持卡人及商戶注冊登陸課件

持卡人及商戶注冊(登陸)持卡人購物上網(wǎng)就首先要登錄。登錄要有證書,使用SET傳送。持卡人想用SET進(jìn)行網(wǎng)上支付,就必須先從認(rèn)證中心CA取得公開密鑰證書。證書中包括他的公鑰,用以驗(yàn)證他簽名的信息。

持卡人及商戶注冊(登陸)持卡人購物上網(wǎng)就首先要登錄。登錄要有1從CA取得經(jīng)簽名的證書方法如下圖所示。從CA取得經(jīng)簽名的證書方法如下圖所示。2獲得簽名過的證書的過程是：(1)持卡人按格式提出申請送到CA。(2)CA按有關(guān)發(fā)卡行簽署注冊的格式返回給持卡人。(3)持卡人自己產(chǎn)生公鑰與私鑰對,并按格式填寫,然后將公鑰返回CA中心。(4)CA中心從有關(guān)發(fā)卡行驗(yàn)證格式并產(chǎn)生證書,然后返回給持卡人。持卡人得到CA中心簽字的證書。獲得簽名過的證書的過程是：(1)持卡人按格式提出申請送到3注冊要求和CA回應(yīng)信息

CInitReq/CInitRes

注冊要求和CA回應(yīng)信息

CInitReq/CInitRe4注冊要求和CA回應(yīng)信息要求類型指持卡人是要一個簽字證書還是要加密證書或兩者均要。品牌ID(BIN)是卡前六位數(shù),惟一標(biāo)識發(fā)卡行。語言是指返回注冊時需要的語言。證書的指紋(Thumbs)也送給CA。CInitRes:CA對注冊請求返回信息包括相對的注冊格式、對應(yīng)類型及證書掛失情況(CRLS)以上要由CA簽字。注冊要求和CA回應(yīng)信息要求類型指持卡人是要一個簽字證書還是要5驗(yàn)證請求和驗(yàn)證響應(yīng)

CertReq/CertRes

持卡人得到回應(yīng)后,可以驗(yàn)證此證書,以便證實(shí)確實(shí)得到CA的有效注冊。持卡人經(jīng)上述注冊過程,可得到一個驗(yàn)證證書的格式。按其格式填寫,填入銀行卡號和有效日期,為了傳送這些敏感數(shù)據(jù)到CA,需要CA的公鑰以RSA算法加密,且要強(qiáng)加密。當(dāng)CA收到證書驗(yàn)證請求后,通過現(xiàn)有的銀行卡授權(quán),交換網(wǎng)絡(luò)得到發(fā)卡行的證實(shí),如信用卡有效,即產(chǎn)生一個簽署證書,以持卡人的公鑰加密送回持卡人。CA發(fā)回的驗(yàn)證響應(yīng)包括:新的證書、強(qiáng)加密的Nonce-CCA等,

驗(yàn)證請求和驗(yàn)證響應(yīng)

CertReq/CertRes持卡人得6驗(yàn)證請求圖示驗(yàn)證請求圖示7驗(yàn)證響應(yīng)圖示驗(yàn)證響應(yīng)圖示8至此，持卡人有了CA簽名的證書,便可用銀行卡在互聯(lián)網(wǎng)上購物并按SET協(xié)議為商戶支付。至此，持卡人有了CA簽名的證書,便可用銀行卡在互聯(lián)網(wǎng)上購物并9第三節(jié)SET協(xié)議的擴(kuò)展

本章將介紹SET協(xié)議的擴(kuò)展。這些擴(kuò)展主要包括對借記卡的擴(kuò)展、SET協(xié)議在線PIN擴(kuò)展、支持IC卡擴(kuò)展以及通用密文設(shè)備SET擴(kuò)展等。這些擴(kuò)展增強(qiáng)了SET的功能,滿足了當(dāng)前市場的商業(yè)需要,促進(jìn)了SET的發(fā)展。SET擴(kuò)展由SETCo技術(shù)委員會審查并批準(zhǔn)。第三節(jié)SET協(xié)議的擴(kuò)展本章將介紹SET協(xié)議的擴(kuò)展。101、銀行卡簡介SET協(xié)議主要用于信用卡的電子支付。

