第六电子商务安全精要.ppt

安全协议之SET协议 支付网关处理消费者信息 收到信息 处理过程 发送信息 消费者 数字证书 数字信封a 密文1 消费者 私有密钥 支付通知 还原 身份认证通过 网关私钥 解密 支付信息 安全协议之SET协议 支付网关处理支付成功消息 收到信息 处理过程 发送信息 银行支付 成功消息 Hash 生成 网关密钥加密 网关公钥 支付应 答信息 数字摘要J 网关随机 生成密钥 网关数 字签名 密文3 数字信封C 网关数 字证书 安全协议之SET协议 收到信息 处理过程 发送信息 网关 数字证书 购物应答信息 商家生成购 物应答信息 数字摘要L 商家数字签名 生成 身份认证通过 商家私钥解密 解密 网关随机 生成密钥 数字信封c 密文3 数字摘要J 支付应答 信息原文 数字摘要K Hash 二者 相同 商家数字证书 Hash 商家处理支付应答 安全协议之SET协议 PIMD OI Digital envelope Dual signature Cardholder certificate Request message 由商家发给 支付网关 H POMD H OIMD D POMD 核对 KUc OI：订单信息 OIMD：OI消息摘要 POMD：支付/订单消息摘要 D：解密（RSA） H：哈希函数（SHA-1） Ks：临时对称密钥 KUc：用户公钥 　 商家验证消费者的采购请求 SET的基本安全服务 安全协议之SET协议 使用多种先进加密技术 对所传输信息生成数字摘要装在数字信封中 信息安全传输 信息完整性 各参与方身份认证 提高系统兼容性 隐私保护 通过数字证书和CA认证中心进行认证 交易信息与支付信息进行隔离，分别打包传输 不依赖于传输安全技术，也不限定任何安全技术的使用 安全协议之SET协议 SET安全协议的缺陷 1、协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。 2、SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。 3、SET协议过于复杂，使用麻烦，成本高。 4、SET支付方式和认证结构适应于卡支付，对其他支付方式是有所限制的。 安全协议之SET协议 5.SET要求在银行网络、商户服务器、顾客的PC机上安装相应的软件。这给顾客、商家和银行增加了许多附加的费用，成了SET 被广泛接受的阻碍。另外，SET还要求必须向各方发放证书，这也成为阻碍之一。所有这些使得使用SET要比使用SSL昂贵得多。 6.为保证安全，SET协议采用了大量的加密和验证，协议非常复杂、庞大，处理速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密，整个交易过程可能需花费1.5至2分钟；按目前技术状况来看，很有可能发生无法应付高峰负载的情况。 SET安全协议的缺陷 安全协议 SSL与SET的比较 SSL协议与SET协议比较 无法保证商家对消 费者支付信息的保密 只是在消费者和 网上商家之间 处理流程较为简单， 系统运行速度相对较快 认证机制 直接内置在系统浏览器 中，可直接使用 应用广泛 商家只能阅读交易信息， 银行只能阅读支付信息 整个支付过程 处理流程较为复杂， 运行速度慢 必须安装特定的软件 发展前景会越来越好 SSL协议 SET协议 包括消费者、商家、支付 网关及其他服务器 网上商家，消费者认 证是有选择进行的 隐私保护 作用范围 运行效率 和成本 使用方法 应用情况 SSL与SET的比较 1.功能比较 1）SET是一个提供多方通讯的报文协议，而SSL则只能在客户端和服务器端两者之间建立一条安全的连接。 2）SSL协议在进行报文交换的时候需要实时通信，也就是需要双方都要在线。而SET协议允许交易各方在交换报文的时候不是实时的。 3）SET协议不仅可以在Internet上使用，而且也可以在公共网络和银行内部网络等其他网络使用。而建立在SSL协议上的支付系统只能和Web浏览器捆绑使用。 SSL与SET的比较 4）SSL和SET都为客户提供了商家的认证，保证商家的合法性，但是SET协议更能保证用户的信用卡号不会在通信的时候被窃取，它替客户保守了更多的机密信息，使用户可以放心地在网络上进行有关银行卡的交易。 5）SET协议是由VISA、MasterCard推出的安全协议，而这两个公司是信用卡方面的权威机构，这样就使得SET协议能够比较容易地被广泛应用。 6）SET协议对于参与信用卡交易的各方定义了互操作接口，每个交易系统可以使用不同厂商的产品来构造自己的服务