SET协议在电子商务中的应用.docx
- 文档编号:28478388
- 上传时间:2023-07-14
- 格式:DOCX
- 页数:15
- 大小:29.09KB
SET协议在电子商务中的应用.docx
《SET协议在电子商务中的应用.docx》由会员分享,可在线阅读,更多相关《SET协议在电子商务中的应用.docx(15页珍藏版)》请在冰豆网上搜索。
SET协议在电子商务中的应用
摘要
SET是安全电子交易的英文(SecureElectronicTransactions)缩写,用于保证信用卡网上交易的安全性。
SET协议在电子商务中有着广泛的应用。
本文介绍了电子支付协议的概念、特征和种类,具体介绍了SET协议的核心技术,SET的支付模型及它的发展前景和不足之处,最后一章我列举了几个成功的案例来说明当今SET的应用。
关键词:
SET;数字证书;电子商务
Abstract
SET,abbreviationofSecureElectronicTransactions,isusedforguaranteeingthesecurityoftheonlinetradeofthecreditcard.SETprotocolhasextensiveapplicationine-commerce.Thistexthasintroducetheconcept,characteristicandkindoftheelectronicpaymentarrangement,hasintroducedthekeytechnologyofSETprotocolspecifically,SETpaymentmodel,itsprospectandweakpoint.ThelastchapterIlistseveralsuccessfulcases,whichisgoingtoexplaincurrentapplicationofSET.
Keywords:
SET;Digitalcertificate;E-commerce
第一章引言
电子商务作为一种未来的发展方向已为人们所共识,谁在这场竞争中赢得了胜利谁就掌握了未来。
然而在目前,由于因特网的安全法规和安全规则还没有健全,在网上开展电子交易的安全问题就成为大家非常关心的问题。
为了保证上述电子商务活动的安全性,必须有一套有效的安全机制作为保证,这就要建立电子商务信息安全体系。
概括起来,信息安全体系可以分为以下几个层次:
基本加密算法、安全认证手段和安全应用协议。
所涉及的安全技术通常有:
加密技术算法、公开密钥系统基础设施(PI)、各种认证技术、各种交易协议(如SET)、客户端浏览技术、防火墙及保密网关技术等。
尽管上述保证系统安全的技术手段已经存在,但安全问题是系统性的问题,并非把这些手段简单地结合在一起就可得到安全,电子支付系统目前尚处于不成熟阶段且种类较多。
鉴于此,我在本文中对各支付协议做了分析比较,并在此基础上详细分析了SET的在线支付协议模型,并探讨几个成功案例。
第二章电子支付的概念与特征
所谓电子支付,是指从事电子商务交易的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转。
与传统的支付方式相比,电子支付具有以下特征:
(1)电子支付是采用先进的技术通过数字流转来完成信息传输的,其各种支付方式都是采用数字化的方式进行款项支付的;而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体是流转来完成款项支付的。
(2)电子支付的工作环境是基于一个开放的系统平台(即因特网)之中;而传统支付则是在较为封闭的系统中运作。
(3)电子支付使用的是最先进的通信手段,如因特网、Extranet;而传统支付使用的则是传统的通信媒介。
电子支付对软、硬件设施的要求很高,一般要求有联网的微机、相关的软件及其它一些配套设施;而传统支付则没有这么高的要求。
电子支付具有方便、快捷、高效、经济的优势。
用户只要拥有一台上网的PC机,便可足不出户,在很短的时间内完成整个支付过程。
支付费用仅相当于传统支付的几十分之一,甚至几百分之一。
在现实生活中,通过支付手段又可以分为电子信用卡支付、电子支票支付、电子现金支付等。
一个有效的可能成功的电子支付系统必须被广泛认可,该系统必须保证有关各方不易受到欺骗且必须方便。
第三章电子支付协议
3.1卡的支付协议
基于卡的电子支付协议实现了Web的易用性和信用卡的便利性相结合。
因此该类协议目前构成了电子商务中居统治地位的支付模型。
基于卡的支付模式有如下一些方案:
(1)Mailorder/telephoneorder(MOTO)transactions在网上交易中将最关键的数据如信用卡号码及成交金额等略去,然后再用电话、电子邮件或传真来传送这些信息。