信用卡有廣義和狹義之分。從廣義上講,凡是能夠?yàn)槌挚ㄕ咛峁┬庞米C明,持卡者可憑卡購物或享受特殊服務(wù)的,均可稱為信用卡。廣義的信用卡包括除銷卡、借記卡、貸記卡、ATM卡、支票卡等各種類型的卡。從狹義上講,信用卡應(yīng)是商業(yè)銀行發(fā)行的貸記卡,即不需要先存款,可以先行透支消費(fèi)的信用卡。SET1.0協(xié)議本是針對狹義的貸記卡進(jìn)行處理。1、銀行卡簡介SET協(xié)議主要用于信用卡的電子支付。11我國銀行卡大體分三類:貸記卡,即信用卡,有小額信貸功能,它要求持卡人有較高的信譽(yù)度。借記卡,需要建立持卡人檔案,不需要擔(dān)保,不可以透支。儲值卡,不需要建檔案,不需要擔(dān)保,不可以透支,一般用于小額消費(fèi)。

我國銀行卡大體分三類:12根據(jù)信用卡的制作材料不同,可分為塑料卡、磁條卡和

IC卡等。1.塑料卡。應(yīng)用于20世紀(jì)50－60年代,國外信用卡公司率先采用塑料卡制成信用卡。顧客消費(fèi)時,出示塑料卡顯示身份,即可消費(fèi)。2.磁卡。誕生于1970年,在塑料卡上粘貼磁條。磁卡可以直接插人終端機(jī)進(jìn)行處理,目前磁卡仍然是使用最廣泛的信用卡。3.IC卡,也稱智能卡,產(chǎn)生于20世紀(jì)70年代初,是在卡片表面鑲嵌

CPU集成電路芯片的信用卡。IC卡與磁卡相比,具有存儲信息容量大、安全性能高、使用快捷方便等優(yōu)點(diǎn)。

根據(jù)信用卡的制作材料不同,可分為塑料卡、磁條卡和IC卡132、SET協(xié)議對借記卡的擴(kuò)展

目前借記卡市場主要有兩類:(1)離線借記卡。在許多國家處于主導(dǎo)地位,具有很高的增長率。(2)在線借記卡?；谑褂脗€人密碼PIN,具有很高的增長率。

2、SET協(xié)議對借記卡的擴(kuò)展目前借記卡市場主要有兩類:14信用卡與借記卡在支付上的主要區(qū)別是借記卡為先存款后消費(fèi),透支要有上限額度限制,借記卡要有PIN個人密碼進(jìn)行身份鑒別。SET協(xié)議原本是針對信用卡(貸記卡)開發(fā)的,以信用卡為支付工具。SET為支持借記卡作為支付工具,必須進(jìn)行功能擴(kuò)充。SET協(xié)議對借記卡的擴(kuò)展主要涉及以下內(nèi)容。

信用卡與借記卡在支付上的主要區(qū)別是借記卡為先存款后消費(fèi),透支151.識別要求SET協(xié)議對借記卡的識別要求包括:持卡者驗(yàn)證方式、軟件和硬件加密、

IC卡和硬件標(biāo)記、算法、借記撤消和分期付款。2.建議結(jié)構(gòu)。如下圖。1.識別要求163.持卡者環(huán)境該環(huán)境由發(fā)卡行選擇,持卡SET借記卡環(huán)境定義在持卡者證書中,發(fā)卡行可以進(jìn)行以下選擇。(1)SET1.0協(xié)議(沒有額外安全要求)。(2)EMVIC卡、非EMVIC卡、其他安全標(biāo)記。(3)安全設(shè)備(用于輸人PIN、簽字)。(4)軟件(用于PIN加密)。4.通用環(huán)境。品牌證書標(biāo)識借記交易,在商家系統(tǒng)和支付網(wǎng)關(guān)需要加入SET1.0協(xié)議的借記功能。(1)個人識別號碼。3.持卡者環(huán)境17(2)集成電路卡。(3)安全標(biāo)記。(4)橢圓曲線密碼技術(shù)。5.SET借記卡安全性(1)發(fā)卡行進(jìn)行在線PIN驗(yàn)證。(2)IC卡或安全標(biāo)記進(jìn)行離線PIN驗(yàn)證。(3)發(fā)卡行驗(yàn)證

IC卡或安全標(biāo)記。(4)SET使用

IC卡、安全標(biāo)記、安全設(shè)備(如

PIN輸入設(shè)備)進(jìn)行簽字。(2)集成電路卡。186.在線

PIN驗(yàn)證。見下圖示。6.在線PIN驗(yàn)證。見下圖示。197.離線PIN驗(yàn)證

8.借記卡和發(fā)卡行驗(yàn)證

7.離線PIN驗(yàn)證209.SET持卡者簽字

10.對SET1.0協(xié)議的影響

(1)持卡者計(jì)算機(jī)由發(fā)卡行定義。(2)商家系統(tǒng)需要增加對IC卡的支持,僅用于上傳數(shù)據(jù)。另外,如果可能,應(yīng)采用

