
10、处理与收单银行建立一个特约商店的账户,对信用卡做认证处理与账款的处理。特约商店通常会接受几个不同发卡公司,但不账款的处理。特约商店通常会接受几个不同发卡公司,但不会同时和多个不同的银行卡协会或多个个体发卡银行合作。会同时和多个不同的银行卡协会或多个个体发卡银行合作。n收单银行会协助特约商店做认证,核对信用卡账户是否有效,收单银行会协助特约商店做认证,核对信用卡账户是否有效,以及消费金额是否超出信用额度。以及消费金额是否超出信用额度。n收单银行提供电子转账的效劳,它会将消费者支付转到特约收单银行提供电子转账的效劳,它会将消费者支付转到特约商店的账户去。接着,发卡银行会经过某种付费网络,对收商店的
11、账户去。接着,发卡银行会经过某种付费网络,对收单银行补偿其协助电子资金转换所需的费用。单银行补偿其协助电子资金转换所需的费用。n收单银行的利益主要来源于商户回佣、商户支付的其他效劳收单银行的利益主要来源于商户回佣、商户支付的其他效劳费(如费(如POSPOS终端租用费、月费等)及商户存款增加。大多数终端租用费、月费等)及商户存款增加。大多数发卡银行都兼营收单业务,也有一些非银行专业效劳机构经发卡银行都兼营收单业务,也有一些非银行专业效劳机构经营收单业务。营收单业务。n支付网关(Paymentgateway)n支付网关是连接银行专用网络与Internet的一组效劳器,其主要作用是完成两者之间的通信
12、、协议转换和进行数据加、解密,以保护银行内部网络的平安。n支付网关的功能主要有:支付网关的功能主要有:n将Internet传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;n接收银行系统内部反响的响应消息,将数据转换为Internet传送的数据格式,并对其进行加密。完成平安性的电子交易的过程1.消费者开立账户。消费者开立账户。首先消费者要在有支持电子支付及SET的银行建立信用卡账户,比方MasterCard或Visa。2.消费者收到证书。消费者收到证书。银行签署的X.509v3数位证书。这个证书用来核对消费者的RSA公开密钥及密钥的有效期限。同时,也建立了消费者的密钥组与信用卡之间
13、的关系,并由银行来保证这个关系。3.特约商店证书。特约商店证书。接受某家公司的信用卡的特约商店必须拥有两个证书,分别包含一把公开密钥:一个用来签署信息,一个是用在密钥交换。特约商店也要保存一份支付网关的公开密钥证书。4.消费者订购。5.特约商店核对。除了订购单,特约商店会发送它们的证书副本,而消费者可以核对所消费的商店是否为合法有效的。6.发送订单及支付。消费者将其订单、支付命令与其证书传送给特约商店。这份订单对所支付的款项进行核对。支付中会包含了信用卡的细节。因此支付的信息要经过加密,才不会被特约商店获取其中的重要信息。而消费者的证书可以让特约商店核对消费者身份。7.特约商店请求支付认证。特
14、约商店在这个时候会向支付网关传送支付命令,并且请求核对消费者的信用卡是否能支付这笔款项。8.特约商店核准订单。特约商店将核准的订单信息传送给消费者。9.特约商店提供其货物或效劳。将消费者订购的商品装运,或提供给消费者其它效劳。10.特约商店请求支付。商店将请求支付的消息送到支付网关,支付网关会处理支付工作。7.3 SET协议采用的加密和认证技术协议采用的加密和认证技术nSET使用多种密钥技术来到达平安交易的要求,其中对称密钥技术、公钥加密技术和Hash算法是其核心。n综合应用以上三种技术产生了数字签名、数字信封、数字证书等加密与认证技术。对称密钥加密nSET协议缺省使用由IBM公司制定的DES
15、(DataEncryptionStandard)标准。nDES将数据分割成64位的数据块,用56位的密钥对其进行一系列的数学变换后产生密文,然后接收者用同一密钥将密文解译成明文。n对称密钥加密的优点时加密、解密效率高,适用于大数据量加密与解密。其缺点是密钥没有平安的传递方式,容易被截获,不能适应大范围应用。公钥加密技术n缺点是加密与解密速度慢,比DES算法慢10倍以上。所以它只适用于少量数据的加密和用于对称密钥的传递。RSA的密钥长度可从512bit至2048bit。SET中使用1024bit、2048bit两种长度,以满足不同等级的加密要求。Hash算法nHash算法并不是加密算法,但却能产
