网银支付提示持卡人

二、电子商务安全协议SET

在安全问题不断涌现的情况下，为解决网络信息传递的准确性和安全可靠性问题，Mastercard和VISA两大信用卡组织以及其他一些业界的主流厂商通过多年的研究，于1996年提出了安全电子交易协议SET（Secure Electronic Transaction），并在1997年5月正式发布了SET1.0标准。这个标准自推出之后，得到了IBM、Netscape、Microsoft、Oracl等众多厂商的支持。SET协议是应用层的协议，是一种基于消息流的协议，它是面向B2C模式的，完全针对信用卡来制定，涵盖了信用卡在电子商务交易中的交易协议信息保密、资料完整等各个方面。

SET协议中，主要定义了加密算法的应用、证书消息和对象格式、购买消息和对象格式、请款消息和对象格式以及参与者之间的消息协议。SET关于支付处理的基本流程是：①持卡者注册；②商家注册；③购买请求；④支付授权；⑤支付请款。

在SET购买流程中，还可能产生查询请求/响应、授权撤销请求/响应、请款撤销请求/响应、退款请求/响应、退款撤销请求/响应、支付网关证书请求/响应、批管理请求/响应等消息对，而且购买流程的消息顺序可以根据具体情况进行调整，如图8-8所示。

图8-8　SET协议的流程

但是由于SET协议比较复杂，在客户端要安装电子钱包软件，这正是客户不愿接受SET的一个理由，其10 Mbit的大小足以让客户不去下载它，这不仅限于SET，同样的问题也困扰着电子现金计划。SSL已经集成到了Web浏览器上，客户希望使用SSL通过互联网直接购物。目前该协议几乎面临停顿，而国内仅有少数应用。除了中国银行和深圳金融联推出过电子钱包软件外，其他机构几乎没有应用。SET可以用于系统的一部分或者全部，例如，一些商家在与银行连接中使用SET，而与顾客连接时仍然使用SSL。也就是说在安全级别要求高的地方使用SET渐渐成为趋势。

SET改变了支付系统中各个参与者之间交互的方式。在面对面的零售交易或邮购交易中，电子处理过程始于商家或付款银行；而在SET交易中，电子支付始于持卡人。SET交易的参与方包括持卡人、商家、发卡银行、收单银行、支付网关和数字证书认证中心CA，如图8-9所示。

1．持卡人

SET交易是在开放的Internet中进行的，交易双方互不见面，无法使用现金，而是使用信用卡，所以在SET协议中将购物者称为持卡人。持卡人要参与SET交易，首先，必须要拥有一台计算机并且能够上网；其次，还必须到发卡银行去申请并取得一套SET交易专用的持卡人软件（即电子钱包），然后安装在自己的计算机上；最后，必须上网去向数字证书认证中心申请一张数字证书。这样持卡人就可以开始安全地进行网上交易了。

图8-9　SET协议的参与方

2．商家

商家要参与SET交易，首先，必须要开设网上商店，在网上提供商品或服务；其次，商家的网上商店必须集成SET交易商户软件，顾客在网上购物，由网上商店提供服务，购物结束进行支付时，由SET交易商户软件进行服务；再次，商家必须到接受网上支付业务的收单银行申请并且必须在该银行设立账户；最后，同持卡人一样，还必须上网申请一张数字证书。

3．发卡银行

发卡银行是负责为持卡人建立账户并发放支付卡的金融机构。发卡银行在分理行和当地法规的基础上保证信用卡支付的安全性。

4．收单银行

收单银行是商家建立账户并处理支付卡认证和支付的金融机构。

5．支付网关

SET交易中买卖双方进行交易，必须通过银行进行支付，但由于SET交易是在开放的Internet上进行的，而银行的计算机主机及银行专用网络是不能直接与Internet相连的，为了能接收从Internet上传来的支付信息，在银行与Internet之间必须有一个专用系统，负责接收处理从商家传来的扣款信息，并通过专线送给银行，银行对支付信息的处理结果再通过这个专用系统反馈回商家。这个专用系统就称为支付网关。

6．数字证书认证中心（Certificate Authority，简称CA）

为了保证SET交易的安全，SET协议规定参加交易的各方都必须持有数字证书，在交易过程中，每次交换信息都必须向对方出示自己的数字证书，而且都必须验证对方的数字证书。CA的主要工作是负责SET交易数字证书的发放、更新、废除、建立证书黑名单等各种证书管理。参与SET交易的各方（包括持卡人、商家、支付网关）在参加交易前必须到CA处申请数字证书。在证书到期时还必须去CA处更换一张新的证书。同时，CA还要随时掌握哪些证书已经被废除，要将这些证书写入证书黑名单，作为交易时验证对方证书的依据。

SET证书的申请与发放都是在网上进行的，参加网上交易的持卡人、商家和支付网关都必须在自己的计算机里安装一套网上交易专用软件，这套软件包含了申请证书的功能。

用户将交易软件安装完成后，就可以上网向CA申请证书了。其过程是：持卡人首先生成一对密钥对将私人密钥保存在安全的地方，将公开密钥连同自己的基本情况表格一起发送给CA；然后CA根据持卡人所填表格，与发卡银行联系，对持卡人进行认证，生成持卡人的数字证书，并将持卡人送来的公开密钥放入数字证书中；然后对证书进行Hash运算，生成消息摘要；再用CA的私人密钥对消息摘要加密，即对证书进行数字签名；最后将带有CA数字签名的证书发给持卡人。

对于商家、支付网关以及各级CA的证书申请过程与持卡人的证书申请过程差不多。在实际过程中，只有当各级CA自己有了证书，才能为下一级CA或用户颁发证书。

总之，从SET交易过程可以看出，SET设计严密，对每一过程都考虑得比较周密，解决了客户资料的安全性问题，商家看不到客户的信用卡账号，银行看不到客户的订货信息；解决了用户与商家、用户与银行、商家与银行之间的多方认证问题，能够有效地防止假冒问题的发生；所有的交易过程都是在线的，保证了网上交易的实时性；利用加密技术、Hash算法、数字签名、数字信封、第三方机构CA等技术，确保了电子商务交易信息的安全。