簡介
SET協定
電子商務在提供機遇和便利的同時,也面臨著一個最大的挑戰,即交易的安全問題。在網上購物的環境中,持卡人希望在交易中保密自己的帳戶信息,使之不被人盜用;商家則希望客戶的定單不可抵賴,並且,在交易過程中,交易各方都希望驗明其他方的身份,以防止被欺騙。針對這種情況,由美國Visa和MasterCard兩大信用卡組織聯合國際上多家科技機構,共同制定了套用於Internet上的以銀行卡為基礎進行線上交易的安全標準,這就是
"安全電子交易"(Secure Electronic Transaction,簡稱SET)。它採用
公鑰密碼體制和X.509
數字證書標準,主要套用於保障網上購物信息的安全性。
由於SET 提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點。因此,至2012年,它成為了公認的信用卡/借記卡的網上交易的國際安全標準。
SET(Secure Electronic Transaction)安全電子交易協定主要套用於B to C模式中保障支付信息的安全性。SET協定本身比較複雜,設計比較嚴格,安全性高,它能保證信息傳輸的機密性、真實性、完整性和不可否認性。SET協定是PKI框架下的一個典型實現,同時也在不斷升級和完善,如SET 2.0將支持借記卡電子交易。
主要目標
1. 防止數據被非法用戶竊取,保證信息在網際網路上安全傳輸。
2. SET 中使用了一種雙簽名技術保證電子商務參與者信息的相互隔離。客戶的資料加密後通過商家到達銀行,但是商家不能看到客戶的帳戶和密碼信息。
3. 解決多方認證問題。不僅對客戶的信用卡認證,而且要對線上商家認證,實現客戶、商家和銀行間的相互認證。
4. 保證網上交易的實時性,使所有的支付過程都是線上的。
5. 提供一個開放式的標準,規範協定和訊息格式,促使不同廠家開發的軟體具有兼容性和互操作功能。可在不同的軟硬體平台上執行並被全球廣泛接受。
提供服務
SET協定為電子交易提供了許多保證安全的措施。它能保證電子交易的機密性,
數據完整性,交易行為的不可否認性和身份的合法性。SET協定設計的證書中包括:銀行證書及發卡機構證書、
支付網關證書和商家證書。
(1)保證客戶交易信息的保密性和完整性
SET協定採用了
雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分別簽名,使得商家看不到支付信息,只能接收用戶的訂單信息;而金融機構看不到交易內容,只能接收到用戶支付信息和帳戶信息,從而充分保證了消費者帳戶和定購信息的安全性。
(2)確保商家和客戶交易行為的不可否認性
SET協定的重點就是確保商家和客戶的身份認證和交易行為的不可否認性。其理論基礎就是
不可否認機制,採用的核心技術包括X.509電子證書標準,
數字簽名,
報文摘要,雙重簽名等技術。
(3)確保商家和客戶的合法性
SET協定使用
數字證書對交易各方的合法性進行驗證。通過數字證書的驗證,可以確保交易中的商家和客戶都是合法的,可信賴的。
交易流程
SET交易過程中要對商家,客戶,
支付網關等交易各方進行身份認證,因此它的交易過程相對複雜。
(1)客戶在網上商店看中商品後,和商家進行磋商,然後發出請求購買信息。
(2)商家要求客戶用電子錢包付款。
(3)電子錢包提示客戶輸入口令後與商家交換握手信息,確認商家和客戶兩端均合法。
(4)客戶的電子錢包形成一個包含訂購信息與支付指令的報文傳送給商家。
(5)商家將含有客戶支付指令的信息傳送給支付網關。
(6)支付網關在確認客戶信用卡信息之後,向商家傳送一個授權回響的
報文。
(7)商家向客戶的電子錢包傳送一個確認信息。
(8)將款項從客戶賬號轉到商家賬號,然後向顧客送貨,交易結束。
從上面的交易流程可以看出,SET交易過程十分複雜性,在完成一次S ET協定交易過程中,需驗證電子證書9次,驗證
數字簽名6次,傳遞證書7次,進行簽名5次,4次
對稱加密和
非對稱加密。通常完成一個SET協定交易過程大約要花費1.5-2分鐘甚至更長時間。由於各地網路設施良莠不齊,因此,完成一個SET協定的交易過程可能需要耗費更長的時間。
安全性
採用公鑰加密和
私鑰加密相結合的辦法保證數據的保密性 SET協定中,支付環境的信息保密性是通過公鑰加密法和私鑰加密法相結合的算法來加密支付信息而獲得的。它採用的
公鑰加密算法是RSA的
公鑰密碼體制,私鑰加密算法是採用DES
數據加密標準。這兩種不同
加密技術的結合套用在SET中被形象的成為
數字信封,RSA加密相當於用信封密封,訊息首先以56位的DES
密鑰加密,然後裝入使用1024位RSA公鑰加密的數字信封在交易雙方傳輸。這兩種密鑰相結合的辦法保證了交易中數據信息的保密性。
一、採用信息摘要技術保證信息的完整性
SET協定是通過
數字簽名方案來保證訊息的完整性和進行訊息源的認證的,數字簽名方案採用了與訊息加密相同的加密原則。即數字簽名通過
