[摘要] 安全問題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問題,而如何保障電子商務(wù)活動(dòng)的安全,將一直是電子商務(wù)的核心研究領(lǐng)域。SET是當(dāng)前Internet上比較常用的加密方法,本文在SET 協(xié)議的交易流程基礎(chǔ)上,分析了其安全機(jī)制采用的技術(shù)和特點(diǎn)。
[關(guān)鍵詞] 安全 電子商務(wù) 加密技術(shù) SET
一、引言
安全問題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問題,而如何保障電子商務(wù)活動(dòng)的安全,將一直是電子商務(wù)的核心研究領(lǐng)域。作為一個(gè)安全的電子商務(wù)系統(tǒng),首先必須具有一個(gè)安全、可靠的通信網(wǎng)絡(luò),以保證交易信息安全、迅速地傳遞;其次必須保證數(shù)據(jù)庫服務(wù)器絕對安全,防止黑客闖入網(wǎng)絡(luò)盜取信息。
電子商務(wù)(E-business)要求顧客可以在網(wǎng)上進(jìn)行各種商務(wù)活動(dòng),不必?fù)?dān)心自己的信用卡會(huì)被人盜用。在過去,用戶為了防止信用卡的號碼被竊取到,一般是通過電話訂貨,然后使用用戶的信用卡進(jìn)行付款。現(xiàn)在人們開始使用各種加密技術(shù),提高信用卡交易的安全性,從而使電子商務(wù)走向?qū)嵱贸蔀榭赡堋?/p>
二、SET協(xié)議
SET是當(dāng)前Internet上比較常用的加密方法,SET(Secure Electronic Transaction, 安全電子交易)協(xié)議是基于信用卡在線支付的電子商務(wù)系統(tǒng)的安全協(xié)議。
SET協(xié)議通過制定標(biāo)準(zhǔn)和采用各種技術(shù)手段, 解決了當(dāng)時(shí)困擾電子商務(wù)發(fā)展的安全問題。由于得到了很多大公司的支持, 它已形成了事實(shí)上的工業(yè)標(biāo)準(zhǔn),已獲IETF 標(biāo)準(zhǔn)認(rèn)可。
SET協(xié)議的購物系統(tǒng)由客戶、商家、支付網(wǎng)關(guān)、收單銀行和發(fā)卡銀行五個(gè)部分組成。當(dāng)持卡人在網(wǎng)上商店選擇了要購買的商品,填寫訂單并選擇付款方式為“在線支付”時(shí),SET協(xié)議開始介入工作,它的參與者之間的數(shù)據(jù)交換過程如圖所示。
持卡人發(fā)送給商家一個(gè)完整的定單及要求付款的指令。在SET協(xié)議中,訂單和付款指令由持卡人進(jìn)行數(shù)字簽名,同時(shí)利用雙重簽名技術(shù)保證商家看不到客戶的銀行賬號信息;商家接受訂單后,向?yàn)槌挚ㄈ碎_戶的金融機(jī)構(gòu)發(fā)出支付請求;通過支付網(wǎng)關(guān)將銀行賬號傳送到收單銀行,再到發(fā)卡銀行進(jìn)行確認(rèn);當(dāng)發(fā)卡銀行批準(zhǔn)交易后,返回確認(rèn)信息給商家;商家發(fā)送訂單確認(rèn)信息給持卡人;持卡人計(jì)算機(jī)上的軟件可記錄交易日志,以備將來查詢;商家給持卡人配送貨物,完成訂購服務(wù),一個(gè)購物過程至此結(jié)束。
SET協(xié)議是適合于B2C模式電子商務(wù)的、以信用卡為基礎(chǔ)的支付協(xié)議, SET使用多種安全技術(shù)來達(dá)到安全支付的要求,其中對稱密鑰技術(shù)、非對稱加密技術(shù)和Hash 算法是核心。
SET采用兩種加密算法進(jìn)行加密、解密處理,其中密鑰加密是基礎(chǔ);公鑰加密是應(yīng)用的核心。密鑰加密用同一個(gè)密鑰來加密和解密數(shù)據(jù),主要算法是DES;公開密鑰要求使用一對密鑰,一個(gè)公開發(fā)布,另一個(gè)由收信人保存。發(fā)信人用公開密鑰加密數(shù)據(jù),收信人則用私鑰去解密,主要算法是RSA。
金融交易要求發(fā)送報(bào)文數(shù)據(jù)的同時(shí)發(fā)送簽名數(shù)據(jù)作為認(rèn)證。這種數(shù)字簽名是一組加密的數(shù)字。SET要求用戶在進(jìn)行交易前首先進(jìn)行數(shù)字簽名,然后進(jìn)行數(shù)據(jù)發(fā)送。
網(wǎng)上交易過程中必須確認(rèn)用戶、商家及所進(jìn)行的交易本身是否合法可靠。SET體系中還有一個(gè)關(guān)鍵的機(jī)構(gòu)——認(rèn)證中心(CA),它根據(jù)X.509 標(biāo)準(zhǔn)發(fā)布和管理數(shù)字證書。SET協(xié)議規(guī)定CA發(fā)給每個(gè)持卡人一個(gè)數(shù)字證書,持卡人選中一個(gè)口令,用它對數(shù)字證書和私鑰、信用卡號以及其他信息加密存儲。這些與一個(gè)支持SET 協(xié)議的軟件一起組成了一個(gè)SET電子錢包。
金融交易所使用的密鑰必須經(jīng)常更換,SET使用數(shù)字信封來傳遞更換密鑰。其方法是由發(fā)送數(shù)據(jù)者自動(dòng)生成專用密鑰,用它加密原文,將生成的密文連同密鑰本身一起再用公開密鑰加密,然后傳送出去。收信人在解密后同時(shí)得到專用密鑰和用其加密后的密文。
SET協(xié)議可以很好地滿足電子商務(wù)中對信息的安全提出的四項(xiàng)原則:數(shù)據(jù)的機(jī)密性、完整性、個(gè)體識別性、不可抵賴性。
SET協(xié)議是針對在線支付而設(shè)計(jì)的支付協(xié)議,而采用“貨到付款方式”、“郵局匯款”等非在線支付方式則與SET協(xié)議無關(guān)。
三、結(jié)語
在電子商務(wù)交易過程中,由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性等優(yōu)點(diǎn),因此成為了目前公認(rèn)的信用卡或借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。
隨著電子商務(wù)規(guī)模的擴(kuò)大,網(wǎng)絡(luò)欺詐的風(fēng)險(xiǎn)性也在提高,在未來的電子商務(wù)中SET協(xié)議將會(huì)應(yīng)用的更加廣泛。
參考文獻(xiàn):
[1]陳兵:網(wǎng)絡(luò)安全與電子商務(wù).北京大學(xué)出版社,2002,1
[2]書緣工作室:電子商務(wù)安全.人民郵電出版社 2001,11
[3]邵兵家劉炯艷馬果:電子商務(wù)概論.高等教育出版社2003,8
[4]林楓:電子商務(wù)安全技術(shù)及應(yīng)用.北京航空航天大學(xué)出版社