持卡人及商戶注冊(cè)登陸

1、持卡人及商戶注冊(cè)(登陸),持卡人購物上網(wǎng)就首先要登錄。登錄要有證書, 使用 SET 傳送。持卡人想用SET進(jìn)行網(wǎng)上支付, 就必須先從認(rèn)證中心CA取得公開密鑰證書。證書中包括他的公鑰 , 用以驗(yàn)證他簽名的信息。,,從CA取得經(jīng)簽名的證書方法如下圖所示。,獲得簽名過的證書的過程是：,(1) 持卡人按格式提出申請(qǐng)送到 CA。(2) CA 按有關(guān)發(fā)卡行簽署注冊(cè)的格式返回給持卡人。(3) 持卡人自己產(chǎn)生公鑰與私鑰對(duì), 并按格式填寫, 然后將公

2、鑰返回 CA 中心。(4) CA中心從有關(guān)發(fā)卡行驗(yàn)證格式并產(chǎn)生證書, 然后返回給持卡人。持卡人得到CA中心簽字的證書。,注冊(cè)要求和CA回應(yīng)信息CInit Req/CInit Res,,注冊(cè)要求和CA回應(yīng)信息,要求類型指持卡人是要一個(gè)簽字證書還是要加密證書或兩者均要。品牌 ID(BIN) 是卡前六位數(shù) , 惟一標(biāo)識(shí)發(fā)卡行。語言是指返回注冊(cè)時(shí)需要的語言。證書的指紋 (Thumbs) 也送給 CA。CInit Res: CA 對(duì)注

3、冊(cè)請(qǐng)求返回信息包括相對(duì)的注冊(cè)格式、對(duì)應(yīng)類型及證書掛失情況(CRLS) 以上要由 CA 簽字。,驗(yàn)證請(qǐng)求和驗(yàn)證響應(yīng)CertReq/CertRes,持卡人得到回應(yīng)后,可以驗(yàn)證此證書,以便證實(shí)確實(shí)得到CA的有效注冊(cè)。持卡人經(jīng)上述注冊(cè)過程,可得到一個(gè)驗(yàn)證證書的格式。按其格式填寫,填入銀行卡號(hào)和有效日期,為了傳送這些敏感數(shù)據(jù)到CA,需要CA的公鑰以RSA算法加密,且要強(qiáng)加密。當(dāng)CA收到證書驗(yàn)證請(qǐng)求后,通過現(xiàn)有的銀行卡授權(quán),交換網(wǎng)絡(luò)得到發(fā)卡行的

4、證實(shí),如信用卡有效,即產(chǎn)生一個(gè)簽署證書,以持卡人的公鑰加密送回持卡人。CA發(fā)回的驗(yàn)證響應(yīng)包括:新的證書、強(qiáng)加密的 Nonce-CCA 等 ,,驗(yàn)證請(qǐng)求圖示,,驗(yàn)證響應(yīng)圖示,至此，持卡人有了CA簽名的證書,便可用銀行卡在互聯(lián)網(wǎng)上購物并按SET協(xié)議為商戶支付。,第三節(jié) SET協(xié)議的擴(kuò)展,本章將介紹SET協(xié)議的擴(kuò)展。這些擴(kuò)展主要包括對(duì)借記卡的擴(kuò)展、SET協(xié)議在線PIN擴(kuò)展、支持IC卡擴(kuò)展以及通用密文設(shè)備SET擴(kuò)展等。這些擴(kuò)展增強(qiáng)了SET

5、的功能,滿足了當(dāng)前市場(chǎng)的商業(yè)需要,促進(jìn)了SET的發(fā)展。SET擴(kuò)展由SETCo技術(shù)委員會(huì)審查并批準(zhǔn)。,1、銀行卡簡(jiǎn)介,SET 協(xié)議主要用于信用卡的電子支付。 信用卡有廣義和狹義之分。從廣義上講 , 凡是能夠?yàn)槌挚ㄕ咛峁┬庞米C明 , 持卡者可憑卡購物或享受特殊服務(wù)的,均可稱為信用卡。廣義的信用卡包括除銷卡、借記卡、貸記卡、ATM卡、支票卡等各種類型的卡。從狹義上講,信用卡應(yīng)是商業(yè)銀行發(fā)行的貸記卡, 即不需要先存款,可以先行透支消費(fèi)的信用卡

