set协议主要.docx
- 文档编号:8318462
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:7
- 大小:22.60KB
set协议主要.docx
《set协议主要.docx》由会员分享,可在线阅读,更多相关《set协议主要.docx(7页珍藏版)》请在冰豆网上搜索。
set协议主要
竭诚为您提供优质文档/双击可除
set协议主要
篇一:
set协议的分析及研究
3set协议的分析及研究
3.1set协议概述
3.1.1set协议介绍
在interact上开发对所有公众开放的电子商务系统,从技术角度讲,关键的技术问题有两个:
一是信息传递的准确性:
二是信息传递的安全可靠性。
前者是各种数据交换协议已经解决了的问题,后者则是目前学术界、工商界和消费者最为关注的问题。
为此,西方学者和企业界在这方面投入了大量的人力、物力。
Visa和mastercard以及其他一些业界的主流厂商通过多年的研究,于1996年提出了安全电子交易协议set,并在1997年5月正式发布了set.0标准。
这个标准自推出之后,得到了ibm、netscape、microsoft、oracle等众多厂商的支持。
set协议是应用层的协议,是一种基于消息流的协议,它是面向b2c模式的,完全针对信用卡来制定,涵盖了信用卡在电子商务交易中的交易协议信息保密、资料完整等各个方面。
在set协议中主要定义了以下内容:
①加密算法的应用;
②证书消息和对象格式:
③购买消息和对象格式;
④请款消息和对象格式;
⑤参与者之间的消息协议。
set协议确保了网上交易所要求的保密性、数据的完整性、交易的不可否认性和交易的身份认证。
set协议主要使用的技术包括:
对称密钥加密symmetrickeycryptography)、公钥加密(publickeycryptographyor
asymmetriccryptography)、hash算法、数字签名(digitalsignature)、数字信封(digitalenvelope)以及数字证书(digitalcertificate)等技术。
set通过使用公钥和对称密钥方式加密,以保证数据的保密性;通过使用数字签名、hash算法和数字证书实现交易各方的身份认证、数据的完整性和交易的不可否认性。
set协议1.0版发布以后,有关专家就开始了set2.0版内容的讨论研究,以适应技术发展、业务发展的需要。
set2.0版对1.0版的改进内容较多,
涉及很多方面,最主要的是采用智能卡技术、借记卡的pin(即个人密码)输入以及加密算法独立等三项内容。
3.1.2set协议的功能和实现的目标
set协议是一个基于可信的第三方认证中心的方案,其主要的实现目标是:
①保证电子商务参与者信息的相互隔离。
持卡人的资料加密或打包后到达银行,商家看不到持卡人的账户和密码信息,银行看不到持卡人的购物信息。
②保证信息在因特网上安全传输,防止数据被黑客或被内部人员窃取。
⑨解决多方认证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证,保证付款的安全。
④保证网上交易的实时性,使所有的支付过程都是在线的。
⑤提供一个开放式的标准,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可运行在不同的硬件和操作系统平台上。
3.1.3set交易的参与方介绍
set改变了支付系统中各个参与者之间交互的方式。
在面对面的零售交易或邮购交易中,电子处理过程始于商家或付款银行;而在set交易中,电子支付始于持卡人。
set交易的参与方包括持卡人、商家、发卡银行、收单银行、支付网关和数字证书认证中心ca。
①持卡人
set交易是在开放的internet中进行的,交易双方互不见面,无法使用现金,而是使用信用卡,所以在set协议中将购物者称为持卡人。
持卡人要参加set交易,首先必须要拥有一台计算机并且能够上网;其次还必须到发卡银行去申请并取得一套set交易专用的持卡人软件(即电子钱包),然后安装在自己的计算机上;第三,必须上网去向数字证书认证中心申请一张数字证书。
这样持卡人就可以开始安全地进行网上交易了。
②商家
商家要参与set交易,首先必须要开设网上商店,在网上提供商品或服务:
