安全电子交易协议是什么？它如何保障网上支付安全？

安全电子交易协议（Secure Electronic Transaction，简称SET）是由Visa和Mastercard两大信用卡组织联合推出，并得到多家科技公司（如IBM、Microsoft、Netscape等）支持的一套保障互联网上信用卡交易安全的规范，该协议主要应用于在线购物等电子商务场景，旨在通过加密技术、数字证书和双重签名等机制，确保交易信息的机密性、完整性和身份认证，有效防范信用卡信息泄露、伪造交易等风险。

SET协议的核心目标

SET协议的设计围绕三大核心目标展开：

1. 保障交易机密性：通过加密技术保护持卡人、商家、银行等参与方的敏感信息（如信用卡号、密码），确保只有合法接收方能解密数据。
2. 确保数据完整性：通过哈希算法和数字签名，防止交易信息在传输过程中被篡改，确保订单金额、商品信息等关键数据准确无误。
3. 实现身份认证：通过数字证书验证交易各方（持卡人、商家、支付网关）的真实身份，防止冒充交易或欺诈行为。

SET协议的关键技术组成

SET协议的实现依赖多种加密技术和安全机制,主要包括以下部分：

双重签名（Dual Signature）

双重签名是SET协议的创新点,用于分离持卡人的支付信息和订单信息，持卡人生成两个哈希值（支付信息哈希、订单信息哈希），再对两者的组合进行签名，从而允许商家和银行分别验证各自所需的信息，而无法获取另一方的敏感数据，商家只能确认订单信息，无法获取持卡人的信用卡号。

数字证书（Digital Certificate）

SET协议要求所有参与方（持卡人、商家、银行、支付网关）都必须由权威的证书颁发机构（CA）颁发数字证书，证书包含公钥和身份信息，用于验证各方身份的真实性，防止中间人攻击。

加密技术

• 对称加密：如DES算法，用于加密交易中的敏感数据（如信用卡号），确保信息机密性。
• 非对称加密：如RSA算法，用于加密对称密钥、生成数字签名，以及验证签名的有效性。

支付流程与消息结构

SET协议定义了完整的交易流程,包括持卡人注册、订单提交、支付请求、授权确认等步骤，并规范了各环节的消息格式（如请求、响应、确认等），确保交易各方能够高效、安全地交互。

SET协议的参与方与交易流程

SET协议涉及多个参与方,各方通过严格的流程协同完成交易：

典型交易流程：

1. 注册阶段：持卡人向发卡行申请数字证书，商家和支付网关向CA申请证书。
2. 订单提交：持卡人在商家网站选择商品，生成包含订单信息的“订单消息”和包含支付信息的“支付指令”，并用双重签名签名。
3. 支付请求：商家验证订单消息后，将支付指令转发至支付网关。
4. 支付授权：支付网关解密支付信息，向发卡行请求交易授权，发卡行验证后返回结果。
5. 交易确认：商家收到授权后，向持卡人确认订单，银行完成资金清算。

SET协议的优势与局限性

优势

1. 安全性高：通过多重加密和数字证书，有效防范信息泄露、篡改和冒充风险。
2. 分工明确：各方职责清晰，银行专注于资金处理，商家专注于商品服务，持卡人无需暴露信用卡信息给商家。
3. 兼容性强：支持多种支付方式和信用卡品牌，适用于复杂的电子商务环境。

局限性

1. 复杂度高：协议流程繁琐，需要各方部署复杂的证书系统和加密软件，实现成本较高。
2. 性能瓶颈：多重加密和签名验证增加了交易处理时间，可能影响用户体验。
3. 推广难度大：随着SSL/TLS协议的普及和第三方支付工具（如支付宝、PayPal）的兴起，SET协议因复杂性和成本问题逐渐被边缘化。

SET协议的现状与启示

尽管SET协议因技术复杂性和市场环境变化已逐渐退出主流应用,但其设计理念（如数据分离、身份认证、加密传输）对现代电子商务安全仍有重要参考价值，当前，基于SSL/TLS的HTTPS协议结合第三方支付担保机制（如PCI DSS数据安全标准）已成为行业主流，既简化了流程，又保障了交易安全，SET协议的实践表明，电子交易安全需要在“安全性”与“易用性”之间寻找平衡，同时需随着技术发展不断迭代优化。