安全电子交易协议 (Secure Electronic Transaction,简称SET协议)
安全电子交易协议SET(Secure Electronic Transaction)是基于信用卡在线支付的电于商务安全协议,它是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET通过制定标准和采用各种密码技术手段,解决了当时困扰电子商务发展的安全问题。目前它已经获得IETF标准的认可,已经成为事实上的工业标准。
SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。
SET是一种基于消息流的协议,它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布,用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验,但大多数在Internet上购的消费者并没有真正使用SET。
SET是一个非常复杂的协议,因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上,SET远远不止是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。
SET协议采用公钥密码体制和X。509数字证书标准,提供了消费者,商家和银行之间的认证,确保了交易数据的机密性,真实性,完整性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
SET要达到的最主要目标是:
(1)信息在公共因特网上安全传输
(2)订单信息和个人账号信息隔离
(3)持卡人和商家相互认证
SET协议涉及的当事人包括持卡人,发卡机构,商家,银行以及支付网关。
SET协议的购物流程:
(1)持卡人通过浏览器从商家网站选择要购买的商品,填写订单。选择付款方式,此时SET开始介入。持卡人通过网络发送给商家一个完整的订单及要求付款的指令。在SET中,订单和付款指令由持卡人进行数字签名,同时,利用双重签名技术保证商家看不到持卡人的账号信息。
(2)商家接受订单,通过支付网关向持卡人的金融机构请求支付认可。
(3)在银行和发卡机构确认和批准交易后,支付网关给商家返回确认信息。
(4)商家通过网络给顾客发送订单确认信息,为顾客配送货物,完成订购服务。客户端软件可记录交易日志,以备将来查询。
(5)商家请求银行将钱从购物者的账号转移到商家账号。
SET交易的安全性:
(1) 信息的机密性:SET系统中,敏感信息(如持卡人的帐户和支付信息)是加密传送的,不会被未经许可的一方访问。
(2) 数据的完整性:通过数字签名,保证在传送者和接收者传送消息期间,消息的内容不会被修改。
(3) 身份的验证:通过使用证书和数字签名,可为交易各方提供认证对方身份的依据,即保证信息的真实性。
(4) 交易的不可否认性:通过使用数字签名,可以防止交易中的一方抵赖已发生的交易。
(5) 互操作性:通过使用特定的协议和消息格式,SET系统可提供在不同的软硬件平台操作的同等能力。