SET協定

SET協定

為了實現更加完善的即時電子支付,SET協定應運而生。SET協定(Secure Electronic Transaction),被稱之為安全電子交易協定,是由Master Card和Visa聯合Netscape,Microsoft等公司,於1997年6月1日推出的一種新的電子支付模型。SET協定是B2C上基於信用卡支付模式而設計的,它保證了開放網路上使用信用卡進行線上購物的安全。SET主要是為了解決用戶,商家,銀行之間通過信用卡的交易而設計的,它具有的保證交易數據的完整性,交易的不可抵賴性等種種優點,因此它成為目前公認的信用卡網上交易的國際標準。

主要目標

1. 防止數據被非法用戶竊取,保證信息在網際網路上安全傳輸。

2. SET 中使用了一種雙簽名技術保證電子商務參與者信息的相互隔離。客戶的資料加密後通過商家到達銀行,但是商家不能看到客戶的帳戶和密碼信息。

3. 解決多方認證問題。不僅對客戶的信用卡認證,而且要對線上商家認證,實現客戶、商家和銀行間的相互認證。

4. 保證網上交易的實時性,使所有的支付過程都是線上的。

5. 提供一個開放式的標準,規範協定和訊息格式,促使不同廠家開發的軟體具有兼容性和互操作功能。可在不同的軟硬體平台上執行並被全球廣泛接受。

提供服務

SET協定為電子交易提供了許多保證安全的措施。它能保證電子交易的機密性,數據完整性,交易行為的不可否認性和身份的合法性。SET協定設計的證書中包括:銀行證書及發卡機構證書、支付網關證書和商家證書。

(1)保證客戶交易信息的保密性和完整性

SET協定採用了雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分別簽名,使得商家看不到支付信息,只能接收用戶的訂單信息;而金融機構看不到交易內容,只能接收到用戶支付信息和帳戶信息,從而充分保證了消費者帳戶和定購信息的安全性。

(2)確保商家和客戶交易行為的不可否認性

SET協定的重點就是確保商家和客戶的身份認證和交易行為的不可否認性。其理論基礎就是不可否認機制,採用的核心技術包括X.509電子證書標準,數字簽名,報文摘要,雙重簽名等技術。

(3)確保商家和客戶的合法性

SET協定使用數字證書對交易各方的合法性進行驗證。通過數字證書的驗證,可以確保交易中的商家和客戶都是合法的,可信賴的。

交易流程

SET交易過程中要對商家,客戶,支付網關等交易各方進行身份認證,因此它的交易過程相對複雜。

(1)客戶在網上商店看中商品後,和商家進行磋商,然後發出請求購買信息。

(2)商家要求客戶用電子錢包付款。

(3)電子錢包提示客戶輸入口令後與商家交換握手信息,確認商家和客戶兩端均合法。

(4)客戶的電子錢包形成一個包含訂購信息與支付指令的報文傳送給商家。

(5)商家將含有客戶支付指令的信息傳送給支付網關。

(6)支付網關在確認客戶信用卡信息之後,向商家傳送一個授權回響的報文。

(7)商家向客戶的電子錢包傳送一個確認信息。

(8)將款項從客戶帳號轉到商家帳號,然後向顧客送貨,交易結束。

從上面的交易流程可以看出,SET交易過程十分複雜性,在完成一次S ET協定交易過程中,需驗證電子證書9次,驗證數字簽名6次,傳遞證書7次,進行簽名5次,4次對稱加密和非對稱加密。通常完成一個SET協定交易過程大約要花費1.5-2分鐘甚至更長時間。由於各地網路設施良莠不齊,因此,完成一個SET協定的交易過程可能需要耗費更長的時間。

安全性

採用公鑰加密和私鑰加密相結合的辦法保證數據的保密性SET協定中,支付環境的信息保密性是通過公鑰加密法和私鑰加密法相結合的算法來加密支付信息而獲得的。它採用的公鑰加密算法是RSA的公鑰密碼體制,私鑰加密算法是採用DES數據加密標準。這兩種不同加密技術的結合套用在SET中被形象的成為數字信封,RSA加密相當於用信封密封,訊息首先以56位的DES密鑰加密,然後裝入使用1024位RSA公鑰加密的數字信封在交易雙方傳輸。這兩種密鑰相結合的辦法保證了交易中數據信息的保密性。

一、採用信息摘要技術保證信息的完整性

SET協定是通過數字簽名方案來保證訊息的完整性和進行訊息源的認證的,數字簽名方案採用了與訊息加密相同的加密原則。即數字簽名通過RSA加密算法結合生成信息摘要,信息摘要是訊息通過HASH函式處理後得到的唯一對應於該訊息的數值,訊息中每改變一個數據位都會引起信息摘要中大約一半的數據位的改變。而兩個不同的訊息具有相同的信息摘要的可能性及其微小,因此HASH函式的單向性使得從信息摘要得出信息的摘要的計算是不可行的。信息摘要的這些特徵保證了信息的完整性。

