了解SET协议：你需要知道的事项

【任务描述】

雅鹿公司电商专员小王刚学习了SSL协议。SSL协议和SET协议存在哪些差异？SET协议为什么比SSL协议更加安全？这些问题困扰着小王。

请帮助小王解决以上疑惑。

【任务分析】

本任务涉及SET协议的组成和认证算法、SET协议分析及应用等知识点。

【任务实施】

1.SET协议的基本知识

电子商务交易活动中存在着诸多安全问题，如在网上购物的环境中，消费者希望在交易中保密自己的账户信息，使之不被人盗用；商家则希望消费者的定单不可抵赖，并且在交易过程中，交易各方都希望验明其他方的身份，以防止被欺骗。

为了实现更加完善的电子交易，由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构和业界厂商，共同制定了应用于Internet的以银行卡为基础进行在线交易的安全标准，这就是“安全电子交易协议”（SET）。

SET协议是在开放网络环境中的信用卡支付安全协议，SET协议采用公钥密码体制和X.509数字证书标准，主要用于保障网上购物信息的安全性。由于SET协议提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者的银行卡号暴露给商家，因此成为目前公认的信用卡/借记卡网上交易的国际安全标准。

1）SET协议的组成

SET1.0版已经公布并可应用于任何银行支付服务，其主要由3个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET规范涉及的范围有：RSA和DES加密算法的应用、证书信息和对象格式、购买信息和对象格式、确认信息和对象格式、划账信息和对象格式、对话实体之间消息的传输协议。

2）SET协议的目标

（1）确保信息在Internet上安全传输，保证网上传输的数据不被黑客窃取，防止数据被非法用户窃取，保证信息在互联网上的安全传输。

（2）保证网络交易的实时性，确保定单信息和个人账号信息的隔离，当包含消费者账号信息的定单送到商家时，商家只能看到定货信息，而看不到消费者的账户信息。

（3）解决多方认证问题，不但对消费者的信用卡认证，还对在线商家认证，实现客户和商家、银行间的互相认证，以确定通信双方的身份，一般由第三方机构负责为在线通信的双方提供信用担保。

（4）提供一个开放式的标准规范协议和消息格式，要求软件遵循相同的协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。

3）SET协议的认证

SET协议中主要的证书是消费者证书和商家证书，除了消费者证书和商家证书以外，还有支付网关证书、银行证书、发卡机构证书。

消费者证书是支付卡的一种电子化的表示。消费者证书不包括账号和终止日期信息，而是用单向哈希算法根据账号和截止日期生成的一个码，如果知道账号、截止日期、密码值即可导出这个码值，反之不行。

商家证书就像贴在商家收款台小窗上的付款卡贴画，表示它可以用什么卡来结算。在SET环境中，一个商家可以有多对证书，表示它与多个银行有合作关系，可以接受多种付款方式。

消费者可从公开媒体上获得商家的公钥，但消费者无法确定商家不是冒充的（有信誉），于是消费者请求CA机构对商家认证。CA机构对商家进行调查、验证和鉴别后，将包含商家公钥的证书经过数字签名传给消费者。同样，商家也可对消费者进行验证。

CA机构的主要功能包括：接收注册请求、处理/批准/拒绝请求、颁发证书。在实际运作中，CA机构也可由大家都信任的一方担当，例如在消费者、商家、银行的三角关系中，消费者使用的是由某个银行发的卡，而商家又与此银行有业务关系。在此情况下，消费者和商家都信任该银行，可由该银行担当CA机构的角色，接收、处理消费者证书和商家证书的验证请求。又如，若是商家自己发行的购物卡，则可由商家自己担当CA机构的角色。

在双方通信时，通过出示由某个CA机构签发的证书来证明自己的身份，如果对签发证书的CA机构不信任，则可验证CA机构的身份，依此类推，一直到公认的权威CA机构处，就可确信证书的有效性。每个证书与签发证书的实体的签名证书关联。SET证书正是通过信任层次来逐级验证的。例如，C的证书是由B的CA机构签发的，而B的证书又是由A的CA机构签发的，A是权威的机构，通常称为根CA机构。验证到了根CA机构处，就可确信C的证书是合法的。

在网上购物实现中，消费者的证书与发卡机构的证书关联，而发卡机构的证书通过不同品牌卡的证书连接到根CA机构，而根的公开密钥对所有的SET软件都是已知的，可以校验每个证书。

4）基于SET协议的购物流程

电子商务的工作流程与实际的购物流程非常相似，这使电子商务与传统商务可以很容易地融合，用户使用也没有什么障碍。从顾客通过浏览器进入在线商店开始，一直到所定货物送货上门或所定服务完成，以及账户上的资金转移，所有这些都是通过公共网络（Internet）完成的。如何保证网上传输数据的安全和交易对方的身份是电子商务能否得到推广的关键。这正是SET协议要解决的最主要的问题。一个完整的购物处理流程中，SET协议的工作过程如下：

（1）消费者使用浏览器在商家的Web主页上查看在线商品目录，浏览商品。

（2）消费者选择要购买的商品。

（3）消费者填写定单，定单上的内容包括项目列表、价格、总价、运费、搬运费、税费。定单可通过电子化方式从商家传过来，或由消费者的电子购物软件建立。

（4）消费者选择付款方式，此时SET协议开始介入。

（5）消费者发送给商家一个完整的定单及要求付款的指令。在SET协议中，定单和付款指令由消费者进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息。

