《电子商务安全》第6章 安全电子交易协议

第6章安全电子交易协议第6章安全电子交易协议本章主要内容什么是SET协议SET协议的目标和涉及的角色SET协议相关的技术SET协议的交易流程本章重/难点双重签名SET协议的交易流程6.1SET协议概述6.1.1SET协议的由来SET协议Secure（安全）Electronic

（电子）Transaction

（交易）

协议是计算机网络中通信双方为了实现通信而必须遵守的规则和约定。SET协议是应用层的协议。

SET协议的由来安全电子交易(SecureElectronicTransaction)协议在Internet上开发对所有公众开放的电子商务系统，从技术角度来看，关键的技术问题有两个：一是信息传递的准确性；二是信息传递的安全可靠性。前者是各种数据交换协议已经解决了的问题；后者则是目前学术界、工商界和消费者最为关注的问题。SET协议的由来1996年提出SET、SEPP等协议模式1997年4月，IBM、Netscape、MasterCard、Visa联手推出基于SET和SEPP的网络商贸系统。SET的实质——密码技术+数字证书保护各方的安全。版本1997年5月，1.0版本SET管理机构——SETCo

SET协议的由来安全电子交易(SecureElectronicTransaction)协议1997年由美国Visa和MasterCard两大信用卡公司共同制定实施SET主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的SET协议确保了网上交易所需要的保密性、数据的完整性、交易的不可否认性和交易的身份认证。中国银行是国内第一家使用SET协议的金融机构InternetInternet银行网络收单行发卡行Web和商务服务器其他商业处理盘点、会计、行销等数据库服务器认证和安全认证和安全支付网关SET交易系统示意图

SET协议的由来SET协议主要通过使用密码技术和数字证书的方式来保证信息的机密性和安全性。SET协议的内容包括：SET的交易流程程序设计规格SET协议的完整描述

SET协议的由来在SET协议中主要定义了以下内容：1）加密算法（如RSA和DES）的应用；2）证书消息和对象格式；3）购买消息和对象格式；4）请款消息和对象格式；5）参与者之间的消息协议。

SET协议的由来SET协议中的核心技术主要有共享密钥加密技术公开密钥加密技术电子数字签名数字信封技术

6.1.2网上购物和现实中购物的比较在传统购物中，商家和消费者需要直接见面，交易过程中需要的信息传输手段往往也是多种多样的，如电话、传真、信件等。与传统购物一样，网上购物也分为查询、订货、交易等环节，但这种交易不需要消费者和商家之间直接见面，并且可以通过Internet这一媒介来进行。传统购物流程协商卖方买方一手交钱一手交货网上购物流程卖方协商银行收帐支付买方发货能收到钱吗？能收到货吗？密码安全吗？6.1.3SET协议的主要目标SET是一个基于可信的第三方认证中心的方案，它要实现的主要目标有下列三个方面：（1）保障付款安全（2）确定应用的互通性（3）达到全球市场的接受性6.1.3SET协议的主要目标

机密性1

数据完整性2

身份认证3

不可否认性4

6.1.4

SET协议中的参与方6.1.4

SET协议中的参与方消费者：在电子商务环境中，消费者和团体购买者通过计算机与商家交流，消费者通过由发卡机构颁发的付款卡(例如信用卡、借记卡)进行结算。在消费者和商家的会话中，SET可以保证消费者的个人账号信息不被泄露。发卡机构：它是一个金融机构，为每一个建立了账户的顾客颁发付款卡。商家：提供商品或服务，使用SET，就可以保证消费者个人信息的安全。接受卡支付的商家必须和银行有关系。

6.1.4

SET协议中的参与方银行：在线交易的商家在银行开立账号，并且处理支付卡的认证和支付。支付网关：是由银行操作的，将Internet上的传输数据转换为金融机构内部数据的设备，或由指派的第三方处理商家支付信息和顾客的支付指令。认证中心：负责签发数字证书给持卡人、商家和支付网关，让持卡人、商家和支付网关之间通过数字证书进行认证。

6.1.4

SET协议中的参与方SET是针对信用卡支付的网上交易而设计的支付规范，对不用卡支付的交易方式，像货到付款方式、邮局汇款方式则与SET无关。另外像网上商店的页面安排、保密数据在购买者计算机上如何保存等，也与SET无关。注意！6.2SET协议的相关技术6.2SET协议的相关技术SET协议中的核心技术主要有共享密钥加密技术公开密钥加密技术电子数字签名数字信封技术6.2.1SET的双重签名技术双重签名示意图6.2.2SET的协议的认证技术1.身份验证问题2.电子证书持卡人证书商家证书支付网关证书收单行证书发卡行证书1）持卡人证书持卡人证书表示持卡人合法拥有支付卡。持卡人的发卡金融机构对用户验证并同意以后，向持卡人发放证书。持卡人证书中包含一个利用单向散列算法计算出的一个秘密值，不包含账号信息和过期时间。在SET协议中，持卡人向支付网关提供帐号信息和秘密值用于验证。在电子商务交易中，持卡人证书连同购买请求和加密后的支付指令一同传送给商家。商家接收到持卡人证书后，能够在最低程度上验证该帐号。2）商家证书商家证书表明商家同金融机构有一定的关系，能够接受支付卡品牌支付。商家证书由商家金融机构数字签名，商家证书不能被任何第三方修改，并且只能由金融机构产生。每个商家对每个它接受的支付卡品牌拥有一对证书。3）支付网关证书支付网关证书由收单行或处理授权和请款消息的受理系统拥有。持卡人从支付网关证书中获取其加密密钥，用于加密持卡人账号信息。这样，只有支付网关才能看到持卡人的账号信息。4）收单行证书收单行必须有收单行证书才能接收并处理商家的证书请求。收单行从支付卡品牌接收证书。5）发卡行证书发卡行必须有发卡行证书才能接收并处理持卡人的证书请求。发卡行从支付卡品牌接收证书。3.认证中心4.国内CA现状为促进电子商务在中国的顺利开展，一些行业都已建成了自己的一套CA体系，如中国电信CA安全认证体系（CTCA）、中国金融认证中心（CFCA）等；还有一些行政区也建立了或正在建立区域性的CA体系，如上海电子商务CA认证中心（SHECA）、广东省电子商务认证中心（CNCA）、海南省电子商务认证中心（CNCA）、云南省电子商务认证中心（CNCA）。6.3SET购物与支付处理流程SET协议交易流程支付网关收单银行发卡银行认证中心持卡人在线商店订单请求请求确认确认协商确认审核认证认证认证发货第一阶段：支付申请阶段第二阶段：身份认证阶段第三阶段：支付审核阶段第四阶段：支付确认阶段支付网关是银行金融网络系统和Internet网络之间的接口，是由银行操作的将Internet上传输的数据转换为金融机构内部数据的一组服务器设备，或由指派的第三方处理商家支付信息和顾客的支付指令。

