6.1 电子信用卡结算系统与安全电子交易(SET)[7页]

合集下载

第七章_安全电子交易协议SET

第七章_安全电子交易协议SET安全电子交易协议（Secure Electronic Transaction Protocol，简称SET）是一种用于保护电子商务交易的协议。

SET协议由Visa和MasterCard共同开发，旨在提供一个安全、可靠的交易环境，以保护消费者和商家之间的交易信息。

SET协议利用了公钥基础设施（PKI）和数字证书技术，确保交易的机密性、完整性和身份验证。

SET协议的核心思想是通过对交易信息进行加密和数字签名，实现安全的电子支付。

SET协议的关键步骤如下：1.买方发起交易请求：买方通过SET协议向商家发起交易请求，包括商品信息、付款方式等。

SET协议使用买方的公钥对交易信息进行加密和签名。

2.身份验证：商家收到买方的交易请求后，使用买方的公钥对其身份进行验证。

买方的公钥由一个可信的证书颁发机构（CA）签名，以确保其合法性和真实性。

3.生成动态密钥：商家使用自己的私钥生成一个动态密钥，并使用买方的公钥进行加密，然后将其发送给买方。

4.付款授权：买方使用自己的私钥对付款信息进行加密和签名，并将其发送给商家。

5.商家付款确认：商家收到买方的付款授权后，使用买方的公钥进行解密和验证。

如果一切正常，商家使用自己的私钥对付款确认信息进行加密和签名，并将其发送给买方。

6.交易完成：买方收到商家的付款确认后，使用商家的公钥进行解密和验证。

如果一切正常，交易完成。

SET协议的优势在于其强大的安全性和可靠性：1.机密性：SET协议使用加密算法对交易信息进行加密，确保只有授权方才能解密和读取交易信息。

2.完整性：SET协议使用数字签名技术对交易信息进行签名，确保交易信息在传输过程中没有被篡改或伪造。

3.身份验证：SET协议使用数字证书技术对交易参与方的身份进行验证，防止身份冒充和欺诈。

4.不可否认性：SET协议使用数字签名技术对交易信息进行签名，确保交易参与方无法否认其参与和授权交易的事实。

SET协议的应用范围广泛，包括电子商务、在线支付、电子票务等领域。

安全电子交易协议SET

户的合法用户。 (4)为商家提供认证，保证商家通过一个收单行金融机构，
可以接收该品牌的支付卡的交易。 (5)保证使用最好的安全技术和系统设计，来保护所有电
子商务交易的合法参与者。 (6)创建一个不依赖于传输安全机制的协议。 (7)鼓励网络和软件提供商支持互操作性。
2．SET应用在购物过程的环节
(7)第三方(Third Parties)。发卡行和收单行有时指定第三方来处理支付卡交易，在SET协议中没有区分金融机构和交易处理者，认为是一家。
2.加密概念
在SET中所涉及到的密码技术主要有:
(1)密钥密码技术。 (2)公开密钥密码技术。 (3)加密。 (4)数字签名。 (5)数字信封。 (6)双重数字签名。
安全电子交易协议格式由一系列要求／回答 (Req／Res)信息对组成。图10-2为Req／Res 的对应信息。
6.2SET协议信息结构
持卡人
PInit Req PInit Res PReq PRes Ing Req Ing Res
商户
支付网关（收单银行）
PReq之后时间可选 Auth Req Auth Res Cap Req Cap Res
的改变；为金融机构提供有效的协议。
6.1.1SET协议介绍
1．SET的商业要求 2．SET应用在购物过程的环节 3．SET协议的主要内容
1．对SET的商业要求
SET协议建立在以下7个商业要求的基础上。 (1)为支付信息提供机密性，保证与支付信息同时传输的
订购信息的机密性。 (2)保证所有传输数据的完整性。 (3)为持卡者提供认证，保证一个持卡者是一个支付卡账
BrandID：指持卡人所用银行卡品牌Visa或MasterCard等。 LID—C：交易所在地的识别码。 Thumbs：在持卡人软件中已存有的凭证及每张凭证的指纹

