电子商务支付与安全模块8介绍.ppt

第3单元 SET协议 情景案例 信用卡是最为常见的网上支付工具，信用卡的泄密、被盗等现象也是屡见不鲜。张丽艳同学在上个单元的学习中，对SSL协议有了较深的了解，但是中国银行的长城卡电子支付系统为什么没有采用SSL协议呢？ 一定还会有其他的电子支付安全协议，通过课后学习，了解到中国银行的长城卡电子支付系统采用的是SET协议。这是为什么呢？ 任务思考 那么，什么是SET安全协议？它的特点是什么？SET协议是如何保证通信安全的呢？SET协议与SSL协议有什么不同？等等。 任务分析 为了克服SSL安全协议的缺点，VISA国际组织及其它公司如MasterCard、MicroSoft和IBM等共同制定了安全电子交易SET（Secure Electronic Transactions）协议。 SET是一个为在线交易而设立的一个开放的以电子货币为基础的电子付款系统规范，它采用公钥密码体制和X.509数字证书标准，主要应用于BtoC模式中保障支付信息的安全性。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。 SET安全电子交易协议是一种基于消息流的协议，该协议主要是为了解决用户、商家和银行之间通过信用卡在线支付而设计的，以保证支付信息的机密、支付过程的完整、持卡人的合法身份以及可操作性，SET中的核心技术主要有公开密钥加密、数字签名、数字信封和数字证书等 相关知识 1． SET协议简介 电子商务面临的最大挑战，即交易的安全问题。在网上购物的环境中，持卡人希望在交易中必威体育官网网址自己的帐户信息，使之不被人盗用；商家则希望客户的定单不可抵赖，并且在交易过程中，交易各方都希望验明对方的身份，以防止被欺骗。 1995年10月，包括Mastercard、Netscape和IBM在内的联盟开始着手进行安全电子支付协议（SEPP）的开发。随后，Visa和微软组成的联盟开始开发另外一种不同的网络支付规范，叫做安全交易技术（Secure Electronic Transaction，STT）。由于两大信用卡组织Mastercard利Visa分别支持独立的网络支付解决方案，影响了网络支付的发展，所以1996年1月，VISA和Mastercard联合发起并推动了“安全电子交易”SET（Secure Electronic Transaction）协议的制定、测试和实施，并于1997年5月发布正式的1.0版本标准。 SET协议即安全电子交易标准，利用RSA和DES技术实现安全性，用于支持使用信用卡进行交易的在线电子支付。 它采用公钥密码体制和X.509数字证书标准，主要应用于B to C模式中保障支付信息的安全性。SET 提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。 中国银行是国内第一家使用SET协议的金融机构。 2．SET协议的目标和特点 （1）SET协议的目标。 ①保证电子商务参与者信息的相互隔离，客户的资料加密或打包后经过商家到达银行，但是商家不能看到客户的账户和密码信息； ②保证信息在Internet上安全传输，防止数据被第三方窃取； ③解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证； ④保证了网上交易的实时性，使所有的支付过程都是在线的； ⑤规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。 （2）SET协议的特点。 SET协议比SSL协议有了很大改进。其特点是： ①保证信息在Internet上安全传输，保证网上传输的数据不被黑客窃听。 ②订单信息和个人账号信息的隔离。在将包括持卡人账号信息的订单送到商家时，商家只能看到订货信息，而看不到持卡人的账户信息，从而保证电子商务参与者信息的相互隔离。 ③持卡人和商家的相互认证，以确定通信双方的身份，一般由第三方机构负责为在线通信方双方提供信用担保，从而解决了多方认证问题。 ④保证网上交易的实时性．使所有的支付过程都在网络上进行。 ⑤要求软件遵循相同的协议和消息格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。 3．SET安全协议涉及的对象和技术范围 （1）SET协议规范的对象。 ①消费者 ②在线商店 ③支付网关 ④收单银行 ⑤电子货币发行 ⑥认证中心