电子商务支付安全,SET协议
摘自MBA智库百科()
目录
[编辑]
SET协议简介
为了实现更加完善的即时电子支付,SET协议应运而生。 SET协议(简称SET协议),全称为安全电子交易协议,是Card、Visa等公司于1997年6月1日推出的一种新型电子支付模式。 SET协议是基于B2C上的信用卡支付模型而设计的。 它保证了在开放网络上使用信用卡进行网上购物的安全性。 SET主要是为了解决用户、商户、银行之间的信用卡交易。 它具有保证交易数据的完整性、交易的不可否认性等多种优点。 因此,它已成为目前公认的在线信用卡交易的国际标准。 标准。
[编辑]
SET提供的服务
SET协议为电子交易提供了许多安全措施。 它可以保证电子交易的保密性、数据的完整性、交易行为的不可否认性和身份的合法性。
(1) 确保客户交易信息的保密性和完整性
SET协议采用双重签名技术,在SET交易过程中对消费者的支付信息和订单信息分别进行签名,使得商户无法看到支付信息,只能接收用户的订单信息; 而金融机构无法看到交易内容,只能接收用户支付信息和账户信息,从而充分保证消费者账户和订单信息的安全。
(2)保证商户与客户之间交易的不可否认性
SET协议的重点是保证商户和客户的身份认证以及交易行为的不可否认性。 其理论基础是不可否认机制,所采用的核心技术包括X.509电子证书标准、数字签名、消息摘要、双重签名等技术。
(3)保证商户和客户的合法性
SET协议使用数字证书来验证交易双方的合法性。 通过数字证书的验证,可以保证交易中的商户和客户合法可信。
[编辑]
SET交易流程
SET交易过程中需要对商户、客户、支付网关等交易各方进行身份认证,因此其交易过程相对复杂。
(1)顾客看中网店中的产品后,与商家协商,然后发出购买请求。
(2)商户要求顾客使用电子钱包支付。
(3)电子钱包提示客户输入密码,并与商户交换握手信息,以确认商户和客户均合法。
(4)顾客的电子钱包形成包含订单信息和支付指令的消息并发送给商户。
(5)商户将包含客户支付指令的信息发送至支付网关。
(6)支付网关确认客户信用卡信息后,向商户发送授权响应消息。
(7) 商户向顾客的电子钱包发送确认信息。
(8)将钱从客户账户转入商户账户,然后将货物交付给客户,交易结束。
从上面的交易流程可以看出,SET交易流程非常复杂。 在完成一笔SET协议交易的过程中,需要验证电子证书9次,验证数字签名6次,传输证书7次,签名5次,以及4次对称加密和非对称加密。 通常完成一个SET协议交易过程大约需要1.5-2分钟或更长时间。 由于各地网络设施参差不齐,完成一次SET协议交易过程可能需要较长时间。
[编辑]
SET的安全性分析
[编辑]
使用公钥加密和私钥加密相结合的方式确保数据机密性
SET协议中,通过采用公钥加密和私钥加密相结合的算法对支付信息进行加密来获得支付环境的信息机密性。 它使用的公钥加密算法是RSA公钥密码系统,私钥加密算法使用DES数据加密标准。 这两种不同加密技术的组合在 SET 中被可视化为数字信封。 RSA加密相当于用信封封起来。 该消息首先使用 56 位 DES 密钥加密,然后加载使用 1024 位 RSA 公钥加密的数字。 信封在交易双方之间传输。 这两个密钥的组合保证了交易中数据信息的机密性。
[编辑]
利用信息汇总技术保证信息的完整性
SET协议使用数字签名方案来确保消息完整性并验证消息源。 数字签名方案使用与消息加密相同的加密原理。 即数字签名与RSA加密算法结合生成信息摘要。 信息摘要是消息经过HASH函数处理后得到的消息对应的唯一值。 消息中每一个数据位的变化都会导致信息摘要中大约一半的数据位发生变化。 。 两条不同的消息具有相同信息摘要的可能性极小,因此HASH函数的单向性质使得从信息摘要计算出信息摘要是不可行的。 信息摘要的这些特征确保了信息的完整性。
[编辑]
采用双重签名技术,保证交易双方的身份认证