安全电子交易SET

安全电子交易SETSET的主要特点是：1、SET是专为与支付有关的报文进行加密的，它不能像SSL 那样对任意的数据（如正文或图像）进行加密。

2、SET协议涉及三方，顾客，商家和商业银行。

3、SET要求三方都有证书。

在SET交易中，商家看不见顾客传送给商业银行的信用卡号码。

这是SET的一个最关键的特性。

一个SET交易中要使用三个软件，即：1、浏览器钱包这个软件集成在浏览器中，它位顾客在购物时提供信用卡和证书的存储和管理的地方，并响应从商家发来的SET报文，提示顾客选择信用卡进行支付。

2、商家服务器处理持卡人的交易，并与商家银行沟通。

3、支付网关商业银行使用的软件，处理信用卡的交易，包括授权和支付，是个相当复杂的软件。

SET协议中的角色：1、持卡人（Cardholder）2、发卡机构（Card Issuer）3、商家（Merchant）4、收单银行（Acquiring Bank）5、支付网关（Payment Gateway）6、认证中心（Certificate Authority）SET购物交易实例：B：客户A：商家1、B告诉A需要购买的商品。

2、A将物品清单和一个惟一的交易标识符发送给B。

3、A将其商家的证书，包括商家的公钥。

A将银行证书，银行的公钥。

两个证书都使用一个认证中心CA的私钥进行加密（也就是数据签名）。

4、B使用认证中心CA的公钥，对证书解密。

于是得到A的两个证书和公钥。

5、B生成2个数据包，B将OI与PI机密后发给A。

它们是：定货信息OI（Order Information ），购买指令PI （Purchase Instruction ）。

OI：交易标识符，使用信用卡类别。

注意：不包括B的信用卡号码。

使用A的公钥加密。

PI：交易标识符，B同意向A支付的款数。

使用A的银行的公钥加密。

注意：PI虽然是给A的银行用的，但并不是由B直接发送给A的银行。

6、A生成对信用卡支付请求（payment request ）的授权请求（authorization request ），它包括交易标识符。

电子商务安全第7章安全电子支付协议

7.2.2 SET的加密和解密流程接收方的解密流程
7.2.3 SET的认证技术
对用户的网络身份的鉴别称为认证，其主要目的在于确认使用者就是其所声称的对象。
一种可行的解决办法是由一个大家都相信的第三方来验证它所声称的对象，这样的第三方就是认证中心。
7.2.3 SET的认证技术
（1）证书
简单的SET交易系统示意图
7.2 SET的加密技术和认证技术
7.2.1 和SET有关的密码技术
SET的加密过程使用了对称密钥体制)和公开密钥密码体制(非对称密钥体制) 。
SET依靠密码系统来保证消息的可靠传输，在SET 中使用随机生成的对称密钥来加密数据，然后将此对称密钥用接收者的公开密钥加密，称为消息的“数字信封”
7.3 SET协议的处理逻辑
7.3.1 SET购物流程
7.3.2 SET完整处理流程分析
SET协议中，涉及到持卡人、商家、发卡行、收单行、支付网关等方面，其整个处理流程是复杂的，但对持卡人来说，绝大多数的处理是由软件来完成的，其处理流程对用户来说是透明的。
（1）持卡人注册
持卡人在发卡银行申请并得到持卡人软件后，还要上网，向CA申请证书，下图6描述了持卡人注册的全部流程。
（2）商家注册
商家在收单银行申请并安装SET商家软件后，也要上网向CA申请证书，图8.7介绍了商家注册流程。
（3）购买请求
下图描述持卡人订购处理中的购买请求处理流程
（4）支付授权
下图是商家的支付授权处理流程
（5）支付请款
下图描述了商家的支付请款流程
7.3.3 SET与传统信用卡交易流程的比较
从算法的角度看，SET现在的版本中还存在着加密强度不够等问题，但是它在B2C 的电子商务模式中还是比较成功的，在世界范围内已经得到了比较广泛的应用。

