第6节安全电子交易协议.pptVIP

* * 第6章 安全电子交易协议 安全电子交易(SET)是目前已经标准化且被业界广泛接受的一种网际网络信用卡付款机制。 SET协议包括SET的交易流程、程序设计规格与SET协议的完整描述三部分，在SET协议中主要定义了以下内容： (1) 加密算法（如RSA和DES）的应用； (2) 证书消息和对象格式； (3) 购买消息和对象格式； (4) 请款消息和对象格式； (5) 参与者之间的消息协议。 SET协议确保了网上交易所要求的保密性、数据的完整性、交易的不可否认性和交易的身份认证。 SET协议主要使用的技术包括:对称密钥加密、公钥加密、Hash算法、数字签名、数字信封以及数字证书等技术。 6.1 SET支付系统中的相关成员 6.2 SET的相关技术 6.3 SET证书管理 6.4 SET流程 6.1 SET支付系统中的相关成员 SET支付系统主要由持卡、商家、发卡行、收单行、支付网关及认证机构等六个部分组成。 1．持卡人 持卡人是网上消费者或客户。 2．商家 商家是SET支付系统中网上商店的经营者。 3．支付网关 支付网关一边连接因特网，一边通过银行网络与收单银行相连。 4．认证机构 认证机构是参与交易各方都信任的第三方中立组织。 6.2 SET的相关技术 SET使用多种密钥技术来达到安全交易的要求，其中对称密钥技术、公钥加密技术和Hash算法是其核心。 1．对称密钥加密 对称密钥加密算法是给一条信息加密时，发送者和接收者都用同一密钥完成加密和解密过程。 2．公钥加密技术 公钥加密算法用一对密钥对数据进行加密和解密。 3．Hash算法 Hash算法能产生信息的数字“指纹” Hash算法有三个特性： (1) 能处理任意大小的信息，并生成固定长度(160bit)的信息摘要。 (2) 具有不可预见性。 (3) 具有不可逆性。 4．数字签名 首先将要发送的信息通过Hash算法形成信息摘要，然后再用发送者的私人密钥加密，生成的结果附加到原信息上去，就生成了原信息的数字签名。 双重数字签名是为了保证在事务处理过程中三方安全地传输信息的一种技术，用于三方通信时的身份认证和信息完整性、交易防抵赖的保护。 5．数字信封 发送方将随机产生的对称密钥用接收方的公开密钥交换密钥加密就形成了数字信封。 6．数字证书 数字证书是由交易各方都信任的第三方机构CA发放的，是证明拥有者公开密钥有效性的凭证。 数字证书包含拥有者的公开密钥、详细个人资料(包括持卡人的银行账号)的信息摘要及证书签发机构的数字签名。 SET协议的信息加、解密和传输过程综合使用了前面介绍的各种安全技术。如图6-1所示。 图6-1 加密方法示例 6.3 SET证书管理 6.3.1 证书的信任链层 6.3.2 证书的颁发 目前SET协议定义的证书颁发有三种方式：E-mail方式、Web方式和离线方式。 一般以Internet交互性为标准，将它们分为两类：交互式(如Web)和非交互式(如E-mail、离线方式)。 Web方式已成为证书颁发的首选途径。 根据证书颁发的全过程(以持卡人通过Web申请证书为例)，申请者与CA需经历三个阶段，并通过三对不同的消息变量来实现双方的信息传递。 1．持卡人申请证书的请求/应答过程 2．持卡人申请登记表的请求/应答过程 3．证书请求和生成过程 6.3.3 证书的更新 出于安全方面的考虑，密钥都有一定的使用期，因此所有的证书都需要定期更新。 6.3.4 证书的废除 证书废除是整个证书管理机制中最强有力的安全保障手段，它能够及时避免证书面临危险时对SET交易的影响。 SET协议针对参与交易的不同对象，制定了具体的证书废除过程。 1．持卡人证书的废除 2．商户证书的废除 3．支付网关证书的废除 4．CA证书的废除 6.4 SET流程 在Internet上实现一个完整的SET交易主要包括持卡人注册申请证书、商户注册申请证书、购买请求、支付认证、获取付款5个步骤。 如图6-2所示。 图6-2 图例 6.4.1 持卡人注册申请证书 图6-3描述了持卡人通过SET协议申请证书的流程。 图6-3 申请证书的流程 具体过程如下： 1．启动电子钱包，发送初始请求 图6-5 CA发送响应消息 2．CA发送响应 如图6-5所示。 3．接收响应 图6-6 接收响应过程 4．CA处理请求并发送注册表 上述过程如图6-7所示。 图6-7 CA处理请求并发送注册表过程 图6