RSA加密算法結合生成信息摘要,信息摘要是訊息通過HASH函式處理後得到的唯一對應於該訊息的數值,訊息中每改變一個
數據位都會引起信息摘要中大約一半的數據位的改變。而兩個不同的訊息具有相同的信息摘要的可能性及其微小,因此HASH函式的單向性使得從信息摘要得出信息的摘要的計算是不可行的。信息摘要的這些特徵保證了信息的完整性。
二、採用雙重簽名技術保證交易雙方的身份認證
SET協定套用了雙重簽名(Dual Signatures)技術。在一項安全電子商務交易中,持卡人的定購信息和支付指令是相互對應的。商家只有確認了對應於持卡人的支付指令對應的定購信息才能夠按照定購信息發貨;而銀行只有確認了與該持卡人支付指令對應的定購信息是真實可靠的才能夠按照商家的要求進行支付。為了達到商家在合法驗證持卡人支付指令和銀行在合法驗證持卡人訂購信息的同時不會侵犯顧客的私人隱私這一目的,SET協定採用了雙重簽名技術來保證顧客的隱私不被侵犯。
SET改進
SET協定提供了在B2C平台上信用卡線上支付的方式,不過由於其實現起來非常複雜,商家和銀行都需要改造系統來實現相互操作,如此看來,SET的普遍套用還需要假以時日。無論是使用SSL協定還是使用SET協定進行線上支付,它們總有不如人意之處。但由於SET在安全性,保密性上的優勢,它本應成為未來電子商務實現線上支付的主流方式。筆者針對其主要問題——商品質量和殘留數據的處理方式上,提出了改進方案:引入商品質量檢測機制來保證商品的質量;建立一個“交易信息檔案中心”來解決交易後殘留數據的歸屬,以此保證用戶的利益。
一、引入商品質量檢測機制保證商品質量
引入這種機制的具體做法是商家把商品直接傳送到消費者所在地的官方商品質量檢測機構,由這些專業質檢機構來檢測商品質量問題,檢測完畢後再通知消費者前來領取商品。如果消費者需要此服務,必須和商家協商分攤質量檢測的費用;如果不需要,就按照一般的SET流程交易。因此,我們引入商品質量檢測機制可以檢查商品質量,解決了SET協定中產生的“如果商品質量問題由誰負擔”的問題。這樣既能保證用戶的利益,也能保證商家的利益不被損害。
二、引進商品質量檢測機制後SET的交易流程
引進商品質量檢測機制後,基於SET的交易過程與原來相比更複雜了些,也需要對SET訊息
報文進行修改,需要將質量檢測信息作為附屬檔案形式加入SET訊息報文中。因此要在SET 信息報文中增加附屬檔案位,可考慮附屬檔案位的標識為0和1兩種情況,其中0表示沒有附屬檔案,1表示存在附屬檔案。附加的附屬檔案信息包括交易雙方的有關信息(如給雙方打上編號)、商品名稱、商品保質期、商品生存周期等.
(1)用戶查詢商品的信息,確定所要定購的商品。
(2)用戶和商家進行探討,確定商品質量檢測費用該如何分攤。
(3)將定購單和支付信息一起以電子數據的方式來發給商家。
(4)商家進行驗證,向用戶所擁有的支付卡的金融機構請求取得支付授權。
(5)金融機構驗證
數字簽名,驗證用戶信息的合法性。如果合法則傳送授權信息。
(6)商家驗證授權信息後,向用戶發出定購確認信息。同時查詢用戶所在地區的商品質量檢測部門的信息。由商家將商品配送到用戶所在地區的商品質量檢測部門。
(7)用戶所在地商品質量檢測部門接收商家的商品。在驗收產品質量後,將附屬檔案位由0改為1,並附加附屬檔案具體信息,向商家傳送收貨信息並負責配送商品給消費者;商家向用戶所擁有的支付卡的金融機構請求付款。
(8)用戶得到滿意的商品後,對付款單進行簽名,向商品質量檢測部門表示同意付款,並向自己的支付卡所在的發行卡傳送支付信息。發卡行在同時得到商家付款請求和用戶同意付款的信息之後,方可付款。
現實套用
SET協定是由美國的公司發起並聯合開發的,因此,SET
協定支持信用卡支付這一支付方式比較符合歐美各國的使用情況。可是實際套用上,SET要求持卡人在客戶端安裝電子錢包,增加了顧客交易成本,交易過程又相對複雜,因此比較少顧客接受這種網上即時支付方式。
而在中國,信用卡支付這種方式還沒有普及,因此SET協定在我國的使用也相對較少。電子支付無論要採取哪種支付協定,都應該考慮到安全因素,成本因素和使用的便捷性這三方面,由於這三者在SET協定和SSL協定里的任何一個協定裡面無法全部體現,這就造成現階段SSL協定和SET協定並存使用的局面。但即便將來業界開發結合這三個優點的
電子支付協定,也未必能完全保證電子支付和網上銀行的安全。
因為網上銀行的安全涉及到方方面面,不只是一個完善的安全支付協定,一堵安全的
防火牆或者一個
電子簽名就能簡單解決的問題。所以,銀行必須加大加強管理力度,加大宣傳力度,幫助顧客樹立起安全意識,指導用戶該如何正確使用網上銀行,並發動社會各方面的力量,尋求多方聯動的策略來保證網上銀行的安全。只有社會各界一起努力,才能保證電子支付的安全;只有社會各界一起努力,才能保證網上銀行的安全;也只有社會各界一起努力,才可以保證電子商務的安全,保證電子商務的快速有序的發展。
相關領域