电子行业电子结算系统

电子行业电子结算系统1. 简介电子行业电子结算系统是一种基于电子商务技术的结算平台，旨在提供便捷、高效、安全的支付和结算服务。

该系统适用于电子行业内的各类企业和个人，包括电子商务平台、电子支付机构、电子商务服务提供商等。

2. 系统功能2.1 支付功能•支持多种支付方式，包括在线支付、银行转账、电子钱包等。

•提供支付接口，方便第三方平台接入。

•支持支付的即时通知和回调机制，确保支付结果及时反馈给用户。

•提供支付账单查询和支付记录管理功能。

2.2 结算功能•支持将支付款项自动结算至指定账户。

•提供结算审核功能，确保结算操作的合法性和准确性。

•支持结算账单查询和结算记录管理功能。

2.3 对账功能•匹配支付与结算记录，确保支付款项和结算款项的准确性。

•提供对账差异的处理机制，便于及时解决账务疑问。

•自动生成对账报表，方便对账数据的统计和分析。

2.4 安全功能•引入数字证书和加密技术，保证数据传输的安全性。

•设立合理的权限管理机制，确保系统内数据的安全和隐私。

•检测和防范支付欺诈、篡改等安全风险。

•提供风险监控和预警功能，及时发现和处理安全问题。

2.5 统计与报表功能•提供支付、结算与对账数据的统计分析功能。

•自动生成各类报表，包括支付报表、结算报表、对账报表等。

•支持数据导出功能，方便数据的进一步处理和分析。

3. 系统优势3.1 高效性•使用电子化结算方式，节省了纸质结算单的打印、邮寄等时间和成本。

•自动化的结算流程，减少了人力和时间的投入。

•支付和结算的实时处理，提高了整体的效率和效益。

3.2 精准性•引入自动对账功能，减少了人工对账的错误和漏洞。

•系统自动生成的报表和统计分析数据，提供数据准确性和可靠性的保证。

3.3 安全性•采用加密技术和数字证书，确保数据传输的安全性。

•引入权限管理机制，保证数据的安全和隐私。

•检测和防范支付欺诈、安全篡改等风险，提供系统的稳定性和安全性。

3.4 兼容性•开放的支付接口，方便第三方平台的接入和集成。

基于电子信用卡网上支付的安全电子交易(SET)协议的研究

机构之间数据的流通过程，并对这些信息流都采取了数字加密及数据认证技术，以此确保网上交易的安全它过于繁杂的程序使得系但统要承担过重的负载，个问题如今越来越引起了专家们的关注，这并成为未来研究改进的重点。
二、ＳＥＴ协议中的关键技术
（数字加密技术一）数字加密技术是最常用的安全保密手段，原理是将原明文其加密以隐藏其原义后再传送，达目的地后解密以恢复原文，目到其
工作的模式，也正将成为未来经济活动的一种核心方式。然而，网
【关键词】电子支付安全电子交易数字加密技术数据认证技术
中图分类号：Ｐ９Ｔ３３文献标识码：章编号：０．０７２１１００－２Ａ文１９４６（０１ｌ—８Ｏ０
ＲｅｅｒｈｎｅｕｒＥｌｃｒｎｉＴｒｎａｔｏｏｏｏｓｄｓａｃｏＳｃｅｅｔｏｃａｓｃｉｎＰｒｔｃｌｂａｅ
ｏｎｅｌｔｏｃｒｄｉｃｒｅｃｒｎｉｅｅｔａｄｏｉｐａｙｍｅｎｌｎｅｎｔ
ＴＮＹＮＡＩＧ
１ ‘ ‘ … 一 ‘ 。
（ｅｒｅｆＩｏａｉ，ＹｎｎＵｉｒｔｆＦａｃａｄＥｏｏｉ，Ｋｎｉ５２１Ｃｉ）Ｄｐｔｎｏｎｒｔｎｕａｎｅｉｏｉｎｎｃｍｓｕｎ６０２，ｈａａｍｔｆｍｏｎｖｓｙｎｅｎｃｍｇｎ

第7章安全电子交易协议SET(新)

2014-12-23
第7章安全电子交易协议SET
11
7.1.2 SET的参与方
4. 收单银行(Acquirer)：为商家建立一个银行帐户，并且处理支付卡的授权和付款事宜。同样，收单银行也不属于安全电子商务交易的直接组成部分，但却是授权与清算操作的主要参与方。
2014-12-23
第7章安全电子交易协议SET
信息安全技术(电子商务安全)
第7章安全电子交易协议SET
信息安全技术(电子商务安全)
第7章安全电子交易协议SET
7.1 SET支付系统概述 7.2 SET证书管理 7.3 SET协议的相关技术 7.4 SET协议流程 7.5 安全套接层协议SSL 7.6 典型交易协议比较
2014-12-23
第7章安全电子交易协议SET
Version Type: 扩展类型
Criticality: 关键/非关键
……
Value: 字段值
Version Type: 扩展类型
Criticality: 关键/非关键
Value: 字段值
CA Signature: 认证中心的数字签名
2014-12-23
第7章安全电子交易协议SET
22
7.2.1 数字证书
2014-12-23
第7章安全电子交易协议SET
19
7.2.1 数字证书
客户在向认证中心 CA申请证书时，可提交证明自己身份的证件，如：身份证、驾驶执照或护照等。经验证后，认证中心CA 颁发证书，证书一般包含拥有者的标识名称和公钥并且由认证中心 CA 进行过数字签名，以此作为网络环境下证明自己身份的依据。在 SET中，最主要的证书是持卡人证书和商家证书。除了持卡人证书和商家证书以外，还有支付网关证书、收单银行证书、发卡银行证书等。

