安全電子交易〔SET〕CA認證安全電子交易〔安全電子交易〔SET〕CA認證一、安全電子交易標(biāo)準(zhǔn)〔一、安全電子交易標(biāo)準(zhǔn)〔SET〕11．SET的作用SETSET〔SecureElectronicTransaction〕協(xié)議是維薩〔VISA〕國際組織、萬事達〔〔MasterCard〕國際組織創(chuàng)立，結(jié)合IBM、Microsoft、Netscope、GTE等公司制定的障性問題：障性問題：保證信息的機密性，保證信息安全傳輸，不能被竊聽，只有收件人才能得到和解密保證信息的機密性，保證信息安全傳輸，不能被竊聽，只有收件人才能得到和解密信息。信息。保證支付信息的完整性，保證傳輸數(shù)據(jù)完整地接收，在中途不被篡改。保證支付信息的完整性，保證傳輸數(shù)據(jù)完整地接收，在中途不被篡改。認證商家和客戶，驗證公共網(wǎng)絡(luò)上進展交易活動的商家、持卡人及交易活動的合法認證商家和客戶，驗證公共網(wǎng)絡(luò)上進展交易活動的商家、持卡人及交易活動的合法性。性。廣泛的互操作性，保證承受的通訊協(xié)議、信息格式和標(biāo)準(zhǔn)具有公共適應(yīng)性。從而可廣泛的互操作性，保證承受的通訊協(xié)議、信息格式和標(biāo)準(zhǔn)具有公共適應(yīng)性。從而可在公共互連網(wǎng)絡(luò)上集成不同廠商的產(chǎn)品。在公共互連網(wǎng)絡(luò)上集成不同廠商的產(chǎn)品。22．SET的應(yīng)用流程電子商務(wù)的工作流程與實際的購物流程格外接近。從顧客通過掃瞄器進入在線商店開電子商務(wù)的工作流程與實際的購物流程格外接近。從顧客通過掃瞄器進入在線商店開始，始終到所定貨物送貨上門或所定效勞完成，然后帳戶上的資金轉(zhuǎn)移，全部這些都是始，始終到所定貨物送貨上門或所定效勞完成，然后帳戶上的資金轉(zhuǎn)移，全部這些都是通過通過Internet完成的。其具體流程為：持卡人在商家的持卡人在商家的WEB主頁上查看在線商品名目掃瞄商品。持卡人選擇要購置的商品。持卡人選擇要購置的商品。持卡人填寫定單，定單通過信息流從商家傳過來。持卡人填寫定單，定單通過信息流從商家傳過來。持卡人選擇付款方式，此時持卡人選擇付款方式，此時SET開頭介入。持卡人發(fā)送給商家一個完整的定單及要求付款的指令。在持卡人發(fā)送給商家一個完整的定單及要求付款的指令。在SET中，定單和付款指商家承受定單后，向持卡人的金融機構(gòu)懇求支付認可。通過Gateway商家承受定單后，向持卡人的金融機構(gòu)懇求支付認可。通過Gateway到銀行，再令由持卡人進展數(shù)字簽名。同時利用雙重簽名技術(shù)保證商家看不到持卡人的帳號信息。到發(fā)卡機構(gòu)確認，批準(zhǔn)交易。然后返回確認信息給商家。到發(fā)卡機構(gòu)確認，批準(zhǔn)交易。然后返回確認信息給商家。商家發(fā)送定單確認信息給顧客。顧客端軟件可記錄交易日志，以備將來查詢。商家發(fā)送定單確認信息給顧客。顧客端軟件可記錄交易日志，以備將來查詢。商家給顧客裝運貨物，或完成訂購的效勞。到此為止，一個購置過程已經(jīng)完畢。商商家給顧客裝運貨物，或完成訂購的效勞。到此為止，一個購置過程已經(jīng)完畢。商家可以馬上懇求銀行將貨款從購物者的帳號轉(zhuǎn)移到商家?guī)ぬ?，也可以等到某一時間，請家可以馬上懇求銀行將貨款從購物者的帳號轉(zhuǎn)移到商家?guī)ぬ枺部梢缘鹊侥骋粫r間，請求成批劃帳處理。求成批劃帳處理。間隔。間隔。前三步與前三步與SET無關(guān)，從第四步開頭SET起作用。在處理過程中，通信協(xié)議、懇求信息的格式、數(shù)據(jù)類型的定義等，信息的格式、數(shù)據(jù)類型的定義等，SET都有明確的規(guī)定。在操作的每一步，持卡人、商家、網(wǎng)關(guān)都通過家、網(wǎng)關(guān)都通過CA來驗證通信主體的身份，以確認對方身份。33．SET技術(shù)概要〔〔1〕加密技術(shù)SETSET承受兩種加密算法進展加密、解密處理,其中密鑰加密是根底、公鑰加密是應(yīng)用的核心：用的核心：用同一個密鑰來加密和解密數(shù)據(jù)。