SET是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议,用来保证电子商务中信用卡支付交易的安全,由于SET协议得到了HP、IBM、Microsoft 等大公司的支持,在全球电子商务支付领域得到了广泛的应用,成为Internet上进行在线交易的电子付款系统事实上的工业标准。
1.SET协议的主要目标SET是一个复杂的协议,涵盖了信用卡在电子商务交易中的交易流程,以及应用到的信息保密,资料完整及CA认证,数字签名等技术标准,详细而准确地规定了交易各方之间的各种关系。它主要目标包括以下几个方面:
(1) 保障付款信息的安全:
SET 协议首先要保障付款信息的安全传输,保证用户的交易数据不会被截获或丢失 ;
(2) 保障付款过程的安全:
SET协议的付款过程与SSL协议不同,顾客虽然把信用卡帐号密码等信息发往商家,但由于SET协议采用的特殊技术却可以保障商家看不到帐户等顾客付款信息,从而保证付款过程的信息安全;同时SET协议要求参与付款的各方都要提供数字证书进行身份认证,保证了付款过程的信用安全。
(3) 保证付款过程遵守相同的协议和格式标准:
SET协议提供开放的标准,规定交易的技术细节,确保不同厂商开发的应用程序只要遵守它的规范就可以相互通用,使标准达到良好兼容性并被广泛接受,可以运行在不同的硬件和软件平台上。
2. 基于SET协议的交易流程
基于SET协议的交易流程可以被简单归纳如下如下:
(1)顾客在网上浏览商品;
(2)顾客开始购买商品,向商家发送购买请求及付款帐户信息,此时SET协议开始介入购买流程。
在SET中使用了一种双重签名技术,即当持卡人发出购买指令时包含了定购和付款两条指令,商户只能看到定购指令,而网关只能看到付款指令,这样持卡人的帐号对商户来说是不可见的。持卡人定单消息由商户处理,付款消息由网关处理,这两部分组成一个消息由持卡人一起发送。
(3)商家处理订购信息
商家在接到订购信息后首先向顾客持有信用卡的金融机构请求支付认可,在接到确认消息后,商家就可以相信顾客的付款能力和自己的货款安全,从而接收订单,并向顾客发送确认信息,顾客可在自己的客户端记录该交易,留作交易凭证。
(4) 准备发送货物,同时向为顾客提供信用卡的金融机构提出付款请求,完成交易。
3. SET协议的优点和缺点
首先SET协议对顾客提供了更好的安全保护:SET协议是一个针对多方的报文协议,它定义了银行、商户、持卡人之间数据传输技术标准和操作流程,而我们在前面的介绍里已经指出SSL只能在两方之间建立安全连接,只能通过商家转发顾客的帐户信息,因此SET
协议对顾客交易数据可以提供比SSL更高的安全性。另外SSL协议是面向连接的,即只允许在建立连接的时候安全传输数据,而SET允许各方之间的报文交换不是实时的。其次SET协议为商家提供了保护自己的手段:SET协议通过使用加密技术和严格执行多方身份的验证,保证了信息的安全传输和货款的安全划拨,使商家免除了后顾之忧。
对银行和发卡机构以及各种信用卡组织来说,因为SET可以帮助它们将业务扩展到Internet这个广阔的空间,从而使得信用卡网上支付具有更低的欺骗概率,这使得它比其他支付方式具有更大的竞争力。但SET协议提供这些功能的前提是:SET要求在银行网络、商家服务器、顾客的PC上安装相应的软件。这些阻止了SET的广泛发展。另外,SET还要求必须向各方发放证书,这也成为阻碍之一。所有这些使得SET要比SSL昂贵得多。
综合考虑这两种协议的特点,可以把它们结合在一起使用。例如,一些商家正在考虑在与银行连接中使用SET,而与顾客连接时仍然使用SSL。这种方案既回避了在顾客机器上安装特殊软件,同时又获得了SET提供的很多优点。