簡介
電子商務在提供機遇和便利的同時,也面臨著一個最大的挑戰,即交易的安全問題。在網上購物的環境中,持卡人希望在交易中保密自己的帳戶信息,使之不被人盜用;商家則希望客戶的定單不可抵賴,並且,在交易過程中,交易各方都希望驗明其他方的身份,以防止被欺騙。針對這種情況,由美國Visa和MasterCard兩大信用卡組織聯合國際上多家科技機構,共同制定了套用於Internet上的以銀行卡為基礎進行線上交易的安全標準,這就是"
安全電子交易"(Secure Electronic Transaction,簡稱SET)。它採用
公鑰密碼體制和X.509
數字證書標準,主要套用於保障網上購物信息的安全性。
由於SET 提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點。因此,至2012年,它成為了公認的信用卡/借記卡的網上交易的國際安全標準。
SET(Secure Electronic Transaction)
安全電子交易協定主要套用於B to C模式中保障支付信息的安全性。SET協定本身比較複雜,設計比較嚴格,安全性高,它能保證信息傳輸的機密性、真實性、完整性和不可否認性。SET協定是PKI框架下的一個典型實現,同時也在不斷升級和完善,如SET 2.0將支持借記卡電子交易。
主要用途
SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。
目前公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標準被公認為全球網際網路的標準,其交易形態將成為未來“電子商務”的規範。
SET是一種基於訊息流的協定,它主要由MasterCard和Visa以及其他一些業界主流廠商設計發布,用來保證公共網路上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用並經受了考驗,但大多數在Internet上購的消費者並沒有真正使用SET。
SET是一個非常複雜的協定,因為它非常詳細而準確地反映了卡交易各方之間存在的各種關係。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規則。事實上,SET遠遠不止是一個技術方面的協定,它還說明了每一方所持有的數字證書的合法含義,希望得到數字證書以及回響信息的各方應有的動作,與一筆交易緊密相關的責任分擔。
SET協定採用公鑰密碼體制和X.509數字證書標準,提供了消費者,商家和銀行之間的認證,確保了交易數據的機密性,真實性,完整性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。
安全電子交易(SET)的工作如下:
顧客開立Mastercard或Visa銀行帳戶。
顧客收到數字認證。
第三方貿易商也收到銀行數字認證。
顧客在網頁或者通過電話等訂購貨物。
顧客的瀏覽器收到貿易商的認證,確認貿易商的有效性。
瀏覽器傳送定購信息。
貿易商檢查顧客認證上的簽名,確認顧客。
貿易商將定購信息一起傳送到銀行。
銀行確認貿易商和信息。
銀行數字簽名並把認可傳送給貿易商,貿易商填寫訂單。
主要目標
SET要達到的最主要目標是:
(1)信息在公共網際網路上安全傳輸,保證網上傳輸的數據不被黑客竊取。
(2)訂單信息和個人賬號信息隔離。在將包括持卡人賬號信息在內的訂單送到商家時,商家只能看到訂貨信息,而看不到持卡人的賬戶信息。
(3)持卡人和商家相互認證。以確保交易各方的真實身份。通常,第三方機構負責為線上交易的各方提供信用擔保。
SET協定涉及的當事人包括持卡人,發卡機構,商家,銀行以及支付網關。
購物流程
SET協定的購物流程,如圖所示:
(1)持卡人使用瀏覽器在商家的Web頁面上查看和瀏覽線上商品及目錄。
(2)持卡人選擇要購買的商品。
(3)持卡人填寫訂單,包括項目列表、價格、總價、運費、搬運費和稅費等。訂單可通過電子化方式從商家傳送過來,或由持卡人的電子購物軟體建立。有些線上商店允許持卡人與商家協商物品的價格。
(4)持卡人選擇付款方式,此時SET開始介入。
(5)持卡人通過網路傳送給商家一個完整的訂單及要求付款的指令。在SET中,訂單和付款指令由持卡人進行數字簽名,同時,利用雙重簽名技術保證商家看不到持卡人的賬號信息。
(6)商家接受訂單,通過支付網關向持卡人的金融機構請求支付認可。在銀行和發卡機構確認和批准交易後,支付網關給商家返回確認信息。
(7)商家通過網路給顧客傳送訂單確認信息,為顧客配送貨物,完成訂購服務。客戶端軟體可記錄交易日誌,以備將來查詢。
(8)商家位顧客配送貨物,完成訂購服務。
(9)商家可以立即請求銀行將錢從購物者賬號轉移到商家賬號,也可以等到某一時間,請求成批劃賬處理。到此為止,一個購買結束。
安全性
SET交易的安全性:
(1) 信息的機密性:SET系統中,敏感信息(如持卡人的帳戶和支付信息)是加密傳送的,不會被未經許可的一方訪問。
(2)數據的完整性:通過數字簽名,保證在傳送者和接收者傳送訊息期間,訊息的內容不會被修改。
(3)身份的驗證:通過使用證書和數字簽名,可為交易各方提供認證對方身份的依據,即保證信息的真實性。
(4)交易的不可否認性:通過使用數字簽名,可以防止交易中的一方抵賴已發生的交易。
(5)互操作性:通過使用特定的協定和訊息格式,SET系統可提供在不同的軟硬體平台操作的同等能力。
SET提供電子商務的特殊安全需要:支付信息和訂單信息的安全保密;使用數字簽名確保支付信息的完整性;使用數字簽名和消費者證書,進行消費者銀行的認證;使用數字簽名和商家證書,進行商家的認證;保證所有方失誤的不可否認性。