SET協定是指為了實現更加完善的即時電子支付應運而生的。SET協定(Secure Electronic Transaction),被稱之為安全電子交易協定,是由Master Card和Visa聯合Netscape,Microsoft等公司,於1997年6月1日推出的一種新的電子支付模型。SET協定是B2C上基於信用卡支付模式而設計的,它保證了開放網路上使用信用卡進行線上購物的安全。SET主要是為了解決用戶,商家,銀行之間通過信用卡的交易而設計的,它具有的保證交易數據的完整性,交易的不可抵賴性等種種優點,因此它成為目前公認的信用卡網上交易的國際標準。
基本介紹
- 中文名:SET協定
- 外文名:Secure Electronic Transaction
- 意義:安全電子交易協定
- 推出:1997年6月1日
簡介,主要目標,提供服務,交易流程,安全性,SET改進,現實套用,相關領域,
簡介
SET協定
電子商務在提供機遇和便利的同時,也面臨著一個最大的挑戰,即交易的安全問題。在網上購物的環境中,持卡人希望在交易中保密自己的帳戶信息,使之不被人盜用;商家則希望客戶的定單不可抵賴,並且,在交易過程中,交易各方都希望驗明其他方的身份,以防止被欺騙。針對這種情況,由美國Visa和MasterCard兩大信用卡組織聯合國際上多家科技機構,共同制定了套用於Internet上的以銀行卡為基礎進行線上交易的安全標準,這就是"安全電子交易"(Secure Electronic Transaction,簡稱SET)。它採用公鑰密碼體制和X.509數字證書標準,主要套用於保障網上購物信息的安全性。
由於SET 提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點。因此,至2012年,它成為了公認的信用卡/借記卡的網上交易的國際安全標準。
SET(Secure Electronic Transaction)安全電子交易協定主要套用於B to C模式中保障支付信息的安全性。SET協定本身比較複雜,設計比較嚴格,安全性高,它能保證信息傳輸的機密性、真實性、完整性和不可否認性。SET協定是PKI框架下的一個典型實現,同時也在不斷升級和完善,如SET 2.0將支持借記卡電子交易。
主要目標
1. 防止數據被非法用戶竊取,保證信息在網際網路上安全傳輸。
2. SET 中使用了一種雙簽名技術保證電子商務參與者信息的相互隔離。客戶的資料加密後通過商家到達銀行,但是商家不能看到客戶的帳戶和密碼信息。
3. 解決多方認證問題。不僅對客戶的信用卡認證,而且要對線上商家認證,實現客戶、商家和銀行間的相互認證。
4. 保證網上交易的實時性,使所有的支付過程都是線上的。
5. 提供一個開放式的標準,規範協定和訊息格式,促使不同廠家開發的軟體具有兼容性和互操作功能。可在不同的軟硬體平台上執行並被全球廣泛接受。
提供服務
(1)保證客戶交易信息的保密性和完整性
SET協定採用了雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分別簽名,使得商家看不到支付信息,只能接收用戶的訂單信息;而金融機構看不到交易內容,只能接收到用戶支付信息和帳戶信息,從而充分保證了消費者帳戶和定購信息的安全性。
(2)確保商家和客戶交易行為的不可否認性
(3)確保商家和客戶的合法性
SET協定使用數字證書對交易各方的合法性進行驗證。通過數字證書的驗證,可以確保交易中的商家和客戶都是合法的,可信賴的。
交易流程
SET交易過程中要對商家,客戶,支付網關等交易各方進行身份認證,因此它的交易過程相對複雜。
(1)客戶在網上商店看中商品後,和商家進行磋商,然後發出請求購買信息。
(2)商家要求客戶用電子錢包付款。
(3)電子錢包提示客戶輸入口令後與商家交換握手信息,確認商家和客戶兩端均合法。
(4)客戶的電子錢包形成一個包含訂購信息與支付指令的報文傳送給商家。
(5)商家將含有客戶支付指令的信息傳送給支付網關。
(6)支付網關在確認客戶信用卡信息之後,向商家傳送一個授權回響的報文。
(7)商家向客戶的電子錢包傳送一個確認信息。
(8)將款項從客戶賬號轉到商家賬號,然後向顧客送貨,交易結束。
從上面的交易流程可以看出,SET交易過程十分複雜性,在完成一次S ET協定交易過程中,需驗證電子證書9次,驗證數字簽名6次,傳遞證書7次,進行簽名5次,4次對稱加密和非對稱加密。通常完成一個SET協定交易過程大約要花費1.5-2分鐘甚至更長時間。由於各地網路設施良莠不齊,因此,完成一個SET協定的交易過程可能需要耗費更長的時間。
安全性
