计算机信息安全论文：基于SET协议的移动支付安全的分析与改进5篇

第一篇：计算机信息安全论文：基于SET协议的移动支付安全的分析与改进

计算机信息安全论文：基于SET协议的移动支付安全的分析与改进

摘要:分析了在WAP环境下基于SET协议的移动支付的交易流程不满足商品原子性和确认发送原子性。当商家得到正确支付后,SET协议不能保证他一定会发货给持卡者,也不能保证发送的就是持卡者订购的商品。同时基于SET协议的安全性和不可否认性也存在着不足。基于这些局限性,本文通过加入预付款机制,信用等级制度和纠纷仲裁机制,完善了移动支付的整个交易过程,切实保护了各方的利益。

关键词:SET协议;移动支付;原子性;信用等级制度;WAP 1引言

移动支付业务是由移动运营商、服务提供商和金融机构共同推出的、构建在移动运营支撑系统上的一个移动数据增值业务。通过移动支付,企业和用户可以随时随地通过无线方式进行交易,大大增强了买卖双方的灵活性和支付性。中国拥有广大的移动用户群,而且这些移动用户都是收入较高者,拥有比较强的消费能力,综合这些方面,中国的手机支付业务具有相当大的发展潜力。但是移动支付目前的发展状况并不像预期的那么好,安全性、技术平台有待成熟、完善和标准化,消费者缺乏使用习惯,信用体系的缺失等几个问题是阻碍移动支付发展的主要因素。其中移动支付的安全问题又是建立一个完善的移动电子支付系统所要解决的首要问题。只要手机支付在信用安全方面的问题得不到有效地解决,移动支付就很难得到真正的应用。因此,可以采

用先进的技术和设备来确保移动支付的安全性问题。现有的信息安全基础技术为移动支付的安全保障提供了非常有力的解决途径。其中身份认证、数据加密、数字签名等技术是移动安全支付系统中最重要的基础技术。

2移动支付中的安全威胁和安全要求 2.1移动支付面临的三大安全威胁(1)交易者身份被冒用。

(2)传输交易资料(付款卡或账号等私人资料)时被窃取或修改。(3)交易者否认曾经进行过的交易。

2.2移动支付的安全要求移动支付应对支付本身、支付所涉及的内容进行恰当的保护,确保交易双方的合法权益不受非法攻击者的侵害。通常移动支付应满足下面的安全要求:(1)交易双方身份的认证。(2)资料信息的私密性。(3)资料信息的一致性、完整性。(4)不可否认性。SET协议在移动支付中的应用

3.1 WAP环境分析WAP网络架构由3部分组成,即WAP网关、移动终端和WAP源服务器。WAP网关起着“翻译”的作用,是联系GSM网和Internet的桥梁;移动终端为用户提供了上网用的微浏览器以及信息命令的输入方式;WAP源服务器存储大量信息,以提供移动

终端用户浏览和查询。

WAP以WTLS协议作为传输层安全协议,保证在WAP网关和移动终端之间安全连接。在有线环境下用SSL协议用来保证WAP网关和Internet Web服务器之间的安全通信。

但是由于WAP移动终端内存小、处理能力低和无线网络带宽窄等局限性,并且SET协议在提出之时没有考虑无线通讯环境。要解决上述问题,可以将SET协议中的传统电子钱包进行优化。将原来主要功能集于一身的“胖”电子钱包分为两部分:电子钱包服务器端和电子钱包客户端。客户端是一个很小的浏览器插件,可以安装在移动终端,服务器端承担了大部分的处理交易功能。这样改进后的SET协议就可以用于WAP环境下的移动支付。

3.2支持WAP终端的SET模型

电子钱包接口安装在WAP终端,服务器钱包代表持卡人与器钱包之间采用WAP的WTLS和SSL安全协议,实现两者之间的安全通讯。

3.3基于SET协议的移动支付交易流程

(1)持卡者使用微浏览器登陆商家网上商城购物,选定要购买的商品放入购物车,完毕后,点击“支付”按钮;(2)商家软件生成包含商品、价格、交易码在内的订单信息,启动电子钱包客户端,输入用户名称和密码登录,与钱包服务器端开始一个WTLS会话连接;(3)服务器钱包发出它的WTLS证书给钱包客户端。一旦钱包客

户端验证通过,就开始发送初始交易信息;(4)客户端钱包接口将支付初始消息发向服务器钱包,选择卡种来进行付款;(5)服务器电子钱包向商家发送初始化请求;(6)商家发送初始化响应及证书;(7)服务器电子钱包收到响应,产生购买请求发送给商家,同时包括支付网关需要的信息;(8)商家收到购买请求后,向支付网关发送授权请款请求(9)支付网关收到授权请款请求后,产生授权请款响应发送给商家;(10)商家处理授权请款响应,发送购物请求响应给服务器电子钱包,并发送客户购买的货物或服务;(11)服务器电子钱包与顾客客户端WTLS会话连接,通知客户端支付成功。

