【正文】 在操作的每一步，持卡人、在線商家、支付網(wǎng)關(guān)都通過 CA來驗證通信主體的身份，以確保通信的對方不是冒名頂替。以保證信息的機密性和真實性。在此過程中， SET對通信協(xié)議、請求信息的格式、數(shù)據(jù)類型定義等都有明確的規(guī)定。 SET運行的 7個步驟（續(xù) 2） ? （ 7）在線商店發(fā)送貨物或提供服務(wù)， 并通知收單銀行將錢從消費者的帳號轉(zhuǎn)移到商店帳號， 或通知發(fā)卡銀行請求支付。 SET支付處理流程 圖 SET系統(tǒng) 發(fā) 卡 銀 行收 單 銀 行消 費 者C AI n t e r n e t金 融 現(xiàn) 有 網(wǎng) 絡(luò)支 付 網(wǎng) 關(guān)電 子 錢 包 商 家S E T 系 統(tǒng) 7個步驟 ? （ 1）消費者利用已有的計算機通過 Interent 選定商品， 并下電子訂單； ? （ 2）通過電子商務(wù)服務(wù)器與網(wǎng)上商場聯(lián)系， 網(wǎng)上商場作出應(yīng)答， 告訴消費者訂單的相關(guān)情況； ? （ 3）消費者選擇付款方式， 確認訂單、簽發(fā)付款指令（ SET開始介入）； SET運行的 7個步驟（續(xù)） ? （ 4）在 SET中消費者必須對訂單和付款指令進行數(shù)字簽名， 同時利用雙重簽名技術(shù)保證商家看不到消費者的帳號信息； ? （ 5）在線商店接受訂單后， 向消費者所在銀行請求支付認可， 信息通過支付網(wǎng)關(guān)到收單銀行， 再到電子貨幣發(fā)行公司確認，批準交易后， 返回確認信息給在線商店。從消費者通過瀏覽器進入在線商家開始，一直到所訂貨物送貨上門或所定服務(wù)完成，消費者賬號上款項的轉(zhuǎn)移，所有這些都是通過Inter完成的。 1． 基本流程 電子商務(wù)工作流程與傳統(tǒng)的購物流程非常相似，這使得電子商務(wù)與傳統(tǒng)商務(wù)很容易融合。每個 BCL有一個序列號和有效期、 BCL標識品牌和品牌的 CA主體名字。 SET結(jié)構(gòu)引入品牌證書注銷列表標識（ Brand CRL， BCL）。每個證書的確認強制在所有鏈的層次上。每個證書與一個證書發(fā)行實體的簽字證書相連。 一個加密密鑰交換的密鑰對，用于保護持卡者和商家的支付指示。 SET允許收單行將持卡者信息用商家密鑰加密后發(fā)回商家，該功能由商家證書指明，該選項使商家能夠使用與品牌無關(guān)的清算機制。最簡單時，商家只與一個支付網(wǎng)關(guān)有接口來處理所有品牌，也可能與多個支付網(wǎng)關(guān)有接口。也可能還有其他密鑰對。收單行可以選擇是否支持該選項，在收單行的支付網(wǎng)關(guān)證書中的一個標志指明了是否支持無證書的持卡者交易。為避免泄露持卡者的 PAN給第三者，賬號采用密鑰 Hash機制來加密。 為防止假冒的 CA，簽字證書的 CA是由更高層的CA來驗證的，只有根 CA必須直接信任。為了保護持卡者的機密性，持卡者的姓名不在證書中。 對于持卡者，簽字證書將公鑰綁定到持卡者主要賬號（ Primary Account Number， PAN）上， PAN只能由 CCA、持卡者、發(fā)卡行還原出來。 關(guān)聯(lián)： SET通過 Hash算法提供一個關(guān)聯(lián)機制，用來驗證一個消息包含指向另一個消息的參考證明。 認證：當數(shù)字證書可用時， SET使用證書中的簽名來驗證相關(guān)實體的身份，并提供信息來源的認證。 SET規(guī)范涉及的范圍包括： 加密算法的應(yīng)用 (例如 RSA和 DES)； 證書信息和對象格式； 購買信息和對象格式； 認證信息和對象格式； 劃賬信息和對象格式； 交易實體之間消息的傳輸協(xié)議。電子錢包的功能為，管理電子證書的申請、儲存及刪除，進行SET交易時辨認商家身份并發(fā)送交易信息，保存每一筆交易記錄以供日后查詢。 電子錢包：電子錢包是一個支持 SET標準的計算機軟件，用來讓消費者進行電子交易與儲存交易記錄。 