协议_SET.ppt

InitReq 前提: 持卡人需持有商家和支付网关的证书 客户向商家发送初始请求信息，获取证书 信用卡的品牌 相应ID 新鲜数 InitReq/InitRes Merchant replies (InitRes): - Merchant + Acquirer certificates - Globally unique transaction ID Challenge variable and date proves freshness of variables Purchase Order 持卡人校验证书并产生OI和PI. 下单 : PReq/PRes PReq 由两部分组成: – 订单信息 (OI) : links to order description – 支付信息(PI): amount, card data, IDs Dual signature links the order with them payment PReq简略图 PReq详细视图 验证卡用户的身份和授权 存储 PI 以转发给acquirer 遍历信任链，校验持卡人证书 校验双重签名 从支付网关那里获取授权 发送响应给持卡人，确认订单 若授权延迟 PRes 给持卡人“请少后查询”消息 下单的回复 完成代码: 交易状态 – 例如., 授权完成 complete 结果: 交易的授权/捕获代码 Preq消息校验详细视图 认证过程AuthReq/AuthRes 校验持卡人的信用 含有 PI （来自 PReq） 含有 H(Order) ，表明和PI的一致性 订单信息明文不发送给 acquirer 商家签名并加密 结合授权和捕获＝销售交易 根据AuthRes结果运输商品 AuthReq( 支付网关 ) Acquirer处理 解密 AuthReq 校验商家签名 解密来自于持卡人的 PI 校验双重签名 从PI中抽取卡数据 AuthReq AuthRes 确保 PI 和 AuthReq的一致性 校验持卡人和商家对于订购行为的一致性: H(Order) ，PI 和 AuthReq 通过金融网络获取授权信息 生成 AuthRes及其 Capture Token AuthRes 支付完成 完成授权 交易的支付 通过捕获令牌来完成支付 可能多次 AuthResponses的令牌累积后完成 Capture Token = 金额证据 SET应用场景 The end SET Available from: –Visa, Mastercard, –SetCo, 作业：试析SET协议中双重签名的原因和机理 Internet安全协议与标准第七章 SET协议 张保稳 * 本次课程教学安排 SET初介 数字签名，双重数字签名 SET详解 Internet上电子商务安全 问题: 信用卡，交易数据，信任关系 买家和商家的认证 数据传输的保密性 各类系统之间的差异 公钥类型 对称密钥类型 消息摘要算法 拥有私钥方的数目 拥有证书方的数目 电子商务中常见的电子交易有以下五种类型： 支付系统无安全措施的模式 通过第三方代理人支付的模式 数字现金支付模式 简单加密支付系统模式 安全电子交易SET支付模式 电子交易的主要模式 支付系统无安全措施的模型 特点 风险由商家承担 商家完全掌握用户的信用卡信息 信用卡信息的传递无安全保障 通过第三方经纪人支付的模型 特点 用户账户的开设不通过网络 信用卡信息不在开放的网络上传送 通过电子邮件来确认用户身份 商家自由度大，风险小 支付是通过双方都信任的第三方(经纪人)完成的 数字现金支付模型 特点 银行和商家之间应有协议和授权关系 用户、商家和数字现金的发行都需要使用数字现金软件 适用于小额交易 身份验证是由数字现金本身完成的 数字现金的发行负责用户和商家之间实际资金的转移 数字现金与普通现金一样，可以存、取和转让 简单加密支付系统模型 特点 信用卡等关键信息需要加密 使用对称和非对称加密技术 可能要启用身份认证系统 以数字签名确认信息的真实性 需要业务服务器和服务软件的支持 SET协议的目标 信息在互联网上安全传输，不能被窃听或篡改 用户资料要妥善保护，商家只能看到订货信息，看不到用户的账户信息 持卡人和商家相互认证，以确定对方身份 软件遵循相同的协议和消息格式，具有兼容性和互操作性 安全电子交易SET支付模式 SET 使用信用卡交易的官方规范 发布于1996年2月 支持厂商：Visa, MasterCard, GTE, IBM,Microsoft, Netscape, SAIC, Terisa, Verisign and American E