【文章內容簡介】 供了與 SET兼容的電子商務套件(vWallet、 vPOS、 vGate)， vGate已經(jīng)安裝到了很多銀行中， vPOS也已在很多 Inter在線商家得到應用。微軟的 IE已經(jīng)加入了 SET兼容的 MS Wallet(電子錢包 )，同時微軟宣稱將來要將其加入到 Windows的核心中。除此之外，符合 SET規(guī)范的產(chǎn)品還有 CyberCash、 Globalset、 TrinTech、Tellan、 DigiCash、 OpenMarket等。隨著電子商務的飛速發(fā)展，符合 SET規(guī)范的產(chǎn)品會越來越多，SET也必將會成為未來電子商務的基礎。 SET 協(xié)議的功能 ? SET 協(xié)議主要為解決持卡人、商家和銀行之間通過信用卡來進行網(wǎng)上支付的交易而設計的， 旨在保證支付信息的機密性、支付過程的完整性、商家以及持卡人身份的合法性以及可操作性。 SET安全技術主要采用了公開密鑰體制加密、數(shù)字簽名、電子數(shù)字證書等。 SET能在電子交易環(huán)節(jié)上提供更大的信任度、更完整的企業(yè)信息、更高的安全性和更少受欺詐的可能性。 SET 協(xié)議的主要安全目標 ? （ 1）保證電子商務參與者信息的相互隔離?？蛻舻馁Y料加密或打包后越過商家到達銀行， 商家不能看到客戶的帳戶和密碼信息。 ? （ 2）保證信息在 Internt上安全傳輸， 防止數(shù)據(jù)被黑客或內部人員竊取。 ? （ 3）解決了多方認證問題。不僅對消費者的信用卡認證， 而且對在線商店的信譽度認證。同時還有消費者、在線商店與銀行間的認證。 SET 協(xié)議的主要安全目標（續(xù)） ? （ 4）保證了網(wǎng)上交易的實時性， 使所有的支付過程都是在線的。 ? （ 5）規(guī)范協(xié)議和消息格式， 促使不同商家開發(fā)的軟件具有兼容性和互操作性。并且可以運行在不同的硬件和操作系統(tǒng)平臺上。 SET 協(xié)議提供的安全服務 ? （ 1）確保在支付系統(tǒng)中支付信息和訂購信息的安全性； ? （ 2）確保數(shù)據(jù)在傳輸過程中的的完整性，即確保數(shù)據(jù)在傳輸過程中不被破壞； ? （ 3）對持卡者身份的合法性進行檢查； ? （ 4）對支付接收方（即商家的身份）的合法性進行檢查； SET 協(xié)議提供的安全服務（續(xù)） ? （ 5）提供最優(yōu)的安全系統(tǒng)，以保護在電子交易中的的合法用戶； ? （ 6）確保該協(xié)議不依賴于傳輸安全技術， 也不限定任何安全技術的使用； ? （ 7）使通過網(wǎng)絡和相應的軟件所進行的交互作業(yè)簡便易行。 SET的缺陷 ? 協(xié)議沒有說明收單銀行在付給在線商店之前是否必須受到消費者的貨物接受證書，如果在線商店提供的貨物不符合質量標準， 消費者提出異議， 責任由誰承擔。 ? （ 2）沒有擔保 “ 非拒絕行為 ” 。在線商店沒有辦法證明是由簽署證書的、講信用的消費者發(fā)出的。 ? （ 3） SET沒有提及在事務處理完成后如何安全保存和銷毀此類數(shù)據(jù)，并不受到以后的潛在攻擊。 SET協(xié)議的使用范圍限制在電子購物過程中的支付過程和安全服務。 SET是針對用卡支付的網(wǎng)上交易而設計的支付規(guī)范，對不用卡支付的交易方式，像貨到付款方式、郵局匯款方式則與 SET無關，像網(wǎng)上商店的頁面安排、保密數(shù)據(jù)在購買者計算機上如何保存等，也與 SET無關。圖 安全方案。 SET的基本概念 圖 網(wǎng)上交易的安全方案 SET協(xié)議中的角色有： 持卡人：電子商務中的一般消費者，包括個人和團體消費者。