第6章安全电子交易协议安全电子交易(SET)是目前已经标准化且被业界广泛接受的一种网际网络信用卡付款机制。SET协议包括SET的交易流程、程序设计规格与SET协议的完整描述三部分，在SET协议中主要定义了以下内容：(1)加密算法（如RSA和DES）的应用；(2)证书消息和对象格式；(3)购买消息和对象格式；(4)请款消息和对象格式；(5)参与者之间的消息协议。SET协议确保了网上交易所要求的保密性、数据的完整性、交易的不可否认性和交易的身份认证。SET协议主要使用的技术包括:对称密钥加密、公钥加密、Hash算法、数字签名、数字信封以及数字证书等技术。6.1SET支付系统中的相关成员6.2SET的相关技术6.3SET证书管理6.4SET流程6.1SET支付系统中的相关成员3．支付网关支付网关一边连接因特网，一边通过银行网络与收单银行相连。4．认证机构认证机构是参与交易各方都信任的第三方中立组织。6.2SET的相关技术1．对称密钥加密对称密钥加密算法是给一条信息加密时，发送者和接收者都用同一密钥完成加密和解密过程。2．公钥加密技术公钥加密算法用一对密钥对数据进行加密和解密。3．Hash算法Hash算法能产生信息的数字“指纹”Hash算法有三个特性：(1)能处理任意大小的信息，并生成固定长度(160bit)的信息摘要。(2)具有不可预见性。(3)具有不可逆性。4．数字签名首先将要发送的信息通过Hash算法形成信息摘要，然后再用发送者的私人密钥加密，生成的结果附加到原信息上去，就生成了原信息的数字签名。双重数字签名是为了保证在事务处理过程中三方安全地传输信息的一种技术，用于三方通信时的身份认证和信息完整性、交易防抵赖的保护。5．数字信封发送方将随机产生的对称密钥用接收方的公开密钥交换密钥加密就形成了数字信封。6．数字证书数字证书是由交易各方都信任的第三方机构CA发放的，是证明拥有者公开密钥有效性的凭证。数字证书包含拥有者的公开密钥、详细个人资料(包括持卡人的银行账号)的信息摘要及证书签发机构的数字签名。SET协议的信息加、解密和传输过程综合使用了前面介绍的各种安全技术。如图6-1所示。图6-1加密方法示例6.3SET证书管理根据证书颁发的全过程(以持卡人通过Web申请证书为例)，申请者与CA需经历三个阶段，并通过三对不同的消息变量来实现双方的信息传递。1．持卡人申请证书的请求/应答过程2．持卡人申请登记表的请求/应答过程3．证书请求和生成过程6.3.3证书的更新出于安全方面的考虑，密钥都有一定的使用期，因此所有的证书都需要定期更新。6.3.4证书的废除证书废除是整个证书管理机制中最强有力的安全保障手段，它能够及时避免证书面临危险时对SET交易的影响。SET协议针对参与交易的不同对象，制定了具体的证书废除过程。1．持卡人证书的废除2．商户证书的废除3．支付网关证书的废除4．CA证书的废除6.4SET流程图6-2图例6.4.1持卡人注册申请证书图6-3描述了持卡人通过SET协议申请证书的流程。具体过程如下：1．启动电子钱包，发送初始请求图6-5CA发送响应消息3．接收响应4．CA处理请求并发送注册表上述过程如图6-7所示。图6-8持卡人接收注册表并请求证书过程6．CA处理请求并产生证书如图6-9所示。6.4.2商户注册申请证书6.4.3购买请求购买请求的过程如图6-11所示。1．持卡人(cardholder)初始化请求2．商家发送证书如图6-13所示。3．持卡人接收初始化响应并发送请求如图6-14所示。4．商家处理请求报文如图6-15所示。5．持卡人接收购买响应如图6-16所示。6.4.4支付认证商家在向持卡人发送商品以前，首先向网关查询持卡人是否具有支付能力。如图6-17所示。1．商家请求授权如图6-18所示。3．商家处理授权响应6.4.5获取付款如图6-21所示1．商家请求付款如图6-22所示。2．支付网关处理付款请求如图6-20所示。图6-24商家接收付款响应过程