这种模式并非真正意义上的网上支付,操作麻烦,无法实现真正的安全可靠性。
(2)FirstVirtualFirstVirtual是典型的信任第三方系统。
在这种系统中,网络上的传送信息甚至可以不加密,因为真正金融交易是离线实施的。
但是不加密信息,同样可以看成一个系统的缺陷,而且客户和商家必须到第三方注册才可以交易,用户容易被别人冒充。
同样,第三方发送给用户的帐户确认信息,也可以被冒充者伪造;定单和用户帐号信息完全暴露。
只适合的支付范围只是小面额的交易。
FirstVirtual交易流图。
(3)SSLSSL(SecureSocketLayer即安全套接层)协议是NetscapeCommunication公司推出在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。
是一种被广泛使用INTERNET传输加密标准。
能最大程度的保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、可操作性。
SSL使用加密的办法建立一个安全的通信通道。
以便将客户的信用卡号传送给商家。
它等价于用一个安全电话连接将用户信用卡通过电话读给商家。
它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。
◆SSL协议提供的服务主要有:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器;认证性
1)加密数据以防止数据中途被窃取;保密性
2)维护数据的完整性,确保数据在传输过程中不被改变。
完整性
◆SSL协议的工作流程:
服务器认证阶段:
1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
用户认证阶段:
在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。
经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。
协议的使用:
从SSL协议所提供的服务及其工作流程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺,这就有利于商家而不利于消费者。
在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这问题还没有充分暴露出来。
但随着电子商务的发展,各中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。
虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。
(4)SET安全电子交易SET(SecureElectronicTransaction)是一种电子支付过程标准,用以保护网上支付卡交易的每一个环节。
它是由Visa和MasterCard两大信用卡组织等联合于1997年5月31日推出的用于电子商务的行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。
SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。
SET是基于卡的安全支付协议最典型的代表,也是目前世界上公认的最安全的电子支付协议之一。
SET已获得IETF标准的认可,是电子商务的发展方向。
,SET标准主要由三个文件组成:
SET业务描述、SET程序员指南和SET协议描述。
本文将在随后详细分析SET的支付模型。
SSL与SET的比较SSL协议实现简单,独立于应用层协议,大部分内置于浏览器和Web服务器中,在电子交易中应用便利。
但它是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,不能实现多方的电子交易中。
SET在保留对客户信用卡认证的前提下增加了对商家身份的认证,安全性进一步提高。
由于两协议所处的网络层次不同,为电子商务提供的服务也不相同,因此在实践中应根据具体情况来选择独立使用或两者混合使用。
3.2基于支票的支付协议
支票模型模拟了现实生活中支票的使用,同信用卡模式一样,它也需要支票发行机构如银行等确认支票的有效性。
在基于支票的支付协议中,比较有前景的是FSTC组织的echeck建立在现有银行纸支票模型之上,直接使用用户的银行帐号,完全能同现有的支票系统并用。
美国政府的第一笔网上支付使用的就是echeck,该电子支票通过电子邮件发送。
3.3基于现金的支付协议
电子货币独立于发行银行而进行自认证的一种符号。
