【正文】 2022/2/5 西安電子科技大學計算機學院 69 第 17章作業(yè) ? 思考題 ? 習題 。并給商家發(fā)送請款響應(yīng)消息。 2022/2/5 西安電子科技大學計算機學院 68 支付請款 ? 商家請求支付 ? 商家產(chǎn)生一個請款請求（包含交易金額、交易標識等），和請款標識一起發(fā)給支付網(wǎng)關(guān)。一旦從發(fā)卡行接收到一個授權(quán)響應(yīng)，支付網(wǎng)關(guān)將簽署一個授權(quán)認可消息，安全處理后發(fā)送給商家。 2022/2/5 西安電子科技大學計算機學院 65 持卡者購買請求構(gòu)造 2022/2/5 西安電子科技大學計算機學院 66 商家購買請求驗證 2022/2/5 西安電子科技大學計算機學院 67 支付授權(quán) ? 商家請求授權(quán)：商家產(chǎn)生一個安全的授權(quán)請求，發(fā)送給支付網(wǎng)關(guān)。 ? 商家處理請求消息 ? 驗證持卡者證書 ， 驗證數(shù)字信封的數(shù)字簽名 。 ? 商家發(fā)出證書 ? 商家為請求消息制定一個唯一的交易識別號 ， 將商家和相應(yīng)的支付網(wǎng)關(guān)證書一起發(fā)給持卡者 。 2022/2/5 西安電子科技大學計算機學院 60 SET交易類型（ 1） 2022/2/5 西安電子科技大學計算機學院 61 SET交易類型（ 2） 2022/2/5 西安電子科技大學計算機學院 62 持卡者注冊 ? 持卡者初始注冊 ? CA發(fā)出響應(yīng) ? 持卡者接收到響應(yīng)并請求注冊表 ? CA處理請求和發(fā)送適當?shù)淖员? ? 持卡者接收注冊表，并請求證書 ? CA處理請求和產(chǎn)生證書（有關(guān)帳號信息的HASH值將成為證書中的一部分內(nèi)容） ? 持卡者接收證書 2022/2/5 西安電子科技大學計算機學院 63 商家注冊 ? 商家請求注冊表 ? CA發(fā)出響應(yīng) ? 商家接收注冊表和請求證書 ? CA處理請求和產(chǎn)生證書 ? 商家接收證書 2022/2/5 西安電子科技大學計算機學院 64 購買請求 ? 持卡者初始化購買請求 ? 持卡者完成瀏覽 、 挑選 、 定購后 ， SET協(xié)議啟動 。 ? 收單行證書 ? 發(fā)卡行證書 ? 證書鏈確認 ? 證書注銷列表檢查 2022/2/5 西安電子科技大學計算機學院 58 發(fā)證機構(gòu) ? 涉及的發(fā)證機構(gòu) ? 根 CA（ RCA）、支付卡品牌 CA（ BCA）、區(qū)域CA（ GCA）、持卡者 CA（ CCA）、商家 CA（ MCA）、支付 CA（ PCA） ? 信任層次 RCA BCA GCA CCA MCA PCA Cardholder Merchant Payment Gateway 2022/2/5 西安電子科技大學計算機學院 59 支付處理 ? 支付處理是 SET規(guī)范中最為關(guān)鍵的描述部分 ? 支付處理的基本步驟和流程 ? 持卡者注冊 （ Cardholder Registration) 顧客開通帳號 獲取證書 ? 商家注冊 (Merchant Registration) 獲取簽名證書和密鑰交換證書 ? 購買請求 (Perchase Request) 顧客商品訂購 ， 發(fā)送訂單信息和支付信息 ? 支付授權(quán) (Payment Authorization) 商家向支付網(wǎng)關(guān)獲取支付授權(quán)信息 ， 使得發(fā)卡行對交易擔保 。 ? 商家證書 ? 需要兩個密鑰對參與 SET交易，一個是簽名密鑰和證書，一個是密鑰交換密鑰和證書。 ? 首先分別計算 OI的 HASH值和 PI的 HASH值，二者連接后再次執(zhí)行 HASH，然后簽名。 ? 大量采用已經(jīng)存在的 、 相關(guān)的 、 用于支持的國際標準 。 ? 依賴于專用網(wǎng)絡(luò)和專用 EDI軟件 ? 標準： 美國－ X12 聯(lián)合國－ UN/EDIFACT ? 