14、SET协议

SET协议

安全电子交易协议(SET，Secure Electronic Transaction) 由威士(VISA)国际组织、万事达(MasterCard)国际组织创建，结合IBM、Microsoft、Netscope、GTE等公司制定的电子商务中安全电子交易的一个国际标准，是一种基于消息流的协议。

SET协议是基于信用卡支付模式而设计的。它保证了开放网络上使用信用卡进行在线购物的安全，是一个专门针对于信用卡电子支付的安全协议，保证银行，商家和顾客之间的一致性和安全性问题，通过SET协议可以实现电子商务交易中的加密、认证、密钥管理机制等，具有保证交易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。

六大组件：持卡人，商家，支付网关，清算机构，发卡机构，CA。 

 1、电子交易必备安全的因素

1）身份合法性：验证商家和我们消费者的身份，要保证不是第三方来冒充的。

2）抗抵赖性：，就是就发生过的形为，是不能抵赖的。

3）完整性：要保证信息在传送中没有被别人篡改。

4）机密性：第三方不可以看到我们所购买的物品的具体内容，要保证信息的机密性，不让第三方看到，特别是账号和密码的信息机密性。

2、主要目标

SET是一个复杂的协议，它详细而准确地反映了卡交易各方之间的各种关系。事实上，SET不只是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义，希望得到数字证书以及响应信息的各方应有的动作，与一笔交易紧密相关的责任分担。SET是一个基于可信的第三方认证中心的方案，其主要目的是解决信用卡电子付款的安全保障性问题，这包括：保证信息的机密性，保证信息安全传输，不能被窃听，只有收件人才能得到和解密信息；保证支付信息的完整性，保证传输数据完整接收，在中途不被篡改；认证商家和客户，验证公共网络上进行交易活动。

 它要实现的主要目标有下列三个方面。

1）保障付款安全：确保付款资料的隐密性及完整性，提供持卡人、特约商店、收单银行的认证，并定义安全服务所需要的算法及相关协定。

2）确定应用的互通性：提供一个开放式的标准。明确定义细节，以确保不同厂商开发的应用程序可共同运作，促成软件互通；在现存各种标准下构建协定，允许在任何软硬件平台上执行，使标准达到相容性与接受性目标。

3）达到全球市场的接受性：在容易使用与对特约商店、持卡人影响最小的前提下，达到全球普遍性。允许在目前使用者的应用软件下，嵌入付款协定的执行，对收单银行与特约商店、持卡人与发卡银行间的关系，以及信用卡组织的基础构架改变最少。

3、工作流程

SET主要用于消费者与商店、商店与收单银行（付款银行）之间。其运作方式参照图：简述如下：

 ①消费者在验证商家的CA证书之后，发送给商家有订购信息和支付信息的用顾客签名加密了的信息，使用双重签名技术使商家只能得到订购信息，得不到支付信息；

在消费者与特约商店之间，由持卡人在消费前先确认商店的合法性，由商店出示它的证书。

②商家验证消费者身份，通过网关，清算机构，向发卡机构确认交易；

持卡人确认后即可下订单，其订单经消费者以数字签名方式确认，而消费者所提供的信用卡资料则另由收单银行以公钥予以加密。这里，特约商店会收到两个经过加密的资料，其中一个是订单资料，另一个是关于支付的资料；按规定特约商店可以解密前者，但无法解密后者，以避免特约商店搜集或滥用持卡人消费资料。

③特约商店将客户的资料连同自己的SET证书发给收单银行，向银行请求交易授权及授权回复。收单银行同时检验两个证书以确定是否为合法的持卡人及特约商店。所以，收单银行由支付网关来解密，核对资料无误后，再连接到传统的网络（比如Visa或MasterCard）进行交易授权及清算。

④授权确认后由特约商店向消费者再行确认订单，交易完成。

⑤特约商店基于该授权向收单银行提出请款的要求。

⑥支付网关通知持卡人开户行向商家开户行付款。

4、SET的安全性

1.采用公钥加密和私钥加密相结合的办法保证数据的保密性

SET协议中，支付环境的信息保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而获得的。它采用的公钥加密算法是RSA的公钥密码体制，私钥加密算法是采用DES数据加密标准。这两种不同加密技术的结合应用在SET中被形象的成为数字信封，RSA加密相当于用信封密封，消息首先以56位的DES密钥加密，然后装入使用1024位RSA公钥加密的数字信封在交易双方传输。这两种密钥相结合的办法保证了交易中数据信息的保密性。

