SET協议的分析及研究.docVIP

3 SET协议的分析及研究 3．1 SET协议概述 3．1．1 SET协议介绍 在Interact上开发对所有公众开放的电子商务系统，从技术角度讲，关键的技术问题有两个：一是信息传递的准确性：二是信息传递的安全可靠性。前者是各种数据交换协议已经解决了的问题，后者则是目前学术界、工商界和消费者最为关注的问题。为此，西方学者和企业界在这方面投入了大量的人力、物力。Visa和MasterCard以及其他一些业界的主流厂商通过多年的研究，于1996年提出了安全电子交易协议SET，并在1997年5月正式发布了Set．0标准。这个标准自推出之后，得到了IBM、Netscape、Microsoft、Oracle等众多厂商的支持。SET协议是应用层的协议，是一种基于消息流的协议，它是面向B2C模式的，完全针对信用卡来制定，涵盖了信用卡在电子商务交易中的交易协议信息保密、资料完整等各个方面。在SET协议中主要定义了以下内容：①加密算法的应用； ②证书消息和对象格式： ③购买消息和对象格式； ④请款消息和对象格式； ⑤参与者之间的消息协议。 SET协议确保了网上交易所要求的保密性、数据的完整性、交易的不可否认性和交易的身份认证。SET协议主要使用的技术包括：对称密钥加密Symmetric Key Cryptography)、公钥加密(Public Key Cryptography or Asymmetric Cryptography)、Hash算法、数字签名(Digital Signature)、数字信封(Digital Envelope)以及数字证书(Digital Certificate)等技术。SET通过使用公钥和对称密钥方式加密，以保证数据的保密性；通过使用数字签名、Hash算法和数字证书实现交易各方的身份认证、数据的完整性和交易的不可否认性。SET协议1．0版发布以后，有关专家就开始了SET2．0版内容的讨论研究，以适应技术发展、业务发展的需要。SET2．0版对1．0版的改进内容较多，涉及很多方面，最主要的是采用智能卡技术、借记卡的PIN(即个人密码)输入以及加密算法独立等三项内容。 3．1．2 SET协议的功能和实现的目标 SET协议是一个基于可信的第三方认证中心的方案，其主要的实现目标是： ①保证电子商务参与者信息的相互隔离。持卡人的资料加密或打包后到达银行，商家看不到持卡人的账户和密码信息，银行看不到持卡人的购物信息。 ②保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。 ⑨解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证，保证付款的安全。 ④保证网上交易的实时性，使所有的支付过程都是在线的。 ⑤提供一个开放式的标准，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可运行在不同的硬件和操作系统平台上。 3．1．3 SET交易的参与方介绍 SET改变了支付系统中各个参与者之间交互的方式。在面对面的零售交易或邮购交易中，电子处理过程始于商家或付款银行；而在SET交易中，电子支付始于持卡人。SET交易的参与方包括持卡人、商家、发卡银行、收单银行、支付网关和数字证书认证中心CA。 ①持卡人 SET交易是在开放的Internet中进行的，交易双方互不见面，无法使用现金，而是使用信用卡，所以在SET协议中将购物者称为持卡人。持卡人要参加SET交易，首先必须要拥有一台计算机并且能够上网；其次还必须到发卡银行去申请并取得一套SET交易专用的持卡人软件(即电子钱包)，然后安装在自己的计算机上；第三，必须上网去向数字证书认证中心申请一张数字证书。这样持卡人就可以开始安全地进行网上交易了。 ②商家 商家要参与SET交易，首先必须要开设网上商店，在网上提供商品或服务：其次商家的网上商店必须集成SET交易商户软件，顾客在网上购物时，由网上商店提供服务，购物结束进行支付时，由SET交易商户软件进行服务：第三，商家必须到接收网上支付业务的收单银行申请并且必须在该银行设立账户；第四，同持卡人一样，还必须上网申请一张数字证书。 ③发卡银行 发卡银行是负责为持卡人建立帐户并发放支付卡的金融机构。发卡银行在分理行和当地法规的基础上保证信用卡支付的安全性。 ④收单银行 收单银行是商家建立帐户并处理支付卡认证和支付的金融机构。 ⑤支付网关 SET交易中买卖双方进行交易，必须通过银行进行支付，但由于SET交易是在开放的Internet上进行的，而银行的计算机主机及银行专用网络是不能直接与Internet相联的，为了能接收从Internet上传来的支付信息，在银行与Internet之间必须有一个专用系统，负责接收处理从商家传来的扣款信息，并通过专线送给银行：银行对支付信息的处