简介
电子商务在提供机遇和便利的同时,也面临着一个最大的挑战,即交易的安全问题。在网上购物的环境中,持卡人希望在交易中保密自己的帐户信息,使之不被人盗用;商家则希望客户的定单不可抵赖,并且,在交易过程中,交易各方都希望验明其他方的身份,以防止被欺骗。针对这种情况,由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构,共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准,这就是"安全电子交易"(Secure Electronic Transaction,简称SET)。它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。
由于SET 提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点。因此,至2012年,它成为了公认的信用卡/借记卡的网上交易的国际安全标准。
SET(Secure Electronic Transaction)安全电子交易协议主要应用于B to C模式中保障支付信息的安全性。SET协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现,同时也在不断升级和完善,如SET 2.0将支持借记卡电子交易。
主要用途SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。
SET是一种基于消息流的协议,它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布,用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验,但大多数在Internet上购的消费者并没有真正使用SET。
SET是一个非常复杂的协议,因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上,SET远远不止是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。
SET协议采用公钥密码体制和X.509数字证书标准,提供了消费者,商家和银行之间的认证,确保了交易数据的机密性,真实性,完整性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
安全电子交易(SET)的工作如下:
顾客开立Mastercard或Visa银行帐户。
顾客收到数字认证。
第三方贸易商也收到银行数字认证。
顾客在网页或者通过电话等订购货物。
顾客的浏览器收到贸易商的认证,确认贸易商的有效性。
浏览器发送定购信息。
贸易商检查顾客认证上的签名,确认顾客。
贸易商将定购信息一起发送到银行。
银行确认贸易商和信息。
银行数字签名并把认可发送给贸易商,贸易商填写订单。1
主要目标SET要达到的最主要目标是:2
(1)信息在公共因特网上安全传输,保证网上传输的数据不被黑客窃取。
(2)订单信息和个人账号信息隔离。在将包括持卡人账号信息在内的订单送到商家时,商家只能看到订货信息,而看不到持卡人的账户信息。
(3)持卡人和商家相互认证。以确保交易各方的真实身份。通常,第三方机构负责为在线交易的各方提供信用担保。
SET协议涉及的当事人包括持卡人,发卡机构,商家,银行以及支付网关。
购物流程SET协议的购物流程,如图所示2:
(1)持卡人使用浏览器在商家的Web页面上查看和浏览在线商品及目录。
(2)持卡人选择要购买的商品。
(3)持卡人填写订单,包括项目列表、价格、总价、运费、搬运费和税费等。订单可通过电子化方式从商家传送过来,或由持卡人的电子购物软件建立。有些在线商店允许持卡人与商家协商物品的价格。
(4)持卡人选择付款方式,此时SET开始介入。
(5)持卡人通过网络发送给商家一个完整的订单及要求付款的指令。在SET中,订单和付款指令由持卡人进行数字签名,同时,利用双重签名技术保证商家看不到持卡人的账号信息。
(6)商家接受订单,通过支付网关向持卡人的金融机构请求支付认可。在银行和发卡机构确认和批准交易后,支付网关给商家返回确认信息。
(7)商家通过网络给顾客发送订单确认信息,为顾客配送货物,完成订购服务。客户端软件可记录交易日志,以备将来查询。
(8)商家位顾客配送货物,完成订购服务。
(9)商家可以立即请求银行将钱从购物者账号转移到商家账号,也可以等到某一时间,请求成批划账处理。到此为止,一个购买结束。
安全性SET交易的安全性:2
(1) 信息的机密性:SET系统中,敏感信息(如持卡人的帐户和支付信息)是加密传送的,不会被未经许可的一方访问。
(2)数据的完整性:通过数字签名,保证在传送者和接收者传送消息期间,消息的内容不会被修改。
(3)身份的验证:通过使用证书和数字签名,可为交易各方提供认证对方身份的依据,即保证信息的真实性。
(4)交易的不可否认性:通过使用数字签名,可以防止交易中的一方抵赖已发生的交易。
(5)互操作性:通过使用特定的协议和消息格式,SET系统可提供在不同的软硬件平台操作的同等能力。
SET提供电子商务的特殊安全需要:支付信息和订单信息的安全保密;使用数字签名确保支付信息的完整性;使用数字签名和消费者证书,进行消费者银行的认证;使用数字签名和商家证书,进行商家的认证;保证所有方失误的不可否认性。