【正文】 申請(qǐng)， CA經(jīng)過(guò)審查后決定是否向用戶頒發(fā)證書。 服務(wù)器證書 (站點(diǎn)證書 ) ： 這種證書證實(shí)如電子商務(wù)服務(wù)器的身份和公鑰。當(dāng)與客戶建立 SSL連接時(shí)，服務(wù)器將它的證書傳送給客戶。當(dāng)客戶收到證書后，客戶檢查證書是由哪家 CA發(fā)行的，這家 CA是否被客戶所信任。如果客戶不信任這家 CA，瀏覽器會(huì)提示用戶接受或拒絕這個(gè)證書。 認(rèn)證中心 CA證書： 這種證書證實(shí) CA身份和 CA的簽名密鑰 (簽名密鑰被用來(lái)簽署它所發(fā)行的證書 )。在 IE瀏覽器里，用戶可以看到瀏覽器所接受的 CA證書，也可以選擇他們是否信任這些證書。在服務(wù)器端，管理員可以看到服務(wù)器所接受的 CA證書，也可以選擇是否信任這些證書 。 4. 數(shù)字證書 的有效性與使用 只有下列條件都為真時(shí)，數(shù)字證書才有效： (1)證書沒(méi)有過(guò)期。所有的證書都有一個(gè)期限，可以檢查證書的期限來(lái)決定證書是否有效。 (2)密鑰沒(méi)有被修改。如果密鑰被修改，就不應(yīng)該再繼續(xù)使用，密鑰對(duì)應(yīng)的證書就應(yīng)被視為無(wú)效。 (3)CA負(fù)責(zé)回收證書，并發(fā)行無(wú)效證書清單。證書必須不在 CA發(fā)行的無(wú)效證書清單中。 數(shù)字證書的認(rèn)證使用： 當(dāng)把數(shù)字證書傳送給某人或某站點(diǎn)時(shí)，并將消息用自己的私人密鑰加密，接收者就能用證書里的公鑰來(lái)證實(shí)你的身份。 二、認(rèn)證中心 CA 在傳統(tǒng)商務(wù)中，用來(lái)認(rèn)證商戶身份的認(rèn)證證書大多是被認(rèn)為公正的第三方機(jī)構(gòu)如政府部門頒發(fā)的。而作為電子商務(wù)平臺(tái)的Inter上是沒(méi)有 “ 政府 ” 的，因此也必須建立網(wǎng)上的第三方公正的 “ 認(rèn)證中心 ” 機(jī)構(gòu)，來(lái)負(fù)責(zé)頒發(fā)簽名所述的 “ 數(shù)字證書 ” 和檢驗(yàn) “ 網(wǎng)上商戶身份 ” 的工作。 1. 建立認(rèn)證中心 CA的必要性 2. 認(rèn)證中心 CA的定義 認(rèn)證中心，簡(jiǎn)稱 CA，即 Certification Authority，是一個(gè)公正的、有權(quán)威性的、獨(dú)立的（第三方的）、廣受信賴的組織，負(fù)責(zé)電子商務(wù)中數(shù)字證書的發(fā)行和管理。 一個(gè)完整安全的電子商務(wù)活動(dòng)，如在網(wǎng)絡(luò)支付結(jié)算中，必須要有認(rèn)證中心的參與。因此在社會(huì)上必須建立具有絕對(duì)權(quán)威性的認(rèn)證中心 CA，這樣的認(rèn)證中心能確保所有交易過(guò)程的安全性。各電子商務(wù)商家和用戶上網(wǎng)注冊(cè)加入到已有的認(rèn)證中心中，從而開(kāi)展安全的電子商務(wù)。 (1)首先要建立發(fā)放數(shù)字證書的規(guī)則。其中最主要是客戶身份核定規(guī)則：需要客戶提供那些合法的證明其真實(shí)身份的文件，還涉及到如何核實(shí)這些文件。 (2)接受客戶的申請(qǐng)。按上述規(guī)則核實(shí)客戶的身份文件后，用 CA自己的私鑰簽發(fā)。私鑰的作用是該認(rèn)證中心 CA的標(biāo)識(shí)和簽名，如同公安局在個(gè)人身份證上蓋的公章。 (3)接收其他用戶的網(wǎng)上查詢。 (4)注銷數(shù)字證書。個(gè)人數(shù)字證書的私鑰被盜可申請(qǐng)注銷：主動(dòng)注銷。 (5)其他的事物：如證書的更換、到期的記錄等。數(shù)字證書過(guò)期則由 CA自動(dòng)注銷。 4. 國(guó)內(nèi)外主要 CA機(jī)構(gòu) 3. 認(rèn)證中心 CA的主要管理工作 第四節(jié) :安全網(wǎng)上交易協(xié)議 SET與 SSL 由于信用卡在目前國(guó)際上 B TO C電子商務(wù)的支付結(jié)算中非常普及，也與普通個(gè)人消費(fèi)者關(guān)系緊密，因此目前國(guó)際上開(kāi)發(fā)出主要基于信用卡網(wǎng)絡(luò)支付的SET與 SSL兩種安全交易協(xié)議機(jī)制。 在學(xué)習(xí) “ 電子商務(wù)的安全 ” ，大家應(yīng)該已經(jīng)知道了這兩種安全協(xié)議機(jī)制的基本工作與應(yīng)用原理，本節(jié)具體結(jié)合網(wǎng)絡(luò)支付來(lái)敘述 SET與 SSL的應(yīng)用。 一、 SSL協(xié)議機(jī)制 1. SSL協(xié)議的產(chǎn)生、含義及應(yīng)用 SSL目前可在服務(wù)器和許多世界知名企業(yè)的 Intra和Inter網(wǎng)絡(luò)產(chǎn)品所支持。其中包括 Netscape、 Microsoft、 IBM、OpenMarket等公司提供的支持 SSL的客戶機(jī)和服務(wù)器產(chǎn)品，如 IE和 Netscape瀏覽器， IIS、 Domino Go WebServer、 Netscape Enterprise Server和 Appache等。下圖顯示的是 IE瀏覽器中安全設(shè)置項(xiàng)中 SSL標(biāo)識(shí)。 招商銀行、工商銀行北京分行等信用卡網(wǎng)絡(luò)支付采用 SSL協(xié)議機(jī)制。 1996年 2月 1日， VISA、 MasterCard等國(guó)際信用卡組織會(huì)同一些計(jì)算機(jī)供應(yīng)商，開(kāi)發(fā)了安全電子交易 (Secure Electronic Transaction)協(xié)議，簡(jiǎn)稱 SET協(xié)議，并于 1997年 5月 31日正式推出協(xié)議的 1． 0版。 SET協(xié)議為在 Inter上安全地進(jìn)行交易提出了一整套完整的方案，特別是采用數(shù)字證書的方法，用數(shù)字證書來(lái)證實(shí)在網(wǎng)上購(gòu)物的確實(shí)是持卡人本人，以及向持卡人銷售商品并收錢的各方，包括持卡人、商戶、銀行等的安全，即涉及到整個(gè)支付過(guò)程的安全。 SET協(xié)議文本 ((SET Secure Electronic Transaction Specification》 1． 0版共包括三本書： 《 Book 1： Business Description》 ， (Book 2： Programmer39。s Guide》 ， ((Book 3： Formal Protocol Definition》 。 二、 SET協(xié)議機(jī)制 1. SET協(xié)議的產(chǎn)生、含義及應(yīng)用 SET協(xié)議自發(fā)布以來(lái)，許多計(jì)算機(jī)軟件開(kāi)發(fā)商都紛紛按照 SET協(xié)議進(jìn)行電子商務(wù)軟件的開(kāi)發(fā)。