3.4基于SET协议的移动支付的局限性

虽然能够解决WAP终端和电子钱包服务器端的安全连接和身份认证问题,但是由于SET协议交易流程中本身存在着缺陷,移动支付交易也存在着同样的局限性。

(1)业务信息保密和完整性:终端用户发出的支付敏感数据可能被泄露,支付数据可能未经用户同意被篡改。

(2)不可否认性:终端用户否认他所发的信息或商家否认他接受的消息,交易发生纠纷时,将无法辨别纠纷中的是与非。

(3)商品的原子性和交易原子性:不能保证商家一定会发货给持卡者,也不能保证发送的就是持卡者订购的商品。

(4)缺少信用机制:商家和顾客对各自互不了解,尤其是持卡者对商家的信用度并不明确,因而承受一定的信用风险。

4基于高级SET协议的移动支付交易流程

(1)客户端钱包与服务器钱包建立连接,完成初始化通信。(2)服务器钱包代表持卡人C(Cardholder)、商家B(Business)和支付网关(Gateway)在交易开始之前,获得彼此可信的证书。并且终端用户通过合法身份到发卡行注册虚拟的用户名和虚拟账号。

(3)钱包服务器端接收到客户端发送的购买基本信息,包括购买的商品、交易支付卡品牌、相应的服务信息,将订单请求用商家的公钥PKB(Public Key of Business)加密发送到商家。

(4)B用自己的私钥SKB(Secret Key of Business)解密持卡者C的订单,并根据现货和库存给出报价单,用SKB加密传给S。

(5)持卡者用商家和用户的信用等级来确定预付款。信用评价机构将商家和用户的信用等级分为五类(A~E),每个等级对应一个信用百分数和怀疑百分数。要确定一个预付款百分数P(Percent),得到的公式:假设商家信用度为B级,持卡者信用度为C级,则预付款百分数p=(80%+30%)/(90%+50%)=78.6%。将预付款百分数乘以报价即可得到预付款额M1和后付款额M2。假设报价为5000,预付款百分数为

78.6%,预付款M1=3930,后付款额M2=5000–3930=1070。持卡者C数字签名M′=ESKC(GradeC,GradeB,M1,M2,O),同时用PKB加密M′和DCC(Digital Certificateof C)得到M″=EPKB(M′,DCC),并发送给商家。

(6)商家用SKB解密得到DCC,然后到CA中心验证其真实无误,则用PKC(Public Key of C)解密M′得到GradeC,GradeB,M1,M2,O。商家用同样的、双方约定的规则确定出首付款和后付款与持卡者发送来的相比较,正确无误后,商家用Hash算法对随机生成的一个对称密钥K1,交易号N的订单O运算得到O′,再用K1对(O′,M1,M2,N)加密得R=EK1(O′,M1,M2,N),然后用PKC对K1加密得K1′,再数字签名得Q=ESKB(R,K1′),将Q发送给持卡者。同时用支付网关的公钥PKG加密K1得K1″,然后数字签名得Q′=ESKB(R,K1″),发送给支付网关。

(7)C对Q解密,确定是由商家发来,并用SKC解密K1′,得到K1并用来解密R,得到O′,M1,M2,N,对照确定无误后,持卡者产生支付指令PI(Payment Instructions),其中包括M1和M2等,并对PI进行数字签名PI′=ESKC(PI)。持卡者随机生成一个对称密钥K2,并对PI′进行加密PI″=EK2(PI′),对订单O进行Hash运算得O″。用C的密钥K2对其虚拟账户信息VAI进行加密得VAI′=EK2(VAI),用支付网关的公钥加密K2得K2′=ESKG(K2)。这样防止了商家获悉持卡者的有关支付信息,只有支付网关G才可以解密。持卡者对自己的数字证

书DCC以及PI″,K2′,O″,VAI′进行数字签名,T=ESKC(DCC,PI″,K2′,O″,VAI′),然后将T发送给商家。

(8)商家对收到的T解密,确定是由C发来,然后对DCC,I″,其他SET实体(商家、支付网关、CA)进行通讯,WAP终端和服务K2′,O″,VAI′进行数字签名发送到支付网关。

(9)支付网关对其用PKB进行解密,确定是由商家发来,对得到的DCC到CA进行验证,验证成功,用PKG(Public Key ofGateway)解密K2′得到K2并解密PI″,VAI′,PI′得到VAI和签了名的PI′和PI。将O′与O″对照,商家所发M1,M2与持卡者所发M1,M2对照,无误则将支付指令PI和VAI经由金融专用网发给发卡行。