其次商家的网上商店必须集成set交易商户软件,顾客在网上购物时,由网上商店提供服务,购物结束进行支付时,由set交易商户软件进行服务:
第
三,商家必须到接收网上支付业务的收单银行申请并且必须在该银行设立账户;第四,同持卡人一样,还必须上网申请一张数字证书。
③发卡银行
发卡银行是负责为持卡人建立帐户并发放支付卡的金融机构。
发卡银行在分理行和当地法规的基础上保证信用卡支付的安全性。
④收单银行
收单银行是商家建立帐户并处理支付卡认证和支付的金融机构。
⑤支付网关
set交易中买卖双方进行交易,必须通过银行进行支付,但由于set交易是在开放的internet上进行的,而银行的计算机主机及银行专用网络是不能直接与internet相联的,为了能接收从internet上传来的支付信息,在银行与internet之间必须有一个专用系统,负责接收处理从商家传来的扣款信息,并通过专线送给银行:
银行对支付信息的处理结果再通过这个专用系统反馈回商家。
这个专用系统就称为支付网关。
⑥数字证书认证中心(cent矗caterauthority简称ca)
为了保证set交易的安全,set协议规定参加交易的各方都必须持有数字证书,在交易过程中,每次交换信息都必须向对方出示自己的数字证书,而且都必须验证对方的数字证书。
ca的主要工作是负责set交易数字证书的发放、更新、废除、建立证书黑名单等各种证书管理。
参与set交易的各方(包括持卡人、商家、支付网关)在参加交易前必须到ca处申请数字证书。
在证书到期时还必须去ca处更换一张新的证书。
同时,ca还要随时掌握哪些证书已经被废除,要将这些证书写入证书黑名单,作为交易时验证对方证书的依据。
3.1.4set工作原理说明
set协议工作原理如图3.1所示:
图3.1set协议工作原理
Fi93.1theworkingprincipleoffsetprotocol其具体工作流程如下:
①持卡人通过浏览器选择在线商店里自己需要的商品,放入购物篮。
②持卡人填写订单信息,并选择支付方式。
③持卡人将订单信息和支付信息发送给商家,这里订单信息和支付指令由消费者进行数字签名,同时利用双重签名技术保证商家看不到消费者的账号信息及银行看不到消费者的订单信息。
④商家接受订单量信息后,与支付网关进行通信,请求授权认证。
⑤支付网关通过收单银行向持卡人的发卡银行请求进行支付确认。
⑥发卡银行同意支付,将确认信息通过支付网关返回给商家。
⑦商家发送订单确认信息给持卡人,持卡人端软件可记录交易日志,以各将来查询。
⑧商家发送货物或提供服务。
⑨商家向持卡人的发卡银行请求支付,即实现支付获取、完成清算。
在处理过程中,通信协议、请求信息的格式、数据类型的定义等,set都有明确的
规定。
在操作的每一步,消费者、商家、网关都通过ca来验证通信主体的身份,以确保通信的对方不是冒名顶替。
3.2set协议的安全技术
set协议的安全基于密码技术,主要采用des,Rsa,hash算法等密码算法以及有关的安全机制来保证电子商务交易所需的各种安全功能。
3.2.1加密技术
为了保证信息在网上传输过程中不被篡改、保证信息的机密性,就必须对所发送的信息进行加密处理。
加密技术包括私钥加密和公钥加密两种。
私钥加密又称为对称密钥加密;公钥加密又称为非对称密钥加密。
①基础知识
1)明文:
又称消息,就是原文,是需要进行加密的信息。
用m或p表示。
2)密文:
就是加密后的信息。
用c表示。
3)加密:
用某种方法伪装原文以隐藏它的内容的过程。
加密函数用e表示。
4)解密:
是加密的逆过程,就是把密文转变成明文的过程。
解密函数用d表示。
加密和解密必须依赖两个要素,这两个要素就是算法和密钥。
算法是加密和解密的计算方法;密钥是加密和解密所需的一串数字,用k表示。
②对称加密技术
即信息的发送方和接收方用同一个密钥去加密和解密数据,目前常用的对称加密算法有des、Rc5、idea、3des等。
其中des使用最普遍,被iso采用作为数据加密的标准。
对称加密技术的优缺点:
1)加懈密速度快,适合于对大数据量进行加密。
2)在首次通信前,双方必须通过除网络以外的另外途径传递统一的密钥。
3)当通信对象增多时,需要相应数量的密钥,密钥管理困难。
4)对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄密都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。
