安全电子交易协议（SET）.ppt

(3) 购买请求 持卡人生成一个一次性对称密钥, KS, (4) 购买响应 当商家接收到了购买请求时，将实现如下活动： 1) 通过持卡人的CA签名验证持卡人的证书。 2) 用持卡人公钥验证双重签名，这确保了订单在传输过程中没有损害，并用持卡人私钥签署。 (4) 购买响应 3）处理订购。并传输支付信息给支付网关授权。 4）给持卡人发送购买响应。 (4) 购买响应 购买消息包括了接受订单的响应组，该组由商家用其私钥签署。该组和商家证书一起发送给持卡人。 当持卡人的软件接收到购买响应消息时，就 验证商家的证书 验证响应组的签名 在此响应的基础上采取一些行动，例如给用户显示一条信息，或用订购状态更新数据。 支付授权 商家电脑 授权请求 支付网关 授权响应 商家请求支付授权 商家处理响应 支付网关处理授权请求 支付授权交换包含了两条消息：授权请求和授权响应。 (1) 支付授权请求 商家发送给支付网关的授权请求包含了以下内容： 1) 购买的相关信息：该部分信息从持卡人获得，组成包括PI、双重签名、OI消息摘要（OIMD）和数字信封。 2) 授权的相关信息：这部分信息由商家生成，包括交易ID（使用商家的私钥签署，并用商家生成的临时对称密钥加密）和数字信封（用支付网关的公钥加密对称密钥形成）。 3) 证书：包括持卡人及商家的证书。 (1) 支付授权请求 支付网关收到授权请求后，实现如下任务： (a) 验证所有的证书； (b) 解密授权块的数字信封以获得对称密钥，然后解密授权块； (c) 验证授权块上商家的签名； (d) 解密支付块的数字信封以获得对称密钥，然后解密支付块； (e) 验证支付块的双重签名； (f) 验证从商家获得的交易ID与从持卡人（间接）获得的PI中的交易ID匹配； (g) 向发行者请求并接受授权。 (2) 支付授权响应 从发行者获得授权后，支付网关给商家返回一个授权响应，其中包括了一下元素： 1) 授权相关信息：包括了受权块，用支付网关的密钥进行签署，并用支付网关生成的一次性对称密钥加密。还包括了用商家公钥加密的一次对称密钥的数字信封。 2) 捕获标记信息：该信息用来使以后的支付有效。 3) 支付网关的证书：有了支付网关的授权，商家就可以给持卡人提供货物或服务。 支付获得 商家电脑 获得请求 支付网关 获得响应 商家请求支付 支付网关处理获得请求 商家收到响应 SET的开销 简单的购买交易： 商家和客户之间四个信息 商家和支付网关之间两个消息 6 个数字签名 9 个RSA 加密/解密周期 4 个DES加密/解密周期 4 个证书验证 缩放: 多服务器需要所有证书的副本 SET协议的安全性 SET协议是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范，它主要通过以下方法来保证信息的机密性、完整性、真实性和不可否认性。 （1）信息发送者随机生成对称密钥，用对称密钥加密信息，并将对称密钥用接收方的公开密钥加密，装入数字信封；接收方用自己的私人密钥解密收到的数字信封，取出对称密钥，然后用对称密钥解密密文，从而得到发送方的原始信息。 SET协议的安全性 （2）通过消息摘要的检验，可以保证信息的完整性。消息发送者将要发送的消息经Hash运算，得到该消息的消息摘要，然后将消息和消息摘要一起发送给接收者；接收者用同样算法计算出他所收到的消息的消息摘要，并将计算出的消息摘要与收到的消息摘要进行比较，如果两条消息摘要完全相同，则说明消息在传输过程中未被篡改。 SET协议的安全性 （3）使用经CA签名的数字证书，可以确定双方的身份。由于证书是由大家公认的权威机构CA 在对用户进行认证后发给用户的，并且CA还在证书上用自己的私人密钥对所发证书的消息摘要进行加密，生成CA的数字签名，消息接收方收到对方的数字证书后，用CA的公开密钥对CA的数字签名解密，证明对方的证书确实是CA 所发，从而就证明了对方的真实身份。 SET协议的安全性 （4）通过验证对方的数字签名来确认消息确实是对方发送的，从而保证了交易的不可否认性。因为数字签名是用消息发送方的私人密钥对所发消息的消息摘要进行加密生成的，接收方只要能用消息发送方的公开密钥解密，就能证明此数字签名肯定是消息发送方生成的，又因为数字签名所加密的消息摘要是由所发消息生成的，从而可证明消息确实是由对方发送的。 SET协议的安全性 （5）在SET交易中，持