(10)发卡行进行验证确定持者信息无误,发生资金划拨M1并将M2冻结,发送完成消息和银行交易序列号NUM到支付网关。

(11)G向B发送支付已讫消息OK和NUM,用PKB加密并数字签名发送给商家。

(12)B用PKG和SKB解密,确认为G所发并确认已付信息;然后向C发出发货通知,并用PKC加密后数字签名发往C。

(13)当C确认所购物品无误,用PKC将收到消息加密签名后发送到商家,同时发出二次支付指令PI2解冻M2并将之划归商家等。验证加密流程同指令PI1。若在一定期限内双方无异议,则M2将自动划拨到商家账号。

(14)若C发现商品并不是自己所购商品或物品损坏或商家欺诈行

为,首先提出与商家协商,协商未果则在M2自动解冻期内向G发送调解请求,G将再次冻结或延长M2冻结期,同时仲裁机构介入,作出判决。并向信用等级评价机构发出指令给与败诉方相应惩罚,如降低败诉方的信用等级等。

5安全性分析

(1)机密性在协议信息传输时,支付终端对发送信息中与支付相关的敏感信息如支付账号、支付密码等使用会话密钥进行加密,保证了在无线通信环境下这些敏感信息的机密性。

(2)完整性使用Hash算法进行了数字摘要,保证了数据的完整性。(3)不可否认性每次信息传输发送方与接收方都要进行数字证书的验证以保证其身份真实,并且商家要验证客户所发订单以及款项,支付网关验证双方的订单摘要、付款金额。本支付流程中移动终端并不直接签名,由发卡行的钱包服务器端对其认证,代其签名。所有传输的数据商家、持卡者的钱包服务器端、支付网关都有数据证据和双方确认信息。

(4)交易原子性和商品原子性商品的订单是双方确定的,不可抵赖,且支付网关有订单的摘要,确保发送商品确实是持卡者所要的。当客户发现非己所要的商品,可向商家协商或向仲裁机构投诉,保证商品发送原子性。通过建立预付款机制有效避免了客户利益的损失。如果客户发现商家延迟发货或者商品在到达客户手中已经损坏,客户可向仲裁机构投诉责令商家承担责任,降低商家信用等级,保证满足商品原子

性。

(5)可信性信用制度的引进约束了商家和持卡人的行为,减少了可能的欺诈行为,增加了移动电子商务交易的可信度。首付与后付款的采用保护了持卡人的利益,避免商家的抵赖,欺诈与发货不及时性问题,以及物品中途受损给持卡人造成的利益损害。

6结束语

本文作者创新观点:本文在分析了移动支付的安全要求后,在WAP环境下,针对原有的基于SET协议的移动支付方案的缺陷,引进电子钱包客户端与电子钱包服务器端,解决了WAP移动终端内存小等局限性;并通过建立预付款机制、仲裁机构、信用等级制度等有效地解决交易中的公平性、原子性、不可否认性和安全性等问题。

参考文献

[1]Liang Jin,Shi Ren.Research on WAP Clients Supports SETpayment protocol[J].Xi’an Jiaotong Univ 2002.08

[2]李北金,张力.基于WAP的电子支付的安全性研究[J].微计算机信息.2008.06 [3]汪杨琴.移动支付协议安全性研究.上海交通大学[D].中国优秀硕士学位论文全文数据库.2007 [4]张若岩.基于SET协议的移动支付系统的研究与实现[D].西北工业大学.中国优秀硕士学位论文全文数据库.2008 [5]Mobile Payment Forum,ltd.Mobile Payment Forum White

Paper.http://www.xiexiebang.com/mpf_member_news_and_events/mpf_documents/Mobile_Payment_Forum_White_Paper_December_2002.pdf [6]李峰.移动支付安全研究[D].山东大学。中国优秀硕士学位论文全文数据库.2008作者简介:万仲保(1965-),男(汉族),江西南昌,华东交通大学副教授,研究方向:信息安全,网络工程;王晴(1984-),女(汉族),江苏南京,华东交通大学硕士研究生,研究方向:信息安全,移动支付安全

－

第二篇：浅析电子商务安全协议SSL与SET

浅析电子商务安全协议SSL与SET

一、引言

电子商务融计算机技术、通信技术、网络技术于一体，以Internet为基础平台，互动性、开放性、广泛性为其显著特点。由于其开放性与广泛性，必然面临各种安全风险，如信息泄露或被篡改、欺骗、抵赖等。所以，安全问题已成为发展可信赖电子商务环境的瓶颈。目前，众多的安全技术都是通过安全协议来实施的。因此，简洁、有效的安全协议对电子商务安全而言至关重要。现今，国际上主要通行的两种安全协议：安全套接层协议SSL和安全电子交易协议SET，二者均是成熟和实用的安全协议，但是由于它们的设计目的不同，所以在应用上有很大的差别。

二、两种电子商务安全协议介绍

（一）安全套接层协议SSL

SSL是网景(Netscape)公司提出的基于WEB应用的安全协议，其目的是在Internet基础上提供的一种保证机密性的安全协议。它能使客户端／服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，而且还可选择对客户端进行认证。