其工作原理如图3.2所示。
篇二:
set协议
set协议
为了实现更加完善的即时电子支付,set协议应运而生。
set协议(secureelectronictransaction),被称之为安全电子交易协议,是由mastercard和Visa联合netscape,microsoft等公司,于1997年6月1日推出的一种新的电子支付模型。
set协议是b2c上基于信用卡支付模式而设计的,它保证了开放网络上使用信用卡进行在线购物的安全。
set主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成为目前公认的信用卡网上交易的国际标准。
(set协议主要)
目录
1简介
2主要目标
3提供服务
4交易流程
5安全性
6set改进
7现实应用
8相关领域
1简介
set协议
电子商务在提供机遇和便利的同时,也面临着一个最大的挑战,即交易的安全问题。
在网上购物的环境中,持卡人希望在交易中保密自己的帐户信息,使之不被人盗用;商家则希望客户的定单不可抵赖,并且,在交易过程中,交易各方都希望验明其他方的身份,以防止被欺骗。
针对这种情况,由美国Visa和mastercard两大信用卡组织联合国际上多家科技机构,共同制定了应用于internet上的以银行卡为基础进行在线交易的安全标准,这就是"安全电子交易"(secureelectronictransaction,简称set)。
它采用公钥密码体制和x.509数字证书标准,主要应用于保障网上购物信息的安全性。
由于set提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点。
因此,至
20xx年,它成为了公认的信用卡/借记卡的网上交易的国际安全标准。
set(secureelectronictransaction)安全电子交易协议主要应用于btoc模式中保障支付信息的安全性。
set协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。
set协议是pki框架下的一个典型实现,同时也在不断升级和完善,如set2.0将支持借记卡电子交易。
2主要目标1.防止数据被非法用户窃取,保证信息在互联网上安全传输。
2.set中使用了一种双签名技术保证电子商务参与者信息的相互隔离。
客户的资料加密后通过商家到达银行,但是商家不能看到客户的帐户和密码信息。
3.解决多方认证问题。
不仅对客户的信用卡认证,而且要对在线商家认证,实现客户、商家和银行间的相互认证。
4.保证网上交易的实时性,使所有的支付过程都是在线的。
5.提供一个开放式的标准,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能。
可在不同的软硬件平台上执行并被全球广泛接受。
3提供服务
set协议为电子交易提供了许多保证安全的措施。
它能保证电子交易的机密性,数据完整性,交易行为的不可否认性和身份的合法性。
set协议设计的证书中包括:
银行证书及发卡机构证书、支付网关证书和商家证书。
(1)保证客户交易信息的保密性和完整性
set协议采用了双重签名技术对set交易过程中消费者的支付信息和订单信息分别签名,使得商家看不到支付信息,只能接收用户的订单信息;而金融机构看不到交易内容,只能接收到用户支付信息和帐户信息,从而充分保证了消费者帐户和定购信息的安全性。
(2)确保商家和客户交易行为的不可否认性
set协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性。
其理论基础就是不可否认机制,采用的核心技术包括x.509电子证书标准,数字签名,报文摘要,双重签名等技术。
(3)确保商家和客户的合法性
set协议使用数字证书对交易各方的合法性进行验证。
通过数字证书的验证,可以确保交易中的商家和客户都是合法的,可信赖的。
4交易流程编辑set交易过程中要对商家,客户,支付网关等交易各方进行身份认证,因此它的交易过程相对复杂。
(1)客户在网上商店看中商品后,和商家进行磋商,然后发出请求购买信息。
(2)商家要求客户用电子钱包付款。
(3)电子钱包提示客户输入口令后与商家交换握手信息,确认商家和客户两端均合法。