2024年-安全电子交易协议SET(场景多应用版)

合同编号：_______甲方（卖方）：_______乙方（买方）：_______鉴于甲方是一家专业从事电子商务的企业，乙方是一家具有购买力的企业，双方本着平等、自愿、公平、诚实信用的原则，就安全电子交易事宜达成如下协议：第一条定义1.1安全电子交易（SecureElectronicTransaction，简称SET）：指在互联网环境下，采用加密、数字签名等技术，保障交易双方的身份认证、数据加密、数据完整性、不可否认性等安全要求的电子交易方式。

1.2交易信息：指甲方提供的商品或服务的相关信息，包括但不限于商品名称、价格、数量、质量、售后服务等。

1.3订单信息：指乙方根据交易信息向甲方发出的购买商品或服务的请求。

1.4数字证书：指用于证明交易双方身份、保障数据加密和数字签名有效性的电子文件。

第二条SET系统的使用2.1甲乙双方同意采用SET系统进行交易，并遵守SET协议的相关规定。

2.2甲方负责提供SET系统的技术支持，确保交易的安全性、可靠性和稳定性。

2.3乙方负责按照SET系统的操作流程进行操作，确保交易信息的真实性和有效性。

第三条交易流程3.1乙方在SET系统中浏览甲方的交易信息，选择商品或服务，并订单信息。

3.2乙方将订单信息发送给甲方，甲方对订单信息进行确认，并向乙方发送确认信息。

3.3乙方收到确认信息后，按照SET系统的支付流程进行支付。

3.4甲方收到乙方的支付后，按照订单信息向乙方提供商品或服务。

3.5乙方确认收货或服务完成后，对甲方进行评价。

第四条交易安全4.1甲乙双方应确保在交易过程中所使用的数字证书真实、有效。

4.2甲方应采取必要的技术措施，保障交易数据的安全，防止数据泄露、篡改等风险。

4.3乙方应妥善保管自己的账户信息，防止他人非法使用。

4.4一旦发生交易安全问题，甲乙双方应立即采取措施予以解决，并及时通知对方。

第五条违约责任5.1甲乙双方应严格遵守本协议的约定，如一方违约，应承担违约责任。

《安全电子交易》课件

《安全电子交易》
SET协议的作用和地位
n . SET规范，为在Internet上进行安全的电子商务提供了
一个开放的标准。SET综合使用私用密钥加密和公用密钥加密的电子认证技术，其认证过程使用RSA和DES算法因此可以为电子商务提供很强的安全保护 n . SET主要是为了解决用户商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整，商户及持卡人的合法身份以及可操作性。 n . SET规范是目前电子商务中最重要的协议SET得到了美国IT企业的支持，如：GTE 、IBM、 Microsoft、 Netscape、 RSA、 SAIC 、Terisa 和VeriSign
n . 此外在协议系统中还有认证中心CA ，它是一些发卡机构共同委派的公证代理组织其主要功能是产生分配和管理发卡人商家和参与电子交易等。
《安全电子交易》
安全电子商务的成员
商家
卡用户
证书管理机构
发行人
支付网络
支付者
《安全电子交易》
支付网关
安全电子商务的成员
n 卡用户：经认可的由发行人支付卡（如：MarsterCard 、 Visa)的拥有者。
《安全电子交易》
SET 交易的顺序
1、客户开户：客户从支持电子支付和SET 的银行获得一个信用卡帐户
2、客户接受证书：经过身份验证，客户得到又银行签发的的X,509v3的数字证书（包含用户的公钥）。
3、商家的证书：商家必须两个公钥证书，个用于报文签名，另一用于密钥交换。商家还需要支付网关的副本。
《安全电子交易》
SET协议和SSL协议的简单比较
SET协议不像SSL 它不受美国加密算法出口的限制, 在世界各地都采用了128位密钥加密信用卡号,为了被允许不受这种限制,SSL不得不只把128位加密只用在加密商业信息上,而其他的如商品信息,发送地址之类的信息都除外。

