七_安全电子交易协议SET.pptxVIP

第七章 安全电子交易协议SETSET协议(Secure Electronic Transaction，安全电子交易)是由VISA和Master Card两大信用卡公司联合推出的规范。。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付命令的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。SET中的核心技术主要有公开密钥加密、数字签名、数字信封、数字安全证书等。比SSL协议复杂，因为前者不仅加密两个端点间的单个会话，它还可以加密和认定三方间的多个信息7.1 SET协议概述SET是在开放网络环境中的卡支付安全协议，它采用公钥密码体制(PKI)和X.509电子证书标准，通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。SET协议用以支持B-C这种类型的电子商务模式，即消费者持卡在网上购物与交易的模式。 SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。SET协议得到了IBM、HP、Microsoft、VeriFone、GTE、Verisign等许多大公司的支持，已成为事实上的工业标准。目前，它已获得了IETF标准的认可。 SET协议的发展1996年2月，Marster Card和Visa国际信用卡组织与技术合作伙伴GTE、Netcape、IBM、Terisa Systems、Verisign、Microsoft、SAIC等一批跨国公司共同开发了安全电子交易规范(SET)。 1997年2月，由Master Card和Visa发起成立SETCO公司 .SETCO建设认证体系(CA)。为了推动电子商务的发展，首先要验证或识别参与网上交易活动的各个主体(如持卡消费者、商户、收单银行的支付网关)的身份，并用相应的电子证书代表他们的身份。 各级认证机构根认证机构(Root CA)、品牌认证机构(Brand CA)，持卡人商户收单行支付网关认证机构(Holder Card CA or Merchant CA or Payment Gateway CA)由上而下按层次结构建立的根认证机构(Root CA)功能:⑴ 生成和安全保存符合SET协议要求的属于根认证机构的公、私密钥。⑵ 生成和自行签署符合SET协议要求的根证书及其数字签名。⑶ 处理品牌认证机构的申请，生成、验证品牌证书并在品牌证书上进行数字签名。⑷ 生成品牌证书撤销清单。⑸ 支持跨域交叉认证。⑹ 制定安全认证政策。付费与订购信息的保密性; 确保所有传输数据的完整性; 提供认证，确保每一个信用卡账户的持卡人都是合法的 ;提供认证，确保商家能根据与金融机构的关系，提供可信任的信用卡交易;确保使用最佳的安全操作及系统设计技术，以保护所有在电子商务交易上的合法当事人 ;SET能够在TCP/IP层上安全的运行。 促进及鼓励软件和网络提供者之间的合作： SET协议是信用卡在因特网上进行支付的一种开放式安全协议和格式.解决持卡人、商家和银行之间通过信用卡来进行网上支付的交易，旨在保证支付命令的机密性、支付过程的完整性、商家以及持卡人身份的合法性以及可操作性。SET协议分为三个阶段：第一阶段为购买请求阶段，持卡人与商家确定所用支付方式的细节；第二阶段是支付的认定阶段，商家与银行核实，随着交易的进行，他们将得到支付；第三阶段为受款阶段，商家向银行出示所有交易的细节，然后银行以适当方式转移货款。 SET一个基于可信的第三方认证中心的方案，主要目标是: ⑴ 保证信息在互联网上安全传输，防止数据被黑客或被内部人员窃取。⑵ 保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的账户和密码信息。⑶ 解决多方认证问题。不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。⑷ 保证网上交易的实时性，使所有的支付过程都是在线的。⑸ 效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。7.2 SET交易的参与者特约商店 持卡人 发卡银行 收单银行 收单银行(Acquirer)收单银行建立一个特约商店的账户，对信用卡做认证处理与账款的处理。特约商店通常会接受几个不同发卡公司，但不会同时和多个不同的银行卡协会或多个个体发卡银行合作。收单银行会协助特约商店做认证，核对信用卡账户是否有效，以及消费金额是否超出信用额度。收单银行提供电子转账的服务，它会将消费者支付转到特约商店的账户去。接着，发卡银行会经过某种付费网络，对收单银行补偿其协助电子资金转换所需的费用。收单银行的利益主要来源于商户回佣、