SSL协议是国际上最早应用于电子商务的一种网络安全协议，主要用于提高应用程序之间的数据安全。它同时使用对称加密算法和公钥加密算法，前者在速度上比后者要快很多，但是后者可以实现更好的安全认证。一个SSL传输过程首先需要握手：用公钥加密算法使服务器在客户端得到认证，以后就可以使用双方商议成功的对称密钥来更快速的加密、解密数据。

SSL协议要求建立在可靠的传输层协议(例如：TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如：HTTP，FTP)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。应用层协议所传送的数据都会被加密，从而保证通信的机密性。对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。SSL协议由SSL记录协议和SSL握手协议两部分组成。

1、SSL记录协议

在SSL协议中，所有的传输数据都被封装在记录中。所有的SSL通信，包括握手消息、安全空白记录和应用数据都使用SSL记录协议。记录协议允许服务器和客户端相互认证并协商加密算法和密钥，对所有发送和接收的数据进行分段、压缩、认证、加密和完整性服务。

2、SSL握手协议

SSL握手协议包括建立在记录协议之上的握手协议、警报协议、更改加密说明协议和应用数据协议等对会话和管理提供支持的子协议，其用于在通信双方之间建立安全传输通道。握手过程一般分为4个阶段：

(1)初始化逻辑连接，客户端先发出ClientHello消息，服务器返回一个ServerHello消息，这两个消息用来协商双方的安全能力，包括协议版本、对称加密算法、压缩算法等。

(2)服务器发送数字证书(包含了服务器的公钥等)和会话密钥。如果服务器要求认证客户端，则要发送CertificateRequest消息。最后服务器发送ServerHelloDone消息，表示hello阶段结束，服务器等待客户端的响应。

(3)如果服务器要求认证客户端，则客户端先发送Certificate消息，然后产生会话密钥，并用服务器的公钥加密，封装在ClientKeyExchange消息中，如果客户端发送了自己的数字证书，则再发送一个数字签名CertificateVerify来对数字证书进行校验。

(4)客户端发送一个ChangeCipherspec消息，通知服务器以后发送的消息将采用先前协商好的安全参数加密，最后再发送一个加密后的Finished消息。服务器在收到上述两个消息后，也发送自己的ChangeCipherspec消息和Finished消息。

至此，握手全部完成，双方就可以开始传输应用数据了。

3、SSL提供的功能及局限性

SSL使用加密的办法建立一个安全的传输通道,它可提供以下3种基本的安全服务功能：

(1)信息加密。客户端和服务器之间的所有的应用数据使用在SSL握手过程中建立的密钥和算法进行加密。这样就防止了某些用户通过使用IP packet sniffer等工具进行非法窃听或者破译。

(2)信息完整。SSL提供完整信息服务，以建立客户端与服务器之间的安全通道，使所有经过SSL协议处理的业务能全部准确无误地到达目的地。

(3)相互认证。客户端和服务器都有各自的识别号，这些识别号由公开密钥进行编号。为了认证用户是否合法，SSL协议要求在握手交换数据前进行数字认证，来确保用户的合法性。

SSL协议的局限性：首先，客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证；其次，SSL只能保证资料信息传递的安全，而传递过程是否有人截取就无法保证了。所以，SSL并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。此外，该协议最大的弱点是不能做数字签名，因此不支持不可否认性。另外，它不能对商家进行认证，不能防止网上欺诈行为。

（二）安全电子交易协议SET

安全电子交易(Secure Electronic Transaction．简称SET)协议是由Visa和Master Card公司在1996年底开发的，主要为在网上在线交易时保证使用信用卡进行支付时的安全而设立的一个开放的协议，它是面向网上交易，针对利用信用卡进行支付而设计的电子支付规范。SET提供了消费者、商家和银行之间的认证，确保交易的保密性、可靠性和不可否认性，从而保证在开放网络环境下使用信用卡进行在线购物的安全。目前，SET已得到IBM、Microsoft、VeriSign等著名公司的参与和支持，是国际上所公认的Internet电子商务的安全标准。

1、基于SET的交易流程

SET协议的购物系统由持卡人、商家、支付网关、收单银行、发卡银行和证书授权中心(CA)等六大部分组成，它们之间的关系如图1所示。

此外，基于SET协议的购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发数字证书软件。目前，SET电子钱包主要是安装在客户端的交易软件，它是持卡人实现网上交易过程的主要工具。

SET协议在一般环境下的工作步骤如下：

(1)持卡人注册：持卡人为了使用信用卡，必须向支持SET的发卡银行申请开户，从而获得一个可用于Internet支付的信用卡帐号，同时向CA申请该信用卡的数字证书。此后，持卡人可以使用终端进行购物。