到目前為止，已有 IBM、 HP／VERIFONE、微軟等近 20家知名廠商開(kāi)發(fā)出了符合 SET協(xié)議標(biāo)準(zhǔn)的安全電子商務(wù)產(chǎn)品。 國(guó)外許多網(wǎng)絡(luò)支付系統(tǒng)都已采用 SET協(xié)議標(biāo)準(zhǔn) 。我國(guó)大陸也有好幾家單位在建設(shè)遵循 SET協(xié)議的網(wǎng)上安全交易系統(tǒng)，并且已經(jīng)有系統(tǒng)正式開(kāi)通。 下圖顯示的是 IBM公司開(kāi)發(fā)的為中國(guó)工商銀行上海市分行制作的電子錢包軟件的登錄窗口，其中就有 SET商標(biāo)。 持卡人 (Cardholder)： 在 SET協(xié)議中將購(gòu)物者稱為持卡人。持卡人要參加SET交易，必須要擁有上網(wǎng)的計(jì)算機(jī)。還必須道發(fā)卡銀行申請(qǐng)。并取得一套SET交易專用的 持卡人軟件，這套軟件一般都稱為電子錢包軟件 。軟件安裝好后的第一件事，就是上網(wǎng)去向數(shù)字證書認(rèn)證中心 (簡(jiǎn)稱 CA)申請(qǐng)一張數(shù)字證書。有了數(shù)字證書，持卡人就可以開(kāi)始安全地進(jìn)行網(wǎng)上支付了。 商戶 (Merchant) ： 參加 SET交易的另一方就是商戶。商戶要參與 SET交易，首先必須開(kāi)設(shè)網(wǎng)上商店（電子商務(wù)網(wǎng)站），在網(wǎng)上提供商品或服務(wù)，讓顧客來(lái)購(gòu)買或得到服務(wù)。商戶的網(wǎng)上商店必須集成 SET交易商戶軟件 ，顧客在網(wǎng)上購(gòu)物時(shí)，由網(wǎng)上商店提供服務(wù)，購(gòu)物結(jié)束進(jìn)行支付時(shí)，由 SET交易商戶軟件進(jìn)行服務(wù)。與持卡人一樣，商戶也必須先到銀行進(jìn)行申請(qǐng)，但不是到發(fā)卡銀行，而是到接收網(wǎng)上支付業(yè)務(wù)的收單銀行申請(qǐng)，而且必須在該銀行設(shè)立賬戶。在開(kāi)始交易之前，也必須先上網(wǎng)申請(qǐng)一張數(shù)字證書。 支付網(wǎng)關(guān) (Payment Gateway)： 為了能接收從因特網(wǎng)上傳來(lái)的支付信息，在銀行與因特網(wǎng)之間必須有一個(gè)專用系統(tǒng)，接收處理從商戶傳來(lái)的扣款信息，并通過(guò)專線傳送給銀行；銀行對(duì)支付信息的處理結(jié)果再通過(guò)這個(gè)專用系統(tǒng)反饋回商戶。這個(gè)專用系統(tǒng)就稱之為支付網(wǎng)關(guān)。與持卡人和商戶一樣，支付網(wǎng)關(guān)也必須去指定的 CA機(jī)構(gòu)申請(qǐng)一張數(shù)字證書，才能參與 SET交易活動(dòng)。銀行可以委托第三方擔(dān)任網(wǎng)上交易的支付網(wǎng)關(guān)。 2. SET交易參與方 收單銀行 (Acquirer)： 商戶要參加 SET交易，必須在參加 SET交易的收單銀行建立賬戶。收單銀行雖然不屬于 SET交易的直接組成部分，但卻是完成交易的必要的參與方。網(wǎng)關(guān)接收了商戶送來(lái)的SET支付請(qǐng)求后，要將支付請(qǐng)求轉(zhuǎn)交給收單銀行，進(jìn)行銀行系統(tǒng)內(nèi)部的聯(lián)網(wǎng)支付處理工作，這部分工作與因特網(wǎng)無(wú)關(guān)，屬于傳統(tǒng)的信用卡受理工作。 