1、l持卡人购物上网就首先要登录。登录要有证书,使用 SET 传送。持卡人想用SET进行网上支付,就必须先从认证中心CA取得公开密钥证书。证书中包括他的公钥,用以验证他签名的信息。从CA取得经签名的证书方法如下图所示。l(1)持卡人按格式提出申请送到 CA。l(2)CA 按有关发卡行签署注册的格式返回给持卡人。l(3)持卡人自己产生公钥与私钥对,并按格式填写,然后将公钥返回 CA 中心。l(4)CA中心从有关发卡行验证格式并产生证书,然后返回给持卡人。持卡人得到CA中心签字的证书。l要求类型指持卡人是要一个签字证书还是要加密证书或两者均要。l品牌 ID(BIN)是卡前六位数,惟一标识发卡行。l语言
2、是指返回注册时需要的语言。l证书的指纹(Thumbs)也送给 CA。lCInit Res:CA 对注册请求返回信息包括相对的注册格式、对应类型及证书挂失情况(CRLS)以上要由 CA 签字。l持卡人得到回应后,可以验证此证书,以便证实确实得到CA的有效注册。持卡人经上述注册过程,可得到一个验证证书的格式。按其格式填写,填入银行卡号和有效日期,为了传送这些敏感数据到CA,需要CA的公钥以RSA算法加密,且要强加密。l当CA收到证书验证请求后,通过现有的银行卡授权,交换网络得到发卡行的证实,如信用卡有效,即产生一个签署证书,以持卡人的公钥加密送回持卡人。CA发回的验证响应包括:新的证书、强加密的
3、Nonce-CCA 等,l至此,持卡人有了CA签名的证书,便可用银行卡在互联网上购物并按SET协议为商户支付。l本章将介绍SET协议的扩展。这些扩展主要包括对借记卡的扩展、SET协议在线PIN扩展、支持IC卡扩展以及通用密文设备SET扩展等。这些扩展增强了SET的功能,满足了当前市场的商业需要,促进了SET的发展。SET扩展由SETCo技术委员会审查并批准。lSET 协议主要用于信用卡的电子支付。l信用卡有广义和狭义之分。从广义上讲,凡是能够为持卡者提供信用证明,持卡者可凭卡购物或享受特殊服务的,均可称为信用卡。广义的信用卡包括除销卡、借记卡、贷记卡、ATM卡、支票卡等各种类型的卡。从狭义上讲
4、,信用卡应是商业银行发行的贷记卡,即不需要先存款,可以先行透支消费的信用卡。SET1.0协议本是针对狭义的贷记卡进行处理。l我国银行卡大体分三类:l贷记卡,即信用卡,有小额信贷功能,它要求持卡人有较高的信誉度。l借记卡,需要建立持卡人档案,不需要担保,不可以透支。l储值卡,不需要建档案,不需要担保,不可以透支,一般用于小额消费。l根据信用卡的制作材料不同,可分为塑料卡、磁条卡和 IC 卡等。l1.塑料卡。应用于 20 世纪5060 年代,国外信用卡公司率先采用塑料卡制成信用卡。顾客消费时,出示塑料卡显示身份,即可消费。l2.磁卡。诞生于1970年,在塑料卡上粘贴磁条。磁卡可以直接插人终端机进行
5、处理,目前磁卡仍然是使用最广泛的信用卡。l3.IC 卡,也称智能卡,产生于 20 世纪 70 年代初,是在卡片表面镶嵌 CPU 集成电路芯片的信用卡。IC卡与磁卡相比,具有存储信息容量大、安全性能高、使用快捷方便等优点。l目前借记卡市场主要有两类:l(1)离线借记卡。在许多国家处于主导地位,具有很高的增长率。l(2)在线借记卡。基于使用个人密码PIN,具有很高的增长率。l信用卡与借记卡在支付上的主要区别是借记卡为先存款后消费,透支要有上限额度限制,借记卡要有PIN个人密码进行身份鉴别。lSET协议原本是针对信用卡(贷记卡)开发的,以信用卡为支付工具。SET为支持借记卡作为支付工具,必须进行功能
6、扩充。lSET协议对借记卡的扩展主要涉及以下内容。l1.识别要求lSET 协议对借记卡的识别要求包括:持卡者验证方式、软件和硬件加密、IC 卡和硬件标记、算法、借记撤消和分期付款。l2.建议结构。如下图。l3.持卡者环境 l该环境由发卡行选择,持卡SET借记卡环境定义在持卡者证书中,发卡行可以进行以下选择。l(1)SET 1.0 协议(没有额外安全要求)。l(2)EMV IC卡、非EMV IC卡、其他安全标记。l(3)安全设备(用于输人PIN、签字)。l(4)软件(用于PIN加密)。l4.通用环境。l品牌证书标识借记交易,在商家系统和支付网关需要加入SET1.0 协议的借记功能。l(1)个人识
7、别号码。(2)集成电路卡。l(3)安全标记。l(4)椭圆曲线密码技术。l5.SET 借记卡安全性l(1)发卡行进行在线PIN验证。l(2)IC卡或安全标记进行离线PIN验证。l(3)发卡行验证 IC卡或安全标记。l(4)SET 使用 IC卡、安全标记、安全设备(如 PIN 输入设备)进行签字。l6.在线 PIN 验证。见下图示。7.离线PIN 验证 8.借记卡和发卡行验证 l9.SET 持卡者签字 l10.对SET1.0协议的影响 l(1)持卡者计算机由发卡行定义。l(2)商家系统需要增加对IC卡的支持,仅用于上传数据。另外,如果可能,应采用 ECC密码技木。l(3)支付网关系统增加对IC卡的