(2)商家注册：商家同样向CA申请用于电子商务支付的数字证书。此后，商家可以在网络上开设商城来销售货物。

(3)持卡人利用电子商务平台选定物品，并提交定单；

(4)商家接收定单，生成初始应答消息，数字签名后与商家数字证书、支付网关数字证书一起发送给持卡人；

(5)持卡人对应答消息进行处理，选择支付方式，确认定单，签发付款指令，将定单信息和支付信息进行双签名，对双签名后的信息和用支付网关公钥加密的支付信息签名后连同自己的数字证书发送给商家(商家看不到持卡人的帐号信息)；

(6)商家认证持卡人数字证书和双签名后，生成支付认可请求，并连同加密的支付信息转发给支付网关；

(7)支付网关通过金融专网到发卡银行认证持卡人的帐号信息，并生成支付认可消息，数字签名后发给商家；

(8)商家收到支付认可消息后，认证支付网关的数字签名，生成购买定单确认信息发送给持卡人。

至此交易过程结束。商家发送货物或提供服务并请求支付网关将购物款从发卡银行持卡人的帐号转账到收单银行商家帐号，支付网关通过金融专网完成转账后，生成取款应答消息发送给商家。

在以上的工作步骤当中，持卡人、商家和支付网关都通过CA来认证通信主体的身份，以确保通信的对方不是冒名顶替。

2、SET提供的功能

(1)所有信息在Internet上加密安全传输，保证数据不会被他人窃取。

(2)数字签名保证信息的完整性和不可否认性。

(3)订单信息和个人信用卡信息的隔离，使商家看不到客户的信用卡信息。

(4)参与交易各方的身份认证，保证各方身份不可假冒。

三、SSL与SET的比较

SET是一个多方面的消息报文协议，它定义了银行、商家、客户之间必须符合的报文规范。SSL只是简单地在客户端与服务器之间建立了一个安全传输通道，在涉及多方的电子交易中，只能提供交易中客户端与服务器间的认证，其并不具备商务性、服务性和集成性。SET报文能够在银行内部网络或其他网络传输，而SSL之上的支付系统只能与Web浏览器捆绑在一起。除此之外，它们还有以下区别：

1、认证机制方面，SET的安全需求较高，因此所有参与SET交易的成员都必须先申请数字证书来识别身份，而在SSL中只有商家服务器需要认证，客户端认证是可选的。

2、对客户而言，SET保证了商家的合法性，并且用户的信用卡号不会被窃取。SET替客户保守了更多的秘密使其在线购物更加轻松。在SSL协议中则缺少对商家的认证。

3、安全性上，SET的安全性较SSL高，主要原因是在整个交易中，包括客户到商家、商家到支付网关再到银行都受到严密的保护。而SSL的安全范围只限于客户到商家的信息交流。

四、结论

总的来讲，由于SSL协议的成本低、速度快、使用简单，对现有网络系统不需进行大的修改，因而其应用也相对较广泛。目前我国已有多家银行采用SSL协议，开展网上银行业务。SET协议比较复杂，它还要求在银行网络、商家服务器、客户端的PC上安装相应的软件，此外还要求必须向各方发放数字证书。这些都阻止了SET的广泛发展。但从安全性角度看，SSL协议不如SET协议安全，对于使用信用卡支付的系统来说，SET协议是最好的选择。

结合我国的具体情况，可以预见，电子商务安全措施在我国的发展趋势将是SET与SSL共存，优势互补。即在商家与银行之间采用SET协议，而与顾客连接时仍然使用SSL协议。这种方案既回避了在顾客端机器上安装软件。同时又可获得了SET提供的很多优点（作者单位：温州医学院计算机教研室）

第三篇：电子商务安全协议SSL、SET的分析与研究演讲稿

第一张：标题 第二张：SSL 概念：安全套接层(Secure Sockets Layer，SSL)是一种传输层技术，可以实现兼容浏览器和服务器之间的安全通信。SSL协议是目前网上购物网站中常使用的一种安全协议。

1.SSL协议提供的服务主要有

(1)用户和服务器的合法性认证；

(2)加密数据以隐藏被传送的数据；(3)维护数据的完整性，2.SSL协议的工作流程

(1)接通阶段：客户通过网络向服务商发送连接信息，服务商回应；

(2)密码交换阶段：客户与服务器之间交换双方认可的密码，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法；

(3)会谈密码阶段：客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；

(4)检验阶段：服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。

(5)客户认证阶段：服务器通过数字签名验证客户的可信度；

(6)结束阶段，客户与服务商之间相互交换结束的信息。

3.SSL协议的缺点

（1）客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证。

（2）SSL只能保证资料信息传递的安全，而传递过程是否有人截取就无法保证了。所以，SSL并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。

4.电子商务中的应用。电子商务与网上银行交易不同，因为有商户参加，形成客户――商家――银行，两次点对点的SSL连接。客户，商家，银行，都必须具证书，两次点对点的双向认证。

第三张SET 概念: SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。

1。SET支付系统的组成

SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。对应地，基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。