發(fā)卡銀行 (Issuer)： 扣款請(qǐng)求最后必須通過(guò)銀行專用網(wǎng)絡(luò) (對(duì)VISA國(guó)際卡則通過(guò) VISANET)經(jīng)收單銀行傳送到持卡人的發(fā)卡銀行，進(jìn)行授權(quán)和扣款。同收單銀行一樣，發(fā)卡銀行也不屬于 SET交易的直接組成部分，且同樣是完成交易的必要的參與方。持卡人要參加 SET交易，發(fā)卡銀行必須要參加 SET交易。 SET系統(tǒng)的持卡人軟件（如電子錢包軟件）一般是從發(fā)卡銀行獲得的，持卡人要申請(qǐng)數(shù)字證書，也必須先由發(fā)卡銀行批準(zhǔn)，才能從 CA得到。 數(shù)字證書認(rèn)證中心 CA： 參與 SET交易的各方，包括網(wǎng)關(guān)、商戶、持卡人，在參加交易前必須到數(shù)字證書認(rèn)證中心 CA申請(qǐng)數(shù)字證書，在證書到期時(shí)，還必須去 CA進(jìn)行證書更新，重新領(lǐng)一張新的證書。 3. SET交易過(guò)程 持卡人用瀏覽器上網(wǎng)，在網(wǎng)上商店選購(gòu)商品。網(wǎng)上商店里列出了商店能提供的所有商品的目錄，供顧客選購(gòu)。選好商品后，持卡人向商戶提出訂貨要求。 持卡人要求網(wǎng)上支付，商戶方計(jì)算機(jī)系統(tǒng)將從網(wǎng)上商店系統(tǒng)進(jìn)入 SET交易商戶系統(tǒng)，并激發(fā)持卡人的 SET交易持卡人軟件，開(kāi)始進(jìn)行支付。 首先持卡人與商戶互相驗(yàn)證對(duì)方的數(shù)字證書，持卡人還要驗(yàn)證由商戶轉(zhuǎn)交的網(wǎng)關(guān)證書。然后持卡人將購(gòu)物請(qǐng)求信息傳送給商戶，其中一部分發(fā)給商戶的信息用商戶的公開(kāi)密鑰加密，商戶能夠看到，另一部分信息 (持卡人賬號(hào)等信息 )則用網(wǎng)關(guān)的公開(kāi)密鑰加密，商戶無(wú)法看到，通過(guò)商戶轉(zhuǎn)交給網(wǎng)關(guān)，商戶生成授權(quán)請(qǐng)求，并將授權(quán)請(qǐng)求連同持卡人要求商戶轉(zhuǎn)發(fā)的信息一起發(fā)送給網(wǎng)關(guān)。 網(wǎng)關(guān)收到后，將授權(quán)請(qǐng)求信息發(fā)送給收單銀行。收單銀行再將信息傳送到持卡人的發(fā)卡銀行。 發(fā)卡銀行將檢查該信用卡的有效性及信用額度，決定是否授權(quán)。生成授權(quán)應(yīng)答，發(fā)送給收單銀行。收單銀行將應(yīng)答傳送給網(wǎng)關(guān)。 網(wǎng)關(guān)將授權(quán)應(yīng)答消息傳送給商戶；商戶再將消息發(fā)給持卡人，從而完成一次交易。如果授權(quán)批準(zhǔn)，商戶要安排送貨，銀行會(huì)將交易款從持卡人賬戶中扣除，劃人商戶的賬戶。 上圖為簡(jiǎn)單的 SET系統(tǒng)示意圖。持卡人、商戶、網(wǎng)關(guān)通過(guò)因特網(wǎng)進(jìn)行交易，網(wǎng)關(guān)通過(guò)專線與收單銀行之間傳遞交易信息，收單銀行與發(fā)卡銀行通過(guò)銀行專用網(wǎng)絡(luò)傳遞交易信息， CA通過(guò)因特網(wǎng)向持卡人、商戶、網(wǎng)關(guān)發(fā)放證書，并通過(guò)專用網(wǎng)絡(luò)與收單銀行、發(fā)卡銀行建立聯(lián)系，進(jìn)行證書發(fā)放的身份認(rèn)定工作。 