SET协议

SET协议简介

为了达到愈加完善的即时电子支付，SET协议应运而生。SET协议（Secure Electronic Transaction），被称之为安全电子交易协议，是由Master Card和Visa联合Netscape，Microsoft等公司，于1997年6月1号推出的一种新的电子支付模型。SET协议是B2C上基于信用卡支付模式而设计的，它保证了放开网络上运用信用卡执行在线购物的安全。SET首要是为了处理用户，商家，银行之间通过信用卡的交易而设计的，它具有的保证交易报告的完整性，交易的不可抵赖性等种种优点，所以它形成当前公认的信用卡网上交易的国际标准。

SET供应的服务

SET协议为电子交易给予了很多保证安全的措施。它能保证电子交易的机密性，报告完整性，交易举动的不可否认性和身份的合法性。

(1)保证客户交易信息的保密性和完整性

SET协议采取了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名，致使商家看不足支付信息，只能接收用户的订单信息；而金融机构看不足交易内容，只能接收到用户支付信息和帐户信息，进而充分保证了消费者帐户和定购信息的安全性。

(2)保证商家和客户交易举动的不可否认性

SET协议的着重就是保证商家和客户的身份认证和交易举动的不可否认性。其理论基础就是不可否认机制，采取的核心技术包含X.509电子证书标准，数字签名，报文摘要，双重签名等技术。

(3)保证商家和客户的合法性

SET协议运用数字证书对交易各方的合法性执行验证。通过数字证书的验证，可以保证交易中的商家和客户均为合法的，可信赖的。

SET的交易流程

SET交易过程中要对商家，客户，支付网关等交易各方执行身份认证，所以它的交易过程相对复杂。

(1)客户在网上商店看中商品后，和商家执行磋商，然后发出请求买入信息。

(2)商家要求客户用电子钱包付款。

(3)电子钱包提示客户输入口令后与商家交换握手信息，证实商家和客户两端均合法。

(4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。

(5)商家将含有客户支付指令的信息发送给支付网关。

(6)支付网关在证实客户信用卡信息之后，向商家发送一个授权响应的报文。

(7)商家向客户的电子钱包发送一个证实信息。

(8)将款项从客户帐号转到商家帐号，然后向顾客送货，交易终结。

从上面的交易流程可以看出，SET交易过程十分复杂性，在完成一次S ET协议交易过程中，需验证电子证书9次，验证数字签名6次，传递证书7次，执行签名5次，4次对称加密和非对称加密。一般完成一个SET协议交易过程大概要花费1.5－2分钟甚至更长时间。受于多地网络设施良莠不齐，所以，完成一个SET协议的交易过程或许需要耗费更长的时间。

SET的安全性分析采取公钥加密和私钥加密相结合的办法保证报告的保密性

SET协议中，支付环境的信息保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而得到的。它采取的公钥加密算法是RSA的公钥密码体制，私钥加密算法是采取DES报告加密标准。这两种不同加密技术的结合应用在SET中被形象的形成数字信封，RSA加密相当于用信封密封，消息首先以56名的DES密钥加密，然后装入运用1024名RSA公钥加密的数字信封在交易双方传输。这两种密钥相结合的办法保证了交易中报告信息的保密性。

采取信息摘要技术保证信息的完整性

SET协议是通过数字签名方案来保证消息的完整性和执行消息源的认证的，数字签名方案采取了与消息加密相同的加密原则。即数字签名通过RSA加密算法结合生成信息摘要，信息摘若是消息通过HASH函数处理后得到的唯一对应于此消息的数值，消息中每更改一个报告位全将引起信息摘要中大概二分之一的报告位的更改。而两个不同的消息具有相同的信息摘要的机会性及其微小，所以HASH函数的单向性致使从信息摘要得出信息的摘要的计算是不可行的。信息摘要的这些特质保证了信息的完整性。

采取双重签名技术保证交易双方的身份认证

SET协议应用了双重签名（Dual Signatures）技术。在一项安全电子商务交易中，持卡人的定购信息和支付指令是相互对应的。商家只有证实了对应于持卡人的支付指令对应的定购信息才可够依照定购信息发货；而银行只有证实了与该持卡人支付指令对应的定购信息是真实牢靠的才可够依照商家的要求执行支付。为了高达商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同期不会侵犯顾客的私人隐私这一目的，SET协议采取了双重签名技术来保证顾客的隐私不被侵犯。

