第7章 电子支付2006.ppt

每一个通信方向都需要一对密钥，一个连接需要4个密钥：客户方的读密钥、客户方的写密钥、服务器方的读密钥和服务器方的写密钥。 第一阶段流程 第二阶段，此时服务器已经被认证，服务器方向客户方发出认证请求消息request-certificate。客户方收到服务器方的认证请求消息时，发出自己的证书，并且监听对方回送的认证结果。而当服务器方收到客户方的认证时，认证成功返回server-finish消息，否则返回错误消息。到此握手协议结束。 SSL握手协议的认证算法采用X.509数字证书标准，使用RSA算法进行数字签名来实现。 7.4.2 安全电子交易协议SET SET协议是应用层协议， 一种基于消息流的协议， 一种基于信用卡的付款机制。 1997年4月，以IBM，Netscape，MasterCard，Visa，以及美国数家大银行为首的一个巨大的国际合作集团，联手推出了基于SET和SEPP的网络商贸(Net Commerce)系统。该系统所涉及的范围包括BtoB、BtoC、商贸与支付等多个领域。 安全电子交易协议(Secure Electronic Transaction，简称SET) SET通过使用多种密码技术对交易数据及支付信息进行加密，以确保信息的保密性，并使用数字证书来验证参与交易各方的身份，因而保护了在Internet上进行交易的各方的安全。 SET1.0版是面向B2C模式的，针对使用信用卡来进行网络支付而制定的，涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整性等各个方面。 SETco是Visa和MasterCard两大国际信用卡组织发起组建的安全电子交易管理机构，其职责是对SET协议进行维护和管理，并进行SET协议新版本的开发；同时，还对软件开发商开发的SET软件进行标准一致性测试。通过测试的软件将获准使用SET标志。 SET的主要目标 ①保障付款安全。确保付款资料的隐秘性及完整性，提供持卡人、特约商店、收单银行的认证，并定义安全服务所需的算法及相关协定。 ②确保应用的互通性。提供一个开放式的标准，明确定义细节，以确保不同厂商开发的应用程序可共同运作，促成软件互通；并在现存各种标准下构建该协定，允许在任何软硬件平台上执行，使标准达到相容性和接受性的目标。 ③达到全球市场的接受性。在对特约商店、持卡人影响最小及容易使用的前提下，达到全球普遍性。允许在目前使用者的应用软件上，嵌入付款协定的执行，对收单银行与特约商店、持卡人与发卡银行间的关系，以及信用卡组织的基础构架改变最少。 SET协议的功能 1)机密性 SET协议采用公开密钥密码算法来保证传输信息的机密性。 SET协议也可通过双重签名的办法，将信用卡信息直接从持卡人通过商家发送到商家的开户行，免去了在商家数据库中保存信用卡号的责任。 2)数据完整性 通过SET协议发送的信息经过加密后，将为之产生一个惟一的报文摘要值(MAC)，一旦有人企图篡改报文中包含的数据，接收方重新计算出的摘要值就会改变，从而被检测到，这就保证了信息的完整性。 3)身份认证 SET协议可使用数字证书来确认交易涉及的各方(包括商家、持卡人、收单银行和支付网关)的身份，为在线交易提供一个完整的可信赖环境。 4)不可否认性 SET交易中数字证书的发布过程包含了商家和持卡人在交易中的信息。因此，如果持卡人用SET发出一个商品的订单，在收到货物后他(她)不能否认发出过这个订单。同样，商家也不能否认收到过这个订单。 ?用户(持卡人)首先在银行开立信用卡账户，获得信用卡； 用户在商家的Web主页上查看商品目录，并选择所需商品，填写订单，并通过网络传送给商家，同时附上付款指令； 商家收到订单后，向发卡行请求支付许可，发卡行确认后，批准交易，并向商家返回确认信息； 商家发送订单确认信息给用户，并发货给用户； 商家请求银行支付货款，银行将货款由用户的账户转移到商家的账户。至此整个交易结束。 SET 协议模型 SET协议的组件 电子钱包(ElectronicWallet) 商家服务器(MerchantServer) 支付网关(PaymentGateway) 认证中心(CertificationAuthority，CA) 1)持卡人(Cardholder) 持卡人是购物者。持卡人必须到发卡银行去申请得到一套SET交易的持卡人软件（电子钱包）。同时，必须先向认证中心注册登记，并且取得数字证书，然后才能使用基于SET协议的支付手段来购物。SET可以保证持卡人的个人账号不被泄漏。 2)特约商店(Merchant) 特约商店(简称商家) 必须集成SET交易的商家软件，持卡人在网上购物结束进行支付时，由SET交易商家软件进行支付结算。商家也必须先到接收网上支付业务的收单银行申请，而且必