(4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。
(5)商家将含有客户支付指令的信息发送给支付网关。
(6)支付网关在确认客户信用卡信息之后,向商家发送一个授权响应的报文。
(7)商家向客户的电子钱包发送一个确认信息。
(8)将款项从客户帐号转到商家帐号,然后向顾客送货,交易结束。
从上面的交易流程可以看出,set交易过程十分复杂性,在完成一次set协议交易过程中,需验证电子证书9次,验证数字签名6次,传递证书7次,进行签名5次,4次对称加密和非对称加密。
通常完成一个set协议交易过程大约要花费1.5-2分钟甚至更长时间。
由于各地网络设施良莠不齐,因此,完成一个set协议的交易过程可能需要耗费更长的时间。
5安全性
采用公钥加密和私钥加密相结合的办法保证数据的保密性set协议中,支付环境的信息保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而获得的。
它采用的公钥加密算法是Rsa的公钥密码体制,私钥加密算法是采用des数据加密标准。
这两种不同加密技术的结合应用在set中被形象的成为数字信封,Rsa加密相当于用信封密封,消息首先以56位的des密钥加密,然后装入使用1024位Rsa公钥加密的数字信封在交易双方传输。
这两种密钥相结合的办法保证了交易中数据信息的保密性。
一、采用信息摘要技术保证信息的完整性
set协议是通过数字签名方案来保证消息的完整性和进行消息源的认证的,数字签名方案采用了与消息加密相同的加密原则。
即数字签名通过Rsa加密算法结合生成信息摘要,信息摘要是消息通过hash函数处理后得到的唯一对应于该消息的数值,消息中每改变一个数据位都会引起信息摘要中大约一半的数据位的改变。
而两个不同的消息具有相同的信息摘要的可能性及其微小,因此hash函数的单向性使得从信息摘要得出信息的摘要的计算是不可行的。
信息摘要的这些特征保证了信息的完整性。
二、采用双重签名技术保证交易双方的身份认证
set协议应用了双重签名(dualsignatures)技术。
在一项安全电子商务交易中,持卡人的定购信息和支付指令是相互对应的。
商家只有确认了对应于持卡人的支付指令对应的定购信息才能够按照定购信息发货;而银行只有确认了与该持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进行支付。
为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同时不会侵犯顾客的私人隐私这一目的,set协议采用了双重签名技术来保证顾客的隐私不被侵犯。
6set改进
set协议提供了在b2c平台上信用卡在线支付的方式,不过由于其实现起来非常复杂,商家和银行都需要改造系统来实现相互操作,如此看来,set的普遍应用还需要假以时日。
无论是使用ssl协议还是使用set协议进行在线支付,它们总有不如人意之处。
但由于set在安全性,保密性上的优势,它本应成为未来电子商务实现在线支付的主流方式。
笔者针对其主要问题——商品质量和残留数据的处理方式上,提出了改进方案:
引入商品质量检测机制来保证商品的质量;建立一个“交易信息档案中心”来解决交易后残留数据的归属,以此保证用户的利益。
一、引入商品质量检测机制保证商品质量
引入这种机制的具体做法是商家把商品直接发送到消费者所在地的官方商品质量检测
机构,由这些专业质检机构来检测商品质量问题,检测完毕后再通知消费者前来领取商品。
如果消费者需要此服务,必须和商家协商分摊质量检测的费用;如果不需要,就按照一般的set流程交易。
因此,我们引入商品质量检测机制可以检查商品质量,解决了set协议中产生的“如果商品质量问题由谁负担”的问题。
这样既能保证用户的利益,也能保证商家的利益不被损害。
二、引进商品质量检测机制后set的交易流程
引进商品质量检测机制后,基于set的交易过程与原来相比更复杂了些,也需要对set消息报文进行修改,需要将质量检测信息作为附件形式加入set消息报文中。
因此要在set信息报文中增加附件位,可考虑附件位的标识为0和1两种情况,其中0表示没有附件,1表示存在附件。
附加的附件信息包括交易双方的有关信息(如给双方打上编号)、商品名称、商品保质期、商品生存周期等.
