安全电子事务协议的基本流程

开篇：润墨网以专业的文秘视角，为您筛选了一篇安全电子事务协议的基本流程范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：随着互联网的飞速发展，电子商务已经走入了人们的日常生活，然而安全成为电子商务发展的最大障碍。在众多的电子支付安全协议中，安全电子事务协议是最为著名的，本文介绍该协议的基本流程。本文通过对安全电子事务协议的基本流程进行介绍，分析如何应对安全威胁。

关键词：安全电子事务；电子支付；电子商务

中图分类号：TP309文献标识码：A文章编号：1009-3044(2007)17-31293-01

Basic Flow of Secure Electronic Transaction Protocol

FENG Fang-fang,SONG Li

(1.Faculty of Information Engineering,China University of Geosciences,Beijing 100032,China)

Abstract:With the rapid growth of the computer network,the Electronic Commerce has become a part of every day life. However the security is the largest trouble that blocks the development of the electronics commerce. This paper introduces the basic flow of SET protocol, which is the most famous standard among of a dozen security electronic payment protocols.

Key words:Secure Electronic Transaction;Electronic Payment;Electronic Commerce

1 绪言

随着互联网的飞速发展，电子商务呈现蓬勃发展势头。2007年7月26日“第三界中国电子支付高层论坛”在京召开，由中科院金融科技研究中心和《电子商务世界》杂志在论坛上联合的《2007中国消费者网上支付应用调查报告》显示61.7%的网上购物者首选网上支付。该调查还发现49.2％的人群认为安全是影响网上支付的因素，有30.3％认为便捷是影响网上支付的因素，可见安全问题确实是阻碍电子商务发展的最重要因素。

关于电子支付安全性的研究，从电子支付产生起就一直未停止过。目前世界上广泛使用的安全电子支付协议包括安全电子事务（SET，Secure Electronic Transaction）协议、iKP协议、NetBill协议等等。本文在介绍安全电子事务协议的目的、参与者、事务流程和支付流程的基础上，分析该协议的优缺点以及对我们的指导意义。

2 协议的目的

SET的前身是SEPP(Secure Electronic Payment Protocol)和STT(Secure Transaction Technology)两种协议。其中，SEPP 由 MasterCard, IBM和Netscape支持，STT由Visa和Microsoft支持。1996年初它们被统一为一个系统，即SET。SET通过公开/私有密钥、数字签名和认证证书可提供在线Internet信用卡业务处理的加密和认证，从而实现商务信息的保密性、完整性，持卡人帐号、商家和银行的多方认证，各方之间的交互作用等。

SET协议开发的目的是为了解决在互联网交易中的如下几个问题：

(1)通过加密实现信息保密；

(2)通过数字摘要保证数据的完整性；

(3)通过使用数字鉴名和持卡人证书，保证持卡人与支付卡颁发机构的合法性；

(4)通过使用数字鉴名和商户证书，保证商户与接收金融机构的关系；

(5)通过最好的安全机制保证参与者各方的合法利益。

3 参与者

SET协议的参与者包括持卡人和商户，以及颁发信用卡给持卡人的发卡机构和代表商户接收支付认求的接收银行，以及与交易密切相关的第三方――支付网关和认证中心。

(1)持卡人(Cardholder):电子交易中的持卡消费者，持卡人通过由发卡机构颁发的付款卡(如信用卡、借记卡)进行结算。

(2)发卡机构(Issuer):信用卡的发卡金融机构，它为客户建立帐号，发出信用 卡，它必须保证该信用卡组织的有关规定(包括安全、支付授权等)。

(3)商家(Merchant):提供商品者或服务者，接收卡支付的商家必须和接收银行有关系。

(4)接收银行(Acquirer):商家的开户银行，处理信用卡的授权和支付。

(5)支付网关(Payment Gateway);是一个由银行(或指定的第三方机构)操作的 设备，是金融网与Internet的接口，用来处理商家的支付信息。

(6)认证中心CA(Certification Authority):认证中心是一个或多个信用卡、商家和支付网关提供电子证书的生成和发放。认证中心一般由各方都信任的第三方担任。

4 事务流程

SET协议的基本事务流程，包括持卡人注册、商户注册、购买请求、支付确认和支付获取五个阶段。

4.1持卡人注册

这是持卡人的初始化操作，通过此操作持卡人将获得认证证书。持卡人首先将自己信用卡的详细信息发送给认证中心，并填写认证中心返回的注册表格。持卡人填写完表格后，还需要选择一对公钥私钥对，将其中的公钥连同表格一起发送给认证中心。认证中心验证提交的数据，并颁发包含持卡人公钥的认证证书。

4.2商户注册

商户同样也需要向认证中心申请认证证书。与持卡人不同的是，商户需要两个认证证书，其中一个用来加密数据，一个用来电子签名。

4.3购买请求

持卡人向商户发送订单信息和支付指令，商户可能在接收订单之前进行支付认证，也可能定时去进行批量支付认证。当然，在持卡人发送购买请求之前，已经与商户就物品或服务交易细节达成一致，但SET协议只关心支付，而不是那些交易细节。

4.4支付确认

商户收到持卡人的支付指令后，并不能直接向金融机构获取相应的金额。商户需要将支付指令转发给支付网关。支付网关与发卡机构有合作关系，在确认一些无误后，进行支付确认。

4.5支付获取

支付确认后，在协议之外，进行交易的资金从持卡人的账户转到商户的账户，整个事务流程完成。

5 支付流程

采用SET协议可以采用基本支付流程（如图1所示），也可以在基本支付流程的基础上根据自己业务的需要定制流程。

图1 基本支付流程

5.1初始请求与返回

在进行支付之前，首先持卡人要与商户就商品的价格、数量、型号等交易的详细细节达成一致，这个阶段就是支付初始请求和返回的目的所在。

5.2购买请求

当持卡人与商户就交易的详细细节达成一致以后，持卡人便发出购买请求到商户。在向商户发送的支付数据（包括信用卡号和PIN等）时，将以支付网关的公钥进行加密，因此商户是无法获取持卡人的支付数据的。

5.3认证请求与返回

商户进行处理后转发给支付网关，提交认证与支付。支付网关使用自己的密钥解密通过商户转发的支付数据，进行身份认证和支付操作，操作完成后将加密数据返回给商户。