2。SET安全协议主要提供三方面的服务

（1）保证客户交易信息的保密性和完整性：

（2）确保商家和客户交易行为的不可否认性：

（3）确保商家和客户的合法性：

3。SET协议的缺点

（1）只能建立两点之间的安全连线，所以顾客只能把付款信息先发送到商家，再由商家转发到银行，而且只能保证连接通道是安全的而没有其他保证。

（2）不能保证商家会私自保留或盗用他的付款信息。

4.SET的工作流程

①消费者在互联网选所要购买的物品，并在计算机上输入订货单

②通过电子商务服务器与有关商家联系，商家作出应答，告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确、是否有变化

③消费者选择付款方式，确认订单，签发付款指令，此时SET开始介入 ④在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的足球新闻账号信息

⑤商家接受订单后，向消费者所在银行请求支付认可，信息通过支付网关到收单银行，再到电子货币发行公司确认，批准交易后，返回确认信息给商家

⑥商家发送订单确认信息给消费者，消费者端软件可记录交易日志，以备查询

⑦商家发送货物或提供服务，并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。

第四张：SSL与SET协议的比较

（1）在认证要求方面，早期的SSL并没有提供商家身份认证机制，不能实现多方认证；而SET的安全要求较高，所有参与SET交易的成员都必须申请数字证书进行身份识别。

（2）在安全性方面，SET协议规范了整个商务活动的流程，从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。

（3）在网络层协议位置方面，SSL是基于传输层的通用安全协议，而SET位于应用层，对网络上其他各层也有涉及。

（4）在应用领域方面，SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全，但如果电子商务应用是一个涉及多方交易的过程，则使用SET更安全、更通用些。

总结

由于SSL协议的成本低、速度快、使用简单，对现有网络系统不需进行大的修改，因而目前取得了广泛的应用。但随着电子商务规模的扩大，网络欺诈的风险性也在提高，在未来的电子商务中SET协议将会逐步占据主导地位。

第四篇：信息安全保障体系信息安全论文计算机论文

信息安全保障体系-信息安全论文-计算机论文 ——文章均为 WORD 文档，下载后可直接编辑使用亦可打印——

【摘要】随着社会的现代化发展，促进了信息技术的提高。在 管理中，传统的 管理模式存在着较多的问题，受各种安全隐患的影响，给 信息资料的保存带来了一定的安全威胁。

具有凭证的价值，是信息传递的重要途径，影响着我国的可持续发展。在疾控中心，的管理具有一定的特殊性，具有专业性、机密性、政策性等特点。本文叙述了疾控中心 信息安全保障体系建设的重要性，还阐述了构建 信息安全保障体系的措施。

【关键词】疾控中心； 信息；安全保障体系

1.疾控中心 信息安全保障体系建设的重要性

在我国，疾控预防控制中心的发展历史悠久，而疾控中心的前身是防疫站，在防疫站时期，我国的信息化建设还未得到良好的发展，那个时期主要以纸质 为主，从而增加了 管理的难度。随着国家信息化建设的推进，近年来，我国疾控中心的工作量不断的加大，管理难度越来越大，国家对公共卫生事业十分的重视，对疾控中心的 安全管理工作提出了明确的要求。在这种艰难的环境下，疾控中心若想实现信息化的稳步发展，需要结合时代的特点，加强 管理的信息化建设，并着力构建 信息安全保障体系，以确保疾控中心的可持续发展。上文提到，疾控中心的 管理具有机密性的特点，信息一旦被泄露，不仅是疾控中心的损失，还会对国家造成危害，其影响极其恶劣，因此，在疾控中心建设中，加强 信息安全保障体系的构建是十分重要的。

2.影响疾控中心 信息安全的因素

在疾控中心内，信息的内容十分复杂，其中包含了：疫情信息、科研、传染病 资料、突发性流行病资料、公共卫生信息、艾滋病信息等方面，所涉及的信息内容具有特殊性和机密性。在国家的现代化建设中，保障 信息的安全是疾控中心的重要工作内容。在疾控中心 信息安全管理中，信息的安全仍然会受到多个方面因素的影响，例如：网络安全，随着我国的信息化，促进了 管理的信息化发展，电子 成为了 信息的重要组成部分，受网络安全问题的影响，电子 可能会受到病毒、黑客等不良因素攻击，造成 丢失或外泄，引发 管理安全问题；系统软件安全，在管理电子 的过程中，若发生硬件故障等问题，则可能造成信息的丢失；人员安全问题，工作人员责任意识和安全意识不高，在管理中存在监守自盗的行为，引发信息安全问题。

