2018基于SET协议的安全电子交易流程再造
[摘要] 针对当前安全电子商务交易的主要协议——SET协议存在的缺陷,提出了一个改进后的安全电子交易流程,该流程通过引入电子交易合同,并利用第三方物流商和收货单,解决了SET协议无法保证商品原子性和确认发送原子性的缺点,有效地保证了交易双方的公平性。[关键词] SET 协议 原子性 电子交易合同 第三方物流商 收货单
一、SET协议概述
SET协议(Secure Electronic Transaction,安全电子交易)是由维萨(VISA)国际组织、万事达(MasterCard)国际组织创建,结合IBM、Microsoft、Netscape、GTE等公司制定的电子商务中安全电子交易的一个国际标准,其主要目的是解决信用卡电子付款的安全保障性问题。首先,SET协议保证了信息的机密性和信息的安全传输,使信息不能被窃听,只有收件人才能得到和解密信息;其次,SET也保证了支付信息的完整性,使得传输数据完整地接收,在中途不被篡改;最后,SET通过数字证书认证商家和客户,从而验证了公共网络上进行交易活动的商家、持卡人及交易活动的合法性。SET协议具有广泛的互操作性,采用的通讯协议、信息格式和标准具有公共适应性,从而可在公共互连网络上集成不同厂商的产品。
采用SET协议进行网上电子交易支付时,主要涉及持卡人、商家、支付网关、发卡行、收单行和CA中心共六方:持卡人是发行者发行的支付卡的授权持有者;发卡行是指发行信用卡给持卡者的金融机构(银行);商家是有货物或服务出售给持卡人的个人或组织;收单行是指商家开设账号所在的金融机构(银行);支付网关实现对支付信息从Internet 到银行内部网络的转换接口,用来处理商家支付报文和持卡人的支付指令,并对商家和持卡人进行认证。
二、SET协议交易流程
SET协议的交易流程主要是:
SET交易可分为3个阶段,即购买请求阶段、支付授权阶段和取得支付阶段,在这三个阶段之前,持卡人、商家和支付网关必须完成在CA中心的注册和证书申领工作。整个交易流程如图1所示。
图1 set交易流程
1.购买请求:持卡人到商户的网站完成浏览、选定商品后,持卡人发送支付信息和订单信息给商家进行支付;
2.支付授权:商家将客户支付信息由支付网关交给收单行,向银行请求交易授权和授权回复;收单行解密相关支付信息,并向发卡行进行验证,无误后向商家返回成功信息;商家向持卡人提供商品或服务;
3.取得支付:收单行和发卡行之间完成资金清算,整个交易结束。
三、SET协议的缺陷分析
尽管SET协议实现了电子交易卡支付的高安全性和可靠性,然而,SET协议的交易流程依然存在着不少缺陷,主要缺陷有以下两点:
1.商品原子性。即必须保证购买者如果付了款就一定能得到商品,购买者如果得到了商品则一定付了款,不存在付了款而得不到商品或得了商品而未曾付款。也就是说,当商家从支付网关得到客户正确支付后,SET协议并不能保证商家一定会发货给顾客,即不能保证商品的原子性。
2.确认发送原子性。需要有对客户购买的和商家销售的商品内容及品质的双方确认,亦即协议保证购买者得到他所订购的商品,商家发送了客户所订购的商品。商家从支付网关得到客户正确支付后,SET协议一样不能保证商家发送给顾客的商品就是顾客所订购的商品,也不能保证即不满足确认发送原子性。
因此,本文考虑从上述缺陷出发,对SET协议中的信息传递流程和相关机制进行改进,使它在原有基础上满足商品原子性和确认发送原子性。
四、改进的SET安全交易流程
改进后的交易流程主要分为六个步骤,如图2所示:
图2 改进后的SET电子交易流程