2.采用信息摘要技术保证信息的完整性

SET协议是通过数字签名方案来保证消息的完整性和进行消息源的认证的，数字签名方案采用了与消息加密相同的加密原则。即数字签名通过RSA加密算法结合生成信息摘要，信息摘要是消息通过HASH函数处理后得到的唯一对应于该消息的数值，消息中每改变一个数据位都会引起信息摘要中大约一半的数据位的改变。而两个不同的消息具有相同的信息摘要的可能性及其微小，因此HASH函数的单向性使得从信息摘要得出信息的摘要的计算是不可行的。信息摘要的这些特征保证了信息的完整性。

3.采用双重签名技术保证交易双方的身份认证

SET协议应用了双重签名（Dual Signatures）技术。在一项安全电子商务交易中，持卡人的定购信息和支付指令是相互对应的。商家只有确认了对应于持卡人的支付指令对应的定购信息才能够按照定购信息发货；而银行只有确认了与该持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进行支付。为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同时不会侵犯顾客的私人隐私这一目的，SET协议采用了双重签名技术来保证顾客的隐私不被侵犯。

关键技术

1）电子信封:用对方的公钥加密用来通信的对称密钥，形成一个装着密钥的信封，将密钥传递给对方；

2）双重签名:用于分离支付信息和订购信息；

5、SSL和SET协议的比较

SSL协议虽然也可以用在电子商务中，但只是保证了网络节点间机密，完整等信息，但并没有针对电子商务的特点设计。

SSL没有突出身份认证，而SET中所有人的身份都要求认证；

SET规范了整个交易流程，最大限度保证了商务性，协调性和集成性；

SET是应用层，SSL是传输层；

SSL主要与在WEB上，而SET可用于多平台；

SET代价大；

事实上，SET和SSL除了都采用RSA公钥算法以外，二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。SET是一个多方的报文协议，它定义了银行、商家、持卡人之间必需的报文规范，与此同时SSL只是简单地在两方之间建立了安全连接。SSL是面向连接的，而SET允许各方之间的报文交换不是实时的。SET报文能够在银行内部网或者其他网络上传输，而SSL之上的卡支付系统只能与Web浏览器捆绑在一起。

SET与SSL相比具有如下优点：

①SET为商家提供了保护自己的手段，使商家免受欺诈的困扰，使商家的运营成本降低。

②对消费者而言，SET保证了商家的合法性，并且用户的信用卡号不会被窃取，SET替消费者保守了更多的秘密使其在线购物更加轻松。

③银行和发卡机构以及各种信用卡组织来说，因为SET可以帮助它们将业务扩展到Internet这个广阔的空间，从而使得信用卡网上支付具有更低的欺骗概率，这使得它比其他支付方式具有更大的竞争力。

④SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。

提供这些功能的前提是：SET要求在银行网络、商家服务器、顾客的PC上安装相应的软件。这些阻止了SET的广泛发展。另外，SET还要求必须向各方发放证书，这也成为阻碍之一。所有这些使得SET要比SSL昂贵得多。SET的另外一个优点在于：它可以用在系统的一部分。例如，一些商家正在考虑在与银行连接中使用SET，而与顾客连接时仍然使用SSL。这种方案既回避了在顾客机器上安装钱夹软件；同时又获得了SET提供的很多优点。在SET中，交易凭证中有客户的签名，银行就会有客户曾经购物的证据。提供这种能力的特性在密码学中称之为认可。它所提供的可靠性的前提是客户必须保证私人签字密钥的安全。

综上所述，在电子商务过程中，采用何种安全电子交易的协议是非常重要的，既要考虑安全性问题也要考虑实现过程的复杂程度和建设网站的成本。因此，发展电子商务需要根据实际情况，在保证安全的前提下节省成本，以促进我国的网络贸易的快速发展。