6、。SET1.0協(xié)議本是針對(duì)狹義的貸記卡進(jìn)行處理。,我國銀行卡大體分三類:貸記卡,即信用卡,有小額信貸功能,它要求持卡人有較高的信譽(yù)度。借記卡,需要建立持卡人檔案,不需要擔(dān)保,不可以透支。儲(chǔ)值卡,不需要建檔案,不需要擔(dān)保,不可以透支, 一般用于小額消費(fèi)。,根據(jù)信用卡的制作材料不同, 可分為塑料卡、磁條卡和 IC 卡等。1. 塑料卡。應(yīng)用于 20 世紀(jì)50－60 年代 , 國外信用卡公司率先采用塑料卡制成信用卡。顧客消費(fèi)時(shí), 出示塑

7、料卡顯示身份, 即可消費(fèi)。2. 磁卡。誕生于1970年, 在塑料卡上粘貼磁條。磁卡可以直接插人終端機(jī)進(jìn)行處理, 目前磁卡仍然是使用最廣泛的信用卡。3.IC 卡, 也稱智能卡, 產(chǎn)生于 20 世紀(jì) 70 年代初, 是在卡片表面鑲嵌 CPU 集成電路芯片的信用卡。IC卡與磁卡相比,具有存儲(chǔ)信息容量大、安全性能高、使用快捷方便等優(yōu)點(diǎn)。,2、SET協(xié)議對(duì)借記卡的擴(kuò)展,目前借記卡市場(chǎng)主要有兩類 :(1)離線借記卡。在許多國家處于主導(dǎo)地位,具

8、有很高的增長率。 (2)在線借記卡。基于使用個(gè)人密碼PIN, 具有很高的增長率。,信用卡與借記卡在支付上的主要區(qū)別是借記卡為先存款后消費(fèi),透支要有上限額度限制,借記卡要有PIN個(gè)人密碼進(jìn)行身份鑒別。SET協(xié)議原本是針對(duì)信用卡(貸記卡)開發(fā)的,以信用卡為支付工具。SET為支持借記卡作為支付工具,必須進(jìn)行功能擴(kuò)充。SET協(xié)議對(duì)借記卡的擴(kuò)展主要涉及以下內(nèi)容。,1 .識(shí)別要求SET 協(xié)議對(duì)借記卡的識(shí)別要求包括 : 持卡者驗(yàn)證方式、軟件和

9、硬件加密、 IC 卡和硬件標(biāo)記、算法、借記撤消和分期付款。2. 建議結(jié)構(gòu)。如下圖。,3. 持卡者環(huán)境 該環(huán)境由發(fā)卡行選擇, 持卡SET借記卡環(huán)境定義在持卡者證書中, 發(fā)卡行可以進(jìn)行以下選擇。(1) SET 1.0 協(xié)議 ( 沒有額外安全要求 )。(2) EMV IC卡、非EMV IC卡、其他安全標(biāo)記。(3) 安全設(shè)備(用于輸人PIN、簽字)。(4) 軟件 (用于PIN加密)。4. 通用環(huán)境。品牌證書標(biāo)識(shí)借記交易, 在商

10、家系統(tǒng)和支付網(wǎng)關(guān)需要加入SET1.0 協(xié)議的借記功能。 (1) 個(gè)人識(shí)別號(hào)碼。,(2) 集成電路卡。(3) 安全標(biāo)記。(4)橢圓曲線密碼技術(shù)。5. SET 借記卡安全性(1) 發(fā)卡行進(jìn)行在線PIN驗(yàn)證。(2) IC卡或安全標(biāo)記進(jìn)行離線PIN驗(yàn)證。(3) 發(fā)卡行驗(yàn)證 IC卡或安全標(biāo)記。(4) SET 使用 IC卡、安全標(biāo)記、安全設(shè)備(如 PIN 輸入設(shè)備)進(jìn)行簽字。,6. 在線 PIN 驗(yàn)證。見下圖示。,7. 離線PIN