支付網(wǎng)關(guān)：是由銀行操作的，將 Inter上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機構(gòu)內(nèi)部數(shù)據(jù)的設(shè)備，或由指派的第三方處理商家支付信息和顧客的支付指令。使用 SET，就可以保證持卡人個人信息的安全。 收單銀行：負責授權(quán)和管理參與交易的商家，并處理交易的付款卡授權(quán)申請和交易款項。在線交易的商家在發(fā)卡銀行開立賬號，并且處理支付卡的認證和支付。在持卡人和商家的交易會話中， SET可以保證持卡人的個人賬號信息的真實性，并保證其不被泄露給商家。 SET的基本概念 圖 網(wǎng)上交易的安全方案 SET協(xié)議中的角色有： 持卡人：電子商務(wù)中的一般消費者，包括個人和團體消費者。 SET是針對用卡支付的網(wǎng)上交易而設(shè)計的支付規(guī)范，對不用卡支付的交易方式，像貨到付款方式、郵局匯款方式則與 SET無關(guān)，像網(wǎng)上商店的頁面安排、保密數(shù)據(jù)在購買者計算機上如何保存等，也與 SET無關(guān)。 ? （ 3） SET沒有提及在事務(wù)處理完成后如何安全保存和銷毀此類數(shù)據(jù)，并不受到以后的潛在攻擊。 ? （ 2）沒有擔保 “ 非拒絕行為 ” 。 SET 協(xié)議提供的安全服務(wù) ? （ 1）確保在支付系統(tǒng)中支付信息和訂購信息的安全性； ? （ 2）確保數(shù)據(jù)在傳輸過程中的的完整性，即確保數(shù)據(jù)在傳輸過程中不被破壞； ? （ 3）對持卡者身份的合法性進行檢查； ? （ 4）對支付接收方（即商家的身份）的合法性進行檢查； SET 協(xié)議提供的安全服務(wù)（續(xù)） ? （ 5）提供最優(yōu)的安全系統(tǒng)，以保護在電子交易中的的合法用戶； ? （ 6）確保該協(xié)議不依賴于傳輸安全技術(shù)， 也不限定任何安全技術(shù)的使用； ? （ 7）使通過網(wǎng)絡(luò)和相應(yīng)的軟件所進行的交互作業(yè)簡便易行。 ? （ 5）規(guī)范協(xié)議和消息格式， 促使不同商家開發(fā)的軟件具有兼容性和互操作性。同時還有消費者、在線商店與銀行間的認證。 ? （ 3）解決了多方認證問題。客戶的資料加密或打包后越過商家到達銀行， 商家不能看到客戶的帳戶和密碼信息。 SET能在電子交易環(huán)節(jié)上提供更大的信任度、更完整的企業(yè)信息、更高的安全性和更少受欺詐的可能性。 SET 協(xié)議的功能 ? SET 協(xié)議主要為解決持卡人、商家和銀行之間通過信用卡來進行網(wǎng)上支付的交易而設(shè)計的， 旨在保證支付信息的機密性、支付過程的完整性、商家以及持卡人身份的合法性以及可操作性。除此之外，符合 SET規(guī)范的產(chǎn)品還有 CyberCash、 Globalset、 TrinTech、Tellan、 DigiCash、 OpenMarket等。著名的VeriFone公司也提供了與 SET兼容的電子商務(wù)套件(vWallet、 vPOS、 vGate)， vGate已經(jīng)安裝到了很多銀行中， vPOS也已在很多 Inter在線商家得到應(yīng)用。交易的一致性是指在一筆具體的交易中參與者之間各司其職，密不可分；交易的廣泛性則是指在任意時間和任意地點，消費者可以和任意的商家、銀行發(fā)生交易。SET的主要目的是建立一整套標準的、基于銀行卡的 Inter上電子交易機制。 它采用 RSA公開密鑰體系對通信雙方進行認證，利用 DES、 RC4或任何標準對稱加密方法進行信息的加密傳輸，并用 Hash算法來鑒別消息真?zhèn)巍⒂袩o篡改。由于設(shè)計合理， SET協(xié)議獲得了IETF的認可。這是為了在 Inter上進行在線交易而設(shè)立的一個開放的以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。