SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET规范涉及的范围有:加密算法的应用(例如RSA和DES);证书信息和对象格式;购买信息和对象格式;确认信息和对象格式;划帐信息和对象格式;对话实体之间消息的传输协议。SET1.0版已经公布并可应用于任何银行支付服务。
SET主要目标是:①信息在Internet上安全传输,保证网上传输的数据不被黑客窃取;②定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;③持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保;④要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
1.安全电子商务模型
根据安全电子商务的目标和要求,图3.1给出了SET的一般模型
图4.1 安全电子商务模型
持卡人:是发行者发行的支付卡(例如MasterCard和Visa)的授权持有者。
商家:是有货物或服务出售给持卡人的个人或组织。通常,这些货物或服务可以通过Web站点或电子邮件提供给。
支付者:建立商家的帐户并实现支付卡授权和支付的金融组织。支付者为商家验证给定的信用卡帐户是能用的;支付者也对商家帐户提供了支付的电子转帐
支付网关:这是由支付者或指定的第三方完成的功能。为了实现授权或支付功能,支付网关在SET和现有的银行卡支付的网络系统作为接口。在Internet上,商家与支付网关交换SET信息,而支付网关与支付者的财务处理系统具有一定直接连接或网络连接。
证书权威机构:这是为持卡人、商家和支付网关发行X.509v3公共密码证书的可信实体。
2.SET的购物流程
电子商务的工作流程与实际的购物流程非常接近,使得电子商务与传统商务可以很容易融合,用户使用也没有什么障碍。从顾客通过浏览器进入在线商店开始,一直到所定货物送货上门或所定服务完成,以及帐户上的资金转移,所有这些都是通过公共网络(Internet)完成的。如何保证网上传输数据的安全和交易对方的身份确认是电子商务能否得到推广的关键。这正是SET所要解决的最主要的问题。一个包括完整的购物处理流程的SET的工作过程如下:
(1)持卡人使用浏览器在商家的WEB主页上查看在线商品目录,浏览商品。
(2)持卡人选择要购买的商品。
(3)持卡人填写定单,包括项目列表、价格、总价、运费、搬运费、税费。定单可通过电子化方式从商家传过来,或由持卡人的电子购物软件建立。有些在线商场可以让持卡人与商家协商物品的价格(例如出示自己是老客户的证明,或给出竞争对手的价格信息)。
(4)持卡人选择付款方式,此时SET开始介入。
(5)持卡人发送给商家一个完整的定单及要求付款的指令。在SET中,定单和付款指令由持卡人进行数字签名,同时利用双重签名技术保证商家看不到持卡人的帐号信息。
(6)商家收到定单后,向持卡人的金融机构请求支付认可。通过支付网关到银行,再到发卡机构确认,批准交易。然后返回确认信息给商家。
(7)商家发送定单确认信息给顾客。顾客端软件可记录交易日志,以备将来查询。
(8)商家给顾客装运货物,或完成订购的服务。到此为止,一个购买过程已经结束。商家可以立即请求银行将钱从购物者的帐号转移到商家帐号,也可以等到某一时间,请求成批划帐处理。
(9)商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔,例如在每天的下班前请求银行结一天的帐。
前三步与SET无关,从第四步开始SET起作用,一直到第九步,在处理过程中,通信协议、请求信息的格式、数据类型的定义等,SET都有明确的规定。在操作的每一步,持卡人、商家和支付网关都通过CA来验证通信主体的身份,以确保通信的对方不是冒名顶替。
更多内容请看PCdog.com--Sniffer安全技术 路由安全配置专题