持卡人通過計算機網(wǎng)絡與商家交易，并通過由發(fā)卡機構頒發(fā)的付款卡進行結算。在持卡人和商家的交易會話中， SET可以保證持卡人的個人賬號信息的真實性，并保證其不被泄露給商家。 發(fā)卡銀行（ Issuer）：它是一個金融機構，為每一個建立了賬戶的顧客頒發(fā)付款卡，發(fā)卡銀行根據(jù)不同品牌卡的規(guī)定和政策，保證對每一筆認證交易的付款。在線交易的商家在發(fā)卡銀行開立賬號，并且處理支付卡的認證和支付。在交易過程中，發(fā)卡銀行與收單銀行之間進行付款授權和賬務結算。 收單銀行：負責授權和管理參與交易的商家，并處理交易的付款卡授權申請和交易款項。 商家：提供商品或服務。使用 SET，就可以保證持卡人個人信息的安全。接受卡支付的商家必須和銀行有關系。 支付網(wǎng)關：是由銀行操作的，將 Inter上的傳輸數(shù)據(jù)轉換為金融機構內部數(shù)據(jù)的設備，或由指派的第三方處理商家支付信息和顧客的支付指令。 認證中心：負責管理電子證書的認證。 電子錢包：電子錢包是一個支持 SET標準的計算機軟件，用來讓消費者進行電子交易與儲存交易記錄。消費者在網(wǎng)絡上進行在線購物或其他電子交易前，需先在個人計算機中安裝電子錢包。電子錢包的功能為，管理電子證書的申請、儲存及刪除，進行SET交易時辨認商家身份并發(fā)送交易信息，保存每一筆交易記錄以供日后查詢。 SET規(guī)范要達到的主要目標是保證信息在 Inter上的安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊聽；將訂單信息和個人賬號信息隔離，在將包括持卡人賬號信息的訂單送到商家時，商家只能看到訂貨信息，而看不到持卡人的賬戶信息；提供持卡人和商家相互認證，以確定通信雙方的身份（一般由第三方機構負責為在線通信雙方提供信用擔保）；要求軟件遵循相同的協(xié)議和消息格式，使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。 SET規(guī)范涉及的范圍包括： 加密算法的應用 (例如 RSA和 DES)； 證書信息和對象格式； 購買信息和對象格式； 認證信息和對象格式； 劃賬信息和對象格式； 交易實體之間消息的傳輸協(xié)議。 SET提供的安全服務主要如下： 機密性： SET使用加密算法來保護金融信息的機密性，可以在收單銀行和持卡人之間提供機密信息的傳輸通道，用于收單銀行回復持卡人交易是否被接受，或者要求持卡人與發(fā)卡銀行聯(lián)系。 認證：當數(shù)字證書可用時， SET使用證書中的簽名來驗證相關實體的身份，并提供信息來源的認證。 完整性：利用單向 Hash算法和數(shù)字簽名可以保證信息在傳輸過程中未被篡改。 關聯(lián)： SET通過 Hash算法提供一個關聯(lián)機制，用來驗證一個消息包含指向另一個消息的參考證明。 非否認： SET沒有提供非否認服務，但建議由發(fā)卡銀行與開發(fā)機構一起來制定相關政策。 對于持卡者，簽字證書將公鑰綁定到持卡者主要賬號（ Primary Account Number， PAN）上， PAN只能由 CCA、持卡者、發(fā)卡行還原出來。持卡者將賬號和其他機密信息發(fā)向收單行，收單行根據(jù)持卡者證書來驗證賬號。為了保護持卡者的機密性，持卡者的姓名不在證書中。實際上，加密后的賬號是持卡者的一個假名。 為防止假冒的 CA，簽字證書的 CA是由更高層的CA來驗證的，只有根 CA必須直接信任。 其中證書的主要類型如下： （ 1） 持卡者證書 收單行的一個功能是保證簽署支付的私鑰與正確的支付卡賬戶對應。