学习《计算机网络安全》
安全电子交易SET
SET协议简介
电子商务在提供机遇和便利的同时,也面临着一个最大的挑战,即交易的安全问题。在网上购物环境中,持卡人希望在交易中保密自己的账户信息,使之不被人盗用;商家则希望客户的订单不可抵赖,并且,在交易过程中,交易各方都希望验明其他方的身份,以防止被欺骗。针对这种情况,由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构,于1997年5月共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准,这就是“安全电子交易”(Secure Electronic Transaction,简称SET)。它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。
由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点。因此,至2012年,它成为了公认的信用卡/借记卡的网上交易的国际安全标准。SET要达到的最主要目标如下。
(1)信息在公共因特网上安全传输,保证网上传输的数据不被黑客窃取。
(2)订单信息和个人账号信息隔离。在将包括持卡人账号信息在内的订单送到商家时,商家只能看到订货信息,而看不到持卡人的账户信息。
(3)持卡人和商家相互认证,以确保交易各方的真实身份。通常,第三方机构负责为在线交易的各方提供信用担保。
SET交易的安全性如下。
(1)信息的机密性:SET系统中,敏感信息(如持卡人的账户和支付信息)是加密传送的,不会被未经许可的一方访问。
(2)数据的完整性:通过数字签名,保证在传送者向接收者传送消息期间,消息的内容不会被修改。
(3)身份的验证:通过使用证书和数字签名,可为交易各方提供认证对方身份的依据,即保证信息的真实性。
(4)交易的不可否认性:通过使用数字签名,可以防止交易中的一方抵赖已发生的交易。
(5)互操作性:通过使用特定的协议和消息格式,SET系统可提供在不同的软硬件平台上操作的同等能力。