摘 要:随着信息经济时代的到来,电子商务也得到了迅猛发展,安全电子交易作为电子商务的重要组成部分,也成为研究的热点。该文通过对安全电子交易SET协议的分析研究,指出了SET协议在对借记卡支持不足、报文信息复杂等缺陷,并给出了相应的解决方案,使之更适应中国电子商务市场。
关键词:安全电子交易;SET协议;借记卡;报文信息
中图分类号:TN914.332 文献标识码:A
引言:
随着Internet迅速流行,电子商务被公认为是未来IT业新的增长点。电子商务的一个核心问题是支付,电子商务在安全高效的环境中运行,是研究的关键。安全电子交易( SET) 是由Visa 和Mastercard公司联合推出的基于信用卡在线支付的电子商务系统的安全协议。它不仅 定义了电子协议,而且对证书的管理和交易处理过程等制定了严格的规定。它是许多电子支付手段中发展较完善、使用较广泛的一种电子交易模式。研究SET协议,完善和改进SET协议,对于促进中国电子商务的发展,以及中国自主版权的软件开发都有着积极的作用。
1 缺陷1.SET协议对中国支付环境支持不够
SET协议在设计之初主要针对美国和欧美发达国家流行的信用卡,并在协议中详细定义了美国的支付方式。而针对其他国家尤其是像中国这样广泛使用借记卡的国家,没有定义出很好的解决办法。
改进方案:
原有的SET协议是基于信用卡交易来设计的,信用卡是主要支付工具。信用卡与借记卡主要区别是信用卡支持信用制度可以透支,借记卡透支要有上限额度限制,借记卡需要有PIN进行身份鉴别。
17作业网英语SET1.0在设计时只考虑到支持信用卡业务,现在为了使SET协议适应中国国情支持借记
卡,在不影响SET协议的通用性为前提下,需要对SET协议作一些修改。
1.1 对借记卡支持的建议结构
SET1.0标准主要针对信用卡,只需要输入主帐户(PAN)信息,没有定义个人密码((PIN)的处理方法。在SET协议中,持卡者的身份是由持卡者的证书和支付卡的主帐户PAN来保证的,而PIN应该和PAN具有同等的安全要求,所以可以考虑对PIN使用与PAN相同的加密处理过程。
在线PIN加密机制是PIN通过键盘或其它设备输入到持卡人的电脑中。PIN数据放在SET协议中RS A/OAEP块中,采用支付网关公钥和对称加密保护,SET协议中加密的PIN加拿大飞蓬
首先通过商家传到支付网关,然后支付网关使用私钥解开信封,再用对称密钥解出PIN数据,如果需要,可以将PIN数据转换为其它的PIN块格式,采用对称密钥重新加密,最后将重新加密的PIN数据发送到支付卡网络。 个人密码((PIN)的格式应遵循IS09564-1 Format0, PIN块使用砝码检定8个字节,格式化操作时将一个明文的PIN数据区和一个账号号码数据区进行二进制异或,异或的目的是为了增强PAN和PIN数据的关联性,防止替换攻击。
1.2 持卡人对PIN的支持
为了使持卡人知道某一张卡是否需要PIN需要在SET的证书中增加一个扩展项,来标示是否要输入PIN国际民航组织,同时可以使用id-set-PIN-Secure-Source和id-set-PIN-Any-Source的标志位来区分是否需要使用安全的PIN输入设备。工程预算编制
持卡人对PIN的处理过程:(1)用户选择了支付的卡后,持卡人软件需要知道哪张支付卡要求在线PIN,通过该卡对应证书的扩展项来判断该卡是否要求PIN输入。如果需要,则利用输入终端设备得到PIN,建立明文的PIN数据域。持卡人软件不保存PIN,一旦PIN被加密,则必须清除内存中的所有PIN明文信息;(2)建立帐号数据区,异或明文的PIN数据和账号数据区。用随机生成的对称密钥,加密异或后的PIN数据区;(3)用支付网关的RSA公开密钥,加密对称密钥。加密的PIN数据通过商家传输到支付网关,支付网关使用私钥解密。
支付网关处理的过程如下:(1)执行RSA/OAEP过程,使用支付网关私钥解密,解开对称加密密钥;(2)用对称加密密钥解密PIN加密数据公安部孙正良简介;。(3)重新建立PAN的数据区,并与PIN数据块异或,得到PIN;(4)根据需要将PIN数据经过格式的转换,送去银行效验。