主要算法是用同一個密鑰來加密和解密數(shù)據(jù)。主要算法是DES，例如加密銀行卡持卡人的個人識別代碼〔人識別代碼〔PIN〕；公開密鑰要求使用一對密鑰，一個公開公布，另一個由收信人保存。發(fā)信人用公開密鑰公開密鑰要求使用一對密鑰，一個公開公布，另一個由收信人保存。發(fā)信人用公開密鑰加密數(shù)據(jù)，收信人則用私用密鑰去解密。主要算法是加密數(shù)據(jù)，收信人則用私用密鑰去解密。主要算法是RSA，例如加密支付懇求數(shù)據(jù)。加密過程可保證不行逆，必需使用私用密碼才能解密。加密過程可保證不行逆，必需使用私用密碼才能解密?！病?〕數(shù)字簽名組加密的數(shù)字。組加密的數(shù)字。SET要求用戶在進展交易前首先進展電子簽名，然后進展數(shù)據(jù)發(fā)送。〔〔3〕電子認證電子交易過程中必需確認用戶、商家及所進展的交易本身是否合法牢靠。一般要求電子交易過程中必需確認用戶、商家及所進展的交易本身是否合法牢靠。一般要求建立特地的電子認證中心〔建立特地的電子認證中心〔CA〕以核有用戶和商家的真實身份以及交易懇求的合法性。認證中心將給用戶、商家、銀行等進展網(wǎng)絡(luò)商務(wù)活動的個人或集團發(fā)電子證書。認證中心將給用戶、商家、銀行等進展網(wǎng)絡(luò)商務(wù)活動的個人或集團發(fā)電子證書?！病?〕電子信封是由發(fā)送數(shù)據(jù)者自動生成專用密鑰，用它加密原文，將生成的密文連同密鑰本身一起再是由發(fā)送數(shù)據(jù)者自動生成專用密鑰，用它加密原文，將生成的密文連同密鑰本身一起再樣保證每次傳送都可以由發(fā)送方選定不同的密鑰進展交易。SET標(biāo)準(zhǔn)設(shè)計的軟件系統(tǒng)必需經(jīng)過SET驗證才能授權(quán)使用。首先進展登記，再進展SET標(biāo)準(zhǔn)的兼容性試驗，目前已經(jīng)有多家公司的產(chǎn)品通過了SET驗證。二、CA認證系統(tǒng)公共網(wǎng)絡(luò)系統(tǒng)的安全性則依靠用戶、商家的認證，數(shù)據(jù)的加密及交易懇求的合法性驗證等多方面措施來保證。建立特地的電子認證中心〔CA〕以核有用戶和商家的真實身份以及交易懇求的合法性。認證中心將給用戶、商家、銀行等進展網(wǎng)絡(luò)商務(wù)活動的個人或集團發(fā)電子證書。電子商務(wù)中，網(wǎng)上銀行的建立，CA的建立是關(guān)鍵，只有建立一個較好的CA體系，才能較好地進展網(wǎng)上銀行，才能實現(xiàn)網(wǎng)上支付，電子購物才真正實現(xiàn)。CA的機構(gòu)如多方并進，各建各的，以后會消滅各CA之間的沖突，客戶的多重認證等。應(yīng)有一家公認的機構(gòu)如銀行或郵電或安全部來建立權(quán)威性認證機構(gòu)〔CA〕。SET的認證〔CA〕SET〔CertificateAuthorities〕機制。證書證書就是一份文檔，它記錄了用戶的公共密鑰和其他身份信息。在SET中，最主要的證書是持卡人證書和商家證書。持卡人實際上是支付卡的一種電子化表示。它是由金融機構(gòu)以數(shù)字簽名形式簽發(fā)的，不能隨便轉(zhuǎn)變。持卡人證書并不包括帳號和終止日期信息，取而代之的是用單向哈希算法依據(jù)帳號、截止日期生成的一個編碼，假設(shè)知道帳號、截止日期、密碼值即可導(dǎo)出這個碼值，反之不行。商家證書：表示可承受何種卡來進展商業(yè)結(jié)算。它是由金融機構(gòu)簽發(fā)的，不能被第三方轉(zhuǎn)變。在SET環(huán)境中，一個商家至少應(yīng)有一對證書。一個商家也可以有多對證書，表示它與多個銀行有合作關(guān)系，可以承受多種付款方法。除了持卡人證書和商家證書以外，還有支付網(wǎng)關(guān)證書、銀行證書、發(fā)卡機構(gòu)證書。證書治理機構(gòu)CA是受一個或多個用戶信任，供給用戶身份驗證的第三方機構(gòu)。