11、 驗(yàn)證 8. 借記卡和發(fā)卡行驗(yàn)證,9.SET 持卡者簽字 10. 對(duì)SET1.0協(xié)議的影響 (1) 持卡者計(jì)算機(jī)由發(fā)卡行定義。(2) 商家系統(tǒng)需要增加對(duì)IC卡的支持 , 僅用于上傳數(shù)據(jù)。另外, 如果可能, 應(yīng)采用 ECC密碼技木。(3) 支付網(wǎng)關(guān)系統(tǒng)增加對(duì)IC卡的支持, 能夠翻譯 IC卡數(shù)據(jù)。需要增加對(duì)PIN的支持, 能夠翻譯PIN數(shù)據(jù)。另外,如果可能,應(yīng)采用ECC密碼技術(shù)。,11. 提議的功能(1) 區(qū)域

12、非對(duì)稱 PIN 加密。(2) 對(duì) PIN 采用 DES 區(qū)域加密。(3) IC 卡擴(kuò)展基于 EMV EC 支持 EMV ICCs 、非 EMV ICCs 、安全標(biāo)記。(4) 支持橢圓曲線密碼技術(shù) , 用于 SET Debit Security 和 Certification Authority。,11. 提議的功能(5) 持卡者證書擴(kuò)展 , 向發(fā)卡行提供第 2 軌道數(shù)據(jù)或密碼 ( cryptogram) 的支持 , 向商家和支付

13、網(wǎng)關(guān)通知持卡者環(huán)境。(6) 可選的 PIN 用于持卡者注冊(cè)。(7) 批借記撤消。(8) 分期支付。(9) 三重 DES。,以上介紹的結(jié)構(gòu)的好處,(1) 發(fā)卡行可以按照市場(chǎng)和安全需要選擇一個(gè)持卡者環(huán)境。(2) 可以選擇使用IC卡、安全標(biāo)記、安全設(shè)備、軟件進(jìn)行PIN加密。(3) 可接收的較低安全風(fēng)險(xiǎn), 根據(jù)情況進(jìn)行選擇。(4) 根據(jù)借記卡產(chǎn)品政策、借記卡組織可以定義或限制持卡者環(huán)境。,以上介紹的結(jié)構(gòu)的好處,(5) 支持磁卡的借

14、記卡。(6) 當(dāng)前開發(fā)的IC卡或安全標(biāo)記可以用于SET借記安全中。(7) SET 借記IC卡擴(kuò)展基于 EM V' 97 Chip Electronic Commerce Standard ( EMV EC)。(8) 發(fā)卡行可以應(yīng)用任何持卡者環(huán)境, 并可遷移到 EMV IC 卡, 不會(huì)影響通用SET借記環(huán)境。,3 SET協(xié)議在線PIN擴(kuò)展,個(gè)人密碼識(shí)別號(hào)PIN是用戶為支付卡設(shè)定的個(gè)人密碼。SET協(xié)議在線PIN擴(kuò)展定義了兩種

15、使用個(gè)人識(shí)別號(hào) PIN 的擴(kuò)展方式, 一是持卡者通過任何方式 (包括通過鍵盤)來輸入PIN;另一個(gè)是通過安全設(shè)備來輸人PIN。在實(shí)際應(yīng)用中, 根據(jù)支付卡的政策來決定使用方式。,PIN 非對(duì)稱加密方法,在線PIN要進(jìn)行加密,其加密機(jī)制為非對(duì)稱加密方法,PIN信息采用鍵盤或其他設(shè)備輸人持卡者的計(jì)算機(jī)中,采用支付網(wǎng)關(guān)公鑰加密保護(hù)。在SET協(xié)議中,加密的PIN數(shù)據(jù)通過商家傳輸?shù)街Ц毒W(wǎng)關(guān),支付網(wǎng)關(guān)使用私鑰解密。,SET在線PIN處理模型,,(1

