ＳＥＴ加密技術(shù)在電子商務(wù)中的應(yīng)用

[摘要] 安全問題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問題，而如何保障電子商務(wù)活動(dòng)的安全，將一直是電子商務(wù)的核心研究領(lǐng)域。SET是當(dāng)前Internet上比較常用的加密方法，本文在SET 協(xié)議的交易流程基礎(chǔ)上，分析了其安全機(jī)制采用的技術(shù)和特點(diǎn)。

[關(guān)鍵詞] 安全 電子商務(wù) 加密技術(shù) SET

一、引言

安全問題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問題，而如何保障電子商務(wù)活動(dòng)的安全，將一直是電子商務(wù)的核心研究領(lǐng)域。作為一個(gè)安全的電子商務(wù)系統(tǒng)，首先必須具有一個(gè)安全、可靠的通信網(wǎng)絡(luò)，以保證交易信息安全、迅速地傳遞；其次必須保證數(shù)據(jù)庫服務(wù)器絕對安全，防止黑客闖入網(wǎng)絡(luò)盜取信息。

電子商務(wù)（E-business）要求顧客可以在網(wǎng)上進(jìn)行各種商務(wù)活動(dòng)，不必?fù)?dān)心自己的信用卡會(huì)被人盜用。在過去，用戶為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然后使用用戶的信用卡進(jìn)行付款。現(xiàn)在人們開始使用各種加密技術(shù)，提高信用卡交易的安全性，從而使電子商務(wù)走向?qū)嵱贸蔀榭赡堋?/p>

二、SET協(xié)議

SET是當(dāng)前Internet上比較常用的加密方法，SET(Secure Electronic Transaction， 安全電子交易)協(xié)議是基于信用卡在線支付的電子商務(wù)系統(tǒng)的安全協(xié)議。

SET協(xié)議通過制定標(biāo)準(zhǔn)和采用各種技術(shù)手段， 解決了當(dāng)時(shí)困擾電子商務(wù)發(fā)展的安全問題。由于得到了很多大公司的支持， 它已形成了事實(shí)上的工業(yè)標(biāo)準(zhǔn)，已獲IETF 標(biāo)準(zhǔn)認(rèn)可。

SET協(xié)議的購物系統(tǒng)由客戶、商家、支付網(wǎng)關(guān)、收單銀行和發(fā)卡銀行五個(gè)部分組成。當(dāng)持卡人在網(wǎng)上商店選擇了要購買的商品，填寫訂單并選擇付款方式為“在線支付”時(shí)，SET協(xié)議開始介入工作，它的參與者之間的數(shù)據(jù)交換過程如圖所示。

持卡人發(fā)送給商家一個(gè)完整的定單及要求付款的指令。在SET協(xié)議中，訂單和付款指令由持卡人進(jìn)行數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到客戶的銀行賬號信息；商家接受訂單后，向?yàn)槌挚ㄈ碎_戶的金融機(jī)構(gòu)發(fā)出支付請求；通過支付網(wǎng)關(guān)將銀行賬號傳送到收單銀行，再到發(fā)卡銀行進(jìn)行確認(rèn)；當(dāng)發(fā)卡銀行批準(zhǔn)交易后，返回確認(rèn)信息給商家；商家發(fā)送訂單確認(rèn)信息給持卡人；持卡人計(jì)算機(jī)上的軟件可記錄交易日志，以備將來查詢；商家給持卡人配送貨物，完成訂購服務(wù)，一個(gè)購物過程至此結(jié)束。

SET協(xié)議是適合于B2C模式電子商務(wù)的、以信用卡為基礎(chǔ)的支付協(xié)議， SET使用多種安全技術(shù)來達(dá)到安全支付的要求，其中對稱密鑰技術(shù)、非對稱加密技術(shù)和Hash 算法是核心。

SET采用兩種加密算法進(jìn)行加密、解密處理，其中密鑰加密是基礎(chǔ)；公鑰加密是應(yīng)用的核心。密鑰加密用同一個(gè)密鑰來加密和解密數(shù)據(jù)，主要算法是DES；公開密鑰要求使用一對密鑰，一個(gè)公開發(fā)布，另一個(gè)由收信人保存。發(fā)信人用公開密鑰加密數(shù)據(jù)，收信人則用私鑰去解密，主要算法是RSA。

金融交易要求發(fā)送報(bào)文數(shù)據(jù)的同時(shí)發(fā)送簽名數(shù)據(jù)作為認(rèn)證。這種數(shù)字簽名是一組加密的數(shù)字。SET要求用戶在進(jìn)行交易前首先進(jìn)行數(shù)字簽名，然后進(jìn)行數(shù)據(jù)發(fā)送。

網(wǎng)上交易過程中必須確認(rèn)用戶、商家及所進(jìn)行的交易本身是否合法可靠。SET體系中還有一個(gè)關(guān)鍵的機(jī)構(gòu)——認(rèn)證中心(CA)，它根據(jù)X.509 標(biāo)準(zhǔn)發(fā)布和管理數(shù)字證書。SET協(xié)議規(guī)定CA發(fā)給每個(gè)持卡人一個(gè)數(shù)字證書，持卡人選中一個(gè)口令，用它對數(shù)字證書和私鑰、信用卡號以及其他信息加密存儲。這些與一個(gè)支持SET 協(xié)議的軟件一起組成了一個(gè)SET電子錢包。

金融交易所使用的密鑰必須經(jīng)常更換，SET使用數(shù)字信封來傳遞更換密鑰。其方法是由發(fā)送數(shù)據(jù)者自動(dòng)生成專用密鑰，用它加密原文，將生成的密文連同密鑰本身一起再用公開密鑰加密，然后傳送出去。收信人在解密后同時(shí)得到專用密鑰和用其加密后的密文。

SET協(xié)議可以很好地滿足電子商務(wù)中對信息的安全提出的四項(xiàng)原則：數(shù)據(jù)的機(jī)密性、完整性、個(gè)體識別性、不可抵賴性。

SET協(xié)議是針對在線支付而設(shè)計(jì)的支付協(xié)議，而采用“貨到付款方式”、“郵局匯款”等非在線支付方式則與SET協(xié)議無關(guān)。

三、結(jié)語

在電子商務(wù)交易過程中，由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性等優(yōu)點(diǎn)，因此成為了目前公認(rèn)的信用卡或借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。

隨著電子商務(wù)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)欺詐的風(fēng)險(xiǎn)性也在提高，在未來的電子商務(wù)中SET協(xié)議將會(huì)應(yīng)用的更加廣泛。

參考文獻(xiàn)：

[1]陳兵:網(wǎng)絡(luò)安全與電子商務(wù).北京大學(xué)出版社，2002，1

[2]書緣工作室:電子商務(wù)安全.人民郵電出版社 2001，11

[3]邵兵家劉炯艷馬果:電子商務(wù)概論.高等教育出版社2003，8

[4]林楓:電子商務(wù)安全技術(shù)及應(yīng)用.北京航空航天大學(xué)出版社