2.安全电子交易协议(SET)

　　安全电子交易协议(Secure Electronic Transaction，简称SET)是美国Visa和MasterCard两大信用卡组织联合于1997年5月31日推出的电子交易行业规范，其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。SET本身并不是一个支付系统，而是一个安全协议集，SET规范保证了用户可以安全地在诸如Internet这样的开放网络上应用现有的信用卡支付设施来完成交易。SET较好地解决了信用卡在电子商务交易中的安全问题。SET已获得IETF(The Internet Engineering Task Force，简称IETF)标准的认可。

　　3.三方域安全协议（3-D secure）

　　三方域安全协议（Three-Domain Secure，简称3-D secure）是Visa等继SET协议之后，推出的新一代的安全交易技术。与SET协议一样，它也是PKI(Public Key Infrastructure)框架下基于可信第三方的开放规范，设计目标同样是为在Internet上传输的信用卡支付信息提供安全保护机制。3D- Secure协议主要采用SSL 加密技术和商家服务器插件MPI( Merchant Server Plug- in) 技术来实现。在线交易中，它既能够查询并鉴别持卡人的身份，又能够保护支付卡信息在网络中传递的安全性。3D- Secure协议的这些功能是通过一个能够在支付交易过程中明确各方责任的模型――三方域模型( Three Domain Model) 。三方域模型的主要组成包括：发卡域、收单域和互操作域。

　　三、SSL与SET协议比较分析

　　SSL和SET是当前在电子商务中应用最为广泛的安全协议，两者的差别主要体现在以下几个方面。

　　1.工作层次

　　SSL协议工作于应用层和传输层之间，高层的应用层协议(例如：HTTP，FTP，TELNET等)能透明地建立于SSL协议之上。而SET工作于应用层。

　　2.认证机制

　　早期的SSL协议并没有提供身份认证机制，虽然在SSL3. 0中可以通过数字签名和数字证书实现浏览器和WEB服务器之间的身份认证，但仍不能实现多方认证。SET协议要求所有参与交易活动的各方都必须使用数字证书，较好的解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。

　　3.安全程度

　　SET协议由于采用了非对称加密、消息摘要和数字签名可以确保信息的机密性、认证性、完整性和不可否认性，特别是SET协议采用了双重签名技术来保证各参与方信息的相互隔离，使商家只能看到持卡人的'订单信息，而银行只能取得持卡人的信用卡信息。SSL协议虽也采用了公钥加密和信息摘要等技术，也可以提供机密性、完整性和一定程度的身份验证功能，但缺乏一套完整的认证体系，不能提供电子商务交易活动中非常重要的不可否认性证明。

　　4.运行效率

　　SET协议非常复杂、庞大、运行速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密，整个交易过程非常耗时；而SSL协议则简单很多，运行效率也比SET协议高。

　　5.部署成本

　　SSL协议已被大部分的浏览器和WEB服务器内置，无须安装专门软件；而SET协议中客户端要安装专门的电子钱包软件，在商家服务器和银行网络上也需安装相应的软件，部署成本高。

　　SSL协议与SET协议比较汇总如表1所示。

　　四、SET与3-D Secure协议比较分析

　　为了提高交易效率，降低部署成本，3-D Secure协议对SET协议进行了简化，两者的差别主要体现在以下几个方面。

　　1.机密性

　　SET协议和3-D Secure协议都使用对称和非对称两种加密技术来保证数据的机密性。但是SET协议采用双重签名技术来保证消费者机密信息对商家进行保密，而在3-D Secure协议中消费者的信息对商家来说是可见的。

　　2.不可否认性

　　SET协议使用数字签名来保证交易行为的不可否认性。3-D Secure协议规定发卡机构在通过持卡者向商家服务器发送信息之前，先要对其进行数字签名，以提供不可否认的证据。和SET相比，3-D Secure协议没有大量使用数字签名，但仍然可以提供不可否认性证明。

　　3.身份认证

　　SET协议使用证书和数字签名对消息来源进行身份认证。每个参与者都使用两个非对称密钥对，需要拥有两个由证书颁发机构同时产生和签署的证书。3-D Secure协议主要使用证书和口令对消息来源进行身份认证。不要求持卡者配备证书，但要求其他参与方都要有证书。