SET协议分析和总结.docx

SET 协议 电子商务在提供机遇和便利的同时，也面临着一个最大的挑战，即交易的安全问题。 在网上购物的环境中，持卡人希望在交易中保密自己的帐户信息，使之不被人盗用；商家则 希望客户的定单不可抵赖，并且，在交易过程中，交易各方都希望验明其他方的身份，以防止被欺骗。针对这种情况，由美国 Visa 和MasterCard 两大信用卡组织联合国际上多家科技机构，共同制定了应用于Internet 上的以银行卡为基础进行在线交易的安全标准，这就是安全电子交易（Secure Electronic Transaction，简称 SET）。它采用公钥密码体制和 X.509 数字证书标准，主要应用于保障网上购物信息的安全性。 由于 SET 提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点。因此，至2012 年，它成为了公认的信用卡/借记卡的网上交易的国际安全标准。 SET(Secure Electronic Transaction)安全电子交易协议主要应用于B to C模式中保障支付信息的安全性。SET 协议本身比较复杂，设计比较严格，安全性高，它能保证信息传输的机密性、真实性、完整性和不可否认性。SET 协议是PKI 框架下的一个典型实现，同时也在不断升级和完善，如SET 2.0 将支持借记卡电子交易。 主要目标 ?1. 防止数据被非法用户窃取，保证信息在互联网上安全传输。 ?2. SET 中使用了一种双签名技术保证电子商务参与者信息的相互隔离。客户的资料加密后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。 ?3. 解决多方认证问题。不仅对客户的信用卡认证，而且要对在线商家认证，实现客户、商家和银行间的相互认证。 ?4. 保证网上交易的实时性，使所有的支付过程都是在线的。 ?5. 提供一个开放式的标准，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能。可在不同的软硬件平台上执行并被全球广泛接受。 提供服务 SET 协议为电子交易提供了许多保证安全的措施。它能保证电子交易的机密性，数据完整性，交易行为的不可否认性和身份的合法性。SET 协议设计的证书中包括：银行证书及发卡机构证书、支付网关证书和商家证书。 保证客户交易信息的保密性和完整性 SET 协议采用了双重签名技术对SET 交易过程中消费者的支付信息和订单信息分别签 名，使得商家看不到支付信息，只能接收用户的订单信息；而金融机构看不到交易内容，只能接收到用户支付信息和帐户信息，从而充分保证了消费者帐户和定购信息的安全性。 确保商家和客户交易行为的不可否认性 SET 协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性。其理论基础就是不可否认机制，采用的核心技术包括 X.509 电子证书标准，数字签名，报文摘要，双重签名等技术。 确保商家和客户的合法性 SET 协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证，可以确保交易中的商家和客户都是合法的，可信赖的。 交易流程 SET 交易过程中要对商家，客户，支付网关等交易各方进行身份认证，因此它的交易过程相对复杂。 (1)客户在网上商店看中商品后，和商家进行磋商，然后发出请求购买信息。(2)商家要求客户用电子钱包付款。 (3)电子钱包提示客户输入口令后与商家交换握手信息，确认商家和客户两端均合法。(4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。 商家将含有客户支付指令的信息发送给支付网关。 支付网关在确认客户信用卡信息之后，向商家发送一个授权响应的报文。(7)商家向客户的电子钱包发送一个确认信息。 (8)将款项从客户帐号转到商家帐号，然后向顾客送货，交易结束。 从上面的交易流程可以看出，SET 交易过程十分复杂性，在完成一次S ET 协议交易过程中，需验证电子证书9 次，验证数字签名6 次，传递证书 7 次，进行签名5 次，4 次对称加密和非对称加密。通常完成一个SET 协议交易过程大约要花费1.5－2 分钟甚至更长时间。由于各地网络设施良莠不齐，因此，完成一个 SET 协议的交易过程可能需要耗费更长的时间。安全性 采用公钥加密和私钥加密相结合的办法保证数据的保密性 SET 协议中，支付环境的信息保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而获得的。它采用的 公钥加密算法是RSA 的公钥密码体制，私钥加密算法是采用 DES 数据加密标准。这两种不同加密技术的结合应用在SET 中被形象的成为数字信封，RSA 加密相当于用信封密封，消息首先以56 位的DES密钥加密，然后装入使用1024 位RSA公钥加密的数字信封在交易双方传输。这两种密钥相结合的办法保证了交易中数据信息的保密