16、生信息的数字“指纹”,主要用途是为了确保数据没有被篡改或发生变化,以维护数据的完整性。nHash算法有三个特征:n能处理任意大小的信息,并生成固定长度(160bit)的信息。n具有不可预见性。信息的大小与原信息的大小没有任何联系。原信息的一个微小变化都会对信息产生很大的影响。n具有不可逆性。没有方法通过信息直接恢复原信息。SET使用SHA1平安Hash算法。数字签名nA用其私钥加密文件,这便是签字过程;nA将加密的文件送到B;nB用A的公钥解开A送来的文件;n签名方法是符合可靠性原则的。即:n签字是可以被确认的n签字是无法被伪造的n签字是无法重复使用的n文件被签字以后是无法被篡改的n签字具有不
17、可否认性将数字和数字签名结合明文明文明文明文AliceAliceBobBobAA的私钥的私钥的私钥的私钥Hi BobHi BobAliceAliceAA的公钥的公钥的公钥的公钥哈希函数哈希函数哈希函数哈希函数gJ39vzgJ39vzamp4xamp4xOurjj9rOurjj9rRr%9$Rr%9$数字签名数字签名数字签名数字签名Hi BobHi BobAliceAlice明文明文明文明文Ourjj9rOurjj9rRr%9$Rr%9$数字签名数字签名数字签名数字签名Hi BobHi BobAliceAlice明文明文明文明文gJ39vzgJ39vzamp4xamp4x 新新新新 哈希函数哈希
18、函数哈希函数哈希函数gJ39vzgJ39vzamp4xamp4x=?相同相同相同相同11、没有篡改、没有篡改、没有篡改、没有篡改22、是、是、是、是AliceAlice发送的发送的发送的发送的11223344556677数字信封技术数字信封技术双重签名n双重签名的目的在连结两个不同接收者消息。在这里,消费者想要发送订单信息OI到特约商店,且发送支付命令PI给银行。特约商店并不需要知道消费者的信用卡卡号,而银行不需要知道消费者订单的详细信息。消费者需要将这两个消息分隔开,而受到额外的隐私保护。n在必要的时候这两个消息必须要连结在一起,才可以解决可能的争议、质疑。这样消费者可以证明这个支付行为是根
19、据他的订单来执行的,而不是其它的货品或效劳。n先假设消费者发送两个消息给特约商店:签名过的OI及PI,而特约商店将PI的局部传递给银行。如果这个特约商店能获得这个消费者的其它OI,那么特约商店就可以声称后来的这个OI是和PI一起来的,而不是原来的那个OI。因此如果将两个消息连结起来,就可以防止这样的情况发生。PIHPIMDOIHOIMDHPOMDEDualsignatureKRcPI:支付命令 PIMD:PI消息摘要OI:订单信息 OIMD:OI消息摘要H:哈希函数(SHA-1)POMD:支付/订单消息摘要:连结 E:加密函数(RSA)KRc:用户私钥图7.2双重签名的生成过程双重签名生成公式
20、nDS=EKRcH(H(PI)|H(OI)n其中EKRc是表示消费者的私人密钥。现在假设特约商店拥有这个双重签名(DS),OI和PI的消息 (PIMD)。并且特约商店也从消费者的证书中得到消费者的公开密钥。n特约商店计算出两个数:nH(PIMD|H(OI)nDKUcDSn其中DKUc为消费者的公开密钥。如果这两个数计算出的结果相同,则特约商店就可核准这个签名。相同地,如果银行拥有DS,PI,与OI的消息(OIMD),及消费者的公开密钥,则银行可计算如下:nH(H(PI)|OIMD)nDKUcDS总结如下n特约商店接收到OI,可以验证签名确认OI正确性。n银行接收到PI,也可验证此签名确认PI的
21、正确性。n消费者则将OI及PI连结完成,并且可以证明这个连结的正确性。n王先生要买李小姐的一处房产,他发给李小姐一个购置报价单及对他对银行的授权书的消息,要求银行如果李小姐同意按此价格出卖,则将钱划到李小姐的帐上。n但是王先生不想让银行看到报价,也不想让李小姐看到他的银行帐号信息。n此外,报价和支付是相连的、不可分割的,仅当李小姐同意他的报价,钱才会转移。n首先生成两条消息的,将两个连接起来,生成一个新的新的 (称为双重签名),(称为双重签名),然后用签发者的私有密钥加密,为了让接收者验证双重签名,还必须将另外一条消息的将另外一条消息的 一块传过去一块传过去。n这样,任何一个消息的接收者都可以