比如缺乏安全認證機構(gòu)，無法確定參與交易人員的身份，商家和收單銀行缺乏標準的數(shù)據(jù)傳輸界面，交易資料不能很方便地整合，消費者資料還有可能被商家非法利用。 ? SET得到了公司和消費者的廣泛支持， 將成為全球網(wǎng)絡(luò)的工業(yè)標準和電子商務(wù)規(guī)范。 ? SET是為在線交易而設(shè)立的開放的的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。 信用卡交易的安全電子協(xié)議 ? SET 協(xié)議為 VISA國際組織和其它公司如 Microsoft、IBM等聯(lián)合制定。 ? （ 3）用戶認證和服務(wù)器認證。 SSL的安全服務(wù) ? （ 1）加密數(shù)據(jù)：隱藏被傳送數(shù)據(jù)的私密性。 ? （ 4）在應(yīng)用層通信之前就完成了加密算法、通信密鑰的協(xié)商以及服務(wù)器認證。 ? （ 3）建立在傳輸層協(xié)議上， 與應(yīng)用層協(xié)議無關(guān)。 圖 網(wǎng)上交易安全方案 SSL提供的安全服務(wù) ? SSL協(xié)議的 特點 ： ? （ 1） 基于 Interent， 能使客戶機和服務(wù)器之間的通信不被攻擊者竊聽。結(jié)合上面介紹的兩種應(yīng)用，網(wǎng)上交易的安全方案如圖 。一般情況是顧客到商家買東西，向商家報出信用卡號碼，商家向銀行查詢信用卡信息，信用卡有效才可繼續(xù)交易。 其特點是不用為每一主機申請數(shù)字標識，簡化了數(shù)字 ID的管理和使用。它是一種類似 VPN的應(yīng)用，雙方的內(nèi)部通信可以不用安全協(xié)議，中間的公用網(wǎng)部分用 SSL協(xié)議連接。 3. SSL應(yīng)用 2. 對等安全服務(wù) 通信雙方都可以發(fā)起和接收 SSL“連接 ” 請求，既是服務(wù)器又是客戶端。例如，用戶在網(wǎng)站進行注冊時，為防止私人信息泄露，匿名 SSL連接該網(wǎng)站。 根據(jù)應(yīng)用場合不同， SSL協(xié)議有多種應(yīng)用模式。 ? 確認性：服務(wù)器端始終認證， 客戶端認證可選。 SSL 協(xié)議的運行步驟 ? （ 1）接通階段 ? （ 2）碼交換階段： RSA非對稱密鑰 或 Diffehellman對稱密鑰 . ? （ 3）會談密碼階段：產(chǎn)生交換會談密碼。 ? 在第一階段的認證時， 只有正確的服務(wù)器方的寫密鑰加密的 client_hello消息形成的數(shù)字簽名， 才能被客戶正確解密，從而驗證服務(wù)器身份。至此握手協(xié)議結(jié)束。 此時服務(wù)器已經(jīng)被認證了， 服務(wù)器方向客戶方發(fā)出認證請求消息 requst certificate. 當客戶方收到服務(wù)器方的認證請求消息時， 發(fā)出自己的證書， 并監(jiān)聽對方回送的認證結(jié)果。 ? SSL握手協(xié)議包含兩個階段： 第一個階段用于建立機密性通信信道； 第二個階段用于客戶認證。 該協(xié)議允許服務(wù)器和客戶端相互驗證、協(xié)商加密和 MAC算法及密鑰， 用來保護 SSL記錄中發(fā)送的數(shù)據(jù)。粘貼數(shù)據(jù)是在使用塊加密算法時填充實際數(shù)據(jù)， 使其長度恰好是塊的整數(shù)倍。 ? SSL記錄數(shù)據(jù)包含 MAC數(shù)據(jù)、實際數(shù)據(jù)和粘貼數(shù)據(jù)三部分。 SSL記錄協(xié)議包括了對記錄頭和記錄數(shù)據(jù)格式的規(guī)定。序號是 unit 64類型的，不超過 2641。 序號服務(wù)器和客戶端，每一方都保存著各自的序號，以便在每次連接時傳輸和接收消息。 初始化向量當使用 CBC模式進行數(shù)據(jù)加密時，有對應(yīng)每一個密鑰的初始化向量。 服務(wù)器寫密鑰這個較大的密鑰是服務(wù)器端加密數(shù)據(jù)、客戶端解密時