SET协议的分析及研究Word格式文档下载.docx
《SET协议的分析及研究Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《SET协议的分析及研究Word格式文档下载.docx(34页珍藏版)》请在冰豆网上搜索。
②证书消息和对象格式:
③购买消息和对象格式;
④请款消息和对象格式;
⑤参与者之间的消息协议。
SET协议确保了网上交易所要求的保密性、数据的完整性、交易的不可否认性和交易的身份认证。
SET协议主要使用的技术包括:
对称密钥加密SymmetricKeyCryptography)、公钥加密(PublicKeyCryptographyorAsymmetricCryptography)、Hash算法、数字签名(DigitalSignature)、数字信封(DigitalEnvelope)以及数字证书(DigitalCertificate)等技术。
SET通过使用公钥和对称密钥方式加密,以保证数据的保密性;
通过使用数字签名、Hash算法和数字证书实现交易各方的身份认证、数据的完整性和交易的不可否认性。
SET协议1.0版发布以后,有关专家就开始了SET2.0版内容的讨论研究,以适应技术发展、业务发展的需要。
SET2.0版对1.0版的改进内容较多,涉及很多方面,最主要的是采用智能卡技术、借记卡的PIN(即个人密码)输入以及加密算法独立等三项内容。
3.1.2SET协议的功能和实现的目标
SET协议是一个基于可信的第三方认证中心的方案,其主要的实现目标是:
①保证电子商务参与者信息的相互隔离。
持卡人的资料加密或打包后到达银行,商家看不到持卡人的账户和密码信息,银行看不到持卡人的购物信息。
②保证信息在因特网上安全传输,防止数据被黑客或被内部人员窃取。
⑨解决多方认证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证,保证付款的安全。
④保证网上交易的实时性,使所有的支付过程都是在线的。
⑤提供一个开放式的标准,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可运行在不同的硬件和操作系统平台上。
3.1.3SET交易的参与方介绍
SET改变了支付系统中各个参与者之间交互的方式。
在面对面的零售交易或邮购交易中,电子处理过程始于商家或付款银行;
而在SET交易中,电子支付始于持卡人。
SET交易的参与方包括持卡人、商家、发卡银行、收单银行、支付网关和数字证书认证中心CA。
①持卡人
SET交易是在开放的Internet中进行的,交易双方互不见面,无法使用现金,而是使用信用卡,所以在SET协议中将购物者称为持卡人。
持卡人要参加SET交易,首先必须要拥有一台计算机并且能够上网;
其次还必须到发卡银行去申请并取得一套SET交易专用的持卡人软件(即电子钱包),然后安装在自己的计算机上;
第三,必须上网去向数字证书认证中心申请一张数字证书。
这样持卡人就可以开始安全地进行网上交易了。
②商家
商家要参与SET交易,首先必须要开设网上商店,在网上提供商品或服务:
其次商家的网上商店必须集成SET交易商户软件,顾客在网上购物时,由网上商店提供服务,购物结束进行支付时,由SET交易商户软件进行服务:
第三,商家必须到接收网上支付业务的收单银行申请并且必须在该银行设立账户;
第四,同持卡人一样,还必须上网申请一张数字证书。
③发卡银行
发卡银行是负责为持卡人建立帐户并发放支付卡的金融机构。
发卡银行在分理行和当地法规的基础上保证信用卡支付的安全性。
④收单银行
收单银行是商家建立帐户并处理支付卡认证和支付的金融机构。
⑤支付网关
SET交易中买卖双方进行交易,必须通过银行进行支付,但由于SET交易是在开放的Internet上进行的,而银行的计算机主机及银行专用网络是不能直接与Internet相联的,为了能接收从Internet上传来的支付信息,在银行与Internet之间必须有一个专用系统,负责接收处理从商家传来的扣款信息,并通过专线送给银行:
银行对支付信息的处理结果再通过这个专用系统反馈回商家。
这个专用系统就称为支付网关。
⑥数字证书认证中心(cent矗caterAuthority简称CA)
为了保证SET交易的安全,SET协议规定参加交易的各方都必须持有数字证书,在交易过程中,每次交换信息都必须向对方出示自己的数字证书,而且都必须验证对方的数字证书。
CA的主要工作是负责SET交易数字证书的发放、更新、废除、建立证书黑名单等各种证书管理。
参与SET交易的各方(包括持卡人、商家、支付网关)在参加交易前必须到CA处申请数字证书。
在证书到期时还必须去CA处更换一张新的证书。
同时,CA还要随时掌握哪些证书已经被废除,要将这些证书写入证书黑名单,作为交易时验证对方证书的依据。
3.1.4SET工作原理说明
SET协议工作原理如图3.1所示:
图3.1SET协议工作原理
Fi93.1TheWorkingPrincipleoffsetProtocol其具体工作流程如下:
①持卡人通过浏览器选择在线商店里自己需要的商品,放入购物篮。
②持卡人填写订单信息,并选择支付方式。
③持卡人将订单信息和支付信息发送给商家,这里订单信息和支付指令由消费者进行数字签名,同时利用双重签名技术保证商家看不到消费者的账号信息及银行看不到消费者的订单信息。
④商家接受订单量信息后,与支付网关进行通信,请求授权认证。
⑤支付网关通过收单银行向持卡人的发卡银行请求进行支付确认。