16、) 在線PIN安全要求。遵照ISO 9564在線PIN使用定義標(biāo)準(zhǔn), 定義輸入、格式化、對(duì)稱加密, 以及在公開共享的PIN輸入設(shè)備環(huán)境下處理在線PIN的標(biāo)準(zhǔn)。(2)持卡者PIN輸入。上述標(biāo)準(zhǔn)要求安全的PIN輸入設(shè)備,PIN輸入設(shè)備必須包括CPU、內(nèi)存及SET軟件。支付網(wǎng)關(guān)證書可以指出: 該支付網(wǎng)關(guān)是否允許通過鍵盤來輸入PIN或者使用安全設(shè)備。,(3) 在線PIN擴(kuò)展。有兩種 SET 在線 PIN 擴(kuò)展 , 一個(gè)與采用PC鍵盤輸入PIN

17、有關(guān), 一個(gè)與采用PIN安全輸入設(shè)備有關(guān)。兩個(gè)擴(kuò)展使用相同的內(nèi)容語法, 只是對(duì)象標(biāo)識(shí)不同。電子錢包提供特定的在線PIN擴(kuò)展, 指出在線PIN如何輸入。這些擴(kuò)展的主要目的是識(shí)別具有在線PIN的交易, 并要求支付網(wǎng)關(guān)處理這些交易。第二個(gè)目的是從磁條卡的第2磁道上載有某 些數(shù)據(jù), 并與SET消息的其他數(shù)據(jù)一起來驗(yàn)證PIN。這些擴(kuò)展消息放置在支付指令(PI)的DES加密部分, 所以商家無法得到這些信息, 只有支付網(wǎng)關(guān)才能得到。,(4) SET擴(kuò)

18、展中的PIN對(duì)象標(biāo)識(shí)(OIDs)。SET擴(kuò)展位于支付網(wǎng)關(guān)加密證書的私用SET證書擴(kuò)展中, SET證書和用擴(kuò)展域列出了支付網(wǎng)關(guān)支持的有關(guān)支付指示的SET消息擴(kuò)展。持卡者在支付指示中產(chǎn)生危急消息擴(kuò)展之前檢查支付網(wǎng)關(guān)證書 , 消息擴(kuò)展由對(duì)象刷、 (OIDs) 指出。(5)持卡者處理在線PIN。持卡者軟件不保存PIN,一旦PIN被加密, 必須清除內(nèi)存中任何PIN明文信息。持卡者軟件必須知道哪些支付卡要求在線PIN, 一種方法是讓持卡者支付卡注

19、冊(cè)時(shí)指出要求在線PIN,當(dāng)持卡者證書中具有可用服務(wù)碼(Service Code)時(shí),可以決定是否需要輸入PIN,其他方式由發(fā)卡行和軟件提供。,(6)支付網(wǎng)關(guān)處理PIN。支持ATM網(wǎng)絡(luò)的銀行系統(tǒng), 當(dāng)前是使用防篡改的密碼硬件安全設(shè)備, 從ATM接收在線PIN, 并將PIN發(fā)送給內(nèi)部系統(tǒng)或其他ATM網(wǎng)絡(luò)。一般接收到的PIN用DES密鑰加密, 當(dāng)PIN傳到另一個(gè)節(jié)點(diǎn)時(shí), 該P(yáng)IN采用另一個(gè)DES密鑰重新加密。DES密鑰保存在防篡改的密碼硬件安

20、全設(shè)備中, 該設(shè)備能夠解開第一個(gè)DES密鑰加密的PIN, 并用第二個(gè)DES密鑰重新加密PIN。SET支付網(wǎng)關(guān)要求硬件加密模塊保存私鑰, 對(duì)輸入數(shù)據(jù)進(jìn)行解密, 對(duì)產(chǎn)生的結(jié)果進(jìn)行數(shù)字簽名。,4 SET協(xié)議支持IC卡擴(kuò)展,1999年9月, SETco批準(zhǔn)并公布了Europay International、 MasterCard International、 Visa International提交的"CommonChip Exte

