技术论坛
[返回]
11. SET安全协议
在开放的因特网上处理电子商务,保证买卖双方传输数据的安全成为电子商务的重要的问题。为了克服SSL安全协议的缺点,满足电子交易持续不断地增加的安全要求,为了达到交易安全及合乎成本效益的市场要求,VISA国际组织及其它公司如Master Card、Micro Soft、IBM等共同制定了安全电子交易(SET:Secure Electronic Transactions)公告。这是一个为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。由于设计合理,SET协议得到了许多大公司和消费者的支持,己成为全球网络的工业标准,其交易形态将成为未来“电子商务”的规范。
安全电子交易规范,为在因特网上进行安全的电子商务提供了一个开放的标准。SET主要使用电子认证技术,其认证过程使用RSA和DES算法,因此,可以为电子商务提供很强的安全保护。可以说,SET规范是目前电子商务中最重要的协议,它的推出必将大大促进电子商务的繁荣和发展。SET将建立一种能在因特网上安全使用银行卡进行购物的标准。安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则,是一种能广泛应用于因特网的安全电子付款协议,它能够将普遍应用的信用卡使用起始点从目前的商店扩展到消费者家里,扩展到消费者的个人计算机中。
由于安全电子交易规范是由信用卡发卡公司参与制定的,一般认为,安全电子交易规范的认证系统是有效的。当一位供货商在计算机收到一张有SET签证的订单时,供货商就可以确认该订单背后是有一张合法的信用卡支持,这时他就能放心地接下这笔生意,同样,由于有SET作保障,发出订单的客户也会确认自己是在与一个诚实的供货商做买卖,因为该供货商受到万事达或维莎发卡组织的信赖。
SET协议要达到的的目标主要有五个:
(1)保证电子商务参与者信息的相互隔离。客户的资料加密或打包后边过商家到达银行,但是商家不能看到客户的帐户和密码信息;
(2)保证信息在Intemet上安全传输,防止数据彼黑客或被内部人员窃取;
(3)解决多方认证问题,不仅要对消费者的信角卡认证,而且要对在线商店的信誉程度认证,同时还有消费看、在线商店与银行间的认证;
(4)保证了网上交易的实时性,使所有的支付过程都是在线的;
(5)规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
SET安全协议的工作原理主要包括以下7个步骤:
(1)消费者利用已有的计算机通过因特网选定的物品,并下电子订单(关于产品属性的字段);
(2)通过电子商务服务器与网上商场联系,网上商场做出应答,告诉消费者的订单的相关情况(是否改动以及关于购买属性的关键字段);
(3)消费者选择付款方式,确认订单,签发付款指令(此时SET介入);
(4)在SET中,消费者必须对定单和付款指令进行数字签名,同时利用双重签名技术保证商家看不到消费者的帐号信息;
(5)在线商店接受定单后,向消费者所在银行请求支付认可,信息通过支付网关到收单银行,再到电子货币发行公司确认,批准交易后,返回确认信息给在线商店;
(6)在线商店发送定单确认信息给消费者,消费者端软件可记录交易日志,以备将来查询;
(7)在线商店发送货物或提供服务,并通知收单银行将钱从消费者的帐号转移到商店帐号,或通知发卡银行请求支付。
从1997年5月31日SET协议1.0版正式发布以来,大量的现场实验和实施效果获得了业界的支持,促进了SET良好的发展趋势,SET协议同样存在一些问题,这些问题包括:
(1)协议没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接收证书。如果在线商店提供的货物不符合质量标准,消费者提出异议,责任由谁承担;
(2)协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明订购是由签署证书的、讲信用的消费者发出的;
(3)SET技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能是这些数据以后受到潜在的攻击。