ECC密碼技木。(3)支付網(wǎng)關(guān)系統(tǒng)增加對IC卡的支持,能夠翻譯

IC卡數(shù)據(jù)。需要增加對PIN的支持,能夠翻譯PIN數(shù)據(jù)。另外,如果可能,應(yīng)采用ECC密碼技術(shù)。

9.SET持卡者簽字2111.提議的功能(1)區(qū)域非對稱

PIN加密。(2)對PIN采用DES區(qū)域加密。(3)IC卡擴(kuò)展基于EMVEC支持EMVICCs、非EMVICCs、安全標(biāo)記。(4)支持橢圓曲線密碼技術(shù),用于SETDebitSecurity和CertificationAuthority。11.提議的功能2211.提議的功能(5)持卡者證書擴(kuò)展,向發(fā)卡行提供第2軌道數(shù)據(jù)或密碼(cryptogram)的支持,向商家和支付網(wǎng)關(guān)通知持卡者環(huán)境。(6)可選的

PIN用于持卡者注冊。(7)批借記撤消。(8)分期支付。(9)三重DES。11.提議的功能23以上介紹的結(jié)構(gòu)的好處

(1)發(fā)卡行可以按照市場和安全需要選擇一個持卡者環(huán)境。(2)可以選擇使用IC卡、安全標(biāo)記、安全設(shè)備、軟件進(jìn)行PIN加密。(3)可接收的較低安全風(fēng)險,根據(jù)情況進(jìn)行選擇。(4)根據(jù)借記卡產(chǎn)品政策、借記卡組織可以定義或限制持卡者環(huán)境。以上介紹的結(jié)構(gòu)的好處(1)發(fā)卡行可以按照市場和安全需要選24以上介紹的結(jié)構(gòu)的好處(5)支持磁卡的借記卡。(6)當(dāng)前開發(fā)的IC卡或安全標(biāo)記可以用于SET借記安全中。(7)SET借記IC卡擴(kuò)展基于EMV'97ChipElectronicCommerceStandard(EMVEC)。(8)發(fā)卡行可以應(yīng)用任何持卡者環(huán)境,并可遷移到EMVIC卡,不會影響通用SET借記環(huán)境。以上介紹的結(jié)構(gòu)的好處(5)支持磁卡的借記卡。253SET協(xié)議在線PIN擴(kuò)展

個人密碼識別號PIN是用戶為支付卡設(shè)定的個人密碼。SET協(xié)議在線PIN擴(kuò)展定義了兩種使用個人識別號

PIN的擴(kuò)展方式,一是持卡者通過任何方式(包括通過鍵盤)來輸入PIN;另一個是通過安全設(shè)備來輸人PIN。在實(shí)際應(yīng)用中,根據(jù)支付卡的政策來決定使用方式。3SET協(xié)議在線PIN擴(kuò)展個人密碼識別號PIN是用戶為支26PIN非對稱加密方法

在線PIN要進(jìn)行加密,其加密機(jī)制為非對稱加密方法,PIN信息采用鍵盤或其他設(shè)備輸人持卡者的計(jì)算機(jī)中,采用支付網(wǎng)關(guān)公鑰加密保護(hù)。在SET協(xié)議中,加密的PIN數(shù)據(jù)通過商家傳輸?shù)街Ц毒W(wǎng)關(guān),支付網(wǎng)關(guān)使用私鑰解密。

PIN非對稱加密方法在線PIN要進(jìn)行加密,其加密機(jī)制為非27SET在線PIN處理模型

SET在線PIN處理模型28(1)在線PIN安全要求。遵照ISO9564在線PIN使用定義標(biāo)準(zhǔn),定義輸入、格式化、對稱加密,以及在公開共享的PIN輸入設(shè)備環(huán)境下處理在線PIN的標(biāo)準(zhǔn)。(2)持卡者PIN輸入。上述標(biāo)準(zhǔn)要求安全的PIN輸入設(shè)備,PIN輸入設(shè)備必須包括CPU、內(nèi)存及SET軟件。支付網(wǎng)關(guān)證書可以指出:該支付網(wǎng)關(guān)是否允許通過鍵盤來輸入PIN或者使用安全設(shè)備。