4. SET交易特點(diǎn) 在 SET協(xié)議中，使用 DES對(duì)稱密鑰算法、 RSA非對(duì)稱密鑰算法等提供數(shù)據(jù)加密、數(shù)字簽名、數(shù)字信封等功能，給信息在網(wǎng)絡(luò)中的傳輸提供可靠的安全性保證。 SET協(xié)議通過(guò) DES算法和 RSA算法的結(jié)合使用，保證了數(shù)據(jù)的一致性和完整性，并可實(shí)現(xiàn)交易以預(yù)防抵賴；通過(guò)數(shù)字信封、雙重簽章，確保用戶信息的隱私性和關(guān)聯(lián)性。 在完成一個(gè) SET協(xié)議交易過(guò)程中，需驗(yàn)證電子證書 9次，驗(yàn)證數(shù)字簽名 6次，傳遞各方證書 7次，進(jìn)行 5次簽名， 4次對(duì)稱加密和 4次非對(duì)稱加密。完成一個(gè) SET協(xié)議交易過(guò)程需花費(fèi) 1． 5～ 2分鐘，甚至更長(zhǎng)的時(shí)間。 由此可知， SET協(xié)議有些復(fù)雜，使用較麻煩，成本高，且只適用于客戶具有電子錢包（ Wallet）的場(chǎng)合。 SET的證書格式比較特殊，雖然也遵循 Visa和 MasterCard開(kāi)發(fā)并按信用卡支付方式定義的。實(shí)際上銀行的支付業(yè)務(wù)不僅僅是卡支付業(yè)務(wù)，而 SET支付方式和認(rèn)證結(jié)構(gòu)只適合于卡支付，所以受支付方式的限制。 但另一方面， SET協(xié)議保密性好，具有不可否認(rèn)性， SETCA是一套嚴(yán)密的認(rèn)證體系，可保證 B to C式的電子商務(wù)安全順利地進(jìn)行。 ? SSL與 SET采用的都是公開(kāi)密鑰加密法。在這一點(diǎn)上，兩者是一致的。對(duì)信息傳輸?shù)谋Ｃ軄?lái)說(shuō)，兩者的功能是相同的，都能保證信息在傳輸過(guò)程中的保密性。 ? 但 SSL與 SET兩種協(xié)議在網(wǎng)絡(luò)中的層次不一樣。 SSL是基于傳輸層的協(xié)議，而 SET則是基于應(yīng)用層的協(xié)議。 ? 市場(chǎng)上，已有許多 SSL相關(guān)產(chǎn)品及工具，而有關(guān) SET的相關(guān)產(chǎn)品卻相對(duì)較少，也不夠成熟。 SSL已被大部分 Web瀏覽器和 Web服務(wù)器所內(nèi)置，比較容易被接受。而 SET要求在銀行建立支付網(wǎng)關(guān)，在商戶的Web服務(wù)器上安裝商戶軟件、持卡人的個(gè)人計(jì)算機(jī)上安裝電子錢包軟件等。另外， SET還要求必須向交易各方發(fā)放數(shù)字證書，這也成為阻礙之一。所有這些使得使用 SET要比使用 SSL貴得多、復(fù)雜得多。 ? SSL還有一個(gè)很大的缺點(diǎn)，就是無(wú)法保證商戶看不到持卡人的信用卡賬戶等信息。而 SET協(xié)議則在這方面采取了強(qiáng)有力的措施，用網(wǎng)關(guān)的公開(kāi)密鑰來(lái)加密持卡人的敏感信息，并采用雙重簽名等方法，保證商戶無(wú)法看到持卡人傳送給網(wǎng)關(guān)的信息。 ? 總之， SET系統(tǒng)給銀行、商戶、持卡人帶來(lái)了更多的安全，使他們?cè)谶M(jìn)行網(wǎng)上交易時(shí)更加放心。但實(shí)現(xiàn)復(fù)雜、成本高。 三、 SET協(xié)議和 SSL協(xié)議的比較 思考題 ?見(jiàn)