採用公鑰加密和私鑰加密相結合的辦法保證數據的保密性 SET協定中,支付環境的信息保密性是通過公鑰加密法和私鑰加密法相結合的算法來加密支付信息而獲得的。它採用的公鑰加密算法是RSA的公鑰密碼體制,私鑰加密算法是採用DES數據加密標準。這兩種不同加密技術的結合套用在SET中被形象的成為數字信封,RSA加密相當於用信封密封,訊息首先以56位的DES密鑰加密,然後裝入使用1024位RSA公鑰加密的數字信封在交易雙方傳輸。這兩種密鑰相結合的辦法保證了交易中數據信息的保密性。
一、採用信息摘要技術保證信息的完整性
SET協定是通過數字簽名方案來保證訊息的完整性和進行訊息源的認證的,數字簽名方案採用了與訊息加密相同的加密原則。即數字簽名通過RSA加密算法結合生成信息摘要,信息摘要是訊息通過HASH函式處理後得到的唯一對應於該訊息的數值,訊息中每改變一個數據位都會引起信息摘要中大約一半的數據位的改變。而兩個不同的訊息具有相同的信息摘要的可能性及其微小,因此HASH函式的單向性使得從信息摘要得出信息的摘要的計算是不可行的。信息摘要的這些特徵保證了信息的完整性。
二、採用雙重簽名技術保證交易雙方的身份認證
SET協定套用了雙重簽名(Dual Signatures)技術。在一項安全電子商務交易中,持卡人的定購信息和支付指令是相互對應的。商家只有確認了對應於持卡人的支付指令對應的定購信息才能夠按照定購信息發貨;而銀行只有確認了與該持卡人支付指令對應的定購信息是真實可靠的才能夠按照商家的要求進行支付。為了達到商家在合法驗證持卡人支付指令和銀行在合法驗證持卡人訂購信息的同時不會侵犯顧客的私人隱私這一目的,SET協定採用了雙重簽名技術來保證顧客的隱私不被侵犯。
SET改進
SET協定提供了在B2C平台上信用卡線上支付的方式,不過由於其實現起來非常複雜,商家和銀行都需要改造系統來實現相互操作,如此看來,SET的普遍套用還需要假以時日。無論是使用SSL協定還是使用SET協定進行線上支付,它們總有不如人意之處。但由於SET在安全性,保密性上的優勢,它本應成為未來電子商務實現線上支付的主流方式。筆者針對其主要問題——商品質量和殘留數據的處理方式上,提出了改進方案:引入商品質量檢測機制來保證商品的質量;建立一個“交易信息檔案中心”來解決交易後殘留數據的歸屬,以此保證用戶的利益。
一、引入商品質量檢測機制保證商品質量
引入這種機制的具體做法是商家把商品直接傳送到消費者所在地的官方商品質量檢測機構,由這些專業質檢機構來檢測商品質量問題,檢測完畢後再通知消費者前來領取商品。如果消費者需要此服務,必須和商家協商分攤質量檢測的費用;如果不需要,就按照一般的SET流程交易。因此,我們引入商品質量檢測機制可以檢查商品質量,解決了SET協定中產生的“如果商品質量問題由誰負擔”的問題。這樣既能保證用戶的利益,也能保證商家的利益不被損害。
二、引進商品質量檢測機制後SET的交易流程
引進商品質量檢測機制後,基於SET的交易過程與原來相比更複雜了些,也需要對SET訊息報文進行修改,需要將質量檢測信息作為附屬檔案形式加入SET訊息報文中。因此要在SET 信息報文中增加附屬檔案位,可考慮附屬檔案位的標識為0和1兩種情況,其中0表示沒有附屬檔案,1表示存在附屬檔案。附加的附屬檔案信息包括交易雙方的有關信息(如給雙方打上編號)、商品名稱、商品保質期、商品生存周期等.
(1)用戶查詢商品的信息,確定所要定購的商品。
(2)用戶和商家進行探討,確定商品質量檢測費用該如何分攤。
(3)將定購單和支付信息一起以電子數據的方式來發給商家。
(4)商家進行驗證,向用戶所擁有的支付卡的金融機構請求取得支付授權。
(5)金融機構驗證數字簽名,驗證用戶信息的合法性。如果合法則傳送授權信息。
(6)商家驗證授權信息後,向用戶發出定購確認信息。同時查詢用戶所在地區的商品質量檢測部門的信息。由商家將商品配送到用戶所在地區的商品質量檢測部門。
(7)用戶所在地商品質量檢測部門接收商家的商品。在驗收產品質量後,將附屬檔案位由0改為1,並附加附屬檔案具體信息,向商家傳送收貨信息並負責配送商品給消費者;商家向用戶所擁有的支付卡的金融機構請求付款。
(8)用戶得到滿意的商品後,對付款單進行簽名,向商品質量檢測部門表示同意付款,並向自己的支付卡所在的發行卡傳送支付信息。發卡行在同時得到商家付款請求和用戶同意付款的信息之後,方可付款。
現實套用
SET協定是由美國的公司發起並聯合開發的,因此,SET協定支持信用卡支付這一支付方式比較符合歐美各國的使用情況。可是實際套用上,SET要求持卡人在客戶端安裝電子錢包,增加了顧客交易成本,交易過程又相對複雜,因此比較少顧客接受這種網上即時支付方式。
而在中國,信用卡支付這種方式還沒有普及,因此SET協定在我國的使用也相對較少。電子支付無論要採取哪種支付協定,都應該考慮到安全因素,成本因素和使用的便捷性這三方面,由於這三者在SET協定和SSL協定里的任何一個協定裡面無法全部體現,這就造成現階段SSL協定和SET協定並存使用的局面。但即便將來業界開發結合這三個優點的電子支付協定,也未必能完全保證電子支付和網上銀行的安全。
