安全电子交易协议SET

SET协议提供了三种服务：

（1）在交易涉及的各方之间提供安全的通信信道。

（2）使用X.509v3数字证书进行身份鉴别。

（3）保证机密性，信息只是在必要的时候、必要的地方菜对交易各方可用。

4.1 SET协议概述

1、SET协议的特点：

（1）信息机密性：卡用户的账号和支付信息在网上传输时时加密的，SET防止商人得到卡用户的信用卡号码，该信息值对发卡银行有用。

（2）数据完整性：卡用户发送给商人的支付信息包括订购信息、个人数据和支付提示。SET协议保证这些信息的内容在传输时不被修改。

（3）卡用户账号的鉴别：SET协议允许商人验证卡用户是否是有效卡账号的合法用户。

（4）商人的鉴别：SET允许卡用户验证商人与金融机构之间的关系及是否允许商人接受支付信用卡。

（5）互操作性：可以在不同的硬、软件平台上应用该规范。不论是持卡人还是商人，只要其SET软件符合标准并兼容旧可以进行安全交易。

（6）与IPSec和SSL/TLS不同，SET对每种加密算法仅提供了一种选择。这是因为SET是满足单个需求集合的单个应用，而IPSec和SSL/TLS是要支持一定范围的应用。

2、SET要求的事件序列：

（1）消费者开通账号。消费者从支持电子支付和SET的银行处获得信用卡账号。

（2）消费者获得证书。经过适当的身份验证之后，消费者将收到包含帐户信息摘要的X.509v3数字证书。证书将消费者的密钥对和信用卡捆绑在一起(通过证书的扩展字段)。

（3）商家获得证书。接受特定信用卡的商家必须获得两个X.509v3证书：一个用于报文签名，一个用于密钥交换。商人还需要支付网关的证书。

（4）消费者提出一项订购。消费者通过浏览商家的网站来选择商品并确定价格。然后，将要购买的商品清单发送给商家，商家返回包含了商品列表、价格、总价格和订购号码的表格。

（5）商家被验证。除了订购表格之外，商家还发送自己的证书。消费者可以验证商家的合法性。

（6）发送订购和支付信息。消费者将订单、支付信息以及证书一起发送给商家，订单确认对订购表格中商品的购买，支付包含了信用卡的细节，支付信息被加密使商家不可阅读，消费者的证书使商家可以鉴别消费者。

（7）商家请求支付认可。商家将支付信息发送给支付网关，请求核准消费者的存款是否足以支付这次购买。

（8）商家确认该项订购。商家将订购的确认发送给消费者。

（9）商家提供货物或服务。商家将货物递送给消费者，或者为消费者提供服务。

（10）商家请求支付。这个请求被发送给支付网关，后者处理所有的支付细节。