21、nsion SET 1.0" 。金融機(jī)構(gòu)希望將它們的芯片卡, 采用SET協(xié)議進(jìn)行安全電子商務(wù)交易, 并具有處理芯片卡數(shù)據(jù)的通用擴(kuò)展。所以同意采用EMV格式來為通用芯片擴(kuò)展提供一個(gè)好的基礎(chǔ)。,擴(kuò)展內(nèi)容,通用芯片擴(kuò)展結(jié)構(gòu)包括三個(gè)數(shù)據(jù)區(qū)：(1)可選的支付方案標(biāo)識(shí),用于標(biāo)識(shí)傳輸數(shù)據(jù)的支付方案,當(dāng)包含Private Data時(shí)必須使用該標(biāo)識(shí)。(2)EMV數(shù)據(jù)區(qū),用于傳輸芯片卡相關(guān)的數(shù)據(jù)及按照EMV定義的編碼。(3)Private

22、 Data允許一個(gè)支付方案包含無法在EMV數(shù)據(jù)區(qū)中編碼的數(shù)據(jù),收單行支持Private Data數(shù)據(jù)是可選,Private Data中的數(shù)據(jù)對(duì)成功處理交易不能是危險(xiǎn)的。,通用芯片卡擴(kuò)展結(jié)構(gòu),EMV芯片卡電子商務(wù)規(guī)范,1999 年12月, 提出了在SET協(xié)議環(huán)境下, 采用EMV芯片實(shí)現(xiàn)信用卡和借記卡的電子商務(wù)支付方式。該規(guī)范在SET協(xié)議基礎(chǔ)上具有兩個(gè)關(guān)鍵特點(diǎn): 一是通過一個(gè)密碼實(shí)現(xiàn)在線的持卡認(rèn)證,二是通過使用可選的持卡者PIN來進(jìn)行持卡

23、驗(yàn)證。,IC卡電子商務(wù)系統(tǒng)結(jié)構(gòu)圖,由8個(gè)部分組成: 發(fā)卡行、持卡者、EMVIC卡、持卡者系統(tǒng)、商家服務(wù)器、支付網(wǎng)關(guān)、收單 行、支付系統(tǒng)。EMVIC卡保存持卡者的支付數(shù)據(jù), 能夠產(chǎn)生一個(gè)密碼來認(rèn)證該卡, 可以驗(yàn)證一個(gè)持卡者的 PIN。下面介紹每個(gè)部分的處理功能 ：(1) EMV信用卡和借記卡IC卡。 EMV信用卡和借記卡 IC 卡能夠?yàn)槊總€(gè)交易產(chǎn)生一個(gè)應(yīng)用密碼,該密碼可在線方式被拒絕或批準(zhǔn),或者請(qǐng)求為一個(gè)交易進(jìn)行在線提名或授權(quán)。,(

24、2) 商家服務(wù)器。商家服務(wù)器是SET標(biāo)準(zhǔn)的商家系統(tǒng), EMV芯片卡電子商務(wù)規(guī)范沒有對(duì)商家服務(wù)器提出其他要求。(3) 支付網(wǎng)關(guān)。EMV芯片卡對(duì)電子商務(wù)規(guī)范和支付網(wǎng)關(guān)提出了以下附加要求 :·要求必要的消息擴(kuò)展。 ·可選消息擴(kuò)展。如支付網(wǎng)關(guān)應(yīng)當(dāng)能處 理SET on-line PIN。 ·支付網(wǎng)關(guān)證書改變。,(4) 持卡者系統(tǒng)。持卡者系統(tǒng)是由硬件和軟件組成, 實(shí)現(xiàn)一個(gè)持卡者、IC卡和一個(gè)

25、 SET商家服務(wù)器的相互操作。IC卡設(shè)備接口滿足定義要求, 具有規(guī)定的PIN輸入設(shè)備。持卡者系統(tǒng)包括如下功能: 卡選擇、應(yīng)用選擇、讀應(yīng)用數(shù)據(jù)、持卡者驗(yàn)證、終端動(dòng)作分析、發(fā)卡行腳本處理和完成、離線數(shù)據(jù)認(rèn)證、終端風(fēng)險(xiǎn)管理等。,IC卡SET協(xié)議交易流程,交易需要處理的信息,(1) SET 支付開始消息 (SET payment. Initiation) 0 商家服務(wù)器調(diào)用持卡者系統(tǒng) , 通知持卡者系統(tǒng)商家接受的支付品牌。(2) 支付卡選擇(

