【正文】 certificate_expired certificate_unknown illegal_parameter unknown_ca access_denied decode_error decrypt_error export_restriction protocol_version insufficient_security internal_error user_cancelled no_renegotiation 2022/2/5 西安電子科技大學計算機學院 36 會話恢復 ? 整個握手協(xié)議開銷巨大 ,如果集成會話恢復機制 ,則可以在客戶和服務器通信過一次的情況下 ,可以跳過握手階段而直接進行數(shù)據(jù)傳輸 . ? 通過使用上一次握手中確立的 pre_master_secret,則可以避免許多計算開銷 。 ? 實現(xiàn)交易參與者行為的安全性 、 一致性 、 廣泛性 ? 支持產(chǎn)品包括 IBM 的 、 CommercePoint ，Verifone的 vWallet、 vPos、 vGate， Microsft的 MSWallet等 ? 其他產(chǎn)品還包括： CyberCash 、 GlobalSet 、 TrinTech 、DigiCash、 OpenMarket等 。 ? 內容： 電子方式為特征 ＋ 商貿活動 ? 電子方式：電話、傳真、 EMAIL、 Inter、 EDI等。 ? 大量采用已經(jīng)存在的 、 相關的 、 用于支持的國際標準 。 2022/2/5 西安電子科技大學計算機學院 60 SET交易類型（ 1） 2022/2/5 西安電子科技大學計算機學院 61 SET交易類型（ 2） 2022/2/5 西安電子科技大學計算機學院 62 持卡者注冊 ? 持卡者初始注冊 ? CA發(fā)出響應 ? 持卡者接收到響應并請求注冊表 ? CA處理請求和發(fā)送適當?shù)淖员? ? 持卡者接收注冊表，并請求證書 ? CA處理請求和產(chǎn)生證書（有關帳號信息的HASH值將成為證書中的一部分內容） ? 持卡者接收證書 2022/2/5 西安電子科技大學計算機學院 63 商家注冊 ? 商家請求注冊表 ? CA發(fā)出響應 ? 商家接收注冊表和請求證書 ? CA處理請求和產(chǎn)生證書 ? 商家接收證書 2022/2/5 西安電子科技大學計算機學院 64 購買請求 ? 持卡者初始化購買請求 ? 持卡者完成瀏覽 、 挑選 、 定購后 ， SET協(xié)議啟動 。一旦從發(fā)卡行接收到一個授權響應，支付網(wǎng)關將簽署一個授權認可消息，安全處理后發(fā)送給商家。 2022/2/5 西安電子科技大學計算機學院 69 第 17章作業(yè) ? 思考題 ? 習題 。 2022/2/5 西安電子科技大學計算機學院 65 持卡者購買請求構造 2022/2/5 西安電子科技大學計算機學院 66 商家購買請求驗證 2022/2/5 西安電子科技大學計算機學院 67 支付授權 ? 商家請求授權：商家產(chǎn)生一個安全的授權請求，發(fā)送給支付網(wǎng)關。 ? 收單行證書 ? 發(fā)卡行證書 ? 證書鏈確認 ? 證書注銷列表檢查 2022/2/5 西安電子科技大學計算機學院 58 發(fā)證機構 ? 涉及的發(fā)證機構 ? 根 CA（ RCA）、支付卡品牌 CA（ BCA）、區(qū)域CA（ GCA）、持卡者 CA（ CCA）、商家 CA（ MCA）、支付 CA（ PCA） ? 信任層次 RCA BCA GCA CCA MCA PCA Cardholder Merchant Payment Gateway 2022/2/5 西安電子科技大學計算機學院 59 支付處理 ? 支付處理是 SET規(guī)范中最為關鍵的描述部分 ? 支付處理的基本步驟和流程 ? 持卡者注冊 （ Cardholder Registration) 顧客開通帳號 獲取證書 ? 商家注冊 (Merchant Registration) 獲取簽名證書和密鑰交換證書 ? 購買請求 (Perchase Request) 顧客商品訂購 ， 發(fā)送訂單信息和支付信息 ? 支付授權 (Payment Authorization) 商家向支付網(wǎng)關獲取支付授權信息 ， 使得發(fā)卡行對交易擔保 。 ? 依賴于專用網(wǎng)絡和專用 EDI軟件 ? 標準： 美國－ X12 聯(lián)合國－ UN/EDIFACT ? 20世紀 90年代以后，基于 Inter的電子商務 ? Dell公司的網(wǎng)絡直銷 ? Amazon公司的網(wǎng)上書店 ? eBay公司的個人拍賣網(wǎng)站 ? 應用模式： ? 支付角度：支付型／非支付型 ? 服務角度： B2B B2C C2C B2G C2G …… 2022/2/5 西安電子科技大學計算機學院 48 電子商務分類－支付角度 電子商務 業(yè)務 支付型 非支付型 NONSET 支付 SET支付 稅務申報、電子選舉、 在線報表、安全政務等 電子銀行、代繳代付、 電子證券、網(wǎng)上購物等 支付卡交易、電子銀行、 網(wǎng)上購物等 2022/2/5 西安電子科技大學計算機學院 49 電子商務安全需求與措施 ? 安全性需求 ? 有效性 ? 機密性 ? 完整性 ? 可靠性 /不可抵賴性 /鑒別 ? 可審查性 ? 措施 ? 加密技術 對稱加密 /公鑰加密 ? 密鑰管理技術 數(shù)字證書 ? 數(shù)字簽名 ? 安全電子商務協(xié)議 安全電子郵件 /SSL/SET …… 2022/2/5 西安電子科技大學計算機學院 50 SET協(xié)議安全支付商業(yè)需求 ? 提供付款和訂購信息的保密性 ? 確保傳送數(shù)據(jù)的完整性 ? 為持卡人是否為信用卡帳號合法用戶提供認證 ? 為商家提供認證 ? 確保交易各方利益 ? 創(chuàng)建不依賴于傳輸安全機制也不妨礙其使用的協(xié)議 ? 在軟件和網(wǎng)絡提供者之間提供功能設施和互操作性 2022/2/5 西安電子科技大學計算機學院 51 SET協(xié)議中安全特性和實現(xiàn) ? SET協(xié)議中安全考慮 ? 信息保密性－帳號和支付信息等的傳輸安全，加密技術 ? 認證－持卡人帳號和商家認證，通過數(shù)字證書機制，確認參與者的真實身份 ? 防止抵賴－ 數(shù)字簽名技術 ? 數(shù)據(jù)完整性－防止客戶發(fā)送給商家的信息被篡改 ，數(shù)字簽名和 HASH、 MAC手段 ? 授權 ? 安全實現(xiàn) ? 在消費者端 實現(xiàn) 安全電子錢包 ? 在商家 實現(xiàn) 安全電子商家 ? 在銀行等金融機構 實現(xiàn)安全支付網(wǎng)關，完成 SET協(xié)議和銀行金融系統(tǒng)相關標準（如 ISO8583）的轉換。 ? 其設計思想值學習和探討 。 ? 得到 IBM、 HP、 Microsoft、 Verifone、 RSA、 Terisa、 GTE、Verisign等公司的支持 ， 成為事實上的工業(yè)標準 ， 并為 IETF所認可 。 2022/2/5 西安電子科技大學計算機學院 27 第四階段：結束 2022/2/5 西安電子科技大學計算機學院