1.交易各方获取CA数字证书。持卡人、商家、发卡银行、收单银行及第三方物流商(如果在交易过程中需要的话)向各自的CA中心申请并取得各自的数字证书。为确保交易各方能验证交易中其他方的身份,建议交易各方采用同一个CA中心,或一组能相互认证的CA中心。
2.订单确认
(1)持卡人浏览商家的网站并选择商品;
(2)持卡人完成订单,将订单信息、支付信息进行双重数字签名后,连同CA证书一起发给商家;
(3)商家收到持卡人的订单信息和支付信息后,通过CA中心对持卡人的身份进行验证;同时将支付信息提交支付网关,请求收单行进行验证;
(4)收单行收到持卡人支付信息后,将持卡人CA证书和支付信息提交给发卡行,验证账户真实性及余额是否充足;如持卡人身份没有通过CA中心的验证或账户余额不足以完成本次交易,则商家取消持卡人的订单,同时通知持卡人;若持卡人身份和账户余额均通过验证,则返回商家成功信息;
(5)如持卡人身份和支付信息验证通过,则商家确认该订单,并对该订单进行数字签名,同时将订单发还给持卡人;
(6)买卖双方确认订单成功。
3.持卡人和商家签订交易合同
(1)在确认订单后,商家向持卡人家发送一份电子交易合同(交易纠纷合同),待持卡人确认;
(2)持卡人同意合同则交易成功;若持卡人不同意合同,则可以重新修订合同直至双方同意;
(3)双方在交易合同上数字签名,合同订立成功。
4.商家申请冻结持卡人资金
(1)商家向收单行提交冻结持卡人资金的申请,同时一起提交买卖双方已确认的订单;
(2)收单银行收到冻结持卡人资金的申请和有买卖双方数字签名的订单后,通过CA中心对订单上的商家身份进行验证;
(3)如商家身份没有通过CA中心的验证,则收单银行取消商家提交的冻结持卡人资金的申请,同时通知商,要求商家重新提交冻结持卡人资金的申请;如商家身份通过验证,则收单银行确认该申请,同时通知商家;
(4)收单银行将该申请和订单发给持卡人所在的发卡银行,要求冻结持卡人的资金;
(5)发卡银行收到收单银行提交的商家要求冻结持卡人资金的申请和订单后,通过CA中心对订单上持卡人的身份进行验证;如持卡人身份没有通过CA中心的验证,则发卡银行取消收单银行提交的冻结持卡人资金的申请,同时通知收单银行,要求收单银行重新确认冻结申请;收单银行收到发卡银行取消冻结申请的通知后,取消商家提交的冻结持卡人资金的申请,同时通知商家,重新提交冻结申请;如持卡人身份通过验证,则发卡银行确认该冻结申请,同时通知持卡人;
(6)商家申请冻结持卡人资金成功。
说明:持卡人资金的冻结周期可以由买卖双方自行约定,根据所交易的产品,以及物流方式,一般情况下,建议冻结周期不超过15天。
5.商家发货,持卡人收货。以目前较为常见的第三方物流运作模式为例。
(1)由第三方物流商到商家提货,并在商家提供的电子收货单上进行数字签名;
(2)商家收到有第三方物流商数字签名的电子收货单,通过CA中心对第三方物流商的身份进行验证;如第三方物流商身份没有通过CA中心的验证,则商家取消第三方物流商的收货单,同时通知第三方物流商,要求第三方物流商重新确认收货单;如第三方物流商身份通过验证,则商家确认该收货单,同时通知第三方物流商;
(3)第三方物流商送货到持卡人;持卡人通过第三方物流商CA中心对第三方物流商的身份进行验证;如第三方物流商身份没有通过CA中心的验证,则持卡人拒收,并通知商家;如第三方物流商身份通过验证,则持卡人进行商品数量、质量的验收,验收合格后,持卡人在商家提供的已有第三方物流商数字签名的电子收货单上进行数字签名,或在纸质收货单上签名;
页:
[1]