信息安全SET协议

1、安全电子交易协议安全电子交易协议SET 什么是SET SET协议（Secure Electronic Transaction），被称之为安全电子 交易协议，Master Card和Visa联合Netscape，Microsoft等公司， 于1997年6月1日推出的一种新的电子支付模型。 SET协议是B2C上基于信用卡支付模式而设计的，它保证了开放网 络上使用信用卡进行在线购物的安全。SET主要是为了解决用户 ，商家，银行之间通过信用卡的交易而设计的，它具有的保证交 易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目 前公认的信用卡网上交易的国际标准。 SET的目的 解决信用卡电子付款的安

2、全保障性问题 保证信息的机密性，保证信息安全传输，不能被窃听，只有收件 人才能得到和解密信息 保证支付信息的完整性，保证传输数据完整接收，在中途不被篡 改 认证商家和客户，验证公共网络上进行交易活动包括会计机构的 设置、会计人员的配备及其职责权利的履行和会计法规、制度的 制定与实施等内容。 SET系统的组成： 持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部 分组成。 基于SET协议的网上购物系统至少包括电子钱包软件、商家软件 、支付网关软件和签发证书软件。 支付网关： 银行金融软件系统和Internet网络件的接口，是由银行操作的将在 Internet上传输的数据转换为金融机构内部数

3、据的一组服务器设备 或由指派的第三方处理商家支付信息和顾客的支付指令。 SET的工作流程： 1）消费者选购商品，输入相关信息 2）通过电子商务服务器与有关在线商店联系，生成订单 3）消费者选择付款方式，确认订单签发付款指令。此时SET开始介入。 4）在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证 商家看不到消费者的帐号信息。 5）在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银 行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。 6）在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询 7）在线商店发

4、送货物或提供服务并通知收单银行将钱从消费者的帐号转移到商店帐号， 或通知发卡银行请求支付。 前两步与SET无关，从第三步开始SET起作用，一直到第六步，在处理过程中通信协议、 请求信息的格式、数据类型的定义等SET都有明确的规定。在操作的每一步，消费者、在 线商店、支付网关都通过CA（认证中心）来验证通信主体的身份，以确保通信的对方不 是冒名顶替，所以，也可以简单地认为SET规格充分发挥了认证中心的作用，以维护在任 何开放网络上的电子商务参与者所提供信息的真实性和保密性。 双重签名： 客户用Hash函数对订购信息和支付信息进行散列处理，分别得到 订购信息的消息摘要和支付信息的消息摘要。 将两个

5、消息摘要连接起来再用Hash函数进行散列处理，得到支付 订购消息摘要 客户用他的私钥加密支付订购消息摘要，最后得到的就是经过双 重签名的信息 客户将“订购信息+支付信息的消息摘要+双重签名”发给商家， 将“支付信息+订购信息的消息摘要+双重签名”发给银行； 商家和银行对收到的信息先生成摘要，再与另一个摘要连接起来 ，如果它与解密后的双重签名（利用客户的公钥）相等，就可确 定消息的真实性。 然商家看不到顾客账户信息、银行不知道客户的购买信息，但都 可确认另一方是真实的。 安全性： 采用公钥加密和私钥加密相结合的办法保证数据的保密性 SET协议中，支付环境的信息保密性是通过公钥加密法和私钥加密 法

6、相结合的算法来加密支付信息而获得的。 它采用的公钥加密算法是RSA的公钥密码体制，私钥加密算法是采 用DES数据加密标准。这两种不同加密技术的结合应用在SET中被 形象的成为数字信封，RSA加密相当于用信封密封，消息首先以56 位的DES密钥加密，然后装入使用1024位RSA公钥加密的数字信封 在交易双方传输。这两种密钥相结合的办法保证了交易中数据信 息的保密性 采用信息摘要技术保证信息的完整性 采用双重签名技术保证交易双方的身份认证 数字证书验证9次，数字签名验证6次，证书传递7次，5次签名，4 次对称加密和4次非对称加密 缺陷： 商品原子性。即必须保证购买者如果付了款就一定能得到商品， 购买者如果得到了商品则一定付了款，不存在付了款而得不到商 品或得了商品而未曾付款。也就是说，当商家从支付网关得到客 户正确支付后，SET协议并不能保证商家一定会发货给顾客，即不 能保证商品的原子性。 确认发送原子性。需要有对客户购买的和商家销售的商品内容及 品质的双方确认，亦即协议保证购买者得到他所订购的商品，商 家发送了客户所订购的商品。商家从支付网关得到客户正确支付 后，SET协议一样不能保证商家发