8、支持,能够翻译 IC卡数据。需要增加对PIN的支持,能够翻译PIN数据。另外,如果可能,应采用ECC密码技术。l11.提议的功能l(1)区域非对称 PIN 加密。l(2)对 PIN 采用 DES 区域加密。l(3)IC 卡扩展基于 EMV EC 支持 EMV ICCs、非 EMV ICCs、安全标记。l(4)支持椭圆曲线密码技术,用于 SET Debit Security 和 Certification Authority。l11.提议的功能l(5)持卡者证书扩展,向发卡行提供第 2 轨道数据或密码(cryptogram)的支持,向商家和支付网关通知持卡者环境。l(6)可选的 PIN 用于持卡
9、者注册。l(7)批借记撤消。l(8)分期支付。l(9)三重 DES。l(1)发卡行可以按照市场和安全需要选择一个持卡者环境。l(2)可以选择使用IC卡、安全标记、安全设备、软件进行PIN加密。l(3)可接收的较低安全风险,根据情况进行选择。l(4)根据借记卡产品政策、借记卡组织可以定义或限制持卡者环境。l(5)支持磁卡的借记卡。l(6)当前开发的IC卡或安全标记可以用于SET借记安全中。l(7)SET 借记IC卡扩展基于 EM V 97 Chip Electronic Commerce Standard(EMV EC)。l(8)发卡行可以应用任何持卡者环境,并可迁移到 EMV IC 卡,不会影
10、响通用SET借记环境。l个人密码识别号PIN是用户为支付卡设定的个人密码。lSET协议在线PIN扩展定义了两种使用个人识别号 PIN 的扩展方式,一是持卡者通过任何方式(包括通过键盘)来输入PIN;另一个是通过安全设备来输人PIN。在实际应用中,根据支付卡的政策来决定使用方式。l在线PIN要进行加密,其加密机制为非对称加密方法,PIN信息采用键盘或其他设备输人持卡者的计算机中,采用支付网关公钥加密保护。l在SET协议中,加密的PIN数据通过商家传输到支付网关,支付网关使用私钥解密。l(1)在线PIN安全要求。遵照ISO 9564在线PIN使用定义标准,定义输入、格式化、对称加密,以及在公开共享
11、的PIN输入设备环境下处理在线PIN的标准。l(2)持卡者PIN输入。上述标准要求安全的PIN输入设备,PIN输入设备必须包括CPU、内存及SET软件。支付网关证书可以指出:该支付网关是否允许通过键盘来输入PIN或者使用安全设备。l(3)在线PIN扩展。有两种 SET 在线 PIN 扩展,一个与采用PC键盘输入PIN有关,一个与采用PIN安全输入设备有关。两个扩展使用相同的内容语法,只是对象标识不同。电子钱包提供特定的在线PIN扩展,指出在线PIN如何输入。这些扩展的主要目的是识别具有在线PIN的交易,并要求支付网关处理这些交易。第二个目的是从磁条卡的第2磁道上载有某 些数据,并与SET消息的
12、其他数据一起来验证PIN。这些扩展消息放置在支付指令(PI)的DES加密部分,所以商家无法得到这些信息,只有支付网关才能得到。(4)SET扩展中的PIN对象标识(OIDs)。SET扩展位于支付网关加密证书的私用SET证书扩展中,SET证书和用扩展域列出了支付网关支持的有关支付指示的SET消息扩展。持卡者在支付指示中产生危急消息扩展之前检查支付网关证书,消息扩展由对象刷、(OIDs)指出。l(5)持卡者处理在线PIN。持卡者软件不保存PIN,一旦PIN被加密,必须清除内存中任何PIN明文信息。持卡者软件必须知道哪些支付卡要求在线PIN,一种方法是让持卡者支付卡注册时指出要求在线PIN,当持卡者证
13、书中具有可用服务码(Service Code)时,可以决定是否需要输入PIN,其他方式由发卡行和软件提供。l(6)支付网关处理PIN。支持ATM网络的银行系统,当前是使用防篡改的密码硬件安全设备,从ATM接收在线PIN,并将PIN发送给内部系统或其他ATM网络。一般接收到的PIN用DES密钥加密,当PIN传到另一个节点时,该PIN采用另一个DES密钥重新加密。DES密钥保存在防篡改的密码硬件安全设备中,该设备能够解开第一个DES密钥加密的PIN,并用第二个DES密钥重新加密PIN。lSET支付网关要求硬件加密模块保存私钥,对输入数据进行解密,对产生的结果进行数字签名。l1999年9月,SETc
