电子支付的基本模式剖析.ppt

* 6.6信用卡在线支付SET模式6.6.1信用卡在线支付SET模式简介 在开放的因特网上处理电子商务，如何保证买卖双方传输数据的安全成为电子商务能否普及的最重要问题。为了克服SSL安全协议的缺点，两大信用卡组织，VISA和Master Card，联合开发了SET (Secure Electronic Transaction，安全电子交易)协议。SET是一种应用于开放网络环境下、以智能卡为基础的电子支付系统协议。SET给出了一套完备的电子交易过程的安全协议，可实现电子商务交易中的加密、认证、密钥管理等任务。在保留对客户信用卡认证的前提下，SET又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。 信用卡在线支付SET模式，是在电子支付中遵守SET协议的信用卡支付模式，以实现信用卡的即时、安全可靠的在线支付。在这种信用卡在线支付模式中，运用了一系列先进的安全技术与身份认证手段，如私有密钥加密、共卡密钥加密、数字摘要、数字签名、和双重签名、数字证书等。 * 6.6.1信用卡在线支付SET模式简介 SET 协议的作用，是为要达到在线的安全交易，安全电子交易的目的是提供信息的保密性，确保付款的完整性和能对商家及持卡人进行身分验证(Authentication)，而实施SET 机制可以做到： 对付款信息及订单信息能各别保密 能确保所有传送信息的完整性 能验证付款人是信用卡的合法使用者 能验证商家是该信用卡的合法特约商家 建立一个协议，该协议不是依赖传输安全机制 能在不同平台上及不同网络系统上使用 * SET安全协议所涉及的范围 SET协议规范所涉及的对象有： (1) 消费者，包括个人消费者和团体消费者，按照在线商店的要求填写定货单，通过由发卡银行发行的信用卡进行付款。 (2) 在线商店，提供商品或服务，具备相应电子货币使用的条件。 (3) 收单银行，通过支付网关处理消费者和在线商店之间的交易付款问题 (4) 电子货币(如智能卡、电子现金、电子钱包)发行公司，以及某些兼有电子货币发行的银行，负责处理智能卡的审核和支付工作。 (5) 认证中心(CA)，负责交易双方的身份确认，对厂商的信誉度和消费者的支付手段进行认证。 SET协议规范的技术范围包括加密算法的应用(例如RSA和DES)、证书信息和对象格式、购买信息和对象格式、认可信息和对象格式、划账信息和对象格式、对话实体之间消息的传输协议 * 6.6.2信用卡在线支付SET模式的工作流程 注册，领取并安装 相关软件 颁发数字证 书、认证身份 客户端软件 商家服务器软件 网关转换软件 * SET协议的工作流程可分为下面7个步骤： (1) 消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输入定货单，定货单上包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。 (2) 通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填定货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。 (3) 消费者选择付款方式，确认定单，签发付款指令。此时SET开始介入 (4) 在SET中，消费者必须对定单和付款指令进行数字签名。同时利用双重签名技术保证商家看不到消费者的账号信息。 (5) 在线商店接受定单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。 (6) 在线商店发送定单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询 (7) 在线商店发送货物，或提供服务；并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。 在认证操作和支付操作中间一般会有一个时间间隔，例如，在每天的下班前请求银行结一天的账。 　 * 上述流程的前两步与SET无关，从第(3)步开始SET起作用，一直到第(7)步。在处理过程中，对通信协议、请求信息的格式、数据类型的定义等，SET都有明确的规定。在操作的每一步，消费者、在线商店、支付网关都通过CA来验证通信主体的身份，以确保通信的对方不是冒名顶替的。因此，也可以简单地认为，SET协议充分发挥了认证中心的作用，以维护在任何开放网络上的电子商务参与者提供信息的真实性和保密性 * 6.6.2信用卡在线支付SET模式工作流程 在SET协议环境下，应用信用卡进行电子支付需要在客户端下载一个客户端软件（电子钱包软件），在商家服务端安装商家服务器端软件，在支付网关安装对应的网关转换软件等，并且各参与者还要各自下载一个证实自己真实身份的数字证书，借此获取自己的公开密钥和私人密钥对，且把公开密钥公开出去等，手续稍嫌麻烦。 * 6.6.3信用卡在线支付SET模式的优缺点 信用卡在线支付SET模式具有以下优点： 每一步骤都通过数字证书验证