安全电子交易协议（Secure Electronic Transaction Protocol）

安全电子交易SET是一种安全协议，旨在确保使用信用卡进行的电子交易的安全性和完整性。 与支付系统不同，SET是一种被应用于各种支付场景中的安全协议。 它采用了多种加密和哈希技术，以确保通过信用卡在互联网上进行的支付过程能够得到安全保护。 SET协议在开发过程中得到了Visa、Mastercard和Microsoft等知名企业的支持，这些企业为SET协议提供了安全交易技术。同时，Netscape也提供了安全套接层技术，为SET协议的实现提供了必要的技术支撑。
SET协议限制了商家获取信用卡信息的机会，从而有效防止了黑客和窃贼的攻击。SET协议还包含了认证机构，这些机构可以使用标准的数字证书，比如X.509证书。

在进一步讨论SET之前，我们先来看看电子交易的一般流程。这一流程包括客户端、支付网关、客户的金融机构、商家以及商家的金融机构等各方参与者。

SET中的要求：SET协议有一些需要满足的要求，其中一些重要的要求包括：

• 它必须实现相互认证机制，即客户（或持卡人）需要确认自己是否为预期的用户，同时商家也需要进行身份验证。
• 必须通过对支付信息和订单信息进行适当的加密处理，来确保这些信息的保密性。
• 它必须能够抵抗消息的修改，也就是说，被传输的内容不应被任何方式更改。
• SET还需要实现互操作性，并采用最先进的安全机制来保障系统的安全性。

SET的参与者：在在线交易的一般场景中，SET包含类似的参与者：

1. 持卡人客户
2. 发行方客户所属金融机构
3. 商人/店主
4. 收款人/接收方商業金融
5. 证书颁发机构——这种机构遵循一定的标准，并向所有其他参与者颁发证书（例如X.509 V3标准所定义的证书）。

SET功能：

• 提供身份验证服务
  • 商家身份验证为了防止盗窃行为，SET允许客户查看商家与金融机构之间的过往合作关系。这种验证过程使用的是标准的X.509V3证书。
  • 客户/持卡人身份验证SET系统会检查，使用信用卡的行为是否由经过授权的用户执行，这一过程是借助X.509V3证书来完成的。
• 确保信息的保密性保密性指的是防止未经授权的人员阅读所传输的信息。SET通过采用加密技术来实现保密性。传统上，DES被用作加密手段。
• 提供消息的完整性保障SET不允许通过签名来修改消息。这些消息都采用了RSA数字签名进行保护，这些签名使用的是SHA-1算法；还有一些消息则使用了HMAC算法，同样也是基于SHA-1算法的。

双签名：“双签名”这一概念是在 SET 协议中引入的，它的目的是将原本分别针对两个不同接收者而设计的信息片段进行连接。

商家的订单信息
银行支付信息/付款信息

你可能会认为，将它们分开发送是一种简单且更安全的做法。但实际上，将它们以连接的形式一起发送则能够避免将来可能出现的任何纠纷。这就是如何实现双重签名的方法：

在哪儿呢？
PI指的是支付信息。
OI指的是订单信息。
PIMD指的是支付信息摘要。
OIMD指的是订单信息摘要。
POMD代表“支付订单消息摘要”。
H代表哈希处理/加密。
E表示公钥加密方式。
KPc就是客户的私钥。
|| 表示“追加操作”。
双签名，DS = E(KPc, [H(H(PI) || H(OI))])

采购请求生成：生成购买请求的过程需要三个输入参数：

• 支付信息/付款详情
• 双重签名
• 订单信息摘要（Order Information Message Digest，简称OIMD）

该购买请求的生成过程如下：

在这里，
PI、OIMD和OI的含义与之前相同。
新的事物包括：
对称密钥加密的EP
Ks 是一种临时对称密钥。
KUbank是银行的公钥。
CA指的是持卡人或客户的证书。
数字信封 = E(KUbank, Ks)

在商家端进行采购请求验证：商家可以通过比较通过PIMD哈希算法生成的POMD结果，以及通过双签名解密方式生成的POMD结果来验证其真实性。

由于我们在加密过程中使用了客户的私钥，因此我们使用KUC作为公钥来进行解密操作。KUC就是客户或持卡人的公钥。

支付授权与支付处理：正如其名称所示，支付授权指的是商家对支付信息的确认过程。这一过程确保了商家的付款请求能够成功得到处理。而支付接收则是指商家收到付款的过程，这一过程中，商家会向支付网关发送相应的请求，而支付网关则会将款项支付给商家。

安全电子交易存在的缺点：当SET于1996年由SET联盟（包括Visa、Mastercard、Microsoft、Verisign等公司）首次推出时，它在接下来的几年内被广泛采用。行业专家们也预计，SET会很快成为全球互联网商业领域中的核心推动力量。然而，由于该协议存在一些严重的缺陷，这一预期并未实现。

SET的安全特性优于SSL和较新的TLS协议。尤其是在防止基于网络的商业欺诈方面，SET的表现更为出色。 不过，SET最大的缺点就是其复杂性。 SET要求这两类客户和交易者能够使用特殊的编程技术——也就是卡片阅读器和高级钱包。这意味着，交易所的成员需要完成更多的任务才能使用SET功能。 这种复杂性同样降低了在线商业交流的速度。 SSL和TLS则不存在这样的问题。

上述情况与PKI的关联，以及相关的安装和注册流程，都进一步减缓了SET的普及速度。SET各个组件之间的互操作性问题——比如，不同认证策略下的声明解释和翻译问题——同样也是SET面临的一个重要问题。此外，由于PKI的局限性，这种互操作性也受到了严重挑战。