主要目标
1. 防止數據被非法用戶竊取,保證信息在互聯網上安全傳輸。
2. SET 中使用了一種雙簽名技術保證電子商務參與者信息的相互隔離。客戶的資料加密後通過商家到達銀行,但是商家不能看到客戶的帳戶和密碼信息。
3. 解決多方認證問題。不僅對客戶的信用卡認證,而且要對在線商家認證,實現客戶、商家和銀行間的相互認證。
4. 保證網上交易的實時性,使所有的支付過程都是在線的。
5. 提供一個開放式的标準,規範協議和消息格式,促使不同廠家開發的軟件具有兼容性和互操作功能。可在不同的軟硬件平台上執行并被全球廣泛接受。
提供服務
SET協議為電子交易提供了許多保證安全的措施。它能保證電子交易的機密性,數據完整性,交易行為的不可否認性和身份的合法性。SET協議設計的證書中包括:銀行證書及發卡機構證書、支付網關證書和商家證書。
(1)保證客戶交易信息的保密性和完整性
SET協議采用了雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分别簽名,使得商家看不到支付信息,隻能接收用戶的訂單信息;而金融機構看不到交易内容,隻能接收到用戶支付信息和帳戶信息,從而充分保證了消費者帳戶和定購信息的安全性。
(2)确保商家和客戶交易行為的不可否認性
SET協議的重點就是确保商家和客戶的身份認證和交易行為的不可否認性。其理論基礎就是不可否認機制,采用的核心技術包括X.509電子證書标準,數字簽名,報文摘要,雙重簽名等技術。
(3)确保商家和客戶的合法性
SET協議使用數字證書對交易各方的合法性進行驗證。通過數字證書的驗證,可以确保交易中的商家和客戶都是合法的,可信賴的。
交易流程
SET交易過程中要對商家,客戶,支付網關等交易各方進行身份認證,因此它的交易過程相對複雜。
(1)客戶在網上商店看中商品後,和商家進行磋商,然後發出請求購買信息。
(2)商家要求客戶用電子錢包付款。
(3)電子錢包提示客戶輸入口令後與商家交換握手信息,确認商家和客戶兩端均合法。
(4)客戶的電子錢包形成一個包含訂購信息與支付指令的報文發送給商家。
(5)商家将含有客戶支付指令的信息發送給支付網關。
(6)支付網關在确認客戶信用卡信息之後,向商家發送一個授權響應的報文。
(7)商家向客戶的電子錢包發送一個确認信息。
(8)将款項從客戶帳号轉到商家帳号,然後向顧客送貨,交易結束。
從上面的交易流程可以看出,SET交易過程十分複雜性,在完成一次S ET協議交易過程中,需驗證電子證書9次,驗證數字簽名6次,傳遞證書7次,進行簽名5次,4次對稱加密和非對稱加密。通常完成一個SET協議交易過程大約要花費1.5-2分鐘甚至更長時間。由于各地網絡設施良莠不齊,因此,完成一個SET協議的交易過程可能需要耗費更長的時間。
安全性
采用公鑰加密和私鑰加密相結合的辦法保證數據的保密性SET協議中,支付環境的信息保密性是通過公鑰加密法和私鑰加密法相結合的算法來加密支付信息而獲得的。它采用的公鑰加密算法是RSA的公鑰密碼體制,私鑰加密算法是采用DES數據加密标準。這兩種不同加密技術的結合應用在SET中被形象的成為數字信封,RSA加密相當于用信封密封,消息首先以56位的DES密鑰加密,然後裝入使用1024位RSA公鑰加密的數字信封在交易雙方傳輸。這兩種密鑰相結合的辦法保證了交易中數據信息的保密性。
一、采用信息摘要技術保證信息的完整性
SET協議是通過數字簽名方案來保證消息的完整性和進行消息源的認證的,數字簽名方案采用了與消息加密相同的加密原則。即數字簽名通過RSA加密算法結合生成信息摘要,信息摘要是消息通過HASH函數處理後得到的唯一對應于該消息的數值,消息中每改變一個數據位都會引起信息摘要中大約一半的數據位的改變。而兩個不同的消息具有相同的信息摘要的可能性及其微小,因此HASH函數的單向性使得從信息摘要得出信息的摘要的計算是不可行的。信息摘要的這些特征保證了信息的完整性。
二、采用雙重簽名技術保證交易雙方的身份認證
SET協議應用了雙重簽名(Dual Signatures)技術。在一項安全電子商務交易中,持卡人的定購信息和支付指令是相互對應的。商家隻有确認了對應于持卡人的支付指令對應的定購信息才能夠按照定購信息發貨;而銀行隻有确認了與該持卡人支付指令對應的定購信息是真實可靠的才能夠按照商家的要求進行支付。為了達到商家在合法驗證持卡人支付指令和銀行在合法驗證持卡人訂購信息的同時不會侵犯顧客的私人隐私這一目的,SET協議采用了雙重簽名技術來保證顧客的隐私不被侵犯。