22、通过以下方法验证消息的真实性:生成消息生成消息 ,将它和另外一,将它和另外一个消息个消息 连接起来,生成新的连接起来,生成新的 ,如果它与解密后,如果它与解密后的双重签名相等,就可以确定消息是真实的。的双重签名相等,就可以确定消息是真实的。因此,如果李小姐同意,它发一个消息给银行表示她同意,另外包括报价单的消息,银行能验证王先生授权的真实性,用张先生的授权书生成的和李小姐消息中的报价单的验证双重签名。银行根据双重签名可以判定报价单的真实性,但却看不到报价单的内容。7.4 SET的交易流程的交易流程n持卡人注册(Cardholderregistration):持卡人必须在发送SET信息给特约商店
23、之前向CA注册。n特约商店注册(Merchantregistration):特约商店必须在它们和消费者与支付网关交换SET信息之前,向CA申请注册。n购置请求(Purchaserequest):从消费者送出给特约商店的消息,包含给特约商店的OI与给银行的PI。n支付授权(支付授权(Payment authorization):在特约商店与支):在特约商店与支付网关之间的交换,可以对特定账户信用卡持卡人的采购付网关之间的交换,可以对特定账户信用卡持卡人的采购做授权。做授权。n支付获得(支付获得(Payment capture):让特约商店可以从支付):让特约商店可以从支付网关请求支支付项。网关请
24、求支支付项。n证书询问与状态(证书询问与状态(Certificate inquiry and status):如):如果果CA无法快速完成一个证书请求的处理,它会发送一个消无法快速完成一个证书请求的处理,它会发送一个消息给持卡人或特约商店,说明要请求者稍后再做确认。而息给持卡人或特约商店,说明要请求者稍后再做确认。而持卡人或特约商店会发送证书询问的消息,来确定证书请持卡人或特约商店会发送证书询问的消息,来确定证书请求的状态,如果请求得到批准就会接收到证书了。求的状态,如果请求得到批准就会接收到证书了。n采购询问(采购询问(Purchase inquiry):采购响应消息收到后,):采购响应消息
25、收到后,持卡人可以询问订单处理状态。持卡人可以询问订单处理状态。n记录回复(记录回复(Capture reversal):特约商店可以更正在取):特约商店可以更正在取得请求消息中的错误,如销售员输入错误的交易数量。得请求消息中的错误,如销售员输入错误的交易数量。7.4.1 购置请求购置请求n在购置请求之前,持卡人已经完成扫描选定商品以及订购的工作。这些工作都还没有使用到SET协议。n购置请求过程,由四个消息构成:初始请求、初始回应、购置请求、购置回应。n为了传送SET消息到特约商店,持卡人必须要保存一份特约商店及支付网关的证书副本。消费者在初始请求的消息中要求申请证书,然后这个消息会送到特约商
26、店。这个消息包括消费者所使用的信用卡的公司,也包含了由消费者指定的回应这组请求的一个ID。PIMDPIOIOIMDEDualsignatureKsPI:支付命令:支付命令 OI:订单信息:订单信息 PIMD:PI消息摘要消息摘要OIMD:OI消息摘要消息摘要E:加密函数(:加密函数(RSA或或DES)Ks:临时对称密钥:临时对称密钥KUb:银行的公钥:银行的公钥EKUbDigital envelopeDual signatureCardholder certificateRequest message由商家发给支付网关由商家发给支付网关由商家接收由商家接收图图7.3持卡人发送采购请求持卡人发送