(1)在線PIN安全要求。遵照ISO9564在線PIN使29(3)在線PIN擴(kuò)展。有兩種

SET在線

PIN擴(kuò)展,一個與采用PC鍵盤輸入PIN有關(guān),一個與采用PIN安全輸入設(shè)備有關(guān)。兩個擴(kuò)展使用相同的內(nèi)容語法,只是對象標(biāo)識不同。電子錢包提供特定的在線PIN擴(kuò)展,指出在線PIN如何輸入。這些擴(kuò)展的主要目的是識別具有在線PIN的交易,并要求支付網(wǎng)關(guān)處理這些交易。第二個目的是從磁條卡的第2磁道上載有某些數(shù)據(jù),并與SET消息的其他數(shù)據(jù)一起來驗(yàn)證PIN。這些擴(kuò)展消息放置在支付指令(PI)的DES加密部分,所以商家無法得到這些信息,只有支付網(wǎng)關(guān)才能得到。(3)在線PIN擴(kuò)展。有兩種SET在線PIN擴(kuò)展30(4)SET擴(kuò)展中的PIN對象標(biāo)識(OIDs)。SET擴(kuò)展位于支付網(wǎng)關(guān)加密證書的私用SET證書擴(kuò)展中,SET證書和用擴(kuò)展域列出了支付網(wǎng)關(guān)支持的有關(guān)支付指示的SET消息擴(kuò)展。持卡者在支付指示中產(chǎn)生危急消息擴(kuò)展之前檢查支付網(wǎng)關(guān)證書,消息擴(kuò)展由對象刷、(OIDs)指出。(5)持卡者處理在線PIN。持卡者軟件不保存PIN,一旦PIN被加密,必須清除內(nèi)存中任何PIN明文信息。持卡者軟件必須知道哪些支付卡要求在線PIN,一種方法是讓持卡者支付卡注冊時指出要求在線PIN,當(dāng)持卡者證書中具有可用服務(wù)碼(ServiceCode)時,可以決定是否需要輸入PIN,其他方式由發(fā)卡行和軟件提供。

(4)SET擴(kuò)展中的PIN對象標(biāo)識(OIDs)。SET擴(kuò)展31(6)支付網(wǎng)關(guān)處理PIN。支持ATM網(wǎng)絡(luò)的銀行系統(tǒng),當(dāng)前是使用防篡改的密碼硬件安全設(shè)備,從ATM接收在線PIN,并將PIN發(fā)送給內(nèi)部系統(tǒng)或其他ATM網(wǎng)絡(luò)。一般接收到的PIN用DES密鑰加密,當(dāng)PIN傳到另一個節(jié)點(diǎn)時,該P(yáng)IN采用另一個DES密鑰重新加密。DES密鑰保存在防篡改的密碼硬件安全設(shè)備中,該設(shè)備能夠解開第一個DES密鑰加密的PIN,并用第二個DES密鑰重新加密PIN。SET支付網(wǎng)關(guān)要求硬件加密模塊保存私鑰,對輸入數(shù)據(jù)進(jìn)行解密,對產(chǎn)生的結(jié)果進(jìn)行數(shù)字簽名。(6)支付網(wǎng)關(guān)處理PIN。支持ATM網(wǎng)絡(luò)的銀行系統(tǒng),當(dāng)前是324SET協(xié)議支持IC卡擴(kuò)展

1999年9月,SETco批準(zhǔn)并公布了EuropayInternational、MasterCardInternational、Visa

International提交的"CommonChip

ExtensionSET1.0"。金融機(jī)構(gòu)希望將它們的芯片卡,采用SET協(xié)議進(jìn)行安全電子商務(wù)交易,并具有處理芯片卡數(shù)據(jù)的通用擴(kuò)展。所以同意采用EMV格式來為通用芯片擴(kuò)展提供一個好的基礎(chǔ)。

4SET協(xié)議支持IC卡擴(kuò)展1999年9月,SETco批33擴(kuò)展內(nèi)容

通用芯片擴(kuò)展結(jié)構(gòu)包括三個數(shù)據(jù)區(qū)：(1)可選的支付方案標(biāo)識,用于標(biāo)識傳輸數(shù)據(jù)的支付方案,當(dāng)包含PrivateData時必須使用該標(biāo)識。(2)EMV數(shù)據(jù)區(qū),用于傳輸芯片卡相關(guān)的數(shù)據(jù)及按照EMV定義的編碼。(3)PrivateData允許一個支付方案包含無法在EMV數(shù)據(jù)區(qū)中編碼的數(shù)據(jù),收單行支持PrivateData數(shù)據(jù)是可選,PrivateData中的數(shù)據(jù)對成功處理交易不能是危險的。擴(kuò)展內(nèi)容通用芯片擴(kuò)展結(jié)構(gòu)包括三個數(shù)據(jù)區(qū)：34通用芯片卡擴(kuò)展結(jié)構(gòu)