SET的改进

SET协议给予了在B2C平台上信用卡在线支付的方式，然而受于其达到起来非常复杂，商家和银行都需要改造系统来达到相互操作，这样看来，SET的广泛应用仍需要假以时日。无论是运用SSL协议依旧运用SET协议执行在线支付，它们总有不如人意之处。但受于SET在安全性，保密性上的优势，它本应形成将来电子商务达到在线支付的主流方式。笔者针对其首要困难——商品质量和残留报告的处理方式上，提出了改进方案：引入商品质量检测机制来保证商品的质量；建立一个“交易信息档案中心”来处理交易后残留报告的归属，以此保证用户的利益。

引入商品质量检测机制保证商品质量

引入该种机制的具体做法是商家把商品直接发送到消费者所在地的官方商品质量检测机构，由这些专业质检机构来检测商品质量困难，检测完毕后再通知消费者前来领取商品。假使消费者需要此服务，务必和商家商量分摊质量检测的费用；假使不需要，就依照一般的SET流程交易。所以，我们引入商品质量检测机制可以检查商品质量，处理了SET协议中造成的“假使商品质量困难由谁负担”的困难。如此既能保证用户的利益，也能保证商家的利益不被损害。

引进商品质量检测机制后SET的交易流程

引进商品质量检测机制后，基于SET的交易过程与原来对比更复杂了些，也需要对SET消息报文执行修改，需要将质量检测信息作为附件形式加入SET消息报文中。所以要在SET 信息报文中增长附件位，可考虑附件位的标识为0和1两种情形，其中0表明没有附件，1表明存在附件。附加的附件信息包含交易双方的相关信息（如给双方打上编号）、商品名称、商品保质期、商品生存周期等.

(1)用户查询商品的信息，确定所要定购的商品。

(2)用户和商家执行探讨，确定商品质量检测费用该如何分摊。

(3)将定购单和支付信息一起以电子报告的方式来发给商家。

(4)商家执行验证，向用户所拥有的支付卡的金融机构请求获得支付授权。

(5)金融机构验证数字签名，验证用户信息的合法性。假使合法则发送授权信息。

(6)商家验证授权信息后，向用户发出定购证实信息。同期查询用户所在地区的商品质量检测部门的信息。由商家将商品配送到用户所在地区的商品质量检测部门。

(7)用户所在地商品质量检测部门接收商家的商品。在验收产品质量后，将附件位由0改为1，并附加附件具体信息，向商家发送收货信息并负责配送商品给消费者；商家向用户所拥有的支付卡的金融机构请求付款。

(8)用户得到满意的商品后，对付款单执行签名，向商品质量检测部门表明答应付款，并向自己的支付卡所处的发行卡发送支付信息。发卡行在与时得到商家付款请求和用户答应付款的信息之后，方可付款。

结论

SET协议是由美国的公司发起并联合开发的，所以，SET协议支持信用卡支付这一支付渠道比较符合欧元兑美元各国的运用情形。可是事实应用上，SET要求持卡人在客户端安装电子钱包，增长了顾客交易成本，交易过程又相对复杂，所以比较少顾客接受该种网上即时支付渠道。

而在中国，信用卡支付该种方式还没有普及，所以SET协议在我国的运用也相对较少。电子支付无论要采取哪种支付协议，都应当顾虑到安全原因，成本原因和运用的便捷性这三方面，受于这三者在SET协议和SSL协议里的任何一个协议里面无法全部体现，这就产生现阶段SSL协议和SET协议并存运用的局势。但即使将来业界开发结合这三个优点的电子支付协议，也未必能完全保证电子支付和网上银行的安全。

由于网上银行的安全涉及到各方各面，不导致一个完善的安全支付协议，一堵安全的防火墙或者一个电子签名就能简单处理的困难。所以，当下银行务必加大增强管理强度，加大宣传强度，帮助顾客树立起安全意识，指导用户该如何正确运用网上银行，并发动社会各方面的力量，谋求多方联动的策略来保证网上银行的安全。只有社会各界一起付出，才可保证电子支付的安全；只有社会各界一起付出，才可保证网上银行的安全；也只有社会各界一起付出，才可以保证电子商务的安全，保证电子商务的迅速有序的成长。

有关条目 HTTP协议安全套接层