二、採用雙重簽名技術保證交易雙方的身份認證

SET協定套用了雙重簽名(Dual Signatures)技術。在一項安全電子商務交易中,持卡人的定購信息和支付指令是相互對應的。商家只有確認了對應於持卡人的支付指令對應的定購信息才能夠按照定購信息發貨;而銀行只有確認了與該持卡人支付指令對應的定購信息是真實可靠的才能夠按照商家的要求進行支付。為了達到商家在合法驗證持卡人支付指令和銀行在合法驗證持卡人訂購信息的同時不會侵犯顧客的私人隱私這一目的,SET協定採用了雙重簽名技術來保證顧客的隱私不被侵犯。

改進完善

SET協定提供了在B2C平台上信用卡線上支付的方式,不過由於其實現起來非常複雜,商家和銀行都需要改造系統來實現相互操作,如此看來,SET的普遍套用還需要假以時日。無論是使用SSL協定還是使用SET協定進行線上支付,它們總有不如人意之處。

但由於SET在安全性,保密性上的優勢,它本應成為未來電子商務實現線上支付的主流方式。筆者針對其主要問題——商品質量和殘留數據的處理方式上,提出了改進方案:引入商品質量檢測機制來保證商品的質量;建立一個“交易信息檔案中心”來解決交易後殘留數據的歸屬,以此保證用戶的利益。

引入商品質量檢測機制保證商品質量

引入這種機制的具體做法是商家把商品直接傳送到消費者所在地的官方商品質量檢測機構,由這些專業質檢機構來檢測商品質量問題,檢測完畢後再通知消費者前來領取商品。如果消費者需要此服務,必須和商家協商分攤質量檢測的費用;如果不需要,就按照一般的SET流程交易。因此,我們引入商品質量檢測機制可以檢查商品質量,解決了SET協定中產生的“如果商品質量問題由誰負擔”的問題。這樣既能保證用戶的利益,也能保證商家的利益不被損害。

引進商品質量檢測機制後SET的交易流程

引進商品質量檢測機制後,基於SET的交易過程與原來相比更複雜了些,也需要對SET訊息報文進行修改,需要將質量檢測信息作為附屬檔案形式加入SET訊息報文中。因此要在SET信息報文中增加附屬檔案位,可考慮附屬檔案位的標識為0和1兩種情況,其中0表示沒有附屬檔案,1表示存在附屬檔案。附加的附屬檔案信息包括交易雙方的有關信息(如給雙方打上編號)、商品名稱、商品保質期、商品生存周期等.

(1)用戶查詢商品的信息,確定所要定購的商品。

(2)用戶和商家進行探討,確定商品質量檢測費用該如何分攤。

(3)將定購單和支付信息一起以電子數據的方式來發給商家。

(4)商家進行驗證,向用戶所擁有的支付卡的金融機構請求取得支付授權。

(5)金融機構驗證數字簽名,驗證用戶信息的合法性。如果合法則傳送授權信息。

(6)商家驗證授權信息後,向用戶發出定購確認信息。同時查詢用戶所在地區的商品質量檢測部門的信息。由商家將商品配送到用戶所在地區的商品質量檢測部門。

(7)用戶所在地商品質量檢測部門接收商家的商品。在驗收產品質量後,將附屬檔案位由0改為1,並附加附屬檔案具體信息,向商家傳送收貨信息並負責配送商品給消費者;商家向用戶所擁有的支付卡的金融機構請求付款。

(8)用戶得到滿意的商品後,對付款單進行簽名,向商品質量檢測部門表示同意付款,並向自己的支付卡所在的發行卡傳送支付信息。發卡行在同時得到商家付款請求和用戶同意付款的信息之後,方可付款。

基本結論

SET協定是由美國的公司發起並聯合開發的,因此,SET協定支持信用卡支付這一支付方式比較符合歐美各國的使用情況。可是實際套用上,SET要求持卡人在客戶端安裝電子錢包,增加了顧客交易成本,交易過程又相對複雜,因此比較少顧客接受這種網上即時支付方式。

而在中國,信用卡支付這種方式還沒有普及,因此SET協定在我國的使用也相對較少。電子支付無論要採取哪種支付協定,都應該考慮到安全因素,成本因素和使用的便捷性這三方面,個由於這三者在SET協定和SSL協定里的任何一個協定裡面無法全部體現,這就造成現階段SSL協定和SET協定並存使用的局面。但即便將來業界開發結合這三個優點的電子支付協定,也未必能完全保證電子支付和網上銀行的安全。

因為網上銀行的安全涉及到方方面面,不只是一個完善的安全支付協定,一堵安全的防火牆或者一個電子簽名就能簡單解決的問題。所以,現在銀行必須加大加強管理力度,加大宣傳力度,幫助顧客樹立起安全意識,指導用戶該如何正確使用網上銀行,並發動社會各方面的力量,尋求多方聯動的策略來保證網上銀行的安全。只有社會各界一起努力,才能保證電子支付的安全;只有社會各界一起努力,才能保證網上銀行的安全;也只有社會各界一起努力,才可以保證電子商務的安全,保證電子商務的快速有序的發展。

相關領域

CA中心 HTTP協定 SSL協定 萬事達國際組織 商業發票 電子商務系統 電子支付 電子郵政 電子錢包 金融術語英漢對照。

相關詞條

相關搜尋

熱門詞條

聯絡我們