8. 在SET协议中有哪些角色,他们有什么作用?
1)持卡人:持卡人使用由发卡机构颁发的付款卡进行结算。在持卡人和商家的会话中,SET可以保证持卡人的个人账号信息不被泄漏。
2)发卡机构:它是一个金融机构,为每一个建立了账户的顾客颁发付款卡,保证对每一笔认证交易的付款。
3)商家:提供商品或服务,使用SET,就可以保证持卡人个人信息的安全。接受付款卡支付的商家必须和银行有关系。
4)银行:在线交易的商家在银行开立账号,并且处理支付卡的认证和支付。
5)支付网关:可以由银行/第三方操作的,将Internet上的传输数据转换为金融机构内部数据的设备,并处理商家支付信息和顾客的支付指令。
9. 什么是SET电子钱包?
SET交易发生的先决条件是,每个持卡人(客户)必须拥有一个惟一的电子(数字)证书,且由客户确定口令,并用这个口令对数字证书、私钥、信用卡号码及其他信息进行加密存储,这些与符合SET协议的软件一起组成了一个SET电子钱包。
11. 简述一个成功的SET交易的标准流程。
(1) 客户在网上商店选中商品并决定使用电子钱包付款,商家服务器上的POS软件发报文给客户的浏览器要求电子钱包付款。
(2) 电子钱包提示客户输入口令后与商家服务器交换“握手”消息,确认客户、商家均为合法,初始化支付请求和支付响应。
(3) 客户的电子钱包形成一个包含购买订单、支付命令(内含加密了的客户信用卡号码)的报文发送给商家。
(4) 商家POS软件生成授权请求报文(内含客户的支付命令),发给收单银行的支付网关。
(5) 支付网关在确认客户信用卡没有超过透支额度的情况下,向商家发送一个授权响应报文。
(6) 商家向客户的电子钱包发送一个购买响应报文,交易结束,客户等待商家送货上门。
12. 说明SET与SSL的区别。
同SSL相比较,SET有这样一些区别: 1)SET远远不止是一个技术方面的协议,它还说明了每一方所持有的数字证书的含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。SET实现非常复杂,商家和银行都需要改造系统以实现互操作,并且还需要认证中心的支持。
2)SET是一个多方的报文协议,它定义了银行、商家、持卡人之间的必须的报文规范。SSL只是简单地在两方之间建立一条安全连接。
3)SET报文能够在银行内部网或者其他网络上传输,而SSL之上的卡支付系统只能与Web浏览器捆绑在一起。
4)SSL相对不安全,不是为支持电子商务设计。
13. 简述SSL的记录协议和握手协议。
SSL记录协议是建立在可靠的传输协议(如TCP)之上,为更高层提供基本的安全服 务,如提供数据封装、眼所、加密等基本功能的支持。
SSL记录协议用来定义数据传输的格式,它包括的记录头和记录数据格式的规定。在
49
SSL协议中,所有的传输数据都被封装在记录中。
SSL握手协议负责建立当前会话状态的参数。双方协商一个协议版本,选择密码算法,相互认证(不是必须的),并且使用公钥加密技术通过一系列交换的消息在客户端和服务器之间生成共享密钥。
50