SETSSL的比较
  SET(Secure Electronic Transaction 即安全电子交易协议)是美国Visa和MasterCard两大信用卡组织等联合于1997年5月31日推出的用于电子商务的行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。SET已获得IETF标准的认可,是电子商务的发展方向。
1、SET支付系统的组成
SET支付系统主要由持卡人(CardHolder)、商家(Merchant)、发卡行(Issuing Bank)、收单行(Acquiring Bank)、支付网关(Payment Gateway)、认证中心(Certificate Authority)等六个部分组成。对应地,基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。
2、SET协议的工作流程
1)消费者利用自己的PC机通过因特网选定所要购买的物品,并在计算机上输入订货单、订货
单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。
2)通过电子商务服务器与有关在线商店联系,在线商店作出应答,告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。
3)消费者选择付款方式,确认订单签发付款指令。此时SET开始介入。
4)在SET中,消费看必须对订单和付款指令进行数字签名,同时利用双重签名技术保证商家看不到消费者的帐号信息。
5)在线商店接受订单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银行,再到电子货币发行公司确认。批准交易后,返回确认信息给在线商店。
6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志,以备将来查询。
7)在线商店发送货物或提供服务并通知收单银行将钱从消费者的帐号转移到商店帐号,或通知发卡银行请求支付。在认证操作和支付操作中间一般会有一个时间间隔,例如,在每天的下班前请求银行结一天的帐。
前两步与SET无关,从第三步开始SET起作用,一直到第六步,在处理过程中通信协议、请求信息的格式、数据类型的定义等SET都有明确的规定。在操作的每一步,消费者、在线商店、支付网关都通过CA(认证中心)来验证通信主体的身份,以确保通信的对方不是冒名顶替,所以,也可以简单地认为SET规格充分发挥了认证中心的作用,以维护在任何开放网络上的电子商务参与者所提供信息的真实性和保密性。
SSL
SSL (Secure Socket Layer)
为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络
上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准,美国则已推出128 bit之更高安全
标准,但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。
当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
ssl协议全称
SSL协议提供的服务主要有:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
2)加密数据以防止数据中途被窃取;
3)维护数据的完整性,确保数据在传输过程中不被改变。
SSL协议的工作流程:
服务器认证阶段:1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户
的“Hello”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
用户认证阶段:在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。
从SSL 协议所提供的服务及其工作流程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺,这就有利于商家而不利于消费者。在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这问题还没有充分暴露出来。但随着电子商务的发展,各中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下,Visa和 MasterCard两大信用卡公组织制定了SET协议,为网上信用卡支付提供了全球性的标准。
SETSSL在网络安全支付中的应用
Internet的出现是人类历史中一次重大的变革,它改变了我们生活和工作的传统模式,打破了时间、地域的限制,使人类社会进入了信息时代。伴随着世界经济的持续发展和信息技术不断进步,经济全球化和信息网络化已经成为整个世界经济发展进程中不可逆转的大趋势。
  全新的电子商务是在Internet的广阔联系与传统信息技术系统的丰富资源相互结合的背景下应运而生的一种相互关联的动态商务活动,这种基于Internet的电子商务给传统的交易方式带来了一场革命。通过在网上自由传输的一串串字节,基于广泛互联和完全开放式平台,Internet实现了低成本、高效率的经营模式,包括各种金融业务。