27、采购请求PIMDOIDigital envelopeDual signatureCardholder certificateRequest message由商家发给由商家发给支付网关支付网关HPOMDHOIMDDPOMD核对核对KUcOI:订单信息:订单信息 OIMD:OI消息摘要消息摘要POMD:支付:支付/订单消息摘要订单消息摘要D:解密(:解密(RSA)H:哈希函数(:哈希函数(SHA-1)Ks:临时对称密钥:临时对称密钥KUc:用户公钥:用户公钥图图7.4商家核对消费者的采购请求商家核对消费者的采购请求7.4.2 支付授权支付授权授权请求消息,由特约商店发送给支付网关,包含了以下信息:
28、n采购的相关消息:nPIn由PI与OI所计算出,并且经由消费者私钥签署过的双重签名。nOI消息(OIMD)n数字信封授权的相关消息n授权区块,包含了交易ID,由特约商店私钥签署,并经特约商店所产生的临时对称密钥加密。n数字信封证书。n包含持卡人的签名密钥证书(用来对双重签名进行核对),特约商店的签名密钥证书(用来对特约商店的签名进行核对),以及特约商店的密钥交换证书支付网关则需要执行以下工作:n核对所有的证书n将授权区块的数字信封解密,得到对称密钥,然后就可以对授权区块解密了n核对授权区块中的特约商店签名n对支付区块的数字信封解密,得到对称密钥后,可以再将支付区块解密n核对支付区块中的双重签名
29、n核对从特约商店接收到的交易ID,是否和从消费者接收到的PI内交易ID吻合n向发卡银行请求并接受授权7.5 SET协议的平安性分析协议的平安性分析n在ISO/IEC10181系列中阐述了开放式信息系统的平安架构标准,共包含七个局部:鉴别、访问操作、抗抵赖性、机密性、完整性、平安跟踪与告警以及密钥管理等效劳;n访问及平安跟踪告警两部份牵涉到企业平安政策与组织架构的程度较深,SET并没有针对它们给应用系统开辟人员提出系统的指导原则;n关于密钥管理的局部,SET协议也没有说明该如何处理,也就是说,目前SET将上述三个部份留给应用系统开辟人员自行处理。鉴别平安nSET的鉴别工作必须依赖公开密钥的运作体
30、系(publickeyinfrastructure,PKI),使得系统是否能实际运作必须依赖整体大环境是否成熟而定,例如签证体系的建立等,这将导致系统建设本钱的大幅提升。完整性平安nSET协议使用数字签名与哈希函数技术来达成完整性的要求,运作方式为发送方先将交易信息经过哈希函数的计算产生消息后,再使用发送方的私钥加密产生签名。nSET使用的哈希函数算法是SHA-1,其产生的消息长度为160位,而只要更改消息中任一个位,平均来说,将导致一半的消息位改变,故可提升签名的平安性。机密性平安nSET协议采用了对称性与非对称性的密码系统。n每一次交易双方建立新的连接就是一次通信期间的开始,而每次通信期间
31、都会产生新的通信密钥,也就是说每个通信密钥的有效期为通信期间,而这个期间通常都不长;基于这些特性,相对于长期间都使用同一把密钥加密来说,就算某次的通信密钥遭到破解,也不会影响到其它交易数据的平安性。抗抵赖性nSET协议可以利用数字签名技术来产生不可否认的证据,其中双重签名也隐含了这个功能。n基于银行对于商店不信任的假设,银行可利用商店转交持卡人的支付信息以及请求授权信息,来防止商店否认交易内容。隐私权的平安保护nSET协议为了提供消费者隐私权的保护,使用了一个重要的创新技术双重签名nSET协议是从银行的角度来考虑,所以对于隐私的保护是建立在信任银行的假设上。事实上,银行可能聚集持卡人个别交易的
32、支付信息,如果缺乏适当的防范措施,将导致持卡人隐私泄露的风险。SETSET标准的应用与局限性标准的应用与局限性 SET 1.0 SET 1.0版自版自19971997年推出以来推广应用较慢,没有到达年推出以来推广应用较慢,没有到达预期的效果。预期的效果。最大的挑战在于定期进行网上购物的消费者极少,原最大的挑战在于定期进行网上购物的消费者极少,原因主要是因主要是SETSET协议为了保证平安性而牺牲了简便性、操作过协议为了保证平安性而牺牲了简便性、操作过于复杂、本钱较高、具有较大竞争力的于复杂、本钱较高、具有较大竞争力的SSLSSL协议的广泛应用协议的广泛应用以及局部经济兴旺国家的法律规定了持卡人