26、Card Selection)。持卡者告訴持卡者系統(tǒng)用于該購買的支付卡品牌。(3) 選擇應(yīng)用(Application Selection)。持卡者系統(tǒng)從支付卡選擇一個(gè)應(yīng)用, 如果需要, 從持卡者輸入。(4) 應(yīng)用開始(Application Initiation)。持卡者系統(tǒng)根據(jù)持卡者和支付卡是否同意該交易如何處理 , 開始一個(gè)支付卡應(yīng)用。,(5) 讀應(yīng)用(Read Application)。持卡者系統(tǒng)讀出應(yīng)用數(shù)據(jù)。(6)購買初

27、始請(qǐng)求(Purchase Initialization Request)。持卡者系統(tǒng)通知商家服務(wù)器持卡者如何支付, 并開始購買。(7)購買初始響應(yīng)(Purchase Initialization Response)。商家返回完成購買需要的信息。 (8) 持卡者驗(yàn)證 (Cardholder Verification)。持卡者系統(tǒng)重新恢復(fù)來自持卡者的信息, 用于驗(yàn)證信息的相同性, 向支付卡顯示信息或傳輸給發(fā)卡行來驗(yàn)證。,(9) 終端活動(dòng)

28、分析(Terminal Action Analysis)。 持卡者系統(tǒng)請(qǐng)求交易的在線授權(quán), 支付卡決定是否離線拒絕該交易, 或請(qǐng)求一個(gè)在線授權(quán)或提名。(10)購買請(qǐng)求(Purchase Request)。持卡者系統(tǒng)請(qǐng)求一個(gè)購買, 向商家服務(wù)器提交數(shù)據(jù), 這些數(shù)據(jù)是支付網(wǎng)關(guān)和發(fā)卡行用于響應(yīng)該請(qǐng)求所需要的。(11)授權(quán)請(qǐng)求 (Authorization Request)。商家服務(wù)器向支付網(wǎng)關(guān)發(fā)出數(shù)據(jù), 這些數(shù)據(jù)用于驗(yàn)證持卡者的真實(shí)性,

29、并產(chǎn)生一個(gè)支付網(wǎng)關(guān)的授權(quán)請(qǐng)求。SET協(xié)議中, 在授權(quán)處理之前, 允 許一個(gè)商家返回一個(gè)PRes消息給持卡者系統(tǒng)。,(12) 授權(quán)響應(yīng) (Authorization Response)。支付網(wǎng)關(guān)向商家服務(wù)器發(fā)出一個(gè)消息, 表示該交易被發(fā)卡行授權(quán)批準(zhǔn)或拒絕。(13)購買響應(yīng)(Purchase Res.)。在接收到持卡者的購買請(qǐng)求之后,商家服務(wù)器通知持卡者系統(tǒng)交易的狀態(tài)。(14)發(fā)卡行腳本處理和完成(Issuer Script Proce

30、ssing and Completion)。持卡者系統(tǒng)結(jié)束持卡者和 IC 卡的聯(lián)系。(15)付款請(qǐng)求(Capture Req.)。商家服務(wù)器在接收到支付網(wǎng)關(guān)的授權(quán)響應(yīng)后, 向支付網(wǎng)關(guān)請(qǐng)求得到付款。(16)付款響應(yīng)(Capcure Res.)。支付網(wǎng)關(guān)通知商家服務(wù)器請(qǐng)款請(qǐng)求的處理狀態(tài)。,思考題,1. 什么是 SET 協(xié)議 ?2.SET 協(xié)議的特點(diǎn)是什么 ?3.SET 協(xié)議的信息結(jié)構(gòu)是怎樣的 ?4.SET 協(xié)議對(duì)中國借記卡需求有什