【正文】 DES）。 ②證書(shū)信息和對(duì)象格式。 ③購(gòu)買(mǎi)信息和對(duì)象格式。 ④認(rèn)可信息和對(duì)象格式。 ⑤劃賬信息和對(duì)象格式。 ⑥對(duì)話實(shí)體之間消息的傳輸協(xié)議。 ? 4． SET安全協(xié)議的工作原理 ? （ 1） SET協(xié)議的工作流程。分為下面七個(gè)步驟： ? ①消費(fèi)者在 Inter上搜索所要購(gòu)買(mǎi)的商品，通過(guò)計(jì)算機(jī)輸入訂貨單。 ? ②通過(guò)電子商務(wù)服務(wù)器與有關(guān)在線商店聯(lián)系，在線商店做出應(yīng)答，以確認(rèn)訂單條款的準(zhǔn)確性。 ? ③消費(fèi)者選擇付款方式，確認(rèn)訂單，簽發(fā)付款指令。 ? ④消費(fèi)者對(duì)訂單和付款指令進(jìn)行數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的賬號(hào)信息。 ? ⑤在線商店接受訂單后，向消費(fèi)者所在銀行請(qǐng)求支付認(rèn)可。信息通過(guò)支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認(rèn)，批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。 ? ⑥在線商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。 ? ⑦在線商店發(fā)送貨物或提供服務(wù)，并通知收單銀行進(jìn)行轉(zhuǎn)賬通知發(fā)卡行請(qǐng)求支付。 （ 2） SET支付流程。 如圖 84所示，一個(gè)完整的 SET支付流程如下： ? ①支付初始化請(qǐng)求和響應(yīng)階段。當(dāng)客戶決定要購(gòu)買(mǎi)商家的商品并使用SET錢(qián)夾付錢(qián)時(shí)，商家服務(wù)器上 POS軟件發(fā)報(bào)文給客戶的瀏覽器 SET錢(qián)夾付錢(qián)， SET錢(qián)夾則要求客戶輸入口令然后與商家服務(wù)器交換“握手”信息，使客戶和商家相互確認(rèn)，即客戶確認(rèn)商家被授權(quán)可以接受信用卡，同時(shí)商家也確認(rèn)客戶是一個(gè)合法的持卡人。 ? ②支付請(qǐng)求階段?？蛻舭l(fā)一報(bào)文，包括訂單和支付命令。在訂單和支付命令中必須有客戶的數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到客戶的賬號(hào)信息。只有位于商家開(kāi)戶行的被稱為支付網(wǎng)關(guān)的另外一個(gè)服務(wù)器可以處理支付命令中的信息。 ? ③授權(quán)請(qǐng)求階段。商家收到訂單后， POS組織一個(gè)授權(quán)請(qǐng)求報(bào)文，其中包括客戶的支付命令，發(fā)送給支付網(wǎng)關(guān)。支付網(wǎng)關(guān)是一個(gè) Inter服務(wù)器，是連接 Inter和銀行內(nèi)部網(wǎng)絡(luò)的接口。授權(quán)請(qǐng)求報(bào)文通過(guò)到達(dá)收單銀行后，收單銀行再到發(fā)卡銀行確認(rèn)。 ? ④授權(quán)響應(yīng)階段。收單銀行得到發(fā)卡銀行的批準(zhǔn)后，通過(guò)支付網(wǎng)關(guān)發(fā)給商家授權(quán)響應(yīng)報(bào)文。 ? ⑤支付響應(yīng)階段。商家發(fā)送訂單確認(rèn)信息給顧客，顧客端軟件可記錄交易日志，以備將來(lái)查詢。同時(shí)商家給客戶裝運(yùn)貨物，或完成訂購(gòu)的服務(wù)。 5． SET安全協(xié)議的不足之處 （ 1）協(xié)議并沒(méi)有說(shuō)明收單銀行給在線商店付款前，是否必須收到消費(fèi)者的貨物接受證書(shū)，如果在線商店提供貨物不符合質(zhì)量標(biāo)準(zhǔn)，消費(fèi)者提出疑義，責(zé)任該由誰(shuí)來(lái)承擔(dān)。 （ 2）協(xié)議沒(méi)有擔(dān)?！胺蔷芙^行為”，這意味著在線商店沒(méi)有辦法證明訂購(gòu)是不是由簽署證書(shū)的消費(fèi)者發(fā)出的。 （ 3） SET技術(shù)規(guī)范沒(méi)有提及事務(wù)處理完成后，如何安全地保存或銷(xiāo)毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費(fèi)者、在線商店或收單銀行的計(jì)算機(jī)里，這些漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。 （ 4） SET協(xié)議過(guò)于復(fù)雜，使用麻煩，成本高，數(shù)據(jù)處理時(shí)間相對(duì)較長(zhǎng)，而且只適用于客戶具有電子錢(qián)包的場(chǎng)合。 （ 5） SET的證書(shū)格式比較特殊，雖然也遵循 ，但它主要是由Visa和 MasterCard開(kāi)發(fā)并按信用卡支付方式進(jìn)行定義的，因而 SET主要支持卡支付業(yè)務(wù)，對(duì)其它支付方式存在一定的限制。 （ 6）在 SET協(xié)議中，雖然用戶賬號(hào)不會(huì)明文傳遞，通常采用 1024位 RSA不對(duì)稱密鑰加密，但在實(shí)際應(yīng)用中發(fā)現(xiàn)大多數(shù)商戶都收到了持卡人的賬號(hào)，所以用戶賬號(hào)泄漏問(wèn)題仍然存在。 ? 6． SSL和 SET協(xié)議比較 ? SET與 SSL相比具有如下優(yōu)點(diǎn)： ? （ 1） SET為商家提供了保護(hù)自己的手段，使商家免受欺詐的困擾，使商家的運(yùn)營(yíng)成本降低。 ? （ 2）對(duì)消費(fèi)者而言， SET保證了商家的合法性，并且用戶的信用卡號(hào)不會(huì)被竊取， SET替消費(fèi)者保守了更多的秘密使其在線購(gòu)物更加輕松。 ? （ 3）銀行和發(fā)卡機(jī)構(gòu)以及各種信用卡組織來(lái)說(shuō)，因?yàn)?SET可以幫助它們將業(yè)務(wù)擴(kuò)展到 Inter這個(gè)廣闊的空間，從而使得信用卡網(wǎng)上支付具有更低的欺騙概率，這使得它比其他支付方式具有更大的競(jìng)爭(zhēng)力。 ? （ 4） SET對(duì)于參與交易的各方定義了互操作接口，一個(gè)系統(tǒng)可以由不同廠商的產(chǎn)品構(gòu)筑。 實(shí)踐訓(xùn)練 ? 1．課堂討論 ? （ 1）什么是 SET協(xié)議？有什么特點(diǎn)？ ? （ 2） SET協(xié)議的工作流程是什么？ ? （ 3） SSL協(xié)議有哪些優(yōu)點(diǎn)和不足？ 2．案例分析 ? SET協(xié)議的擴(kuò)展 ? （ 1）商家初始授權(quán)擴(kuò)展（ The Merchant Initiated Authorization Extension）版本。標(biāo)準(zhǔn)的 SET協(xié)議，其授權(quán)是從持卡人采用 SET協(xié)議開(kāi)始的。而商家初始授權(quán)擴(kuò)展允許一個(gè)商家為非 SET的訂購(gòu)進(jìn)行授權(quán)和請(qǐng)款（ Capture Request）。這些訂購(gòu)是由持卡人采用非 SET的傳輸方式完成的，如采用電話、傳真、 SSL等方式通知商家支付信息，由商家采用 SET協(xié)議向銀行發(fā)出授權(quán)請(qǐng)求。該擴(kuò)展拓寬了 SET協(xié)議的應(yīng)用場(chǎng)合，實(shí)現(xiàn)了現(xiàn)有電子商務(wù)的支付方式向 SET模式的平滑過(guò)渡。 ? （ 2）在線個(gè)人識(shí)別號(hào)擴(kuò)展（ Online PIN Extension to SET ）版本。個(gè)人識(shí)別號(hào) PIN是用戶為支付卡設(shè)定的個(gè)人密碼。 SET協(xié)議在線個(gè)人識(shí)別號(hào)擴(kuò)展版本定義了兩種使用 PIN的擴(kuò)展方式。一是持卡人通過(guò)任何方式（包括鍵盤(pán)）來(lái)輸入PIN；二是通過(guò)安全設(shè)備來(lái)輸入 PIN。在實(shí)際應(yīng)用中，根據(jù)支付卡的政策決定使用方式。該擴(kuò)展版本增強(qiáng)了信用卡的認(rèn)證信息，為借記卡和 IC卡采用 SET協(xié)議提供了新的用戶信息識(shí)別方式。 ? （ 3）芯片卡擴(kuò)展（ Common Chip Extension）版本。芯片卡（如 IC卡）與磁卡相比，具有存儲(chǔ)信息容量大、安全性能高、使用快捷方便等優(yōu)點(diǎn)。 SET 準(zhǔn)出臺(tái)時(shí)沒(méi)有考慮對(duì)芯片卡的支持。 1999年 9月， SETC0批準(zhǔn)公布了 Europe International、 MasterCard International、 VISA International提交的“ Common Chip Extension SET ”，支持芯片卡采用 SET協(xié)議進(jìn)行安全電子交易，并使SET具有處理芯片卡數(shù)據(jù)的通用擴(kuò)展性能。 ? 討論與分析： ? SET協(xié)議的擴(kuò)展對(duì)提高電子商務(wù)支付的安全性有何作用？ 3．實(shí)務(wù)訓(xùn)練 上網(wǎng)和和查閱其他參考書(shū)，查找哪些銀行使用 SSL協(xié)議，哪些使用 SET協(xié)議，比較兩個(gè)協(xié)議的優(yōu)缺點(diǎn)，說(shuō)明兩種協(xié)議并存的原因。 實(shí)訓(xùn)說(shuō)明： 本部分實(shí)訓(xùn)在授課后分散實(shí)訓(xùn)。 4．課后拓展 SET協(xié)議還存在哪些不足？需要做哪些改進(jìn)？ 知識(shí)小結(jié)