安全电子交易(SET)协议与 CA认证
$ d( A6 ]( k2 O( K. A( _+ Q 一、安全电子交易规范(SET) 9 E8 h* Z: F' s# s, z" ~
7 A, D1 ?& @2 p" {% `# w! ?
1.SET的作用
. M2 \# h4 \5 T5 {# |9 X# N) u. E4 i
. p# \1 g; A2 j3 g4 V9 q6 t s SET(Secure Electronic Transaction)协议是维萨(VISA)国际组织、万事达(MasterCard)国际组织创建,结合IBM、Microsoft、Netscope、GTE等公司制定的电子商务中安全电子交易的一个国际标准。其主要目的是解决信用卡电子付款的安全保障性问题: 7 X4 x+ p1 ~9 o. L( D( h+ ~8 ]4 {+ P
( |. _2 S( \. N# }8 o 保证信息的机密性,保证信息安全传输,不能被窃听,只有收件人才能得到和解密信息。
1 J6 U- K9 s$ a5 ? 保证支付信息的完整性,保证传输数据完整地接收,在中途不被篡改。 % X% }. d! o9 o# I) W
认证商家和客户,验证公共网络上进行交易活动的商家、持卡人及交易活动的合法性。
- s4 g. [, X. g1 E- `2 y A7 P 广泛的互操作性,保证采用的通讯协议、信息格式和标准具有公共适应性。从而可在公共互连网络上集成不同厂商的产品。 # g) \0 r5 i: v# ]7 N) Y$ _9 N
0 b- Q8 B7 i( ^) B5 L( p- c# R) w 2.SET的应用流程 6 F* q7 |9 J1 v! M9 r
电子商务的工作流程与实际的购物流程非常接近。从顾客通过浏览器进入在线商店开始,一直到所定货物送货上门或所定服务完成,然后帐户上的资金转移,所有这些都是通过Internet完成的。其具体流程为: + V3 i( D1 s1 m( Y- t
, `: E0 o# B5 r7 _ 持卡人在商家的WEB主页上查看在线商品目录浏览商品。
! I; {0 U8 Y$ |+ O3 ?4 C 持卡人选择要购买的商品。
/ w) U2 c( [$ x4 Y7 d1 Q2 i. m 持卡人填写定单,定单通过信息流从商家传过来。 : `3 N$ }9 ~1 M% ^3 i# Z
持卡人选择付款方式,此时SET开始介入。
( e3 M! S- d) s5 G1 h) m- ]/ M 持卡人发送给商家一个完整的定单及要求付款的指令。在SET中,定单和付款指令由持卡人进行数字签名。同时利用双重签名技术保证商家看不到持卡人的帐号信息。
% `. w* G& o8 A2 n' q 商家接受定单后,向持卡人的金融机构请求支付认可。通过Gateway到银行,再到发卡机构确认,批准交易。然后返回确认信息给商家。 $ |0 o! x4 I& S! N! x
商家发送定单确认信息给顾客。顾客端软件可记录交易日志,以备将来查询。
# F) U8 [! U+ _' t! ^* H2 c e: ? 商家给顾客装运货物,或完成订购的服务。到此为止,一个购买过程已经结束。商家可以立即请求银行将货款从购物者的帐号转移到商家帐号,也可以等到某一时间,请求成批划帐处理。 4 Z: U& T) j3 e2 D$ l; o' M
商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔。
& V8 E% b" ?% i6 d- N) e* p! ~8 P 前三步与SET无关,从第四步开始SET起作用。在处理过程中,通信协议、请求信息的格式、数据类型的定义等,SET都有明确的规定。在操作的每一步,持卡人、商家、网关都通过CA来验证通信主体的身份,以确认对方身份。 6 ?! Z6 h1 c1 \, H+ k
; O ]3 a4 Y( s/ A: Z 3.SET技术概要
+ l0 i. N' p% s7 |( D
& x4 p+ o, v4 T# v; [8 L3 H (1)加密技术 E! U6 G: ] \8 e2 C) W% F
( q& e$ m0 B/ I3 t, K) z SET采用两种加密算法进行加密、解密处理,其中密钥加密是基础、公钥加密是应用的核心:
4 G1 F) e; l& f h- r" f9 J$ F' r
* W3 ^' x' T& i* Y" k 用同一个密钥来加密和解密数据。主要算法是DES,例如加密银行卡持卡人的个人识别代码(PIN); 1 d/ O- {) U+ z( `# _6 I
公开密钥要求使用一对密钥,一个公开发布,另一个由收信人保存。发信人用公开密钥加密数据,收信人则用私用密钥去解密。主要算法是RSA,例如加密支付请求数据。加密过程可保证不可逆,必须使用私用密码才能解密。 ! ]( ?4 l5 s4 Y3 G0 F7 k2 X
$ q O- E1 E5 A! Y+ t. d( m (2)数字签名
~( R& {% U, R" L( V' x0 d
. F D2 p" L' I% d 金融交易要求发送报文数据的同时发送签名数据作为查证。这种电子数字签名是一组加密的数字。SET要求用户在进行交易前首先进行电子签名,然后进行数据发送。 1 B4 E# o8 Y2 b
9 S! p6 o6 O8 ?. b (3)电子认证
* `* g7 I, R3 E; R 2 D7 s! {2 Z. l) F3 j
电子交易过程中必须确认用户、商家及所进行的交易本身是否合法可靠。一般要求建立专门的电子认证中心(CA)以核实用户和商家的真实身份以及交易请求的合法性。认证中心将给用户、商家、银行等进行网络商务活动的个人或集团发电子证书。
. T% _- v- \2 T; P6 }- D' B# d7 q9 w
# M! w" i: {& g% A (4)电子信封 7 [! n" E7 N) `7 [" d5 r# Y, k
+ t3 z6 v9 e/ E5 Y+ H" c- Z8 [
金融交易所使用的密钥必须经常更换,SET使用电子信封来传递更换密钥。其方法是由发送数据者自动生成专用密钥,用它加密原文,将生成的密文连同密钥本身一起再用公开密钥手段传送出去。收信人再解密后同时得到专用密钥和用其加密后的密文。这样保证每次传送都可以由发送方选定不同的密钥进行交易。
& q) l4 v4 m: l* B3 T根据SET标准设计的软件系统必须经过SET验证才能授权使用。首先进行登记,再进行SET标准的兼容性试验,目前已经有多家公司的产品通过了SET验证。 |
发表于 2012-3-18 16:46:57
