SET是开放的、设计用来保护互联网上基于信用卡交易的加密和安全规约。最初是在1906年由Master Card和Visa两大银行公司提出来的,协议在开发时有包括IBM、Microsoft、Netscape、RSA、Terisa,Verisign的多个公司参与。
SET是一个安全协议和格式的集合,使得用户可用一种免遭欺诈的安全方式,把已存在的信用卡支付基础设施配置在开放网络上。通常,SET是嵌入到应用系统中,与应用系统共同提供。从本质上讲,SET提供了3种服务:①在交易参与的各方间给出一条安全的通信信道。②通过用X.509v3数字证书来给出信任。③确保机密性,由于信息只在必要的时间和地方才对交易各方有用。
国际上已有很多的银行建立了支付网关,接受SET方式的支付:在国内,中国银行已用SET方式,建立了认证中心和支付网关,现在北京和上海,用户都可用长城电子借记卡进行人民币支付,同时,中国银行还用香港中银信用卡有限公司的支付网关接受外币业务。
1.SET的关键特征
SET是为实现在公开网络上用信用卡安全支付处理的商业需求而提出的,如提供支付和订购信息的机密性,确保全部传输数据完整,对卡的拥有者是否是信用卡账户的合法用户提供鉴别,借与金融机构的关系对商人是否可接受信用卡交易提供鉴别等。为达到上述要求,SET有下面一些关键特征:
1)信息的机密性:机密性在网络传送时为卡用户的账号和支付信息提供了一个安全通道。SET的一个重要特征是避免商人得到卡用户的信用卡号码,这个信息只提供给发布银行;同时,防止银行了解用户的消费信息,这个信息只对商家可见。
2)数据的完整性:卡用户向商家提供的支付信息包括订购信息、个人数据和支付指示。SET保护这些信息的内容在传输时不被修改,即用基于SHA-1的RSA数字签名来保证信息的完整性。
3)卡用户账号的鉴别:SET使商家能核验卡用户是有效卡账号的合法用户。SET用X.509v3数字证书和RSA签名来实现此目的。
4)商家的鉴别:SET使卡用户能验证商家与金融机构有某种关系允许它接受支付信用卡。它用卡用户账号鉴别同样的方法来实现此目的。
2.SET的主要目标
SET是通过可靠第三方认证中心的方案,如下是它要达到的主要目标:
1)保障付款安全:保证付款资料隐密及完整,给出持卡人、特约商店、收单银行的认证,并确定安全服务的算法和相关协定。
2)确定应用的互通性:给个开放的标准,确定定义细节,来保证各厂商开发的程序能一起运作,使得软件互通,并在已有各标准下建立该协定,允许在所有软硬件平台上执行,使标准实现兼容性。
3)达到全球市场的接受性:在易用与给特约商店、持卡人最小改变的基础上,达到全球普遍性。准许在现在使用人的应用软件下,嵌入执行付款协定,使收单银行和特约商店、持卡人和发卡银行间的联系,及信用卡组织的基础架构有最少改变。