SET安全电子交易协议

SET安全电子交易协议SET（Secure Electronic Transaction，安全电子交易）协议是一种用于在互联网上进行安全交易的协议。

它是Visa和MasterCard联合推出的，旨在为数字化支付提供更高的安全性和保护消费者的个人信息。

SET 是一种基于公钥加密技术的协议，通过数字签名和加密算法来确保交易的机密性、完整性和身份验证。

SET协议的目标是提供以下安全功能：1.身份验证：SET使用数字证书来验证商家和消费者的身份，以确保只有合法用户才能进行交易。

数字证书由可信的第三方机构（如证书颁发机构）颁发，包含用户的公钥和其他身份信息。

2.机密性：SET使用对称加密和公钥加密结合的方法来保护交易过程中的数据传输。

对称加密用于加密和解密实际交易数据，而公钥加密用于加密和解密对称密钥。

3.完整性：SET使用数字签名来保护交易数据的完整性，即确保数据在传输过程中没有被篡改。

数字签名使用了商家的私钥和可信的第三方机构的公钥，以确保只有持有正确私钥的商家才能创建有效的数字签名。

4.不可否认性：SET使用数字证书和数字签名来提供不可否认性，在交易完成后，商家无法否认交易的发生。

数字证书和数字签名可以作为证据，以防止商家否认交易或声称未收到付款。

SET协议的工作流程如下：1.检查商家身份：当消费者选择购买商品时，SET客户端会与商家进行通信，并获取商家的数字证书。

SET客户端将验证数字证书的有效性和完整性，以确保商家身份的真实性。

2.生成加密密钥：SET客户端生成一个临时对称密钥，并使用商家的公钥加密该对称密钥。

商家使用自己的私钥解密对称密钥。

3.创建交易数据：SET客户端使用对称密钥加密交易数据，并创建数字签名。

数字签名会包括商家的私钥签名和可信第三方机构的公钥，以确保签名的真实性和有效性。

4.发送交易数据：SET客户端将加密的交易数据和数字签名发送给商家。

5.接收和验证交易数据：商家接收到交易数据后，使用自己的私钥解密交易数据，并使用数字签名进行验证。

安全电子交易(SET)

安全电子交易（SET）安全电子交易（SET）是用于确保因特网上的金融交易的安全性的系统。

最初由万事达卡，维萨卡，微软，Netscape等提供支持。

使用SET，向用户提供电子钱包（数字证书），并且以确保隐私和机密性的方式在购买者，商家和购买者的银行之间使用数字证书和数字签名的组合来进行和验证交易。

SET利用Netscape的安全套接字层（SSL），微软的安全交易技术（STT）和Terisa System的安全超文本传输协议（S-HTTP））。

SET使用公钥基础结构（PKI）的一些但不是所有方面。

以下是SET的工作原理：假设客户具有支持SET的浏览器，例如Netscape或Microsoft的Internet Explorer，并且交易提供商（银行，商店等）具有启用SET 的服务器。

1. 客户打开万事达卡或Visa银行账户。

任何信用卡发行人都是某种银行。

2. 客户收到数字证书。

该电子文件用作在线购买或其他交易的信用卡。

它包括一个有效期的公钥。

它已通过数字转换到银行以确保其有效性。

3. 第三方商家也会从银行获得证书。

这些证书包括商家的公钥和银行的公钥。

4. 客户通过网页，电话或其他方式下订单。

5. 客户的浏览器从商家的证书中接收并确认商家是有效的。

6. 浏览器发送订单信息。

此消息使用商家的公钥加密，支付信息使用银行的公钥（商家无法读取）加密，以及确保付款只能用于此特定订单的信息。

7. 商家通过检查客户证书上的数字签名来验证客户。

这可以通过将证书引用到银行或第三方验证器来完成。

8. 商家将订单消息发送到银行。

这包括银行的公钥，客户的付款信息（商家无法解码）和商家的证书。

9. 银行验证商家和消息。

银行使用证书上的数字签名和消息，并验证消息的付款部分。

10. 银行以数字方式签署并向商家发送授权，然后商家可以填写订单。

(名词解释) SET协议-(多场合版)