3.构建 信息安全保障体系的措施

为了确保疾控中心 信息的安全，加强安全保障体系的建设是重要的安全保障措施，建设安全保障体系的措施主要有以下几点：

3.1 完善安全管理制度保障体系

完善的制度管理是规范工作人员行为的重要措施，工作人员是 信息管理中重要的组成部分，承担着重要的安全责任。在安全保障体系的建设中，完善安全管理制度，可以提高工作人员的责任意识和安全意识，有利于工作人员将 信息的安全管理工作落到实处，从而降低安全问题的发生率，提升我国疾控中心 信息管理的安全性。结合我国对 信息管理的相关要求和规范，例如：《 信息系统安全等级保护定级工作指南》，根据疾控中心的实际情况，制定出合理的、科学的安全管理制度。在建设之前，工作人员需要对 信息进行合理的统筹规划，加强 信息的数字化建设，结合各个工作环节的要求和功能，制定完善的安全管理制度。

3.2 重视工作人员的安全教育

在疾控中心内，管理人员承担着重要的责任，是 信息安全管理的中心，是实际的运行者和操作者，亦是安全保障体系建设的核心。疾控中心应该加强管理人员安全意识培训，可以在中心内，定期开展有关安全知识讲解的培训会，鼓励并组织管理人员积极的参与培训，并加强对管理人员的考核，以提高管理人员对安全知识学习的重视程度。另外，给予管理人员更多有关专业技能和素养的培训机会，提高管理人员的整体素质，提升管理人员的业务能力，有利于提高管理人员 信息安全管理的水平。

3.3 完善安全技术保障体系

提高安全技术是维护疾控中心 信息安全管理的重要途径，随着我国 信息管理的信息化发展，信息系统的安全管理需要安全技术的大力支持，以降低发生安全问题的概率。结合疾控中心的实际发展情况，加强系统安全技术、技术创新、数据安全技术、物理安全技术等方面的研究，以强化 信息的数据备份和恢复、数据库防火墙、数据加密、信息的安全储存、云数据的安全处理等方面，从而降低文件信息被篡改或泄露、病毒攻击、硬件故障等方面的发生率，保障 信息管理的安全。

结语

综上所述，在新时代的背景下，我国 信息管理正面临着巨大的挑战，在信息化建设中，信息管理不仅需要加强 信息化建设，还需要重视 信息的安全管理，重视安全保障体系的构建。通过完善安全管理制度保障体系、重视工作人员的安全教育、完善安全技术保障体系等方面，提高疾控中心 信息安全管理的水平，降低安全问题的发生率，有利于促进疾控中心 管理的可持续发展。

参考文献：

[1]骆念.疾控中心 信息化建设与管理初探[J].职业卫生与病伤.2016.31(2):127-128

——文章均为 WORD 文档，下载后可直接编辑使用亦可打印——

第五篇：安全电子支付协议有待改进

安全电子支付协议有待改进

电子银行业务顺利开展的基础建立在安全的电子支付上，缺乏安全的电子支付手段，电子银行根本无法在现实生活中得到实现。电子支付的安全性则依靠电子交易协议获得保证。当前通用的电子交易协议分别为SSL（Secure Socket Layer）协议与SET(Secure Electronic Transaction)协议，两者之间各不相同，并各有优缺点。

简便易行的SSL协议

安全套接层SSL协议是一种对计算机之间整个会话进行加密的协议，最初是由Netscape推出的一种安全通信协议，它通过密钥技术能够为信用卡和个人信息提供较强的安全防护。在SSL协议中采用了公开密钥和私有密钥两种加密方式。Web信息通过协议传输时，先在传送端被加密，然后在接收端被解密，从而为机器之间提供安全连接。

SSL协议是两层协议，建立在TCP传输控制协议之上、应用层之下，并且与上层应用协议无关，可为应用层协议如HTTP、FTP、SMTP等提供安全传输，通过将HTTP与SSL相结合，Web服务器就可实现客户浏览器与服务器间的安全通信。

通过用户和服务器的合法性认证、加密数据、保护数据完整性三个方面的服务，SSL协议为电子商务连接提供这样的交易流程：当顾客想从Web站点购买某个产品时，顾客和Web站点都要进行认证。顾客通常是以提供名字和密码的方式来认证其本人；Web站点通过交换一块签名数据和一个有效的X.509证书来认证它自己。顾客通过浏览器验证该证书并用所附的公用密钥验证签名数据，一旦双方都认证了，交易就可以开始了。

简便易行是SSL协议的最大优点，但与此同时其缺点也是显而易见的。首先，在交易过程中，客户的信息先到达商家那里，这就导致客户资料安全性无法保证；其次，SSL只能保证资料传递过程的安全性，而传递过程是否有人截取则无法保证；再次，由于SSL协议的数据安全性是建立在RSA等算法上，因此其系统安全性较差。

除这些缺点外，由于SSL协议不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这就造成了SSL协议在电子银行应用中的最大不足。

安全可靠的SET协议

安全电子交易SET协议是1997年由美国Visa和MasterCard两大信用卡组织提出、应用于Internet上、以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X.509数字证书标准，主要应用于B to C模式中保障支付信息的安全性。

SET协议主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份以及可操作性。可以说，SET协议是PKI框架下的一个典型实现，其核心技术主要有公开密钥加密、数字签名、电子信封、电子安全证书等。通过这些手段，SET协议在电子交易环节上为用户提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。