為避免泄露持卡者的 PAN給第三者，賬號采用密鑰 Hash機制來加密。 SET結構允許持卡者不用簽字證書來處理 SET交易，這是一個臨時可選方式，僅當持卡者的發(fā)卡行不提供證書服務時才使用該方式。收單行可以選擇是否支持該選項，在收單行的支付網(wǎng)關證書中的一個標志指明了是否支持無證書的持卡者交易。 （ 2） 商家證書 一個商家至少具有兩個密鑰對來參與 SET交易。也可能還有其他密鑰對。商家需要的證書數(shù)量與商家的加密和簽字密鑰對數(shù)量、商家連接的支付網(wǎng)關的數(shù)量、申請商家的品牌數(shù)量有關，其中主要與商家連接的支付網(wǎng)關的數(shù)量有關。最簡單時，商家只與一個支付網(wǎng)關有接口來處理所有品牌，也可能與多個支付網(wǎng)關有接口。另外，收單行可能操作多個網(wǎng)關來達到負載平衡。 SET允許收單行將持卡者信息用商家密鑰加密后發(fā)回商家，該功能由商家證書指明，該選項使商家能夠使用與品牌無關的清算機制。 （ 3） 支付網(wǎng)關證書 支付網(wǎng)關需要如下兩個密鑰對： 一個簽字對，用于簽字和驗證提供給持卡者和商家的消息。 一個加密密鑰交換的密鑰對，用于保護持卡者和商家的支付指示。 （ 4） 證書鏈確認 證書是通過一個信任鏈來確認的。每個證書與一個證書發(fā)行實體的簽字證書相連。證書是通過一直到根 CA的信任層次來驗證的，驗證證書的路徑稱為證書鏈。每個證書的確認強制在所有鏈的層次上。 （ 5） 品牌的證書注銷列表標識 每個品牌有責任管理自己域內的 CRL。 SET結構引入品牌證書注銷列表標識（ Brand CRL， BCL）。一個 BCL由品牌數(shù)字簽字，用于識別持卡者、商家、支付網(wǎng)關、 CA系統(tǒng)的 SET的 CRL。每個 BCL有一個序列號和有效期、 BCL標識品牌和品牌的 CA主體名字。表 SET CA實體的類型和原因。 1． 基本流程 電子商務工作流程與傳統(tǒng)的購物流程非常相似，這使得電子商務與傳統(tǒng)商務很容易融合。除了必須掌握必要的網(wǎng)絡操作技能外，消費者在操作方式上也沒有什么障礙。從消費者通過瀏覽器進入在線商家開始，一直到所訂貨物送貨上門或所定服務完成，消費者賬號上款項的轉移，所有這些都是通過Inter完成的。 SET協(xié)議的工作程序分為下面 7個步驟（如圖 )。 SET支付處理流程 圖 SET系統(tǒng) 發(fā) 卡 銀 行收 單 銀 行消 費 者C AI n t e r n e t金 融 現(xiàn) 有 網(wǎng) 絡支 付 網(wǎng) 關電 子 錢 包 商 家S E T 系 統(tǒng) 7個步驟 ? （ 1）消費者利用已有的計算機通過 Interent 選定商品， 并下電子訂單； ? （ 2）通過電子商務服務器與網(wǎng)上商場聯(lián)系， 網(wǎng)上商場作出應答， 告訴消費者訂單的相關情況； ? （ 3）消費者選擇付款方式， 確認訂單、簽發(fā)付款指令（ SET開始介入）； SET運行的 7個步驟（續(xù)） ? （ 4）在 SET中消費者必須對訂單和付款指令進行數(shù)字簽名， 同時利用雙重簽名技術保證商家看不到消費者的帳號信息； ? （ 5）在線商店接受訂單后， 向消費者所在銀行請求支付認可， 信息通過支付網(wǎng)關到收單銀行， 再到電子貨幣發(fā)行公司確認，批準交易后， 返回確認信息給在線商店。 ? （ 6）在線商店發(fā)送訂單確認信息給消費者， 消費者端軟件可以記錄交易日志， 以備將來查詢。 SET運行的 7個步驟（續(xù) 2） ? （ 7）在線商店發(fā)送貨物或提供服務， 并通知收單銀行將錢從消費者的帳號轉移到商店帳號，