基于电子货币的支付协议可以通过盲签名的机制实现匿名交易。
盲签名机制可以允许用户自己生成硬币,让银行对这枚硬币标定面值。
当用户从银行提款时,他先为硬币随机生成一个很大的编码,然后利用盲签名机制,银行可用代表不同面值的密钥对这枚硬币签名,从而标定硬币的币值。
由于编码很大(大于200位数字),重复的概率可以忽略不计,再加上盲签名让银行无法知道硬币编号,从而不能将其记录下来。
同时为了防止电子现金的复制,chaum引入一种盲记录机制,第一次使用电子硬币时无法进行跟踪,而如果重复使用,就有足够多的信息能查出使用者的帐户信息,从而采取相应的处罚措施。
以上这些安全支付标准中,目前应用较多的是SSL和SET协议,一般认为SET协议安全性最好,可以推广利用信用卡支付网上交易,必将成为网上交易安全通信协定的产业标准。
第四章SET的支付模型
4.1SET安全协议开发的必要性
4.1.1展望
在开放的因特网上处理电子商务,保证买卖双方传输数据的安全成为电子商务的重要的问题。
为了克服SSL安全协议的缺点,满足电子交易持续不断地增加的安全要求,为了达到交易安全及合乎成本效益的市场要求,VISA国际组织及其它公司如MasterCard、MicroSoft、IBM等共同制定了安全电子交易(SET:
SecureElectronicTransactions)公告。
这是一个为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范。
SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。
由于设计合理,SET协议得到了许多大公司和消费者的支持,己成为全球网络的工业标准,其交易形态将成为未来“电子商务”的规范。
安全电子交易规范,为在因特网上进行安全的电子商务提供了一个开放的标准。
SET主要使用电子认证技术,其认证过程使用RSA和DES算法,因此,可以为电子商务提供很强的安全保护。
可以说,SET规范是目前电子商务中最重要的协议,它的推出必将大大促进电子商务的繁荣和发展。
SET将建立一种能在因特网上安全使用银行卡进行购物的标准。
安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则,是一种能广泛应用于因特网的安全电子付款协议,它能够将普遍应用的信用卡使用起始点从目前的商店扩展到消费者家里,扩展到消费者的个人计算机中。
由于安全电子交易规范是由信用卡发卡公司参与制定的,一般认为,安全电子交易规范的认证系统是有效的。
当一位供货商在计算机收到一张有SET签证的订单时,供货商就可以确认该订单背后是有一张合法的信用卡支持,这时他就能放心地接下这笔生意,同样,由于有SET作保障,发出订单的客户也会确认自己是在与一个诚实的供货商做买卖,因为该供货商受到万事达或维莎发卡组织的信赖。
4.1.2SET协议要达到的的目标
主要有五个:
1)保证电子商务参与者信息的相互隔离。
客户的资料加密或打包后边过商家到达银行,但是商家不能看到客户的帐户和密码信息;
2)保证信息在Intemet上安全传输,防止数据被黑客或被内部人员窃取;
3)解决多方认证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证;
4)保证了网上交易的实时性,使所有的支付过程都是在线的;
5)规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
4.2SET的特点和作用
(1)信息的保密性SET的一个重要特点是持卡人的信用卡号码只提供给银行,而商家无法知道信用卡号码。
SET通过综合使用对称密钥加密技术、公钥加密技术与Hash函数实现信息的保密性。
为实现网上交易,卖方和银行必须使顾客相信他们提供的银行卡信息受到保护,只有特定的被授权者才能看到,必须保证结算卡账户和结算信息在网络上传输时得到安全措施的保护,防止银行卡号、密码和交易日期等在网上传输时被他人截获。
SET也采用了相应的技术使商家也无法看到消费者的账户信息,增加了交易的安全性。
SET利用信息加密技术、数字信封等来保证信息在传输过程中的安全性。
(2)数据完整性从持卡人发往商家的支付信息包括订购信息、个人数据及支付指令。
SET使用SecureHash和数字签名方法来确保交易的完整性;通过SET协议,接收者可确认信息在传输过程中是否被人篡改。
如果任何信息在传送中被篡改,交易将无法正确地进行。
为消除潜在的欺诈,SET利用数字摘要技术将发送的摘要与生成的摘要进行对比,以此来确保收到的信息与发送方发出的信息内容相同。
(3)商家和持卡人身份的鉴别无论实现网上的任何交易,都必须事前确定各方的真实身份,如:
