安全电子交易SET

安全电子交易SETSET的主要特点是：1、SET是专为与支付有关的报文进行加密的，它不能像SSL那样对任意的数据（如正文或图像）进行加密。2、SET协议涉及三方，顾客，商家和商业银行。3、SET要求三方都有证书。在SET交易中，商家看不见顾客传送给商业银行的信用卡号码。这是SET的一个最关键的特性。一个SET交易中要使用三个软件，即：1、浏览器钱包这个软件集成在浏览器中，它位顾客在购物时提供信用卡和证书的存储和管理的地方，并响应从商家发来的SET报文，提示顾客选择信用卡进行支付。2、商家服务器处理持卡人的交易，并与商家银行沟通。3、支付网关商业银行使用的软件，处理信用卡的交易，包括授权和支付，是个相当复杂的软件。SET协议中的角色：1、持卡人（Cardholder）2、发卡机构（CardIssuer）3、商家（Merchant）4、收单银行（AcquiringBank）5、支付网关（PaymentGateway）6、认证中心（CertificateAuthority）SET购物交易实例：B：客户A：商家1、B告诉A需要购买的商品。2、A将物品清单和一个惟一的交易标识符发送给B。3、A将其商家的证书，包括商家的公钥。A将银行证书，银行的公钥。两个证书都使用一个认证中心CA的私钥进行加密（也就是数据签名）。4、B使用认证中心CA的公钥，对证书解密。于是得到A的两个证书和公钥。5、B生成2个数据包，B将OI与PI机密后发给A。它们是：定货信息OI（OrderInformation），购买指令PI（PurchaseInstruction）。OI：交易标识符，使用信用卡类别。注意：不包括B的信用卡号码。使用A的公钥加密。PI：交易标识符，B同意向A支付的款数。使用A的银行的公钥加密。注意：PI虽然是给A的银行用的，但并不是由B直接发送给A的银行。6、A生成对信用卡支付请求（paymentrequest）的授权请求（authorizationrequest），它包括交易标识符。7、A用银行的公钥将一个报文加密发送给银行，此报文包括：授权请求、从B发过来的PI数据包，以及A的证书。8、A的银行收到此报文，将其解密。A的银行检查此报文有无被篡改，以及检查在授权请求中的交易标识符是否与B的PI数据包给出的一致。9、A的银行通过传统的银行信用卡信道向B的银行发送请求支付授权的报文。10、B的银行准许支付后，A的银行就向A发送加密的响应。此响应包括交易的标识符。11、若此次交易被批准，A就向B发送响应报文。此报文作为收据，并通知B：“支付已被接收，所购买物品即将发出”。我的理解是：SET的交易规则分为两个部分：以银行系统内部与外部Internet。首先，保证B与A之间的交易的安全与数据的不可抵赖性。通过SSL，B与A建立了一条安全加密的信道。A通过CA的认证后，获得相关的证书和密钥。B在访问A时，B得到A证书和公钥，B对CA的LDAP查询到A的相关信息，即A可信任。B使用浏览器的SET模块加密数据后发送给A，与A交易。B生成的数据报OI与PI，加密后，发送个A，A通过与银行达成协议的支付接口，将OI与PI加密后发给相关银行。然后再由银行系统内部确认B与A的交易行为。B的银行账号对A的银行账号进行支付。最后，B的银行向客户B生成支付清单。A向B发送响应报文。此报文作为收据，并通知B：“支付已被接受，所购物品即将发出”。