(名词解释) SET协议-(多场合版)SET协议：安全电子交易的基础框架引言随着互联网的普及和电子商务的兴起，人们越来越多地通过网络进行购物、支付等金融交易。

然而，网络安全问题一直是电子商务发展的一个重要障碍。

为了保障电子交易的安全性，安全电子交易（SecureElectronicTransaction，简称SET）协议应运而生。

本文将对SET协议进行详细解释，以帮助读者更好地了解这一重要的网络安全技术。

一、SET协议概述SET协议是一种基于信用卡支付机制的网络安全协议，旨在保障电子交易过程中消费者、商家和银行之间的信息安全、完整性和可靠性。

SET协议由MasterCard和Visa两大信用卡组织于1997年共同推出，并得到了多家科技公司的支持。

作为一种开放性的协议，SET协议为电子商务中的支付环节提供了一个统一的标准和框架。

二、SET协议的核心功能1.身份认证SET协议通过数字证书实现了交易各方的身份认证。

数字证书是一种电子文档，用于证明证书持有者的身份。

在SET协议中，消费者、商家和银行都需要拥有自己的数字证书，以便在交易过程中验证彼此的身份。

身份认证是保障电子交易安全的基础。

2.数据加密SET协议采用了对称加密和非对称加密相结合的加密机制。

对称加密是指加密和解密使用相同的密钥，而非对称加密则使用一对密钥（公钥和私钥）。

在SET协议中，消费者与商家之间的敏感信息（如信用卡号、密码等）通过非对称加密进行加密传输，保证了数据的安全性。

3.数据完整性SET协议通过数字签名技术确保数据的完整性。

数字签名是一种加密技术，用于验证消息的真实性和完整性。

在SET协议中，交易各方对传输的数据进行数字签名，以确保数据在传输过程中未被篡改。

同时，数字签名还可以用于防止交易各方抵赖。

4.交易不可否认性SET协议通过数字签名和交易日志实现了交易不可否认性。

交易日志记录了交易过程中的关键信息，如交易时间、交易金额等。

安全电子交易协议SET_电子商务_[共2页]

124 电子商务当加密方式传送结束后，浏览器会离开交换敏感信息的页面，自动断开安全连接。

4.4.2 安全电子交易协议SET 1．SET 协议简介安全电子交易协议（Secure Electronic Transaction ，SET ），最初于1996年由VISA 和MasterCard 两大国际信用卡组织会同一些计算机软硬件供应商联合开发，它是一种专门应用于开放网络环境中解决用户、商家、银行之间通过信用卡支付的交易而设计的安全电子支付规范。

它工作在应用层，提供了消费者、商家和银行之间多方的认证，确保交易信息的保密性、完整可靠性和不可否认性，同时具有保护消费者信用卡号不暴露给商户等优点。

2．SET 协议的信息处理模型在SET 协议中，信息收发双方的处理模型如图4-8所示。

SET 协议的信息处理模型具有以下特点。

① 采用数字证书的方式来完成交易参与方的身份鉴别，数字证书的格式一般采用X.509国际标准。

② 用数字签名的方式来实现交易的不可否认性。

由于数字签名是由发送方的私钥产生的，而发送方的私钥只有他本人知道，故发送方就不能对其发送过的交易数据进行抵赖。

③ 用报文摘要算法来保证数据的完整性。

图4-8 SET 协议的信息处理模型 ④ 混合使用非对称加密算法和对称加密算法，用对称加密算法来加密数据，用数字信封来交换对称密钥。

值得一提的是，SET 协议还使用双重签名（Dual Signature ）技术。

它对SET 交易过程中消费者的订单信息和支付信息分别使用商家的公开密钥和支付网关的公开密钥进行加密，然后将这两段信息打包在一起发给商家，接着商家将其中支付信息提取出来，发给支付网关，交由结算中心处理。