20世紀 90年代以后，基于 Inter的電子商務(wù) ? Dell公司的網(wǎng)絡(luò)直銷 ? Amazon公司的網(wǎng)上書店 ? eBay公司的個人拍賣網(wǎng)站 ? 應(yīng)用模式： ? 支付角度：支付型／非支付型 ? 服務(wù)角度： B2B B2C C2C B2G C2G …… 2022/2/5 西安電子科技大學計算機學院 48 電子商務(wù)分類－支付角度 電子商務(wù) 業(yè)務(wù) 支付型 非支付型 NONSET 支付 SET支付 稅務(wù)申報、電子選舉、 在線報表、安全政務(wù)等 電子銀行、代繳代付、 電子證券、網(wǎng)上購物等 支付卡交易、電子銀行、 網(wǎng)上購物等 2022/2/5 西安電子科技大學計算機學院 49 電子商務(wù)安全需求與措施 ? 安全性需求 ? 有效性 ? 機密性 ? 完整性 ? 可靠性 /不可抵賴性 /鑒別 ? 可審查性 ? 措施 ? 加密技術(shù) 對稱加密 /公鑰加密 ? 密鑰管理技術(shù) 數(shù)字證書 ? 數(shù)字簽名 ? 安全電子商務(wù)協(xié)議 安全電子郵件 /SSL/SET …… 2022/2/5 西安電子科技大學計算機學院 50 SET協(xié)議安全支付商業(yè)需求 ? 提供付款和訂購信息的保密性 ? 確保傳送數(shù)據(jù)的完整性 ? 為持卡人是否為信用卡帳號合法用戶提供認證 ? 為商家提供認證 ? 確保交易各方利益 ? 創(chuàng)建不依賴于傳輸安全機制也不妨礙其使用的協(xié)議 ? 在軟件和網(wǎng)絡(luò)提供者之間提供功能設(shè)施和互操作性 2022/2/5 西安電子科技大學計算機學院 51 SET協(xié)議中安全特性和實現(xiàn) ? SET協(xié)議中安全考慮 ? 信息保密性－帳號和支付信息等的傳輸安全，加密技術(shù) ? 認證－持卡人帳號和商家認證，通過數(shù)字證書機制，確認參與者的真實身份 ? 防止抵賴－ 數(shù)字簽名技術(shù) ? 數(shù)據(jù)完整性－防止客戶發(fā)送給商家的信息被篡改 ，數(shù)字簽名和 HASH、 MAC手段 ? 授權(quán) ? 安全實現(xiàn) ? 在消費者端 實現(xiàn) 安全電子錢包 ? 在商家 實現(xiàn) 安全電子商家 ? 在銀行等金融機構(gòu) 實現(xiàn)安全支付網(wǎng)關(guān)，完成 SET協(xié)議和銀行金融系統(tǒng)相關(guān)標準（如 ISO8583）的轉(zhuǎn)換。 ? 特征：普遍性、方便性、整體性、安全性、協(xié)調(diào)性等。 ? 具體活動：交易方匹配、洽談、訂貨、合同、支付、發(fā)票、報關(guān)、納稅、售后服務(wù)等。 ? 內(nèi)容： 電子方式為特征 ＋ 商貿(mào)活動 ? 電子方式：電話、傳真、 EMAIL、 Inter、 EDI等。 ? 其設(shè)計思想值學習和探討 。 ? SET協(xié)議標準組織 SETCo 在 1998和 1999年提出許多協(xié)議擴展 。 1997年出版規(guī)范 ， 長達 971頁 。 ? 實現(xiàn)交易參與者行為的安全性 、 一致性 、 廣泛性 ? 支持產(chǎn)品包括 IBM 的 、 CommercePoint ，Verifone的 vWallet、 vPos、 vGate， Microsft的 MSWallet等 ? 其他產(chǎn)品還包括： CyberCash 、 GlobalSet 、 TrinTech 、DigiCash、 OpenMarket等 。 ? 得到 IBM、 HP、 Microsoft、 Verifone、 RSA、 Terisa、 GTE、Verisign等公司的支持 ， 成為事實上的工業(yè)標準 ， 并為 IETF所認可 。 2022/2/5 西安電子科技大學計算機學院 38 臨時 RSA ? 因受出口限制，為配合客戶端，服務(wù)器會產(chǎn)生一個臨時的低強度密鑰，并用高強度密鑰簽名，客戶端將驗證臨時密鑰上的服務(wù)器簽名，并使用它來