电子商务第五节.pdfVIP

电子商务技术 （第五章 SET协议） 郭 伟 西南交通大学信息科学与技术学院 E-mail: WGuo@home.swjtu.edu.cn 一个近期的新闻  携程网泄露客户信息 2014年3月22 日晚间，乌云漏洞平台发布消息称，携程将用于处理用户 支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传 输的数据包均直接保存在本地服务器，有可能被黑客所读取。报告并称， 漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银 行卡CVV码等。尽管国内信用卡消费有时还需验证pin码，但携程这次 泄露的信用卡信息包括CVV 码，足够完成大多国外电商的网络支付验 证了。 这次出问题的是携程所提供的快捷支付方式。这一方式与支付宝的快捷 支付有所不同。支付宝的快捷支付是支付宝与银行的合作业务，支付宝 需要验证用户身份证、银行卡、手机号码，只有三者身份都相符，才会 为用户开通快捷支付服务。携程的快捷支付与银行无关。携程更应该把 自己的快捷支付业务称为“常用信用卡信息保存”。携程快捷支付的工 作方式是这样的，如果用户在使用信用卡支付购买商品时，勾选“保存 至常用信用卡”，携程便会将用户每次刷卡所需输入的信用卡信息保存 在携程服务器上，这样当用户下次在携程进行网络支付时，携程便无需 用户重复输入信用卡卡号、有效期等信息，只需输入信用卡后四位、 CVV 验证码、手机号码便可完成支付。 2 信用卡 3 SET 简介  SET- Secure Electronic Transaction(安全电子交易)：是由VISA和 Master Card两大信用卡公司于1997年5月联合推出的规范。  SET协议的产生背景 – 电子商务交易的广泛应用 – 需要保护Internet上信用卡交易的安全性  是一种应用在互联网上，以信用卡为基础的国际通用电子付款系统规范， 目的是为了保证网络交易的安全。  SET协议得到了IBM、HP、Microsoft、VeriFone、GTE、Verisign等 许多大公司的支持，已成为事实上的工业标准。目前，它已获得了IETF 标准的认可。  1997年2月，由Master Card和Visa发起成立SETCO公司。SETCO负 责SET协议在全球的推广，并作为了Master和Visa 的SET根CA。  世界上第一个Internet下的SET付款系统-丹麦SET付款系统由IBM建成。  SET协议主要是为了解决用户、商家和银行之间通过信用卡支付的交易 而设计的，以保证支付信息的机密、支付过程的完整、商家及持卡人的 合法身份及可操作性。 4 SET 简介  SET协议是应用层协议，是一种基于消息流的协议，支持B2C类 型的电子商务模式。  涉及的核心技术 – 公开密钥加密、数字签名、数字信封、数字证书等  商业需求 – 支付信息的机密 – 订单信息和个人帐号信息的隔离 – 商户及持卡人的合法身份 – 互可操作性  SET协议的功能(提供的安全性保护) – 在线交易的保密性(公钥密码算法) – 数据的完整性（Message Digest） – 交易行为的不可否认性（数字签名） – 交易各方的身份认证（数字证书） – 隐私保护（双重数字签名） 5 SET 涉及到的主要参与者 6 SET 涉及到的主要参与者  持卡人（Cardholder） 上网电脑+SET交易的持卡人软件（即电子钱包，到发卡银行申请）+数字证书  特约商店 （Merchant） 集成SET交易的商家软件（用于支付结算，到支持网