双重签名是SET 的特色，它可使商户看不到支付信息，只能对用户的订单信息解密，所以商家免去了在其数据库中保存好信用卡的责任；金融机构看不到交易内容，只能对。

安全电子交易SET协议与

安全电子交易（SET）协议与CA认证安全电子交易（SET）协议与CA认证一、安全电子交易规范（SET）1．SET的作用SET（Secure Electronic Transaction）协议是维萨（VISA）国际组织、万事达（MasterCard）国际组织创建，结合IBM、Microsoft、Netscope、GTE等公司制定的电子商务中安全电子交易的一个国际标准。

其主要目的是解决信用卡电子付款的安全保障性问题：保证信息的机密性，保证信息安全传输，不能被窃听，只有收件人才能得到和解密信息。

保证支付信息的完整性，保证传输数据完整地接收，在中途不被篡改。

认证商家和客户，验证公共网络上进行交易活动的商家、持卡人及交易活动的合法性。

广泛的互操作性，保证采用的通讯协议、信息格式和标准具有公共适应性。

从而可在公共互连网络上集成不同厂商的产品。

2．SET的应用流程电子商务的工作流程与实际的购物流程非常接近。

从顾客通过浏览器进入在线商店开始，一直到所定货物送货上门或所定服务完成，然后帐户上的资金转移，所有这些都是通过Internet完成的。

其具体流程为：持卡人在商家的WEB主页上查看在线商品目录浏览商品。

持卡人选择要购买的商品。

持卡人填写定单，定单通过信息流从商家传过来。

持卡人选择付款方式，此时SET开始介入。

持卡人发送给商家一个完整的定单及要求付款的指令。

在SET中，定单和付款指令由持卡人进行数字签名。

同时利用双重签名技术保证商家看不到持卡人的帐号信息。

商家接受定单后，向持卡人的金融机构请求支付认可。

通过Gateway到银行，再到发卡机构确认，批准交易。

然后返回确认信息给商家。

商家发送定单确认信息给顾客。

顾客端软件可记录交易日志，以备将来查询。

商家给顾客装运货物，或完成订购的服务。

到此为止，一个购买过程已经结束。

商家可以立即请求银行将货款从购物者的帐号转移到商家帐号，也可以等到某一时间，请求成批划帐处理。

商家从持卡人的金融机构请求支付。

信息安全SET协议

SET系统的组成：
• 持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。 • 基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。
支付网关：
• 银行金融软件系统和Internet网络件的接口，是由银行操作的将在 Internet上传输的数据转换为金融机构内部数据的一组服务器设备或由指派的第三方处理商家支付信息和顾客的支付指令。
缺陷：
• 商品原子性。即必须保证购买者如果付了款就一定能得到商品，购买者如果得到了商品则一定付了款，不存在付了款而得不到商品或得了商品而未曾付款。也就是说，当商家从支付网关得到客户正确支付后，SET协议并不能保证商家一定会发货给顾客，即不能保证商品的原子性。 • 确认发送原子性。需要有对客户购买的和商家销售的商品内容及品质的双方确认，亦即协议保证购买者得到他所订购的商品，商家发送了客户所订购的商品。商家从支付网关得到客户正确支付后，SET协议一样不能保证商家发送给顾客的商品就是顾客所订购的商品，也不能保证即不满足确认发送原子性。 • 步骤繁琐：数字证书验证9次，数字签名验证6次，证书传递7次， 5次签名，4次对称加密和4次非对称加密，需要发费1-2分钟甚至更长的时间
安全性：
• 采用公钥加密和私钥加密相结合的办法保证数据的保密性 • SET协议中，支付环境的信息保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而获得的。 • 它采用的公钥加密算法是RSA的公钥密码体制，私钥加密算法是采用DES数据加密标准。这两种不同加密技术的结合应用在SET中被形象的成为数字信封，RSA加密相当于用信封密封，消息首先以56 位的DES密钥加密，然后装入使用1024位RSA公钥加密的数字信封在交易双方传输。这两种密钥相结合的办法保证了交易中数据信息的保密性 • 采用信息摘要技术保证信息的完整性 • 采用双重签名技术保证交易双方的身份认证 • 数字证书验证9次，数字签名验证6次，证书传递7次，5次签名，4 次对称加密订购信息和支付信息进行散列处理，分别得到订购信息的消息摘要和支付信息的消息摘要。 • 将两个消息摘要连接起来再用Hash函数进行散列处理，得到支付订购消息摘要 • 客户用他的私钥加密支付订购消息摘要，最后得到的就是经过双重签名的信息 • 客户将“订购信息+支付信息的消息摘要+双重签名”发给商家，将“支付信息+订购信息的消息摘要+双重签名”发给银行； • 商家和银行对收到的信息先生成摘要，再与另一个摘要连接起来，如果它与解密后的双重签名（利用客户的公钥）相等，就可确定消息的真实性。 • 然商家看不到顾客账户信息、银行不知道客户的购买信息，但都可确认另一方是真实的。