改進完善
SET協議提供了在B2C平台上信用卡在線支付的方式,不過由于其實現起來非常複雜,商家和銀行都需要改造系統來實現相互操作,如此看來,SET的普遍應用還需要假以時日。無論是使用SSL協議還是使用SET協議進行在線支付,它們總有不如人意之處。
但由于SET在安全性,保密性上的優勢,它本應成為未來電子商務實現在線支付的主流方式。筆者針對其主要問題——商品質量和殘留數據的處理方式上,提出了改進方案:引入商品質量檢測機制來保證商品的質量;建立一個“交易信息檔案中心”來解決交易後殘留數據的歸屬,以此保證用戶的利益。
引入商品質量檢測機制保證商品質量
引入這種機制的具體做法是商家把商品直接發送到消費者所在地的官方商品質量檢測機構,由這些專業質檢機構來檢測商品質量問題,檢測完畢後再通知消費者前來領取商品。如果消費者需要此服務,必須和商家協商分攤質量檢測的費用;如果不需要,就按照一般的SET流程交易。因此,我們引入商品質量檢測機制可以檢查商品質量,解決了SET協議中産生的“如果商品質量問題由誰負擔”的問題。這樣既能保證用戶的利益,也能保證商家的利益不被損害。
引進商品質量檢測機制後SET的交易流程
引進商品質量檢測機制後,基于SET的交易過程與原來相比更複雜了些,也需要對SET消息報文進行修改,需要将質量檢測信息作為附件形式加入SET消息報文中。因此要在SET信息報文中增加附件位,可考慮附件位的标識為0和1兩種情況,其中0表示沒有附件,1表示存在附件。附加的附件信息包括交易雙方的有關信息(如給雙方打上編号)、商品名稱、商品保質期、商品生存周期等.
(1)用戶查詢商品的信息,确定所要定購的商品。
(2)用戶和商家進行探讨,确定商品質量檢測費用該如何分攤。
(3)将定購單和支付信息一起以電子數據的方式來發給商家。
(4)商家進行驗證,向用戶所擁有的支付卡的金融機構請求取得支付授權。
(5)金融機構驗證數字簽名,驗證用戶信息的合法性。如果合法則發送授權信息。
(6)商家驗證授權信息後,向用戶發出定購确認信息。同時查詢用戶所在地區的商品質量檢測部門的信息。由商家将商品配送到用戶所在地區的商品質量檢測部門。
(7)用戶所在地商品質量檢測部門接收商家的商品。在驗收産品質量後,将附件位由0改為1,并附加附件具體信息,向商家發送收貨信息并負責配送商品給消費者;商家向用戶所擁有的支付卡的金融機構請求付款。
(8)用戶得到滿意的商品後,對付款單進行簽名,向商品質量檢測部門表示同意付款,并向自己的支付卡所在的發行卡發送支付信息。發卡行在同時得到商家付款請求和用戶同意付款的信息之後,方可付款。
基本結論
SET協議是由美國的公司發起并聯合開發的,因此,SET協議支持信用卡支付這一支付方式比較符合歐美各國的使用情況。可是實際應用上,SET要求持卡人在客戶端安裝電子錢包,增加了顧客交易成本,交易過程又相對複雜,因此比較少顧客接受這種網上即時支付方式。
而在中國,信用卡支付這種方式還沒有普及,因此SET協議在我國的使用也相對較少。電子支付無論要采取哪種支付協議,都應該考慮到安全因素,成本因素和使用的便捷性這三方面,個由于這三者在SET協議和SSL協議裡的任何一個協議裡面無法全部體現,這就造成現階段SSL協議和SET協議并存使用的局面。但即便将來業界開發結合這三個優點的電子支付協議,也未必能完全保證電子支付和網上銀行的安全。
因為網上銀行的安全涉及到方方面面,不隻是一個完善的安全支付協議,一堵安全的防火牆或者一個電子簽名就能簡單解決的問題。所以,現在銀行必須加大加強管理力度,加大宣傳力度,幫助顧客樹立起安全意識,指導用戶該如何正确使用網上銀行,并發動社會各方面的力量,尋求多方聯動的策略來保證網上銀行的安全。隻有社會各界一起努力,才能保證電子支付的安全;隻有社會各界一起努力,才能保證網上銀行的安全;也隻有社會各界一起努力,才可以保證電子商務的安全,保證電子商務的快速有序的發展。
相關領域
CA中心 HTTP協議 SSL協議 萬事達國際組織 商業發票 電子商務系統 電子支付 電子郵政 電子錢包 金融術語英漢對照。
