set协议有什么作用文档格式.docx
《set协议有什么作用文档格式.docx》由会员分享,可在线阅读,更多相关《set协议有什么作用文档格式.docx(5页珍藏版)》请在冰豆网上搜索。
7现实应用
8相关领域
电子商务在提供机遇和便利的同时,也面临着一个最大的挑战,即交易的安全问题。
在网上购物的环境中,持卡人希望在交易中保密自己的帐户信息,使之不被人盗用;
商家则希望客户的定单不可抵赖,并且,在交易过程中,交易各方都希望验明其他方的身份,以防止被欺骗。
针对这种情况,由美国Visa和mastercard两大信用卡组织联合国际上多家科技机构,共同制定了应用于internet上的以银行卡为基础进行在线交易的安全标准,这就是"
安全电子交易"
(secureelectronictransaction,简称set)。
它采用公钥密码体制和x.509数字证书标准,主要应用于保障网上购物信息的安全性。
由于set提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点。
因此,至
20xx年,它成为了公认的信用卡/借记卡的网上交易的国际安全标准。
set(secureelectronictransaction)安全电子交易协议主要应用于btoc模式中保障支付信息的安全性。
set协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。
set协议是pki框架下的一个典型实现,同时也在不断升级和完善,如set2.0将支持借记卡电子交易。
2主要目标1.防止数据被非法用户窃取,保证信息在互联网上安全传输。
2.set中使用了一种双签名技术保证电子商务参与者信息的相互隔离。
客户的资料加密后通过商家到达银行,但是商家不能看到客户的帐户和密码信息。
3.解决多方认证问题。
不仅对客户的信用卡认证,而且要对在线商家认证,实现客户、商家和银行间的相互认证。
4.保证网上交易的实时性,使所有的支付过程都是在线的。
5.提供一个开放式的标准,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能。
可在不同的软硬件平台上执行并被全球广泛接受。
set协议为电子交易提供了许多保证安全的措施。
它能保证电子交易的机密性,数据完整性,交易行为的不可否认性和身份的合法性。
set协议设计的证书中包括:
银行证书及发卡机构证书、支付网关证书和商家证书。
(1)保证客户交易信息的保密性和完整性
set协议采用了双重签名技术对set交易过程中消费者的支付信息和订单信息分别签名,使得商家看不到支付信息,只能接收用户的订单信息;
而金融机构看不到交易内容,只能接收到用户支付信息和帐户信息,从而充分保证了消费者帐户和定购信息的安全性。
(2)确保商家和客户交易行为的不可否认性
set协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性。
其理论基础就是不可否认机制,采用的核心技术包括x.509电子证书标准,数字签名,报文摘要,双重签名等技术。
(3)确保商家和客户的合法性
set协议使用数字证书对交易各方的合法性进行验证。
通过数字证书的验证,可以确保交易中的商家和客户都是合法的,可信赖的。
4交易流程编辑set交易过程中要对商家,客户,支付网关等交易各方进行身份认证,因此它的交易过程相对复杂。
(1)客户在网上商店看中商品后,和商家进行磋商,然后发出请求购买信息。
(2)商家要求客户用电子钱包付款。
(3)电子钱包提示客户输入口令后与商家交换握手信息,确认商家和客户两端均合法。
(4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。
(5)商家将含有客户支付指令的信息发送给支付网关。
(6)支付网关在确认客户信用卡信息之后,向商家发送一个授权响应的报文。
(7)商家向客户的电子钱包发送一个确认信息。