⑥发卡银行同意支付,将确认信息通过支付网关返回给商家。
⑦商家发送订单确认信息给持卡人,持卡人端软件可记录交易日志,以各将来查询。
⑧商家发送货物或提供服务。
⑨商家向持卡人的发卡银行请求支付,即实现支付获取、完成清算。
在处理过程中,通信协议、请求信息的格式、数据类型的定义等,SET都有明确的规定。
在操作的每一步,消费者、商家、网关都通过CA来验证通信主体的身份,以确保通信的对方不是冒名顶替。
3.2SET协议的安全技术
SET协议的安全基于密码技术,主要采用DES,RSA,Hash算法等密码算法以及有关的安全机制来保证电子商务交易所需的各种安全功能。
3.2.1加密技术
为了保证信息在网上传输过程中不被篡改、保证信息的机密性,就必须对所发送的信息进行加密处理。
加密技术包括私钥加密和公钥加密两种。
私钥加密又称为对称密钥加密;
公钥加密又称为非对称密钥加密。
①基础知识
1)明文:
又称消息,就是原文,是需要进行加密的信息。
用M或P表示。
2)密文:
就是加密后的信息。
用C表示。
3)加密:
用某种方法伪装原文以隐藏它的内容的过程。
加密函数用E表示。
4)解密:
是加密的逆过程,就是把密文转变成明文的过程。
解密函数用D表示。
加密和解密必须依赖两个要素,这两个要素就是算法和密钥。
算法是加密和解密的计算方法;
密钥是加密和解密所需的一串数字,用K表示。
②对称加密技术
即信息的发送方和接收方用同一个密钥去加密和解密数据,目前常用的对称加密算法有DES、RC5、IDEA、3DES等。
其中DES使用最普遍,被ISO采用作为数据加密的标准。
对称加密技术的优缺点:
1)加懈密速度快,适合于对大数据量进行加密。
2)在首次通信前,双方必须通过除网络以外的另外途径传递统一的密钥。
3)当通信对象增多时,需要相应数量的密钥,密钥管理困难。
4)对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄密都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。
其工作原理如图3.2所示。
图3.2加/解密使用同~个密钥
Fi93.2TheSameSecretkeyforEncryption/Decryption其加解密过程用数学公式表示为:
EK(M)2C
DK(C)=M即DK(EK(M))=M③非对称加密技术(公/私钥加密技术)使用一对密钥来分别完成加密和解密操作,一个公开发布,称为公开密钥(Public-Key):
另一个由用户自己秘密保存,称为私有密钥(Private—Key)。
信息发送者用公开密钥去加密,而信息接收者则用私有密钥去解密。
常用的非对称加密算法有RSA、椭圆曲线、背包密码、Megamall等。
目前,最常用的算法是RSA算法,该算法已被ISO/TC的数据加密技术委员会SC20推荐为非对称密钥数据加密标准。
非对称加密技术的优缺点:
1)易于实现,使用灵活,密钥较少。
2)安全性较高,用途较广。
3)加密和解密速度比对称密钥加密慢。
其工作原理如图3.3所示。
加密密钥解密密钥
图3.3加,解密使用不同的密钥
Fi93.3DifferentSecretKeysforEncryption/Decryption其加解密过程用数学公式表示为:
EKI(M)=Car.2(C)=M即DJ(2①K1(M))=M3.2.2DES算法
①概述
DES(DataEncryptionStandard)是目前金融界广泛使用的数据加密标准,是由IBM公司在20世纪70年代中期开发的,由美国国家标准局(NBS)于1977年1月5日正式颁布,用做政府及商业部门的非机密数据的加密标准。
DES是一种单钥密码算法,采用分组乘积密码体制,使用多次移位和代替的混合运算编制的密码。
DES设计非常巧妙,除了密钥输入顺序之外,其加密和解密的步骤完全相同,这使得在制作DES芯片时,易于做到标准化和通用化。
经过许多专家学者的分析论证,证明DES是一种性能良好的数据加密算法,不仅随机性好,线性复杂度高,而且易于实现,因此,DES在国际上得到了广泛的应用。
②DES的加、解密原理
DES是一种二元数据加密的分组算法,即对64位二进制数据进行分析加密,产生64位密文数据。
其中,使用密钥为64位,实际用了56位,另外8位用作奇偶校验。
加密的过程是先对64位明文分组进行初始置换,然后分成左、右部分分别经过16次迭代,再进行循环移位与变换,最后进行逆变换得到明文。
其加密与解密使用相同的密钥,因而属于对称密码体制。
其加、解密原理如图3.4所示。
在图3.4中,输入的明文是64位数据。
首先经过初始置换口后把其左半部分l至32位记为k,右半部分33至64位记为凡,即成了置换了的输入;
然后把‰与密钥发生器产生的密钥K1进行运算,其结果记为f(Ro,K1);
再与k进行异或操作得kof(Ro,K1),把‰记为LI放在左边,而把Loaf(Ro,K1)记为R-放在右边,从而完成了第一次迭代运算。
按照以上方法,重复迭代16次,所得的第16迭代结果左右不交换,即L150f(R15K16)记为R16放在左边,R15记为L16放在右边,成为预输出,最后经过初始置换的逆置换IP。
1运算后即得到密文。
虽然DES的描述相当长,但是DES加密解密需完成的只是简单的算术运算,即比特串图3.4DES加、解密原理Fi93.4ThePrincipleofDESEncrypfionandDecryption的异或处理的组合,因此速度快,密钥生成容易,能以硬件或软件的方式非常