由于SET提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为目前公认的信用卡/借记卡的网上交易的国际安全标准。

在整个交易过程中，数字认证（CA）扮演了系统中很重要的角色。SET协议重点就在于利用CA实现交易安全及隐秘性，数字证书为其核心，它提供了简单的方法来确保进行电子交易的人们能够互相信任。在交易中，信用卡组织提供数字证书给发卡银行，然后发卡行再提供证书给持卡人；同时，信用卡组织也提供数字证书给收单银行，然后收单银行再将证书发给特约商店。在进行交易的时候，持卡人和特约商店两边利用符合SET协议规格的软件，在资料交换前分别确认双方的身份，也就是检查由授权的第三者所发给的证书。

在整个交易过程中，SET协议的安全保障主要来自于：将所有报文文本用非对称的方式加密；增加两类保密键（公钥和单钥）的字长；采用联机动态的授权和认证检查，以确保交易过程的安全可靠性。

安全可靠是SET协议最大的优点，但在实际应用中，SET协议依然存在以下不足：

1.协议没有说明收单银行给商家付款前，是否必须收到客户的货物接受证书。一旦客户对货物的质量标准提出疑义，而收单银行已把货款付给了商家，谁承担责任将无法定义。

2.协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的客户发出的。

3.SET技术规范没有提及在事务处理完成后如何安全地保存或销毁此类数据；

4.利用SET协议实施电子支付，交易过程复杂，使用成本高。

两种协议比较

SET是一个多方的消息报文协议，它定义了银行、商家、持卡人之间必需的报文规范，而SSL只是简单地在两方之间建立了一条安全连接。SSL是面向连接的，而SET允许各方之间的报文交换不是实时的。SET报文能够在银行内部网络或者其他网络上传输，而基于SSL协议之上的支付卡系统只能与Web浏览器捆绑在一起。两者间的差别主要表现在以下几个方面。

用户接口不同

在应用中，SSL协议已被浏览器与Web服务器内置，无须安装专门软件，用户通过网络就可直接应用；而SET协议中客户端须安装专门的电子钱包类软件，并且在商家服务器和银行网络上也须安装相应的软件，不同银行间系统间的兼容性尚不够完善。

处理速度不同

SET协议非常复杂、庞大，处理速度慢。一个典型的SET交易过程须验证电子证书9次，验证数字签名6次，传递证书7次，进行5次签名，4次对称加密和4次非对称加密，整个交易过程可能需花费1.5～2min；而SSL协议则简单得多，处理速度比SET协议快。

认证要求各异

早期的SSL协议并没有提供身份认证机制，虽然在SSL 3.0中可以通过数字签名和数字证书实现浏览器和Web服务器之间的身份验证，但仍不能实现多方认证，而且在SSL协议中商家服务器的认证是必需的，客户端的认证则是可选的。相比之下，SET协议的认证要求较高，所有参与SET交易的成员都必须申请数字证书。SET协议还解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。

安全性能差别大

安全性是网上交易中最关键的问题。SET协议由于采用了公钥加密、信息摘要和数字签名，可以确保信息的保密性、可鉴别性、完整性和不可否认性，且SET协议采用了双重签名来保证各参与方信息的相互隔离，使商家只能看到持卡人的订购数据，而银行只能取得持卡人的信用卡信息。

SSL协议虽也采用了公钥加密、信息摘要和MAC检测，可以提供保密性、完整性和一定程度的身份鉴别功能，但缺乏一套完整的认证体系，不能提供完备的防抵赖功能。因此，SET的安全性远比SSL高。

协议层次和功能各异

SSL属于传输层的安全技术规范，不具备电子商务的商务性、协调性和集成性功能。而SET协议位于应用层，不仅规范了整个商务活动的流程，而且制定了严格的加密和认证标准，具备商务性、协调性和集成性功能。

相比之下，SET协议从技术上和流程上都要相对优于SSL协议，功能上也更强，但这并不代表SET协议就会超过SSL协议的应用。

因为虽然SET通过制定标准和采用各种技术手段，解决了一直困扰电子商务发展的安全问题，但是SET协议要求在银行网络、商家服务器、顾客的PC机上安装相应的软件；SET协议要求必须向各方发放证书，使得应用SET协议要比SSL协议昂贵得多。这些都成了大面积推广使用SET协议的障碍。

在未来的一段时间内，可能会出现商家需要支持SET和SSL两种支付方式的局面。但由于SET实现起来非常复杂，商家和银行都需要改造原有系统以实现互操作。

智能卡的推广使用将改变现有的电子商务方式，但是需要添置额外的设备，也需要时间被人们接受以做到广泛发卡，另外，很多厂商还在致力于发展别的协议以支持SET和SSL所不能支持的支付方式，例如微支付（Micropayments）以及对等支付（Peer-to-Peer Payments）等。