(1)用户查询商品的信息,确定所要定购的商品。
(2)用户和商家进行探讨,确定商品质量检测费用该如何分摊。
(3)将定购单和支付信息一起以电子数据的方式来发给商家。
(4)商家进行验证,向用户所拥有的支付卡的金融机构请求取得支付授权。
(5)金融机构验证数字签名,验证用户信息的合法性。
如果合法则发送授权信息。
(6)商家验证授权信息后,向用户发出定购确认信息。
同时查询用户所在地区的商品质量检测部门的信息。
由商家将商品配送到用户所在地区的商品质量检测部门。
(7)用户所在地商品质量检测部门接收商家的商品。
在验收产品质量后,将附件位由0改为1,并附加附件具体信息,向商家发送收货信息并负责配送商品给消费者;商家向用户所拥有的支付卡的金融机构请求付款。
(8)用户得到满意的商品后,对付款单进行签名,向商品质量检测部门表示同意付款,并向自己的支付卡所在的发行卡发送支付信息。
发卡行在同时得到商家付款请求和用户同意付款的信息之后,方可付款。
7现实应用
set协议是由美国的公司发起并联合开发的,因此,set协议支持信用卡支付这一支付方式比较符合欧美各国的使用情况。
可是实际应用上,set要求持卡人在客户端安装电
篇三:
set协议和ssl协议的主要不同是什么
set协议和ssl协议的主要不同是什么
ssl协议和set协议的差别主要表现在以下几个方面:
(1)用户接口:
ssl协议已被浏览器和web服务器内置,无需安装专门软件;而set协议中客户端需安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件。
(2)处理速度:
set协议非常复杂、庞大,处理速度慢。
一个典型的set交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程可能需花费1.5至2分钟;而ssl协议则简单得多,处理速度比set协议快。
(3)认证要求:
早期的ssl协议并没有提供身份认证机制,虽然在ssl3.0中可以通过数字签名和数字证书实现浏览器和web服务器之间的身份验证,但仍不能实现多方认证,而且ssl中只有商家服务器的认证是必须的,客户端认证则是可选的。
相比之下,set协议的认证要求较高,所有参与set交易的成员都必须申请数字证书,并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
(4)安全性:
安全性是网上交易中最关键的问题。
set协议由于采用了公钥加密、信息摘要和数字签名可以确保信息的保密性、可鉴别性、完整性和不可否认性,且set协议采用了双重签名来保证各参与方信息的相互隔离,使商家只能看到持卡人的订购数据,而银行只能取得持卡人的信用卡信息。
ssl协议虽也采用了公钥加密、信息摘要和mac检测,可以提供保密性、完整性和一定程度的身份鉴别功能,但缺乏一套完整的认证体系,不能提供完备的防抵赖功能。
因此,set的安全性远比ssl高。
(5)协议层次和功能:
ssl属于传输层的安全技术规范,它不具备电子商务的商务性、协调性和集成性功能。
而set协议位于应用层,它不仅规范了整个商务活动的流程,而且制定了严格的加密和认证标准,具备商务性、协调性和集成性功能。
总结:
由于ssl协议的成本低、速度快、使用简单,对现有网络系统不需进行大的修改,因而目前取得了广泛的应用。
但随着电子商务规模的扩大,网络欺诈的风险性也在提高,在未来的电子商务中set协议将会逐步占据主导地位。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- set 协议 主要