33、承担较低的信以及局部经济兴旺国家的法律规定了持卡人承担较低的信用卡风险等。用卡风险等。SETSET协议提供了多层次平安保障,复杂程度显协议提供了多层次平安保障,复杂程度显著增加;这些平安环节在一定程度上增加了交易的复杂性。著增加;这些平安环节在一定程度上增加了交易的复杂性。深圳信息职业技术学院电子商务根底课程组版权所有n另另外外,SETSET协协议议目目前前只只局局限限于于银银行行卡卡的的网网上上支支付付,对对其其他他方方式式的的支支付付没没有有给给出出很很好好的的解解决决方方案案。SETSET协协议议只只支支持持B2CB2C模模式式的的电电子子商商务务,而而不不支支持持目目前前最最具有前途和
34、影响力的具有前途和影响力的B2BB2B电子商务交易。电子商务交易。nSETSET由由于于其其高高度度的的平平安安性性和和标标准准性性,使使其其逐逐步步开开展展成为目前平安电子支付的国际标准。成为目前平安电子支付的国际标准。深圳信息职业技术学院电子商务根底课程组版权所有7.6 SSL与与SET协议的比较协议的比较工程工程SSL 协议协议SET 协议协议工作层次工作层次传输层与应传输层与应用层之间用层之间应用层应用层是否透明是否透明透明透明不透明不透明过程过程简单简单复杂复杂效率效率高高低低平安性平安性商家掌握消商家掌握消费者费者消费者对商消费者对商家保密家保密认证机制认证机制双方认证双方认证多方
35、认证多方认证是否专为是否专为 EC 设计设计否否是是深圳信息职业技术学院电子商务根底课程组版权所有 协议层次和功能nSSLSSL属于传输层的平安技术标准,它不具备电子商务的属于传输层的平安技术标准,它不具备电子商务的商务性、协调性和集成性功能。商务性、协调性和集成性功能。SETSET协议位于应用层,协议位于应用层,它不仅标准了整个商务活动的流程,而且制定了严格它不仅标准了整个商务活动的流程,而且制定了严格的加密和认证标准,具备商务性、协调性和集成性功的加密和认证标准,具备商务性、协调性和集成性功能。能。深圳信息职业技术学院电子商务根底课程组版权所有nSSLSSL可以很好地封装应用层数据,不用改
36、变位于应用层的应用程可以很好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。同时,序,对用户是透明的。同时,SSLSSL只需要通过一次只需要通过一次“握手握手”过程过程就可以建立客户与效劳器之间的一条平安通信通道,保证传输就可以建立客户与效劳器之间的一条平安通信通道,保证传输数据的平安。但是,数据的平安。但是,SSLSSL并不是专为支持电子商务而设计的,只并不是专为支持电子商务而设计的,只支持双方认证,商家完全掌握消费者的账户信息。支持双方认证,商家完全掌握消费者的账户信息。nSETSET协议位于应用层,其认证体系十分完善,可以实现多方认证,协议位于应用层,其认证体系十分完善,
37、可以实现多方认证,SETSET中消费者账户信息对商家来说是保密的。但是中消费者账户信息对商家来说是保密的。但是SETSET协议十分协议十分复杂,交易数据需要进行屡次验证,用到多个密钥以及屡次加复杂,交易数据需要进行屡次验证,用到多个密钥以及屡次加密解密,标准了整个商务活动的流程,从持卡人到商家,到支密解密,标准了整个商务活动的流程,从持卡人到商家,到支付网关,到认证中心及信用卡结算中心之间的信息流走向及必付网关,到认证中心及信用卡结算中心之间的信息流走向及必须采用的加密、认证都制定了严密的标准,从而最大限度地保须采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、效劳性、协调性和集
38、成性。证了商务性、效劳性、协调性和集成性。深圳信息职业技术学院电子商务根底课程组版权所有 平安性nSETSET协议由于采用了公钥加密、信息协议由于采用了公钥加密、信息 和和数字签名可以确保信息的保密性、可鉴别数字签名可以确保信息的保密性、可鉴别性、完整性和不可否认性,且性、完整性和不可否认性,且SETSET协议采用协议采用了双重签名来保证各参与方信息的相互隔了双重签名来保证各参与方信息的相互隔离离nSSLSSL协议虽也采用了公钥加密、信息协议虽也采用了公钥加密、信息 和和MACMAC检测,可以提供保密性、完整性和一定检测,可以提供保密性、完整性和一定程度的身份鉴别功能,但缺乏一套完整的程度的身
