什么是SET协议

SET协议被称为安全电子交易协议，是一种新的电子支付模式。SET协议是基于B2C上的信用卡支付模式设计的，保证了开放网络上使用信用卡进行网上购物的安全性。

为了实现更加完善的即时电子支付，SET协议应运而生。SET协议(Secure Electronic Transaction)又称安全电子交易协议，是万事达卡(Master Card)和维萨(Visa)于1997年6月1日联合网景(Netscape)、微软(Microsoft)等公司推出的一种新的电子支付模式。SET协议是基于B2C上的信用卡支付模式设计的，保证了开放网络上使用信用卡进行网上购物的安全性。SET主要是为了解决用户、商家、银行之间的信用卡交易而设计的。它具有保证交易数据的完整性和交易的不可否认性等多种优势，因此成为公认的网上信用卡交易国际标准。

SET提供的服务

SET协议为电子交易提供了许多安全措施。它可以保证电子交易的保密性、数据的完整性、交易行为的不可否认性和身份的合法性。

(1)确保客户交易信息的保密性和完整性

SET协议采用双签名技术在SET交易过程中对消费者的支付信息和订单信息进行签名，使得商家只能收到用户的订单信息而看不到支付信息；而金融机构只能接收用户的支付信息和账户信息，看不到交易内容，这样就充分保证了消费者账户和订购信息的安全性。

(2)保证商户与客户之间交易行为的不可抵赖性

SET协议的重点是保证商家和客户的身份认证以及交易行为的不可否认性。其理论基础是不可否认机制，核心技术包括X.509电子证书标准、数字签名、消息摘要、双重签名等。

(3)保证商家和客户的合法性

SET协议使用数字证书来验证交易各方的合法性。通过数字证书的验证，可以保证交易中的商家和客户是合法可靠的。

集合交易流程

SET的交易过程中，需要对商家、客户、支付网关等交易方进行认证，因此其交易过程相对复杂。

(1)顾客在网店看完商品后，与商家协商，然后发出购买信息的请求。

(2)商家要求客户用电子钱包支付。

(3)电子钱包提示客户输入密码，然后与商家交换握手信息，确认商家和客户都合法。

(4)客户的电子钱包形成包含订购信息和支付指令的消息，并将其发送给商家。

(5)商家向支付网关发送包含客户支付指令的信息。

(6)支付网关确认客户信用卡信息后，向商户发送授权响应消息。

(7)商家向客户的电子钱包发送确认消息。

(8)将款项从客户账户转入商户账户，然后将商品交付给客户，交易结束。

从上面的交易流程可以看出，S ET的交易流程非常复杂。在完成一个SET协议交易的过程中，需要验证电子证书9次，验证数字签名6次，传输证书7次，签名5次，对称和非对称加密4次。通常，完成一个SET协议事务大约需要1.5-2分钟甚至更长时间。由于各地的网络设施不同，完成SET协议的交易过程可能需要更长的时间。

SET的安全性分析

公钥加密和私钥加密的结合用于确保数据的机密性

SET协议中，支付环境的信息保密性是通过公钥加密和私钥加密相结合的方式对支付信息进行加密得到的。公钥加密算法是RSA的公钥密码体制，私钥加密算法是DES数据加密标准。这两种不同加密技术的结合在SET中被生动地用作数字信封。RSA加密相当于用信封封口。报文首先用56位DES密钥加密，然后装入用1024位RSA公钥加密的数字信封，在交易双方之间传输。这两个密钥的结合确保了交易中数据信息的机密性。

采用信息汇总技术，确保信息的完整性

SET协议通过数字签名方案保证消息的完整性并认证消息来源，该方案采用与消息加密相同的加密原理。即数字签名与RSA加密算法相结合生成信息摘要，信息摘要是报文经过HASH函数处理后唯一对应报文的值。消息中一个数据位的每一次变化都会导致信息摘要中大约一半的数据位发生变化。然而，两个不同的消息具有相同信息摘要的可能性极小，因此HASH函数的单向特性使得从信息摘要计算信息摘要是不可行的。信息摘要的这些特点保证了信息的完整性。