證書一般包含擁有者的標(biāo)識名稱和公鑰，并且由CA進展過數(shù)字簽名。CA的功能主要有：接收注冊懇求，處理、批準(zhǔn)/拒絕懇求，頒發(fā)證書。用戶向CA提交自己的公共密鑰和代表自己身份的信息〔如身份證號碼或E-mail地址〕，CA驗證了用戶的有效身份之后，向用戶頒發(fā)一個經(jīng)過CA私有密鑰簽名的證書。證書的樹形驗證構(gòu)造在兩方通信時，通過出示由某個CA簽發(fā)的證書來證明自己的身份，假設(shè)對簽發(fā)證CA本身不信任，則可驗證CA的身份，依次類推，始終到公認的權(quán)威CA處。就可確信證書的有效性。SET證書正是通過信任層次來逐級驗證的。通過SET的認證機信任頒發(fā)證書的CA的公共密鑰就可以了。招商銀行CA方案我國的電子商務(wù)正在進展，各種標(biāo)準(zhǔn)要求還沒有形成。目前招商銀行、中國銀行、中國建設(shè)銀行、中國工商銀行都再預(yù)備開發(fā)網(wǎng)上銀行業(yè)務(wù)。這里以招商銀行為例介紹其CA方案。招商銀行CA系統(tǒng)用于Web效勞器的SSL公開密鑰證書，也可以為掃瞄器客戶發(fā)SSL協(xié)議的隱秘密鑰交換過程中加密密鑰參數(shù)。今后會開發(fā)其它的密碼效勞，并在國家有關(guān)部門規(guī)定下開展公開密鑰認證效勞。CA系統(tǒng)處于非聯(lián)機狀態(tài)，運行CA的系統(tǒng)在私有網(wǎng)上，用戶不能通過Internet訪問。CA會在Web交證書懇求。Web效勞器運行CA數(shù)據(jù)庫的一個獨立副本，與CA沒有網(wǎng)絡(luò)連接。本方案承受層次認證構(gòu)造，層次設(shè)置承受PEM規(guī)定的認證層次，設(shè)置以下目標(biāo)類型：IPRA〔InternetPolicyRegistrationAuthority〕：IPRA負責(zé)治理認證策略，認證PCAPCA運行與其策略的全都性。PCA〔PolicyCertificationAuthority〕：PCA負責(zé)依據(jù)業(yè)務(wù)需求指定認證策略，交IPRA審批，依據(jù)認證策略認證下一級CA，保證CA運行與策略的全都性。CACA〔CertificationAuthority〕：CA依據(jù)需要，選擇相應(yīng)的認證策略，供給用戶公開密鑰認證用戶：用戶就是X.509中的最終實體。RA〔RegistrationAuthority〕：當(dāng)用戶與CA通信有困難時，CA就不行能對用戶進展身份鑒別，就由RACA治理供給CA密鑰治理，認證策略治理和配置，以及效勞級別的治理。CACA密鑰和策略治理。包括：生成的密鑰對、安裝證書、撤消證書、備份CA的私有密鑰、安裝備份的CA私有密鑰等。這些功能需要兩個安全治理員同時注冊才能完成。目前，CA支持以下公開密鑰算法：RSA/DH/DSA，并可供給上述密鑰的證書，打算將增加對橢圓曲線加密算法的支持。此外，為了提高CA密鑰的安全性，必需對CA密鑰加密后保存，今后CA全部與密鑰有關(guān)部門的操作將在IC卡中完成。SET協(xié)議介紹VisaMasterCard兩大信用卡組織聯(lián)合國Internet上的以銀行卡為根底進展在線交易的安全標(biāo)準(zhǔn)，““〔SecureElectronicTransactio，簡稱SE。它承受公鑰密碼體制和X.509由于SET供給了消費者、商家和銀行之間的認證，確保了交易數(shù)據(jù)的安全性、完此它成為了目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。SET(SecureElectronicTransaction)安全電子交易協(xié)議是由美國Visa和MasterCard兩Internet上的以信用卡為根底的電子支付系統(tǒng)協(xié)議。它承受X.509BtoC模式中保障支付信息的安全性。SETSET協(xié)議是PKISET2.0將支持借記卡電子交易。商務(wù)技術(shù)-SET安全協(xié)議和SSl安全協(xié)議一、SET安全協(xié)議電子商務(wù)在供給機遇和便利的同時，也面臨著一個最大的挑戰(zhàn)，即交易的安全問題。