下面以中国银行SET电子钱包为例

说明SET协议的购物流程选择新东方在线为在线商店第一步：选购新东方在线的产品，并选择中国银行支付方式，并点击确认，到下面这个页面。

中国银行SET电子钱包购物流程第二步：根据您所在的区域，输入卡号、密码即可进入电子钱包。中国银行SET电子钱包购物流程第三步：进入“电子钱包”后在“订单说明”处，你会看到你购买的商品的订单描述。如：购买金额、商城名称、订购单号、商品描述等信息订单详情信用卡详情中国银行SET电子钱包购物流程第四步：点按“确定”按钮后，这时要求你输入你卡的PIN，密码输入完成后，点按“确定”按钮。中国银行SET电子钱包购物流程第五步：点按“确定”按钮后，屏幕返回交易状态。这时候，电子钱包软件开始与商家交换支付信息，并通过商家与银行支付网关交换支付信息。交易状态总结SET协议每一步骤都通过数字证书验证对方身份，保证持卡人和商家身份的合法性.实现订单信息和个人帐号信息的分离，安全性很高。协议复杂，数据处理时间较长，成本高简答题1.SET协议和SSL协议的主要区别是什么？（1）SSL协议主要是在通信双方建立安全的通道，保证信息传递的安全，而SET协议主要指针对信用卡支付而开发的协议，实现较为复杂；（2）SET协议参与交易时，客户的订单信息和个人账号相隔离，商家只能看到订单而看不到账号信息，而SSL协议不能保证商家不阅读客户的账号信息；（3）SET协议参与交易时，商家和持卡人可以相互确定双方的身份，而SSL协议只有商家和银行对客户身份的认证，缺少客户对商家的认证；（4）SET协议要求软件遵循相同的协议和报文格式，是不同的软件与邮件融合得操作功能，并可以运行在不同的软件和操作平台上。1.SET用户证书不包括(

)。A.持卡人证书B.商家证书C.支付网关D.企业证书2．数字证书不包含以下哪部分信息（）。A.用户公钥B.用户身份信息C.CA签名D.工商或公安部门签章3．电子商务安全协议SET主要用于（）。A.信用卡安全支付B.数据加密B.交易认证D.电子支票支付单选题：DDA4.SET的含义是()A．安全电子支付协议B．安全电子交易协议C．安全电子邮件协议D．安全套接层协议5.关于SET协议，以下说法不正确的是（）SET是“安全电子交易”的英文缩写属于网络对话层标准协议与SSL协议一起同时在被应用

D.规定了交易各方进行交易结算时的具体流程和安全控制策略6.为网站和银行之间通过互联网传输结算卡结算信息提供安全保证的协议是()A.DESB.SETC.SMTPD.EmailBBB7．下列选项中不属于Internet攻击类型的是（）A．截断信息 B.伪造C．纂改 D.磁盘损坏8．下列选项中不属于VPN（虚拟专用网）的优点的是()A．传输速度快B.网络结构灵活C．管理简单 D.成本较低DA9．认证机构通过电子证书机制来保证网上通信的合法身份，其提供的服务不包括()A．证书颁发 B.证书更新C．证书归档 D.证书制作l0．下列选项中，不属于CFCA体系结构的是（）A．根CA B.目录CAC．政策CA D.运营CADCA中心的主要职责是颁发和管理数字证书。

BCFCA中国金融认证中心（ChinaFinancialCertificationAuthority),是由中国人民银行牵头14家商业银行共同建立的国家级权威金融认证机构。11．SSL协议可以插入到Internet的应用协议中，它位于InternetTCP／IP协议的哪个协议之上?（）

A．TCP B.IPC．FTP D.HTTP应用层表示层会话层传输层网络层数据链路层物理链路层OSI/RM模型应用层传输层网络层数据链路层物理链路层TCP/IP协议模型AHTTP/Telnet/SMTP/FTPSSLTCPIPAPPLICATIONTCPIPSSL填空题1．电子商务安全协议主要有()和()两个协议。2．SSL协议由()和()两个协议构成。SSLSET握手协议消息加密协议完SSL协议运行的基点是商家对客户信息保密的承诺。但在上述流程中SSL协议有利于商家而不利于客户。客户的信息首先传到商家，商家阅读后再传到银行，这样，客户资料的安全性便受到威胁。返回

OSI/RM模型

国际标准