  近两年来,效益明显的电子商务活动在全球经济不景气的条件下仍在稳步发展。中国证监会有关统计资料表明,2001年全年累计的网上成交金额与2000年相比增长了约100%,达到了3578亿元。2002年5月份的统计结果是网上委托交易量为总交易量的19.11%,比2001年5月上升了15.54%。又例如,中国工商银行在网络银行上完成的支付和转帐金额在2000年是160亿元人民币左右,2001年发展到6000多亿元,而2002年的前三个季度已经突破40000亿元。
  在网络上进行电子商务活动,安全是最重要的。目前网上支付这方面存在着一些安全问题,比如正如黑客可以在网上攻击破坏、兴风作浪一样,罪犯也可以从网上银行窃取金钱。网上银行只认数据不认人,如果安全得不到保障,罪犯通过窃取相关数据密码获得相应的权限,然后进行非法操作。所以说网络安全问题也是银行系统的安全问题。从信息系统自身的脆弱性来看,操作系统的脆弱性、计算机网络的脆弱性、数据库系统的脆弱性、缺少安全管理措施等也增加了网络支付系统的不安全程度。电子商务系统使得内部网与Internet连接,使小到本企业、本部门的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全问题便成了电子商务系统的首要问题。利用Internet和网络技术实现电子商务时需要解决好网络安全和信息安全问题。除了需要采用防火墙、防病毒和防攻击等网络安全措施外,还需要采取适当的信息安全技术来完成身份认证、信息加密传输、保障信息的完整性,以及交易的抗否认性。目前的安全电子交易协议主要有两种,即安全套接层(SSL)协议和安全电子交易(SET)协议。
  安全电子交易(SET)是目前已经标准话且被业界广泛接受的一种网际网络信用卡付款机制。SET是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议。它是一种基于消息流的协议,用来保证公共网络上银行卡支付交易的安全性,因而成为Internet上进行在
线交易的电子付款系统规范。目前SET协议已在国际上被大量实验性地使用并经受了考验,成了事实上的工业标准。在SET协议中主要定义可以下内容:
  (1)加密算法(如RSA和DES)的应用;
  (2)证书消息和对象格式;
  (3)购买消息和对象格式;
  (4)请款消息和对象格式;
  (5)参与者之间的消息协议。
  SET协议确保了网上交易所要求的保密性、数据的完整性、交易的不可否认性和交易的身份认证。SET协议主要使用的技术包括:对称密钥加密,公钥加密,HASH算法,数字签名,数字信封以及数字证书等技术。SET是一个复杂的协议,它详细而准确地反映了卡交易各方之间的各种关系。事实上,SET不只是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧
密相关的责任分担。SET是一个基于可信的第三方认证中心的方案,它要实现的主要目标有下列三个方面。
  1保障付款安全:确保付款资料的隐密性及完整性,提供持卡人、特约商店、收单银行认证,定义安全服务所需要的算法及相关协定。
  2确定应用的互通性:提供一个开放式的标准。明确定义细节,以确保不同厂商开发的应用程序可共同运作,促成软件互通;在现存各种标准下构建协定,允许在任何软硬件平台上执行,使标准达到相容性与接受性目标。
  3达到全球市场的接受性:在容易使用与对特约商店、持卡人影响最小的前提下,达到全球普遍性。允许在目前使用者的应用软件下,嵌入付款协定的执行,对收单银行与特约商店、持卡人与发卡银行间的关系,以及信用卡组织的基础构架改变最少。
  在Internet上实现一个完整的SET交易主要包括持卡人注册申请证书、商户注册申请证书、购买请求、支付认证、获取付款5个步骤。持卡人注册申请证书,持卡人在参与网上交易前首先需先向CA申请证书,证书中包括该持卡人的帐号,有效期等信用卡信息,用以证明持卡
人身份的有效性。商户注册申请证书,商户在接收持卡人SET指令或通过网关处理SET交易时同样需要启动商户软件请求证书,其流程和持卡人申请流程类似。下面是SET的简易流程:
  1在消费者与特约商店之间,由持卡人在消费前先确认商店的合法性,由商店出示它的证书。
  2持卡人确认后即可下订单,其订单经消费者以数字签名方式确认,而消费者所提供的信用卡资料则另由收单银行以公钥予以加密。这里,特约商店会收到两个经过加密的资料,其中一个是订单资料,另一个是关于支付的资料;按规定特约商店可以解密前者,但无法解密后者,以避免特约商店搜集或滥用持卡人消费资料。
  3特约商店将客户的资料连同自己的SET证书发给收单银行,向银行请求交易授权及授权回复。收单银行同时检验两个证书以确定是否为合法的持卡人及特约商店。所以,收单银行由支付网关来解密,核对资料无误后,再连接到传统的网络。
  4授权确认后由特约商店向消费者再行确认订单,交易完成。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。