14、o批准并公布了Europay International、MasterCard International、Visa International提交的CommonChip Extension SET 1.0。l金融机构希望将它们的芯片卡,采用SET协议进行安全电子商务交易,并具有处理芯片卡数据的通用扩展。所以同意采用EMV格式来为通用芯片扩展提供一个好的基础。l通用芯片扩展结构包括三个数据区:l(1)可选的支付方案标识,用于标识传输数据的支付方案,当包含Private Data时必须使用该标识。l(2)EMV数据区,用于传输芯片卡相关的数据及按照EMV定义的编码。l(3)Private Dat
15、a允许一个支付方案包含无法在EMV数据区中编码的数据,收单行支持Private Data数据是可选,Private Data中的数据对成功处理交易不能是危险的。l1999 年12月,提出了在SET协议环境下,采用EMV芯片实现信用卡和借记卡的电子商务支付方式。l该规范在SET协议基础上具有两个关键特点:一是通过一个密码实现在线的持卡认证,二是通过使用可选的持卡者PIN来进行持卡验证。由8个部分组成:发卡行、持卡者、EMVIC卡、持卡者系统、商家服务器、支付网关、收单 行、支付系统。EMVIC卡保存持卡者的支付数据,能够产生一个密码来认证该卡,可以验证一个持卡者的 PIN。l下面介绍每个部分的处
16、理功能:l(1)EMV信用卡和借记卡IC卡。EMV信用卡和借记卡 IC 卡能够为每个交易产生一个应用密码,该密码可在线方式被拒绝或批准,或者请求为一个交易进行在线提名或授权。l(2)商家服务器。商家服务器是SET标准的商家系统,EMV芯片卡电子商务规范没有对商家服务器提出其他要求。l(3)支付网关。EMV芯片卡对电子商务规范和支付网关提出了以下附加要求:l要求必要的消息扩展。l 可选消息扩展。如支付网关应当能处 理SET on-line PIN。l 支付网关证书改变。l(4)持卡者系统。持卡者系统是由硬件和软件组成,实现一个持卡者、IC卡和一个 SET商家服务器的相互操作。IC卡设备接口满足定
17、义要求,具有规定的PIN输入设备。持卡者系统包括如下功能:卡选择、应用选择、读应用数据、持卡者验证、终端动作分析、发卡行脚本处理和完成、离线数据认证、终端风险管理等。l(1)SET 支付开始消息(SET payment.Initiation)0 商家服务器调用持卡者系统,通知持卡者系统商家接受的支付品牌。l(2)支付卡选择(Card Selection)。持卡者告诉持卡者系统用于该购买的支付卡品牌。l(3)选择应用(Application Selection)。持卡者系统从支付卡选择一个应用,如果需要,从持卡者输入。l(4)应用开始(Application Initiation)。持卡者系统根
18、据持卡者和支付卡是否同意该交易 如何处理,开始一个支付卡应用。l(5)读应用(Read Application)。持卡者系统读出应用数据。l(6)购买初始请求(Purchase Initialization Request)。持卡者系统通知商家服务器持卡者如何支付,并开始购买。l(7)购买初始响应(Purchase Initialization Response)。商家返回完成购买需要的信息。l(8)持卡者验证(Cardholder Verification)。持卡者系统重新恢复来自持卡者的信息,用于验证信息的相同性,向支付卡显示信息或传输给发卡行来验证。l(9)终端活动分析(Terminal
19、 Action Analysis)。持卡者系统请求交易的在线授权,支付卡决定是否离线拒绝该交易,或请求一个在线授权或提名。l(10)购买请求(Purchase Request)。持卡者系统请求一个购买,向商家服务器提交数据,这些数据是支付网关和发卡行用于响应该请求所需要的。l(11)授权请求(Authorization Request)。商家服务器向支付网关发出数据,这些数据用于验证持卡者的真实性,并产生一个支付网关的授权请求。SET协议中,在授权处理之前,允 许一个商家返回一个PRes消息给持卡者系统。l(12)授权响应(Authorization Response)。支付网关向商家服务器发
20、出一个消息,表示该交易被发卡行授权批准或拒绝。l(13)购买响应(Purchase Res.)。在接收到持卡者的购买请求之后,商家服务器通知持卡者系统交易的状态。l(14)发卡行脚本处理和完成(Issuer Script Processing and Completion)。持卡者系统结束持卡者和 IC 卡的联系。l(15)付款请求(Capture Req.)。商家服务器在接收到支付网关的授权响应后,向支付网关请求得到付款。l(16)付款响应(Capcure Res.)。支付网关通知商家服务器请款请求的处理状态。l1.什么是 SET 协议?l2.SET 协议的特点是什么?l3.SET 协议的信息结构是怎样的?l4.SET 协议对中国借记卡需求有什么扩充?