在網(wǎng)上購物的環(huán)境中，持卡人期望在交易中保密自己的帳戶信息，使之不被人盜用；商家則期望客戶的定單不行抵賴，并且，在交易過程中，交易各方都期望驗明其他方的身份，以防止被哄騙。針對這種狀況，由美國VisaMasterCard兩大信用卡組織聯(lián)合國際上多家科技機構(gòu)，共同制定了應(yīng)用于Internet上的以銀行卡為根底進展在線交易的安全標(biāo)準(zhǔn)，這就是“安全電子交易“〔SecureElectronicTransaction，簡稱SET〕。它承受公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于BtoC模式中保障支付信息的安全性。SET供給了消費者、商家和銀行之間的認證，確保了交易數(shù)據(jù)的安全性、完整牢靠性了目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。SET協(xié)議要到達的的目標(biāo)主要有五個：保證電子商務(wù)參與者信息的相互隔離，客戶的資料加密或打包后經(jīng)過商家到達銀行，但是商家不能看到客戶的帳戶和密碼信息；保證信息在Intemet上安全傳輸，防止數(shù)據(jù)被第三方竊取；解決多方認證問題，不僅要對消費者的信用卡認證，而且要對在線商店的信譽程度認證，同時還有消費者、在線商店與銀行間的認證；保證了網(wǎng)上交易的實時性，使全部的支付過程都是在線的；標(biāo)準(zhǔn)協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。SET7個步驟：消費者利用已有的計算機通過因特網(wǎng)選定的物品，并下電子訂單；通過電子商務(wù)效勞器與網(wǎng)上商場聯(lián)系，網(wǎng)上商場做出應(yīng)答，告知消費者的訂單的相關(guān)狀況；消費者選擇付款方式，確認訂單，簽發(fā)付款指令〔此時SET介入〕；在SET中，消費者必需對定單和付款指令進展數(shù)字簽名，同時利用雙重簽名技術(shù)保證商家看不到消費者的帳號信息；在線商店承受定單后，向消費者所在銀行懇求支付認可，信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認，批準(zhǔn)交易后，返回確認信息給在線商店；在線商店發(fā)送定單確認信息給消費者，消費者端軟件可記錄交易日志，以備將來查詢；在線商店發(fā)送貨物或供給效勞，并通知收單銀行將錢從消費者的帳號轉(zhuǎn)移到商店帳號，或通知發(fā)卡銀行懇求支付。二、SSl安全協(xié)議SSL安全協(xié)議最初是由NetscapeCommunication公司設(shè)計開發(fā)的，又叫“安全套接層〔SecureSocketsLayer〕協(xié)議”SSL協(xié)議的協(xié)議，它涉及全部TC/IP應(yīng)用程序。SSL安全協(xié)議主要供給三方面的效勞：·用戶和效勞器的合法性認證上。客戶機和效勞器都是有各自的識別名，這些識別名由公開密鑰進展編號，為了驗證的合法性?！ぜ用軘?shù)據(jù)以隱蔽被傳送的數(shù)據(jù)效勞器進展數(shù)據(jù)交換之前，交換SSL初始握手信息，在SSL握手情息中承受了各種加密技術(shù)對其加密，以保證其機密性和數(shù)據(jù)的完整性，并且用數(shù)字證書進展鑒別，這樣就可以防止非法用戶進展破譯。·保護數(shù)據(jù)的完整性安全套接層協(xié)議承受Hash函數(shù)和機密共享的方法來供給信息的完整性效勞，建立客戶部完整準(zhǔn)確無誤地到達目的地。安全套接層協(xié)議是一個保證計算機通信安全的協(xié)議，對通信對話過程進展安全保護，其實現(xiàn)過程主要經(jīng)過如下幾個階段：接通階段：客戶機通過網(wǎng)絡(luò)向效勞器打招呼，效勞器回應(yīng)；密碼交換階段：客戶機與效勞器之間交換雙方認可的密碼，一般選用RSA密碼算法，也有的選用Diffie-HellmanfFortezza-KE