SET协议采用双重签名(Dual)技术。 在安全的电子商务交易中,持卡人的订单信息和支付指令是一一对应的。 商户在确认持卡人支付指令对应的订单信息后,才能根据订单信息发货; 银行在确认持卡人支付指令对应的订单信息真实可靠后,才能按照商户的要求发货。 付款。 为了实现商户合法验证持卡人的支付指令、银行合法验证持卡人的订单信息而不侵犯客户隐私的目标,SET协议采用双重签名技术来确保客户隐私不被侵犯。
[编辑]
SET 的改进
SET协议提供了一种在B2C平台上进行在线信用卡支付的方法。 然而,由于实施起来非常复杂,商户和银行都需要修改其系统以实现互操作性。 看来SET的普及应用还需要时间。 无论是使用SSL协议还是SET协议进行在线支付,它们总有一些不尽如人意的地方。 但由于SET在安全性、保密性方面的优势,应该会成为未来电子商务在线支付的主流方式。 针对主要问题——商品质量及残差数据处理方法,作者提出了改进方案:引入商品质量检测机制,保证商品质量; 建立“交易信息档案中心”,解决交易后残留数据的归属问题。 这样就保证了用户的利益。
[编辑]
引入产品质量检验机制,确保产品质量
引入这一机制的具体做法是,商家将商品直接发送至消费者所在的官方商品质检机构。 这些专业的质检机构会检测出商品的质量问题。 检验完毕后,将通知消费者前来提货。 消费者如需要此项服务,须与商家协商分摊质检费用; 如果没有,他们必须遵循正常的 SET 流程。 因此,我们引入了产品质量检验机制来检查产品的质量,解决了SET协议中“产品质量问题谁来承担”的问题。 这样既可以保证用户的利益,也可以保证商家的利益不受到损害。
[编辑]
SET引入商品质检机制后的交易流程
引入产品质量检测机制后,基于SET的交易流程比以前更加复杂。 SET消息也需要修改,需要将质量检测信息作为附件添加到SET消息中。 因此,在SET信息消息中添加附件位,需要考虑将附件位标记为0和1两种情况,其中0表示没有附件,1表示有附件。 附加附加信息包括交易双方的相关信息(如为双方编号)、产品名称、产品保质期、产品生命周期等。
(1)用户查询商品信息并确定要订购的商品。
(2)用户与商家协商确定产品质量检测费用如何分摊。
(3)将订单和支付信息以电子数据的形式发送给商户。
(4)商户对用户所持支付卡的金融机构进行验证并向其请求支付授权。
(5)金融机构验证数字签名,验证用户信息的合法性。 如果合法,则发送授权信息。
(6)商户验证授权信息后,向用户发送订单确认消息。 同时查询用户所在地区的产品质检部门信息。 商家将货物送到用户所在地区的产品质检部门。
(7)用户所在地产品质检部门接收商家产品。 检查完商品质量后,将附件位由0改为1,附上附件具体信息,将收货信息发送给商家并负责将商品交付给消费者; 商户向用户拥有的支付卡的金融机构请求支付。
(8)用户获得满意的产品后,在付款单上签字,向产品质检部门表示同意付款,并将付款信息发送至其支付卡所在的发卡卡。 发卡银行收到商户的支付请求和用户的支付同意后才可以进行支付。
[编辑]
综上所述
SET协议由美国公司发起并共同开发。 因此SET协议支持信用卡支付,这是一种更符合欧美国家使用情况的支付方式。 但在实际应用中,SET要求持卡人在客户端安装电子钱包,增加了客户交易成本且交易流程相对复杂。 因此,接受这种在线即时支付方式的客户较少。
在国内,信用卡支付尚未普及,因此SET协议在国内使用相对较少。 电子支付无论采用哪种支付协议,都应考虑安全因素、成本因素和使用便利性。 由于这三者在SET协议和SSL协议中的任何一个中都无法得到充分的体现,这就造成了目前SSL协议和SET协议并存的局面。 不过,即使未来业界开发出兼具这三大优势的电子支付协议,也未必能完全保证电子支付和网上银行的安全。
由于网上银行的安全涉及方方面面,它不仅仅是一个完整的安全支付协议、安全防火墙或电子签名就能轻易解决的问题。 因此,现在银行必须加强管理和宣传,帮助客户树立安全意识,引导用户如何正确使用网上银行,动员社会各方面力量,寻求多方联动策略,确保网上银行的安全。 安全。 只有社会各界的共同努力,才能保证电子支付的安全; 只有社会各界的共同努力,才能确保网上银行的安全; 只有社会各界共同努力,才能确保电子商务安全,确保电子商务快速有序发展。 。
[编辑]
相关项目