SET協議

出自 MBA智库百科(https://wiki.mbalib.com/)

　　為了實現更加完善的即時電子支付，SET協議應運而生。SET協議（Secure Electronic Transaction），被稱之為安全電子交易協議，是由Master Card和Visa聯合Netscape，Microsoft等公司，於1997年6月1日推出的一種新的電子支付模型。SET協議是B2C上基於信用卡支付模式而設計的，它保證了開放網路上使用信用卡進行線上購物的安全。SET主要是為瞭解決用戶，商家，銀行之間通過信用卡的交易而設計的，它具有的保證交易數據的完整性，交易的不可抵賴性等種種優點，因此它成為目前公認的信用卡網上交易的國際標準。

　　SET協議為電子交易提供了許多保證安全的措施。它能保證電子交易的機密性，數據完整性，交易行為的不可否認性和身份的合法性。

　　(1)保證客戶交易信息的保密性和完整性

　　SET協議採用了雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分別簽名，使得商家看不到支付信息，只能接收用戶的訂單信息；而金融機構看不到交易內容，只能接收到用戶支付信息和帳戶信息，從而充分保證了消費者帳戶和定購信息的安全性。

　　(2)確保商家和客戶交易行為的不可否認性

　　SET協議的重點就是確保商家和客戶的身份認證和交易行為的不可否認性。其理論基礎就是不可否認機制，採用的核心技術包括X.509電子證書標準，數字簽名，報文摘要，雙重簽名等技術。

　　(3)確保商家和客戶的合法性

　　SET協議使用數字證書對交易各方的合法性進行驗證。通過數字證書的驗證，可以確保交易中的商家和客戶都是合法的，可信賴的。

　　SET交易過程中要對商家，客戶，支付網關等交易各方進行身份認證，因此它的交易過程相對複雜。

　　(1)客戶在網上商店看中商品後，和商家進行磋商，然後發出請求購買信息。

　　(2)商家要求客戶用電子錢包付款。

　　(3)電子錢包提示客戶輸入口令後與商家交換握手信息，確認商家和客戶兩端均合法。

　　(4)客戶的電子錢包形成一個包含訂購信息與支付指令的報文發送給商家。

　　(5)商家將含有客戶支付指令的信息發送給支付網關。

　　(6)支付網關在確認客戶信用卡信息之後，向商家發送一個授權響應的報文。

　　(7)商家向客戶的電子錢包發送一個確認信息。

　　(8)將款項從客戶帳號轉到商家帳號，然後向顧客送貨，交易結束。

　　從上面的交易流程可以看出，SET交易過程十分複雜性，在完成一次S ET協議交易過程中，需驗證電子證書9次，驗證數字簽名6次，傳遞證書7次，進行簽名5次，4次對稱加密和非對稱加密。通常完成一個SET協議交易過程大約要花費1.5－2分鐘甚至更長時間。由於各地網路設施良莠不齊，因此，完成一個SET協議的交易過程可能需要耗費更長的時間。

　　SET協議中，支付環境的信息保密性是通過公鑰加密法和私鑰加密法相結合的演算法來加密支付信息而獲得的。它採用的公鑰加密演算法是RSA的公鑰密碼體制，私鑰加密演算法是採用DES數據加密標準。這兩種不同加密技術的結合應用在SET中被形象的成為數字信封，RSA加密相當於用信封密封，消息首先以56位的DES密鑰加密，然後裝入使用1024位RSA公鑰加密的數字信封在交易雙方傳輸。這兩種密鑰相結合的辦法保證了交易中數據信息的保密性。

　　SET協議是通過數字簽名方案來保證消息的完整性和進行消息源的認證的，數字簽名方案採用了與消息加密相同的加密原則。即數字簽名通過RSA加密演算法結合生成信息摘要，信息摘要是消息通過HASH函數處理後得到的唯一對應於該消息的數值，消息中每改變一個數據位都會引起信息摘要中大約一半的數據位的改變。而兩個不同的消息具有相同的信息摘要的可能性及其微小，因此HASH函數的單向性使得從信息摘要得出信息的摘要的計算是不可行的。信息摘要的這些特征保證了信息的完整性。

　　SET協議應用了雙重簽名（Dual Signatures）技術。在一項安全電子商務交易中，持卡人的定購信息和支付指令是相互對應的。商家只有確認了對應於持卡人的支付指令對應的定購信息才能夠按照定購信息發貨；而銀行只有確認了與該持卡人支付指令對應的定購信息是真實可靠的才能夠按照商家的要求進行支付。為了達到商家在合法驗證持卡人支付指令和銀行在合法驗證持卡人訂購信息的同時不會侵犯顧客的私人隱私這一目的，SET協議採用了雙重簽名技術來保證顧客的隱私不被侵犯。