通用芯片卡擴(kuò)展結(jié)構(gòu)35EMV芯片卡電子商務(wù)規(guī)范

1999年12月,提出了在SET協(xié)議環(huán)境下,采用EMV芯片實(shí)現(xiàn)信用卡和借記卡的電子商務(wù)支付方式。該規(guī)范在SET協(xié)議基礎(chǔ)上具有兩個關(guān)鍵特點(diǎn):一是通過一個密碼實(shí)現(xiàn)在線的持卡認(rèn)證,二是通過使用可選的持卡者PIN來進(jìn)行持卡驗(yàn)證。

EMV芯片卡電子商務(wù)規(guī)范1999年12月,提出了在SE36IC卡電子商務(wù)系統(tǒng)結(jié)構(gòu)圖IC卡電子商務(wù)系統(tǒng)結(jié)構(gòu)圖37由8個部分組成:發(fā)卡行、持卡者、EMVIC卡、持卡者系統(tǒng)、商家服務(wù)器、支付網(wǎng)關(guān)、收單行、支付系統(tǒng)。EMVIC卡保存持卡者的支付數(shù)據(jù),能夠產(chǎn)生一個密碼來認(rèn)證該卡,可以驗(yàn)證一個持卡者的

PIN。下面介紹每個部分的處理功能：(1)EMV信用卡和借記卡IC卡。

EMV信用卡和借記卡

IC卡能夠?yàn)槊總€交易產(chǎn)生一個應(yīng)用密碼,該密碼可在線方式被拒絕或批準(zhǔn),或者請求為一個交易進(jìn)行在線提名或授權(quán)。

由8個部分組成:發(fā)卡行、持卡者、EMVIC卡、持卡者系統(tǒng)、38(2)商家服務(wù)器。商家服務(wù)器是SET標(biāo)準(zhǔn)的商家系統(tǒng),EMV芯片卡電子商務(wù)規(guī)范沒有對商家服務(wù)器提出其他要求。(3)支付網(wǎng)關(guān)。EMV芯片卡對電子商務(wù)規(guī)范和支付網(wǎng)關(guān)提出了以下附加要求:

·要求必要的消息擴(kuò)展。

·可選消息擴(kuò)展。如支付網(wǎng)關(guān)應(yīng)當(dāng)能處

理SETon-linePIN。

·支付網(wǎng)關(guān)證書改變。

(2)商家服務(wù)器。商家服務(wù)器是SET標(biāo)準(zhǔn)的商家系統(tǒng),EM39(4)持卡者系統(tǒng)。持卡者系統(tǒng)是由硬件和軟件組成,實(shí)現(xiàn)一個持卡者、IC卡和一個SET商家服務(wù)器的相互操作。IC卡設(shè)備接口滿足定義要求,具有規(guī)定的PIN輸入設(shè)備。持卡者系統(tǒng)包括如下功能:卡選擇、應(yīng)用選擇、讀應(yīng)用數(shù)據(jù)、持卡者驗(yàn)證、終端動作分析、發(fā)卡行腳本處理和完成、離線數(shù)據(jù)認(rèn)證、終端風(fēng)險管理等。

(4)持卡者系統(tǒng)。持卡者系統(tǒng)是由硬件和軟件組成,實(shí)現(xiàn)一個40IC卡SET協(xié)議交易流程

IC卡SET協(xié)議交易流程41交易需要處理的信息(1)SET支付開始消息(SETpayment.Initiation)0商家服務(wù)器調(diào)用持卡者系統(tǒng),通知持卡者系統(tǒng)商家接受的支付品牌。(2)支付卡選擇(CardSelection)。持卡者告訴持卡者系統(tǒng)用于該購買的支付卡品牌。(3)選擇應(yīng)用(ApplicationSelection)。持卡者系統(tǒng)從支付卡選擇一個應(yīng)用,如果需要,從持卡者輸入。(4)應(yīng)用開始(ApplicationInitiation)。持卡者系統(tǒng)根據(jù)持卡者和支付卡是否同意該交易 如何處理,開始一個支付卡應(yīng)用。交易需要處理的信息(1)SET支付開始消息(SETp42(5)讀應(yīng)用(ReadApplication)。持卡者系統(tǒng)讀出應(yīng)用數(shù)據(jù)。(6)購買初始請求(PurchaseInitializationRequest)。持卡者系統(tǒng)通知商家服務(wù)器持卡者如何支付,并開始購買。(7)購買初始響應(yīng)(Purchase

InitializationResponse)。商家返回完成購買需要的信息。

(8)持卡者驗(yàn)證(CardholderVerification)。持卡者系統(tǒng)重新恢復(fù)來自持卡者的信息,用于驗(yàn)證信息的相同性,向支付卡顯示信息或