采用双签名技术，确保交易双方的身份认证

SET协议采用双签名技术。在安全的电子商务交易中，持卡人的订购信息和支付指令相互对应。商户只有确认持卡人支付指令对应的订单信息后，才能根据订单信息发货；但银行只有确认持卡人的支付指令对应的订单信息真实可靠，才能按照商户的要求进行支付。为了达到商家可以合法验证持卡人的支付指令，银行可以合法验证持卡人的订购信息而不侵犯客户隐私的目的，SET协议采用双签名技术保证客户隐私不受侵犯。

SET的改进

SET协议提供了一种B2C平台上的信用卡在线支付方式。但由于其实施非常复杂，商家和银行都需要进行制度改革，实现相互操作。所以SET的普遍应用还需要一段时间。无论是使用SSL协议还是SET协议进行网上支付，总是不尽人意。然而，由于其在安全性和保密性方面的优势，SET应该成为未来电子商务中实现在线支付的主流方式。针对其主要问题——商品质量和剩余数据处理方法，作者提出了改进方案:引入商品质量检验机制，保证商品质量；建立“交易信息存档中心”，解决交易后剩余数据的归属问题，从而保证用户利益。

引入商品质量检验机制确保商品质量

引入这种机制的具体方式是商家直接将商品送到消费者所在的官方商品质量检验机构，这些专业的质量检验机构会检测商品的质量问题，然后在检验完成后通知消费者前来领取商品。如果消费者需要这项服务，必须与商家协商，共同承担质检费用；如果不需要，就按照一般SET流程交易。因此，我们引入商品质量检验机制来检验商品质量，解决了SET协议中“商品质量问题应该由谁来承担”的问题。这样既能保证用户的利益，又能保证商家的利益不受损害。

商品质量检验机制引入后的SET交易流程

商品质检机制引入后，基于SET的交易流程比原来更加复杂，需要修改SET报文，将质检信息作为附件添加到SET新闻报道中。因此，为了在SET信息消息中添加附件位，可以考虑两种情况，其中0表示没有附件，1表示有附件。附加附件信息包括交易双方的相关信息(如对双方进行编号)、商品名称、商品保质期、商品生命周期等。

(1)用户查询商品信息并确定要订购的商品。

(2)用户和商家讨论商品质量检验费用如何分摊。

(3)以电子数据的形式将采购订单和支付信息发送给商家。

(4)商家验证并请求用户拥有的支付卡的金融机构进行支付授权。

(5)金融机构验证数字签名和用户信息的合法性。合法的就发授权信息。

(6)商户验证授权信息后，向用户发送订单确认信息。同时查询用户所在区域的商品质检部门信息。商家将商品送到用户所在区域的商品质量检验部门。

(7)用户所在地的商品质量检验部门接收商家的商品。检查产品质量后，将附件位置从0更改为1，附上附件具体信息，将收据信息发送给商家，负责将商品分发给消费者；商家向用户拥有的支付卡的金融机构请求支付。

(8)用户收到满意的商品后，在付款单上签字，同意向商品质量检验部门付款，并将付款信息发送到其付款卡所在的发卡机构。发卡银行只有在收到商户的支付请求和用户同意支付的信息后才能支付。

结论

SET协议是由美国公司发起并共同开发的。所以SET协议支持信用卡支付，更符合欧美国家的用法。但在实践中，SET要求持卡人在客户端安装电子钱包，增加了客户的交易成本，且交易过程相对复杂，因此接受这种在线即时支付方式的客户较少。

在中国，信用卡支付还没有普及，所以SET协议在中国的使用相对较少。电子支付无论采用哪种支付协议，都要考虑三个方面:安全因素、成本因素和使用方便性。因为这三个方面在SET协议和SSL协议中的任何一个都不能完全体现出来，导致目前SSL协议和SET协议并存。但即使行业未来开发出结合这三大优势的电子支付协议，也未必能完全保证电子支付和网上银行的安全性。

因为网上银行的安全涉及到方方面面，不仅仅是一个完善的安全支付协议，还有一个安全的防火墙或者一个电子签名。因此，现在银行必须加强管理和宣传，帮助客户建立安全意识，指导用户如何正确使用网上银行，动员社会各种力量寻求多方联动策略，确保网上银行的安全。只有社会各界共同努力，才能保证电子支付的安全性；只有社会各界通力合作，才能保证网上银行的安全；只有社会各界共同努力，才能保证电子商务的安全和电子商务的快速有序发展。