SET使持卡人可以鉴别商家真实性。
同时也可以让商家鉴别持卡人是有效信用卡帐号的合法用户。
SET采用X.509V3数字证书、CA认证中心和RSA数字签名达到这一目的。
(4)多方的操作性SET协议使用的协议和信息格式来保证在不同的软硬件平台上运行。
SET协议已成为事实上的工业标准。
可以运行在不同的硬件和操作系统平台上,在多种网络环境下都可以使用。
(5)保证网上交易的实时性所有的支付过程都是在线的,满足电子商务的需要。
4.3SET协议中的核心技术
4.3.1加密技术
SET同时使用对称加密技术和非对称加密技术。
对称加密技术,即使用同一个密钥进行加密与解密。
对称加密方法对信息编码和解码的速度根快,效率也很高,但需要细心保存密钥。
如果信息不小心泄露,以前的所有信息都失去了保密性,致使以后发送者和接收者进行通讯时必须使用新的密钥。
对称加密技术是SET的基础,主要采用DES算法。
例如银行卡采用个人识别码(PIN码)保护银行卡信息;非对称加密技术,即用户采用两个不同的相互依赖的密钥,一个称为公开密钥,另一个称为私有密钥,用于对信息的加密和解密。
利用非对称加密法时,加解密需分别采用不同的秘钥。
这种情况下,私钥需要保存好,公钥方在证书中可供其他交易方查询。
目前通用的非对称加密算法是RSA算法,通常该算法得出的秘钥长度为1024或2048比特。
4.3.2数字签名
在SET中,通过用密码算法对信息进行加密、解密交换实现的。
发送方运行散列函数生成一个要发送信息的摘要,并用其私有密钥加密摘要,形成发送方的数字签名,将数字签名与信息(该信息一般使用电子信封方式进行加密、解密)一起发送给接收方。
接收方收到信息后,用相同的散列函数作用于信息得到另一个摘要,同时用发送方的公开密钥解密数字签名得到真正摘要,通过比较两个摘要是否相同来验证信息传输过程的正确性和完整性。
数字签名可以防止冒充其他人发送信息。
发送者用私钥对发送的信息进行加密,任何其它公钥的接收者都可读到原文,并且可以确认信息就是该发送者,而不是其他人冒用它的名义发的。
数字签名主要有3种应用广泛的方法:
RSA签名、DSS签名和Hash鉴名。
Hash签名是最主要的数字签名方法,也称之为数字摘要法。
数字签名可以保证交易的不可抵赖性。
4.3.3电子认证
要求建立专门的电子认证机构(CA),确认各方身份的合法性。
4.3.4电子信封
又称数字信封,其保证信息在传输中的保密性。
在SET中,使用随机产生的对称密钥来加密数据,然后,将此对称密钥用接收者的公钥加密,称为消息的“数字信封”,将其和数据一起送给接收者,接收者先用他的私钥解密数字信封,得到对称密钥,然后使用对称密钥解开加密的数据,得到明文信息。
这样就保证只有接收方用自己的私钥才能解密,即使信息在网上被截获,他人也无法破解,这样就保证了信息的安全性。
4.3.5双重签名
双重签名使商家无法看到顾客的账户信息,银行也无法看到持卡人的定货信息,提供了更好的保密性。
持卡人将发给商家的信息(报文1)和发给银行的信息(报文2)分别生成报文摘要1和报文摘要2,两个报文摘要合在一起生成报文摘要3,并签名;然后,将报文1、报文摘要2和报文摘要3发送给商家;将报文2、报文摘要1和报文摘要3发送给银行。
商家和银行分别根据收到的报文生成报文摘要,再与收到的报文摘要合在一起,比较结合后的报文摘要和收到的报文摘要3,这样就可以确定持卡人的身份和信息是否被修改过。
双重签名解决了持卡人、银行、商家参加网上贸易过程中的安全通信问题。
4.4SET的支付模型
4.4.1SET支付系统的组成
SET支付系统主要由持卡人(CardHolder)、商家(Merchant)、发卡行(IssuingBank)、收单行(AcquiringBank)、支付网关(PaymentGateway)、认证中心(CertificateAuthority)等六个部分组成。
对应地,基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。
第一 商家:
指网上经营商品或服务的机构。
商家必须在收单银行开户,由收单银行负责交易中的清算。
商家也必须经收单行的审定,得到认证中心发放的数字证书,才能上网交易。
第二 持卡人:
指由发卡银行所发行的银行卡的持有者。
买者要向申请,得到银行的批准。
持卡人还得向CA申请数字证书,得到数字证书后才可以上网交易。
第三 发卡银行:
指向持卡人发行支付卡的金融机构。
第四 收单银行:
指与商家建立业务联系的金融机构。
第五 支付网关:
把支付信息从Internet转到银行内部专用网络,即从公网转到专用网络,并对商家和持卡人进行身份认证。
第六 认证中心(CA):
在基于SET协议的电子商务体系中起着重要作用,是参与交易各方都信任的第三方组织。