(8)将款项从客户帐号转到商家帐号,然后向顾客送货,交易结束。
从上面的交易流程可以看出,set交易过程十分复杂性,在完成一次set协议交易过程中,需验证电子证书9次,验证数字签名6次,传递证书7次,进行签名5次,4次对称加密和非对称加密。
通常完成一个set协议交易过程大约要花费1.5-2分钟甚至更长时间。
由于各地网络设施良莠不齐,因此,完成一个set协议的交易过程可能需要耗费更长的时间。
采用公钥加密和私钥加密相结合的办法保证数据的保密性set协议中,支付环境的信息保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而获得的。
它采用的公钥加密算法是Rsa的公钥密码体制,私钥加密算法是采用des数据加密标准。
这两种不同加密技术的结合应用在set中被形象的成为数字信封,Rsa加密相当于用信封密封,消息首先以56位的des密钥加密,然后装入使用1024位Rsa公钥加密的数字信封在交易双方传输。
这两种密钥相结合的办法保证了交易中数据信息的保密性。
一、采用信息摘要技术保证信息的完整性
set协议是通过数字签名方案来保证消息的完整性和进行消息源的认证的,数字签名方案采用了与消息加密相同的加密原则。
即数字签名通过Rsa加密算法结合生成信息摘要,信息摘要是消息通过hash函数处理后得到的唯一对应于该消息的数值,消息中每改变一个数据位都会引起信息摘要中大约一半的数据位的改变。
而两个不同的消息具有相同的信息摘要的可能性及其微小,因此hash函数的单向性使得从信息摘要得出信息的摘要的计算是不可行的。
信息摘要的这些特征保证了信息的完整性。
二、采用双重签名技术保证交易双方的身份认证
set协议应用了双重签名(dualsignatures)技术。
在一项安全电子商务交易中,持卡人的定购信息和支付指令是相互对应的。
商家只有确认了对应于持卡人的支付指令对应的定购信息才能够按照定购信息发货;
而银行只有确认了与该持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进行支付。
为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同时不会侵犯顾客的私人隐私这一目的,set协议采用了双重签名技术来保证顾客的隐私不被侵犯。
set协议提供了在b2c平台上信用卡在线支付的方式,不过由于其实现起来非常复杂,商家和银行都需要改造系统来实现相互操作,如此看来,set的普遍应用还需要假以时日。
无论是使用ssl协议还是使用set协议进行在线支付,它们总有不如人意之处。
但由于set在安全性,保密性上的优势,它本应成为未来电子商务实现在线支付的主流方式。
笔者针对其主要问题——商品质量和残留数据的处理方式上,提出了改进方案:
引入商品质量检测机制来保证商品的质量;
建立一个“交易信息档案中心”来解决交易后残留数据的归属,以此保证用户的利益。
一、引入商品质量检测机制保证商品质量
引入这种机制的具体做法是商家把商品直接发送到消费者所在地的官方商品质量检测
机构,由这些专业质检机构来检测商品质量问题,检测完毕后再通知消费者前来领取商品。
如果消费者需要此服务,必须和商家协商分摊质量检测的费用;
如果不需要,就按照一般的set流程交易。
因此,我们引入商品质量检测机制可以检查商品质量,解决了set协议中产生的“如果商品质量问题由谁负担”的问题。
这样既能保证用户的利益,也能保证商家的利益不被损害。
二、引进商品质量检测机制后set的交易流程
引进商品质量检测机制后,基于set的交易过程与原来相比更复杂了些,也需要对set消息报文进行修改,需要将质量检测信息作为附件形式加入set消息报文中。
因此要在set信息报文中增加附件位,可考虑附件位的标识为0和1两种情况,其中0表示没有附件,1表示存在附件。
附加的附件信息包括交易双方的有关信息(如给双方打上编号)、商品名称、商品保质期、商品生存周期等.
