2018浅谈ＳＥＴ协议的支付安全性

6781805

　　[摘要] 本文阐述了电子商务中SET协议的支付安全性。
　　[关键词] SET协议 安全技术
　　
　　为了支持网上不断增长的信用卡支付，Visa和MasterCard推出了一个安全电子交易协议(SET)，保证在不同的硬件和浏览器之间进行互操作。除了为信用卡交易提供标准的通信协议和信息格式之外，SET还通过加密技术来保证信息的机密性，使用电子签名来保证信息的完整性，并对买卖双方的身份进行识别。
　　一、SET协议及其支付系统参与者
　　SET协议为持卡者提供认证，认证一个持卡者是一个支付卡账户的合法用户；为商家提供认证，保证商家通过一个收单行金融机构接收该品牌的支付卡的交易；为支付信息提供机密性，同时保证订购信息的机密性和完整性。在SET交易中，参与者包括：持卡者----在电子支付系统中，使用一个发卡行发行的支付卡，并通过计算机与商家进行交互活动的消费者。发卡行---发行支付卡的金融机构，它为持卡者建立一个账户，一个发卡行要保证对经过授权的交易进行付款。商家---商家提供商品和服务，一个商家必须与相关的收单行达成协议，保证可以接收相应支付卡付款，进而保证安全电子交易。收单行---为商家建立一个账户并处理支付卡授权和支付的金融机构。支付网关----一个由收单行操作的设备，用于处理支付卡授权和支付，是互联网和金融专用网之间的接口。品牌----金融机构根据市场需要可建立不同的支付卡品牌，每种支付卡品牌都有不同的政策，支付卡品牌将确定发卡行、收单行、持卡者和商家之间的关系。
　　二、SET协议的技术范围
　　作为一种电子支付系统的安全协议，SET协议是为保护Internet上的银行卡交易而设计的开放式加密和安全规范，其使用的安全技术有：
　　1.公钥密码体制（PKI）：PKI是一个用公钥算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。PKI体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其它标识信息捆绑在一起，在Internet上验证用户的身份，从而保证网上数据的机密性、完整性和不可否认性。
　　2.数字证书：数字证书用于证实一个用户的身份和对网络资源的访问权限，在电子交易中，如果双方都出示了各自的数字证书，并用它们进行交易操作，那么双方就不必为对方身份的真实性担心了。数字证书包含惟一标识证书所有者和发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及序列号等。
　　3.数字签名：数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改。
　　4.双重签名：双重签名是通过计算两个消息的摘要产生的，它将两个摘要连接在一起，计算结果的消息摘要并用签字者的私有签名密钥加密摘要。签字者一定包括接收者验证双签名的其他消息的摘要，每个消息的接收者只能取出与自己相关的消息，并通过重新产生消息摘要来验证消息。当一个商家向收单行发出一个授权请求时，收单行使用来自商家的消息摘要并计算支付指示的消息摘要，来验证双签名。