安全电子交易协议

安全电子交易协议
SET在宜赋通支付平台中的应用 SET介 SET协议简介
为了达到交易安全及合乎成本效益的市场要求，VISA国际为了达到交易安全及合乎成本效益的市场要求，VISA国际组织及其它公司如Master Card、组织及其它公司如Master Card、Micro Soft、IBM等共同 Soft、IBM等共同制定了安全电子交易（SET：制定了安全电子交易（SET：Secure Electronic Transactions）公告。这是一个为在线交易而设立的一个 Transactions）公告。这是一个为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范，它采用公钥密码体制和X.509数字证书标准，主要应用于B 公钥密码体制和X.509数字证书标准，主要应用于B to C 模式中保障支付信息的安全性。SET在保留对客户信用卡模式中保障支付信息的安全性。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的
SET安全协议的工作原理主要包括以 SET安全协议的工作原理主要包括以下7个步骤：
（1）消费者利用已有的计算机通过因特网选定的物品，并下电子订单（关于产品属性的字段）；（2）通过电子商务服务器与网上商场联系，网上商场做出应答，告诉消费者的订单）通过电子商务服务器与网上商场联系，网上商场做出应答，告诉消费者的订单的相关情况（是否改动以及关于购买属性的关键字段）；（3）消费者选择付款方式，确认订单，签发付款指令（此时SET介入）；）消费者选择付款方式，确认订单，签发付款指令（此时SET介入）；（4）在SET中，消费者必须对定单和付款指令进行数字签名，同时利用双重签名技）在SET中，消费者必须对定单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的帐号信息；（5）在线商店接受定单后，向消费者所在银行请求支付认可，信息通过支付网关到）在线商店接受定单后，向消费者所在银行请求支付认可，信息通过支付网关到收单银行，再到电子货币发行公司确认，批准交易后，返回确认信息给在线商店；（6）在线商店发送定单确认信息给消费者，消费者端软件可记录交易日志，以备将来查询；（7）在线商店发送货物或提供服务，并通知收单银行将钱从消费者的帐号转移到商店帐号，或通知发卡银行请求支付。

SET安全电子交易协议PPT课件

VeriFone、GTE、Terisa和VeriSign等很多
公司的支持，已成为事实上的工业标准，目
前已获得了IETF标准的认可，是电子商务的
发展方向。
2020/3/21
2
1
SET协议概述
• 在SET协议中主要定义了以下内容： • 1）加密算法（如RSA和DES）的应用； • 2）证书消息和对象格式； • 3）购买消息和对象格式； • 4）请款消息和对象格式； • 5）参与者之间的消息协议。
1、DES的安全性
2、PSA的安全性
PSA的保密性基于一个数学假设：对一个很大的合数进行质因数分解是不可能的
3、SHA-1的安全性
4、随机数的安全性
2020/3/21
9
6 SET协议购物与支付处理流程
６．１、 SET购物流程
６．１．１、SET协议的简单工作流程
１、确认商店的合作性
持
２、提交商店的证书
➢７．１优点：以ＳＥＴ协议为基础的支付流程每一步都有严格与严谨的规范，并大量利用公开密钥加密法、私有密钥加密法、数字证书、数字摘要、数字签名、双重数字签名等安全技术，同时在操作的每一步，消费者、商家、支付网关都需要通过ＣＡ来验证交易各方的身份，以确保通信的对方不是冒名顶替者。所以，ＳＥＴ协议充分发挥了认证中心的作用，维护了在任何开放网络上的电子商务参与者所提供信息的真实性和保密名。因此，以ＳＥＴ协议支持的支付流程是非常安全的
Master Card两大信用组织等联合于1997年
5月31日推出的用于电子商务的行业规范，
其实质是一中应用在Internet上、以信用卡
为基础的电子付款系统规范，目的是为了保
证网络交易的安全。SET妥善地解决了信用