(1)用户查询商品的信息,确定所要定购的商品。
(2)用户和商家进行探讨,确定商品质量检测
费用该如何分摊。
(3)将定购单和支付信息一起以电子数据的方式来发给商家。
(4)商家进行验证,向用户所拥有的支付卡的金融机构请求取得支付授权。
(5)金融机构验证数字签名,验证用户信息的合法性。
如果合法则发送授权信息。
(6)商家验证授权信息后,向用户发出定购确认信息。
同时查询用户所在地区的商品质量检测部门的信息。
由商家将商品配送到用户所在地区的商品质量检测部门。
(7)用户所在地商品质量检测部门接收商家的商品。
在验收产品质量后,将附件位由0改为1,并附加附件具体信息,向商家发送收货信息并负责配送商品给消费者;
商家向用户所拥有的支付卡的金融机构请求付款。
(8)用户得到满意的商品后,对付款单进行签名,向商品质量检测部门表示同意付款,并向自己的支付卡所在的发行卡发送支付信息。
发卡行在同时得到商家付款请求和用户同意付款的信息之后,方可付款。
set协议是由美国的公司发起并联合开发的,因此,set协议支持信用卡支付这一支付方式比较符合欧美各国的使用情况。
可是实际应用上,set要求持卡人在客户端安装电
篇二:
set协议和ssl协议的主要不同是什么
set协议和ssl协议的主要不同是什么
ssl协议和set协议的差别主要表现在以下几个方面:
(1)用户接口:
ssl协议已被浏览器和web服务器内置,无需安装专门软件;
而set协议中客户端需安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件。
(2)处理速度:
set协议非常复杂、庞大,处理速度慢。
一个典型的set交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程可能需花费1.5至2分钟;
而ssl协议则简单得多,处理速度比set协议快。
(3)认证要求:
早期的ssl协议并没有提供身份认证机制,虽然在ssl3.0中可以通过数字签名和数字证书实现浏览器和web服务器之间的身份验证,但仍不能实现多方认证,而且ssl中只有商家服务器的认证是必须的,客户端认证则是可选的。
相比之下,set协议的认证要求较高,所有参与set交易的成员都必须申请数字证书,并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
(4)安全性:
安全性是网上交易中最关键的问题。
set协议由于采用了公钥加密、信息摘要和数字签名可以确保信息的保密性、可鉴别性、完整性和不可否认性,且set协议采用了双重签名来保证各参与方信息的相互隔离,使商家只能看到持卡人的订购数据,而银行只能取得持卡人的信用卡信息。
ssl协议虽也采用了公钥加密、信息摘要和mac检测,可以提供保密性、完整性和一定程度的身份鉴别功能,但缺乏一套完整的认证体系,不能提供完备的防抵赖功能。
因此,set的安全性远比ssl高。
(5)协议层次和功能:
ssl属于传输层的安全技术规范,它不具备电子商务的商务性、协调性和集成性功能。
而set协议位于应用层,它不仅规范了整个商务活动的流程,而且制定了严格的加密和认证标准,具备商务性、协调性和集成性功能。
总结:
由于ssl协议的成本低、速度快、使用简单,对现有网络系统不需进行大的修改,因而目前取得了广泛的应用。
但随着电子商务规模的扩大,网络欺诈的风险性也在提高,在未来的电子商务中set协议将会逐步占据主导地位。
篇三:
set协议和ssl协议的区别
set协议和ssl协议的区别
两种都是应用于电子商务用的网络安全协议。
都能保证交易数据的安全性、保密性和完整性。
ssl叫安全套接层协议,是国际上最早用的,已成工业标准,但它的基点是商家对客户信息保密的承诺,因此有利于商家而不利于客户。
set叫安全电子交易协议,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。
因它的对象包括消费者、商家、发卡银行、收单银行、支付网关、认证中心,所以对消费者与商家同样有利。
它越来越得到众人认同,将会成为未来电子商务的规范。
近年来,it业界与金融行业一起,推出不少更有效的安全交易标准。
主要有:
(1)安全超文本传输协议(s-http):
依靠密钥对的加密,保障web站点间的交易信息传输的安全性。
(2)安全套接层协议(ssl协议:
securesocketlayer)是由网景(netscape)公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。
它能够对信用卡和个人信息提供较强的保护。
ssl被用于netscapecommunicator和microsoftie浏览器,用以完成需要的安全交易操作。
在ssl中,采用了公开密钥和私有密钥两种加密方法。
(3)安全交易技术协议(stt:
securetransactiontechnology):
由microsoft公司提出,stt将认证和解密在浏览器中分离开,用以提高安全控制能力。
microsoft将在internetexplorer中采用这一技术。
(4)安全电子交易协议(set:
secureelectronictransaction):
set协议是由Visa和mastercard两大信用卡公司于1997年5月联合推出的规范。
set主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。
set中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
升级会员 