39、份鉴别功能,但缺乏一套完整的认证体系,不能提供完备的防抵赖功能。认证体系,不能提供完备的防抵赖功能。深圳信息职业技术学院电子商务根底课程组版权所有 处理速度nSETSET协议非常复杂、庞大,处理速度慢。一个典型的协议非常复杂、庞大,处理速度慢。一个典型的SETSET交易过程需验证电子证书交易过程需验证电子证书9 9次、验证数字签名次、验证数字签名6 6次、次、传递证书传递证书7 7次、进行次、进行5 5次签名、次签名、4 4次对称加密和次对称加密和4 4次非次非对称加密,整个交易过程可能需花费对称加密,整个交易过程可能需花费1.51.5至至2 2分钟;分钟;n而而SSLSSL协议则简单得多,处
40、理速度比协议则简单得多,处理速度比SETSET协议快。协议快。深圳信息职业技术学院电子商务根底课程组版权所有 用户接口nSSLSSL协议已被扫描器和协议已被扫描器和WEBWEB效劳器内置,无需安装专门效劳器内置,无需安装专门软件;软件;n而而SETSET协议中客户端需安装专门的电子钱包软件,在协议中客户端需安装专门的电子钱包软件,在商家效劳器和银行网络上也需安装相应的软件。商家效劳器和银行网络上也需安装相应的软件。深圳信息职业技术学院电子商务根底课程组版权所有 认证要求n早期的早期的SSLSSL协议并没有提供身份认证机制,虽然在协议并没有提供身份认证机制,虽然在SSL3.0SSL3.0中可以通
41、过数字签名和数字证书实现扫描器中可以通过数字签名和数字证书实现扫描器和和WebWeb效劳器之间的身份验证,但仍不能实现多方认效劳器之间的身份验证,但仍不能实现多方认证,而且证,而且SSLSSL中只有商家效劳器的认证是必须的,客中只有商家效劳器的认证是必须的,客户端认证则是可选的。户端认证则是可选的。nSETSET协议的认证要求较高,所有参与协议的认证要求较高,所有参与SETSET交易的成员都交易的成员都必须申请数字证书,并且解决了客户与银行、客户必须申请数字证书,并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。与商家、商家与银行之间的多方认证问题。深圳信息职业技术学院电子商务根
42、底课程组版权所有 加密机制nSSLSSL对网上传输的所有信息都加密,因此每次传输速度相对网上传输的所有信息都加密,因此每次传输速度相对较慢,尤其是当网页中图片较多时;对较慢,尤其是当网页中图片较多时;nSETSET对网上传输的信息进行加密,是有选择的,它只对敏对网上传输的信息进行加密,是有选择的,它只对敏感性信息加密,比方只对感性信息加密,比方只对FormForm中输入的信用卡帐号加密。中输入的信用卡帐号加密。由于由于SSLSSL是基于传输层加密,是基于传输层加密,SSL SSL为高层提供了特定接口,为高层提供了特定接口,使得应用方无须了解传输层情况,对用户完全透明;但使得应用方无须了解传输层
43、情况,对用户完全透明;但SSLSSL大都采用大都采用4040位密钥。位密钥。SETSET的加密过程则不同于的加密过程则不同于SSLSSL。在。在很大程度上加密对它而言只是一种普及的技术手段,而很大程度上加密对它而言只是一种普及的技术手段,而不像不像SSLSSL中把加密看作一种重要组成局部。中把加密看作一种重要组成局部。SETSET中广泛使中广泛使用了数字信封等技术,并采用严密的系统约束来保证数用了数字信封等技术,并采用严密的系统约束来保证数据传输的平安性。据传输的平安性。深圳信息职业技术学院电子商务根底课程组版权所有总结n由于由于SSLSSL协议的本钱低、速度快、使用简单,协议的本钱低、速度快、使用简单,对现有网络系统不需进行大的修改,因而对现有网络系统不需进行大的修改,因而目前取得了广泛的应用。但随着电子商务目前取得了广泛的应用。但随着电子商务规模的扩大,网络欺诈的风险性也在提高,规模的扩大,网络欺诈的风险性也在提高,在未来的电子商务中在未来的电子商务中SETSET协议将会逐步占据协议将会逐步占据主导地位。主导地位。深圳信息职业技术学院电子商务根底课程组版权所有演讲完毕,谢谢观看!