基于SET协议安全电子交易流程再造.docVIP

基于SET协议安全电子交易流程再造 　　[摘要] 针对当前安全电子商务交易的主要协议――SET协议存在的缺陷，提出了一个改进后的安全电子交易流程，该流程通过引入电子交易合同，并利用第三方物流商和收货单，解决了SET协议无法保证商品原子性和确认发送原子性的缺点，有效地保证了交易双方的公平性。 　　[关键词] SET 协议 原子性 电子交易合同 第三方物流商 收货单 　　 　　一、SET协议概述 　　SET协议（Secure Electronic Transaction，安全电子交易）是由维萨（VISA）国际组织、万事达（MasterCard）国际组织创建，结合IBM、Microsoft、Netscape、GTE等公司制定的电子商务中安全电子交易的一个国际标准，其主要目的是解决信用卡电子付款的安全保障性问题。首先，SET协议保证了信息的机密性和信息的安全传输，使信息不能被窃听，只有收件人才能得到和解密信息；其次，SET也保证了支付信息的完整性，使得传输数据完整地接收，在中途不被篡改；最后，SET通过数字证书认证商家和客户，从而验证了公共网络上进行交易活动的商家、持卡人及交易活动的合法性。SET协议具有广泛的互操作性，采用的通讯协议、信息格式和标准具有公共适应性，从而可在公共互连网络上集成不同厂商的产品。 　　采用SET协议进行网上电子交易支付时，主要涉及持卡人、商家、支付网关、发卡行、收单行和CA中心共六方：持卡人是发行者发行的支付卡的授权持有者；发卡行是指发行信用卡给持卡者的金融机构（银行）；商家是有货物或服务出售给持卡人的个人或组织；收单行是指商家开设账号所在的金融机构（银行）；支付网关实现对支付信息从Internet 到银行内部网络的转换接口，用来处理商家支付报文和持卡人的支付指令，并对商家和持卡人进行认证。 　　二、SET协议交易流程 　　SET协议的交易流程主要是： 　　SET交易可分为3个阶段，即购买请求阶段、支付授权阶段和取得支付阶段，在这三个阶段之前，持卡人、商家和支付网关必须完成在CA中心的注册和证书申领工作。整个交易流程如图1所示。 　　图1 set交易流程 　　1.购买请求：持卡人到商户的网站完成浏览、选定商品后，持卡人发送支付信息和订单信息给商家进行支付； 　　2.支付授权：商家将客户支付信息由支付网关交给收单行，向银行请求交易授权和授权回复；收单行解密相关支付信息，并向发卡行进行验证，无误后向商家返回成功信息；商家向持卡人提供商品或服务； 　　3.取得支付：收单行和发卡行之间完成资金清算，整个交易结束。 　　三、SET协议的缺陷分析 　　尽管SET协议实现了电子交易卡支付的高安全性和可靠性，然而，SET协议的交易流程依然存在着不少缺陷，主要缺陷有以下两点： 　　1.商品原子性。即必须保证购买者如果付了款就一定能得到商品，购买者如果得到了商品则一定付了款，不存在付了款而得不到商品或得了商品而未曾付款。也就是说，当商家从支付网关得到客户正确支付后，SET协议并不能保证商家一定会发货给顾客，即不能保证商品的原子性。 　　2.确认发送原子性。需要有对客户购买的和商家销售的商品内容及品质的双方确认，亦即协议保证购买者得到他所订购的商品，商家发送了客户所订购的商品。商家从支付网关得到客户正确支付后，SET协议一样不能保证商家发送给顾客的商品就是顾客所订购的商品，也不能保证即不满足确认发送原子性。 　　因此，本文考虑从上述缺陷出发，对SET协议中的信息传递流程和相关机制进行改进，使它在原有基础上满足商品原子性和确认发送原子性。 　　四、改进的SET安全交易流程 　　改进后的交易流程主要分为六个步骤，如图2所示： 　　图2 改进后的SET电子交易流程 　　1.交易各方获取CA数字证书。持卡人、商家、发卡银行、收单银行及第三方物流商（如果在交易过程中需要的话）向各自的CA中心申请并取得各自的数字证书。为确保交易各方能验证交易中其他方的身份，建议交易各方采用同一个CA中心，或一组能相互认证的CA中心。 　　2.订单确认 　　(1)持卡人浏览商家的网站并选择商品； 　　(2)持卡人完成订单，将订单信息、支付信息进行双重数字签名后，连同CA证书一起发给商家； 　　(3)商家收到持卡人的订单信息和支付信息后，通过CA中心对持卡人的身份进行验证；同时将支付信息提交支付网关，请求收单行进行验证； 　　(4)收单行收到持卡人支付信息后，将持卡人CA证书和支付信息提交给发卡行，验证账户真实性及余额是否充足；如持卡人身份没有通过CA中心的验证或账户余额不足以完成本次交易，则商家取消持卡人的订单，同时通知持卡人；若持卡人身份和账户余额均通过验证，则返回商家成功信息； 　　(5)如持卡人