CA可以为持卡人、商家和支付网关签发X.509数字证书,让持卡人、商家和支付网关通过数字证书进行认证。
CA同时要对证书进行管理。
4.4.2SET中网上支付的工作流程
基于SET协议的交易流程,持卡人、商家和金融机构三方在认证中心认证后,应履行如下程序:
1)持卡者在网上商店察看商品目录,查看购物光盘等,选择要订购的物品项目,发送初始购买请求。
2)商家接收到请求后,为该信息制定一个唯一的交易识别号,产生初始响应。
商家响应消息通过哈希函数,产生信息摘要;然后用商家的私有密钥对信息摘要进行加密,形成数字签名;最后与商家证书、支付网关证书一起发送给持卡人。
3)持卡人接受响应并发送购买请求。
SET中使用了一种双签名技术,即持卡人发出购买指令时包含的定购和付款两种指令,商家只能看到定购指令,金融机构的支付网关只能看到付款指令。
4)商家接收到购买请求后,通过证书链校验持卡人证书,使用持卡人公开密钥和持卡人购买请求的信息摘要来校验数字签名,以确保定购内容在传输过程中没有被篡改。
商家处理完定购请求后,对购买请求产生回应(其中包含商家签名证书),对响应信息产生信息摘要并用商家私有密钥进行加密,最后将响应信息发送给持卡人。
持卡人接受到购买响应后校验商家签名证书,存储购买响应。
5)商家产生授权请求。
商家软件产生并数字签署一个授权请求,该请求用一个随机产生的对称密钥进行加密,并用支付网关的公用交换密钥(Key—ExchangeKey)对对称密钥加密,然后商家软件将加密后的授权请求消息以及持卡人购买请求中加了密的付款信息一起发送给支付网关。
6)支付网关接受到授权请求后,打开电子信封得到对称密钥,使用对称密钥解密请求信息。
然后支付网关校验商家签名证书,用商家公开密钥校验该授权请求信息是由商家的私有密钥签署的,再校验持卡人签名证书,确认商家的授权请求和持卡人的支付指示一致性,然后将请求发送给持卡人的金融机构。
7)接到持卡人金融机构的授权响应信息后,支付网关产生一份包含支付网关签名证书和扣款标记的响应信息,将加密后的响应信息发送给商家。
8)商家验证支付网关签名证书,存储授权响应,执行订单,完成持卡人购买请求。
然后商家产生扣款请求,其中包括交易的最后总数、金额、标识号等,将扣款请求与前面得到扣款标记一起加密后传递给支付网关。
9)支付网关接受到扣款请求,解密后将请求传递给持卡人的金融机构。
10)实现扣款后支付网关产生并加密响应信息发送给商家。
商家保存扣款响应,以便与金融机构对帐。
4.4.3SET的支付处理过程
主要包括:
购买请求、支付认证。
当商家接收购买请求后,先验证持卡人证书的有效性;再验证双签名的有效性,确保订购信息由持卡人签名且在传输过程中未被非法更改;然后处理订购信息并把支付指令传送给支付网关;最后把购买响应消息回传给持卡人。
该消息包含用于确认订购的响应数据,这一数据由商家进行数字签名。
客户软件收到这一消息后将验证商家的数字签名,然后进行有关的操作,如向持卡人显示有关信息,就订购状态更新数据库等。
支付认证消息是在商家与支付网关之间交换的信息。
它包括支付授权和支付资金清算。
1)支付授权支付授权确保这笔交易是经银行确认的,保证商家能收到钱,据此可向持卡人提供商品或服务。
商家首先向支付网关发送授权请求清息。
其由三部分组成:
①与购买有关的信息。
主要来自于客户,包括:
PJ、双签名、OID和数字信封;②与授权有关的信息。
由商家生成,包括:
交易标识号,由商家签名并加密的授权数据块以及数字信封;③数字证书,包含持卡人签名证书、商家的签名证书及密钥交换证书。
得到发卡银行的授权确认后,支付网关向商家返回授权响应消息。
其由三部分组成:
①与授权有关的信息,包括由支付网关签名及加密的授权数据块和数字信封;②资金清算令牌,这一消息将用于清算支付资金;③数字证书,包含支付网关的签名证书。
得到支付网关的授权确认后,商家即可发送货物或提供服务。
2)支付资金清算商家向支付网关发送清算请求消息。
其包括:
经商家签名、加密的清算请求数据块,该数据块包含了支付总额和交易标识号;资金清算令牌。
支付网关收到清算请求后,解开有关加密的数据块,进行相关的有效性、一致性的检验,然后通过银行内部的资金清算网络把款项从持卡人帐号划到商家的帐号上。
接着,支付网关向商家返回清算响应消息以通知商家转帐的结果。
商家须保留该响应消息以备日后核对之用。
4.5SET协议存在的问题
从1997年5月31日SET协议1.0版正式发布以来,大量的现场实验和实施效果获得了业界的支持,促进了SET良好的发展趋势,但是SET协议同样存在一些问题,这些问题包括:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SET 协议 电子商务 中的 应用