SET协议保障信用卡在线购物安全传输

(一) SET协议的概念

SET协议(secureel ectronic transaction)，被称为安全电子交易协议，是由Master Card和Visa联合Netscape，Microsoft等公司，于1997年6月1日推出的一种新的电子支付模型。SET协议是B2C上基于信用卡支付模式而设计的，它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户，商家、银行之间通过信用卡的交易而设计的，它具有的保证交易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。

(二) SET协议的主要目标

(1) 防止数据被非法用户窃取，保证信息在网上安全传输。

(2) SET中使用了一种双签名技术保证电子商务参与者信息的相互隔离。客户的资料加密后通过商家到达银行，但是商家不能看到客户的账户和密码信息。

(3) 解决多方认证问题。不仅对客户的信用卡认证，而且要对在线商家认证，实现客户、商家和银行间的相互认证。

(4) 保证网上交易的实时性，使所有的支付过程都是在线的。

(5) 提供一个开放式的标准，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，可在不同的软硬件平台上执行并被全球广泛接受。

(三) SET协议的功能

1. 保证客户交易信息的保密性和完整性

SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名，使得商家看不到支付信息，只能接收用户的订单信息;而金融机构看不到交易内容，只能接收到用户支付信息和账户信息，从而充分保证了消费者账户和定购信息的安全性。

2. 确保商家和客户交易行为的不可否认性

SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性。其理论基础就是不可否认机制，采用的核心技术包括X.509电子证书标准、数字签名、报文摘要、双重签名等技术。

3. 确保商家和客户的合法性

SET协议使用数字证书对交易各方的合法性进行验证，通过数字证书的验证，可以确保交易中的商家和客户都是合法的，可信赖的。

(四) SET的交易流程

SET交易过程中要对商家、客户、支付网关等交易各方进行身份认证，因此交易过程相对复杂(见图9-11)。

(1) 客户在网上商店选择商品后，和商家进行磋商，下单订购。

(2) 确认订单信息。

图9-11 基于SET的典型网上购物流程(www.xing528.com)

(3) 确认支付并发出支付指令。

(4) 商家将含有客户支付指令的信息发送给支付网关。

(5) 支付网关在确认客户信用卡信息之后，向商家发送一个授权响应的报文。

(6) 商家向客户发送一个支付被接受的确认信息。

(7) 商家向客户提供发货服务。

(8) 在客户确认收货后商家向收单银行请求支付。

(9) 收单银行将款项从客户账户转到商家账户，交易完成。

(五) SET协议的缺点

(1) 交易过程比较复杂，时间较长。完成一次SET协议交易过程中，需验证电子证书9次，验证数字签名6次，传递证书7次，进行签名5次，4次对称加密和非对称加密。通常完成一个SET协议交易过程大约要花费1.5—2分钟甚至更长时间，由于各地网络设施条件的差异，完成一个SET协议的交易过程可能需要耗费更长的时间。

(2) 只适合卡支付交易，对其他方式有限制。

(3) 只支持B2C交易模式，而不支持B2B交易，故应用受到限制。

(4) SSL协议已经广泛应用多年，用户众多，改变协议模式有诸多不便，影响其推广。

前沿观察

网络金融安全解决办法的发展趋势

随着网络银行用户数量的持续增长，大多数银行都继续将其作为消费者银行战略的一部分。然而，欺诈构成的威胁不仅会抑制用户对网络银行的使用，还将危及银行的品牌形象。为加强消费者对网络银行服务的信任并提高他们对其的接受度，银行必须在保持成本效益和便捷性的基础上，实施能够提升其服务安全性的解决方案。

在这方面，越来越多的银行将改变密码/用户名的验证方法转而投向更高级的验证方式以增强消费者对于电子银行服务的信心。例如，一次性口令(OTP)的双因素认证，或公共密钥基础架构(PKI)认证。与此同时，一些政府部门(如新加坡政府)正在开发一个国家认证框架(national authentication framework，简称NAF)，为私营和公共部门的网上服务，如网络银行、电子医疗和电子政务提供一个安全的环境。这些举措将进一步增强消费者对于网上交易的信任度和信心。

企业也越来越多地通过云计算和海量数据来提高运营效率，并推动创新。随着数据以及在云托管下应用程序的增多，企业将通过部署强大的认证技术来保护其数据及云访问的安全性。具有隐私保护功能(privacy—enabled)的身份认证系统正慢慢崭露头角，这是一个隐私保护的解决方案，允许人们直接管理并提出“资格证书”，成为减少个人信息泄露的第一步。这种措施可以保护个人隐私，而非共享所有的信息。显然，数字安全领域的发展趋势是由消费者对便捷的需求而主导的，消费者希望这种便捷能够满足他们日益数字化的生活方式。

资料来源:金雅拓解析数字安全领域最新发展趋势［J］.射频世界，2012(3)。