电子商务结算与支付 第五章 SET协议.ppt

安徽财经大学商务学院电子商务系 第五章 SET协议 前面主要介绍了为保证安全的网络支付而研发应用的各种安全技术，如防火墙技术、私有／公开密钥加密法、数字信封、数字摘要、数字签名、数字证书及其颁发管理机构CA等，这些技术分别是保证网络支付某个方面安全的应用手段。 如何将电子商务网络支付的各参与方与这些先进的信息网络安全技术充分地结合起来，以保证安全、有序、快捷地完成网络支付流程，需要一个协议来规范各方的行为与各种技术的运用。 这个协议就是安全的网上交易协议，国际上有代表性的是SSL与SET两种安全交易协议机制。 信用卡(银行卡)在B2C与C2C式电子商务的支付结算中或其他网上的小额支付中应用非常普及，也与普通个人消费者的生活与工作关系紧密，是目前最普及的网络支付方式。 SSL与SET协议均支持信用卡的网络支付，其中SET机制主要解决安全的信用卡网络支付。 SSL协议简介 SSL协议（Secure Socket Layer Protocol，安全套接层协议） 它提供在Internet上的安全通信服务，目前包括网络支付在内的电子商务业务中广泛应用的安全通信协议。 本质上，SSL协议是一种在持有数字证书的客户端浏览器(如Internet Explorer，Netscape Navigator等)和远程的WWW服务器(如Netscape Enterprise Server，IIS等)之间，构造安全通信通道并且传输数据的协议。 SSL协议便宜且开发成本小，应用简单方便，其安全性由于综合运用了私有与公开密钥加密法等措施而不错，速度上比较快。在信用卡的安全网络支付、网络银行支付转账等方面应用非常普及。 SSL协议毕竟是有漏洞的，还存在一定的信息泄露问题。在电子商务交易以及网络支付中，为了保护商家、客户等参与方的隐私信息以及各方的真实身份，一个更安全的网上交易协议被研发出来并被应用，这就是SET协议。 5. 1.1基于SET协议的安全网络支付机制 1．SET协议简介 为了避免SSL协议应用中存在的一些安全风险，20世纪90年代中期，VISA， MasterCard等国际信用卡组织会同一些计算机供应商，开发了一个新型的更加安全可靠的网上安全交易协议，即SET协议，并于1997年5月31日正式推出SET协议的1.0版。 SET协议(Secure Electronic Transaction，SET，安全电子交易协议)。 它是为使银行卡在Internet上安全地进行交易提出的一整套完整的安全解决方案。 此方案包括通信协议在内，主要采用数字证书证实在网上开展商务活动的各方的真正身份，并保证参与各方，包括持卡人、商家、银行等的安全。 SET协议要达到的主要目标： (1)机密性 保护有关支付等敏感信息在Internet上的安全传输，保证网上传输的数据不被网上黑客等窃听。 (2)保护隐私 对客户的订单信息和敏感的支付信息(如信用卡账号、密码等)将进行隔离。在将包括消费者支付账号信息的订单送到商家时，商家只能看到订货信息，看不到消费者的账户信息；反过来，银行只看到相关支付信息，看不到订货信息。 (3)完整性 SET应用目前已有的密钥加密算法和产生数字摘要的Hash算法，借助数字信封技术，保证传输信息的完整性。 (4)多方认证性 通过客户与商家的相互认证，以确定通信双方的身份，一般由第三方CA机构负责为在线的通信双方提供信用担保与认证，对参与其中的支付网关也要进行认证，以防假冒。 (5)标准性 SET协议机制的参与各方在交易流程中均有严格的标准可循，主要体现在要求软件遵循相同的协议和消息格式，加密算法的应用协商，数字证书信息和对象格式，订货信息和对象格式，认可信息和对象格式，资金划账信息和对象格式，对话实体之间消息的传输协议等。 5.2．SET安全支付参与方及应用系统框架 参与方： 多个参与方，持卡客户、商家、支付网关，发卡银行、收单银行、CA 信息交换渠道： 支付网关通过网络专线与收单银行之间传递交易信息； 收单银行与发卡银行通过银行后台专用网络传递支付结算信息； 作为安全核心的CA通过Internet向持卡客户、商家、支付网关发放数字证书，而通过专用网络与收单银行、发卡银行建立联系，进行证书发放的身份认定工作。 可以看出，SET安全支付涉及的直接参与方比SSL多，也严格得多，因此其流程也复杂得多、速度慢一些、费用也高，但安全性更高。 以基于SET协议的信用卡网络支付为例，其协议的应用框架示意如图所示。 SET协议的应用框架示意图 持卡客户(Cardholder) 持卡客户要参加SET协议交易且用信用卡进行安全支付，必须先到发卡银行申请