上海四季酒店电话:set 协议描述

SET安全协议(Secure Electronic Transactions，简称 SET)

SET标准（http://www.setco.com） SET是为了在Internet上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET1.0版已经公布并可应用于任何银行支付服务。

由于设计合理，SET协议得到了IBM、HP、Microsoft、Netscape、VeriFone、GTE、VeriSign等许多大公司的支持，目前已获得IETF标准的认可，成为B TO C业务事实上的工业标准。

安全电子交易是基于因特网的银行卡支付系统，是授权业务信息传输的安全标准，它采用RSA公开密钥体系对通信双方进行认证。利用DES、RC4或任何标准对称加密方法进行信息的加密传输，并用HASH算法来鉴别消息真伪，有无篡改。在SET体系中有一个关键的认证机构（CA），CA根据X.509标准发布和管理证书。

1. SET安全协议运行的目标
SET协议要达到的的目标主要有五个：
（1）保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。?
（2）保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。
（3）解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。
(4)保证了网上交易的实时性，使所有的支付过程都是在线的。
(5)效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。

2. SET安全协议涉及的范围
SET协议规范所涉及的对象有：
(1)消费者，包括个人消费者和团体消费者，按照在线商店的要求填写定货单，通过由发卡银行发行的信用卡进行付款。
(2)在线商店，提供商品或服务，具备相应电子货币使用的条件。
(3)收单银行，通过支付网关处理消费者和在线商店之间的交易付款问题。
(4)电子货币（如智能卡、电子现金、电子钱包）发行公司，以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付工作。
(5)认证中心（CA）。负责对交易对方的身份确认，对厂商的信誉度和消费者的支付手段进行认证。

3、SET的认证

在用户身份认证方面，SET引入了证书（Certificates）和证书管理机构（Certificates Authorities）机制。

(a)证书
证书就是一份文档，它记录了用户的公共密钥和其他身份信息。在SET中，最主要的证书是持卡人证书和商家证书。
持卡人证书：它实际上是支付卡的一种电子化表示。它是由金融机构以数字签名形式签发的，不能随意改变。持卡人证书并不包括帐号和终止日期信息，取而代之的是用单向哈希算法根据帐号、截止日期生成的一个编码，如果知道帐号、截止日期、密码值即可导出这个码值，反之不行。
商家证书：表示可接受何种卡来进行商业结算。它是由金融机构签发的，不能被第三方改变。在SET环境中，一个商家至少应有一对证书。一个商家也可以有多对证书，表示它与多个银行有合作关系，可以接受多种付款方法。
除了持卡人证书和商家证书以外，还有支付网关证书、银行证书、发卡机构证书。

（b） 证书管理机构
CA是受一个或多个用户信任，提供用户身份验证的第三方机构。证书一般包含拥有者的标识名称和公钥，并且由CA进行过数字签名。
CA的功能主要有：接收注册请求，处理、批准/拒绝请求，颁发证书。用户向CA提交自己的公共密钥何代表自己身份的信息（如身份证号码或E-mail地址），CA验证了用户的有效身份之后，向用户颁发一个经过CA私有密钥签名的证书。

（c）证书的树形验证结构
在两方通信时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处。就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。
通过SET的认证机制，用户不再需要验证并信任每一个想要交换信息的用户的公共密钥，而只需要验证并信任颁发证书的CA的公共密钥就可以了。

4、SET标准的应用

自1996年始，34个国家的150多家金融机构制定了SET试行方案。从新加坡到旧金山的信用卡公司都开始建造SET交易网关，软件厂家则着手开发支持SET的应用软件。