　　SET協議提供了在B2C平臺上信用卡線上支付的方式，不過由於其實現起來非常複雜，商家和銀行都需要改造系統來實現相互操作，如此看來，SET的普遍應用還需要假以時日。無論是使用SSL協議還是使用SET協議進行線上支付，它們總有不如人意之處。但由於SET在安全性，保密性上的優勢，它本應成為未來電子商務實現線上支付的主流方式。筆者針對其主要問題——商品質量和殘留數據的處理方式上，提出了改進方案：引入商品質量檢測機制來保證商品的質量；建立一個“交易信息檔案中心”來解決交易後殘留數據的歸屬，以此保證用戶的利益。

　　引入這種機制的具體做法是商家把商品直接發送到消費者所在地的官方商品質量檢測機構，由這些專業質檢機構來檢測商品質量問題，檢測完畢後再通知消費者前來領取商品。如果消費者需要此服務，必須和商家協商分攤質量檢測的費用；如果不需要，就按照一般的SET流程交易。因此，我們引入商品質量檢測機制可以檢查商品質量，解決了SET協議中產生的“如果商品質量問題由誰負擔”的問題。這樣既能保證用戶的利益，也能保證商家的利益不被損害。

　　引進商品質量檢測機制後，基於SET的交易過程與原來相比更複雜了些，也需要對SET消息報文進行修改，需要將質量檢測信息作為附件形式加入SET消息報文中。因此要在SET 信息報文中增加附件位，可考慮附件位的標識為0和1兩種情況，其中0表示沒有附件，1表示存在附件。附加的附件信息包括交易雙方的有關信息（如給雙方打上編號）、商品名稱、商品保質期、商品生存周期等.

　　(1)用戶查詢商品的信息，確定所要定購的商品。

　　(2)用戶和商家進行探討，確定商品質量檢測費用該如何分攤。

　　(3)將定購單和支付信息一起以電子數據的方式來發給商家。

　　(4)商家進行驗證，向用戶所擁有的支付卡的金融機構請求取得支付授權。

　　(5)金融機構驗證數字簽名，驗證用戶信息的合法性。如果合法則發送授權信息。

　　(6)商家驗證授權信息後，向用戶發出定購確認信息。同時查詢用戶所在地區的商品質量檢測部門的信息。由商家將商品配送到用戶所在地區的商品質量檢測部門。

　　(7)用戶所在地商品質量檢測部門接收商家的商品。在驗收產品質量後，將附件位由0改為1，並附加附件具體信息，向商家發送收貨信息並負責配送商品給消費者；商家向用戶所擁有的支付卡的金融機構請求付款。

　　(8)用戶得到滿意的商品後，對付款單進行簽名，向商品質量檢測部門表示同意付款，並向自己的支付卡所在的發行卡發送支付信息。發卡行在同時得到商家付款請求和用戶同意付款的信息之後，方可付款。

　　SET協議是由美國的公司發起並聯合開發的，因此，SET協議支持信用卡支付這一支付方式比較符合歐美各國的使用情況。可是實際應用上，SET要求持卡人在客戶端安裝電子錢包，增加了顧客交易成本，交易過程又相對複雜，因此比較少顧客接受這種網上即時支付方式。

　　而在中國，信用卡支付這種方式還沒有普及，因此SET協議在我國的使用也相對較少。電子支付無論要採取哪種支付協議，都應該考慮到安全因素，成本因素和使用的便捷性這三方面，由於這三者在SET協議和SSL協議里的任何一個協議裡面無法全部體現，這就造成現階段SSL協議和SET協議並存使用的局面。但即便將來業界開髮結合這三個優點的電子支付協議，也未必能完全保證電子支付和網上銀行的安全。

　　因為網上銀行的安全涉及到方方面面，不只是一個完善的安全支付協議，一堵安全的防火牆或者一個電子簽名就能簡單解決的問題。所以，現在銀行必須加大加強管理力度，加大宣傳力度，幫助顧客樹立起安全意識，指導用戶該如何正確使用網上銀行，併發動社會各方面的力量，尋求多方聯動的策略來保證網上銀行的安全。只有社會各界一起努力，才能保證電子支付的安全；只有社會各界一起努力，才能保證網上銀行的安全；也只有社會各界一起努力，才可以保證電子商務的安全，保證電子商務的快速有序的發展。

• HTTP協議
• 安全套接層