（6）商家收到定单后，向消费者的金融机构请求支付认可。通过支付网关到银行，再到发卡机构确认，批准交易，然后返回确认信息给商家。

（7）商家发送定单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。

（8）商家给消费者装运货物，或完成订购的服务。到此为止，一个购买过程已经结束。商家可以立即请求银行将钱从消费者的账号转移到商家的账号，也可以等到某一时间，请求成批划账处理。

（9）商家从消费者的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔，例如在每天的下班前请求银行结一天的账。

前3步与SET协议无关，从第（4）步开始SET协议起作用，一直到第（9）步。在处理过程中，SET协议对通信协议、请求信息的格式、数据类型的定义等都有明确的规定。在操作的每一步，消费者、商家和支付网关都通过CA机构验证通信主体的身份，以确保通信的对方不是冒名顶替。

2.安全的电子商务交易模型

SET协议是目前广泛使用的一种网络银行卡付款机制，是进行在线交易时保证银行卡安全支付的一个开放协议。SET协议是保证在开放网络上进行安全支付的技术标准，专门为消费者、商家、发卡银行和收单银行在Internet上进行信用卡支付的安全交易提供服务。SET协议保证消费者信息只有银行才能读取和验证，商家只是提出付款请求、接受付款。SET协议应用标准的模型如图5-8所示。

图5-8　SET协议应用标准的模型

SET协议满足了电子商务活动的具体商业要求，具体表现在如下方面：

（1）提供了可靠传输的支付信息和订货信息；

（2）保证了传输数据的完整性；

（3）提供对消费者作用合法性的验证；

（4）提供商家传输金融信息的正确性的识别；

（5）应用了最好的技术以保护合法用户；

（6）创造独立于传输安全机制又不影响使用的开放性协议；

（7）具有应用于各种软件和系统中的互操作性。

3.SET协议在电子商务中的应用

1）SET协议的工作流程(www.xing528.com)

SET协议定义了一个完备的电子支付流程，包括消费者注册申请证书、商户注册申请证书、购买请求、支付认证、获取付款5个步骤。SET支付系统主要由消费者、商家、发卡行、收单行、支付网关及认证机构6个部分组成，如图5-9所示。

图5-9　SET支付系统

SET协议的工作流程如前文所述。

消费者需要在一条信息中和商户、银行同时相关。这条信息包含订货信息段和支付信息段，它必须满足：订单信息——银行不可看；支付信息（包含银行卡账户信息）——商家不可看。

在信息包中，这两种信息作为一个整体，必须成对出现。

此时应使用双重数字签名来保密信息，此外若为信用卡商家，则还需获得发卡行的授权。具体实现方式如下：

（1）消费者产生双重数字签名，如图5-10所示。

图5-10　消费者产生双重数字签名

（2）消费者产生给商家的信息，随机产生DES1，如图5-11所示。

图5-11　消费者产生给商家的信息

（3）消费者产生给银行的信息，通过商家转发，如图5-12所示。

图5-12　消费者产生给银行的信息

（4）商家对收到的信息进行解密，如图5-13所示。

图5-13　商家对收到的信息进行解密

（5）商家向银行（发卡行）请求授权（通过网关）并转发消费者给银行的密文，授权信息包括交易信息和金额，随机生成DES3。

（6）网关对收到的消费者信息进行解密，如图5-14所示。

图5-14　网关对收到的消费者信息进行解密

网关解密获得支付信息通过金融专用资金清算网发往发卡行。

网关反馈给商家和消费者信息的过程也按同样方法完成。

这样，在SET交易里，通过消费者、银行、商家的公钥和私钥，以及保证其真实性的数字证书实现了各方之间实时的认证和信息传递。若有网关参与，则银行信息通过网关再转发获得。网关主要进行信息格式变化，起到代理服务器的作用。

若使用借记卡，则商家将消费者的信息转发并取得银行已借记消费者账户信息即可完成下订单、送货等操作。

2）SET协议与SSL协议的比较

SET协议与SSL协议的比较如表5-1所示。

表5-1　SET协议与SSL协议的比较

【动手做一做】

（1）SSL协议和SET协议存在的明显差异主要表现在认证要求、部署与应用、购物过程风险责任归属3个方面，据此填写表5-2。

表5-2　SSL协议和SET协议的差别

（2）阅读资料，了解SET协议的双重签名技术。

（3）利用SET协议进行网上购物与支付有如下7个步骤：

①通过电子商务服务器与在线商店联系，在线商店作出应答，告诉消费者所填订单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。

②消费者对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息。

③消费者利用计算机通过Internet选定要购买的商品，并在计算机上输入订单。订单包括在线商店、购买商品的名称及数量、交货时间及地点等相关信息。

④在线商店接收订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。

⑤消费者选择付款，确认订单，签发付款指令。此时SET协议开始介入。

⑥在线商店发送货物或提供服务，并通知收单银行将钱从消费者的账号转移到商家账号，或通知发卡银行请求支付。

⑦在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。

请问以下（　　）顺序是正确的。

A.③→⑤→①→④→②→⑦→⑥

B.③→②→⑤→①→④→⑥→⑦

C.③→①→②→⑤→⑦→④→⑥

D.③→①→⑤→②→④→⑦→⑥

思政元素14