關(guān)于SET協(xié)議流程與算法模型的教學(xué)探討

姜正濤 王彤

摘 要：SET協(xié)議是電子商務(wù)安全交易的重要協(xié)議，結(jié)合信息安全課程建設(shè)的實(shí)踐，設(shè)計(jì)了SET協(xié)議教學(xué)內(nèi)容的教學(xué)目標(biāo)，從學(xué)生易于理解的協(xié)議流程講解入手，過(guò)渡到SET協(xié)議流程所隱含的安全邏輯，使學(xué)生從中深刻體會(huì)安全協(xié)議的設(shè)計(jì)目標(biāo)、原則、方法以及具體密碼技術(shù)的使用，有利于學(xué)生對(duì)SET協(xié)議整體方案與具體算法功能的理解。

關(guān)鍵詞：電子支付；SET協(xié)議；協(xié)議流程；雙重簽名

隨著互聯(lián)網(wǎng)的普及，基于互聯(lián)網(wǎng)的電子商務(wù)得到了長(zhǎng)足的發(fā)展，電子商務(wù)是一種新的商務(wù)模式，促進(jìn)了商業(yè)流通的發(fā)展。同時(shí)安全威脅是電子商務(wù)的達(dá)摩克利斯之劍，是電子商務(wù)應(yīng)用的主要障礙，是電子商務(wù)發(fā)展不得不面對(duì)的棘手問(wèn)題。

SET（Secure Electronic Transaction，安全電子交易）是由Visa和MasterCard兩大信用卡組織聯(lián)合開(kāi)發(fā)的電子商務(wù)安全協(xié)議。用來(lái)保證公共網(wǎng)絡(luò)上銀行卡支付交易的安全性，成為Internet上進(jìn)行在線交易的電子付款系統(tǒng)規(guī)范協(xié)議。SET是一個(gè)通過(guò)使用X.509v3證書(shū)，為交易各方提供安全信道協(xié)議集，本身不是一個(gè)支付系統(tǒng)。它采用公鑰密碼體制和X.509數(shù)字證書(shū)標(biāo)準(zhǔn)，主要應(yīng)用于B to C模式中保障支付信息的安全性。SET協(xié)議本身比較復(fù)雜，設(shè)計(jì)比較嚴(yán)格，安全性高，它能保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。SET協(xié)議是PKI框架下的一個(gè)典型實(shí)現(xiàn)，也是一個(gè)基于可信的第三方認(rèn)證中心的典型方案

SET協(xié)議是電子商務(wù)安全交易的重要協(xié)議，應(yīng)予以重點(diǎn)講解。該內(nèi)容是在學(xué)生基本掌握《信息安全技術(shù)》《密碼學(xué)》（尤其是學(xué)習(xí)了對(duì)稱(chēng)密碼學(xué)、公鑰密碼學(xué)等內(nèi)容）的后繼學(xué)習(xí)內(nèi)容。本部分內(nèi)容學(xué)習(xí)的主要目標(biāo)：（1）初步了解電子商務(wù)安全協(xié)議及安全系統(tǒng)的基本背景知識(shí)，主要包括信息安全基礎(chǔ)設(shè)施、電子商務(wù)安全管理、電子商務(wù)業(yè)務(wù)流程以及安全交易系統(tǒng)部分內(nèi)容。（2）理解將電子商務(wù)安全邏輯付諸密碼技術(shù)實(shí)現(xiàn)的核心思想與方法，包括電子商務(wù)安全體系框架、主體間的安全關(guān)系、信息流的保護(hù)、密碼技術(shù)的使用及實(shí)現(xiàn)的功能。（3）具有初步的電子商務(wù)安全技術(shù)實(shí)現(xiàn)、安全分析能力。

一、SET協(xié)議的原理

本部分內(nèi)容的學(xué)習(xí)目標(biāo)：（1）通過(guò)電子商務(wù)安全的背景介紹，理解電子商務(wù)安全協(xié)議（SET）的設(shè)計(jì)目標(biāo)；（2）思考電子商務(wù)中主要角色（銀行、商家、用戶(hù)等）的各自安全目標(biāo)，深入掌握SET協(xié)議的流程與安全模塊的功能。

SET協(xié)議的主要目標(biāo)：（1）交易信息在Internet上的傳輸時(shí)，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被他人竊聽(tīng)。（2）SET協(xié)議使用了一種雙簽名技術(shù)，將訂單信息和個(gè)人賬號(hào)信息隔離，使商家只能看到訂貨信息，看不到消費(fèi)者的賬戶(hù)信息。（3）解決多方認(rèn)證問(wèn)題。不僅對(duì)客戶(hù)的信用卡認(rèn)證，而且要對(duì)在線商家認(rèn)證，實(shí)現(xiàn)客戶(hù)、商家和銀行間的相互認(rèn)證。（4）提供一個(gè)開(kāi)放式的標(biāo)準(zhǔn)，規(guī)范協(xié)議和消息格式，促使不同廠家開(kāi)發(fā)的軟件具有兼容性和互操作功能?？稍诓煌能浻布脚_(tái)上執(zhí)行并被全球廣泛接受。

哪些數(shù)據(jù)內(nèi)容他人無(wú)法竊聽(tīng)？為什么商家看不到賬務(wù)信息？如何實(shí)現(xiàn)雙向認(rèn)證？它們使用了哪些技術(shù)？針對(duì)這幾個(gè)問(wèn)題展開(kāi)講解，有助于深入理解SET協(xié)議安全模塊的功能實(shí)現(xiàn)。

SET協(xié)議中的角色：（1）持卡人：即消費(fèi)者，通過(guò)計(jì)算機(jī)與商家交流，持卡人通過(guò)由發(fā)卡機(jī)構(gòu)頒發(fā)的付款卡（例如，信用卡、借記卡）進(jìn)行支付。SET協(xié)議可保證持卡人的個(gè)人賬號(hào)信息不被商家讀取。（2）商家：提供商品或服務(wù)。接受卡支付的商家必須和銀行有通信，以實(shí)現(xiàn)轉(zhuǎn)賬功能。（3）發(fā)卡機(jī)構(gòu)：它是一個(gè)金融機(jī)構(gòu)（如，銀行），為每一個(gè)建立了賬戶(hù)的顧客頒發(fā)付款卡。（4）收單銀行：支持在線交易，商家在銀行開(kāi)設(shè)賬號(hào)，銀行為商家處理（認(rèn)證）支付信息并實(shí)現(xiàn)銀行間（消費(fèi)者發(fā)卡行與商家銀行）轉(zhuǎn)賬。（5）支付網(wǎng)關(guān)：銀行端的支付業(yè)務(wù)處理系統(tǒng)，處理商家提交的支付信息及消費(fèi)者的支付指令。

基于SET的網(wǎng)上購(gòu)物流程：①客戶(hù)通過(guò)網(wǎng)絡(luò)瀏覽器瀏覽在線商家的商品目錄，選擇要購(gòu)買(mǎi)的商品。②填寫(xiě)訂單，包括欲購(gòu)商品名稱(chēng)、規(guī)格、數(shù)量及交貨信息等，訂單通過(guò)因特網(wǎng)發(fā)送給商家；商家進(jìn)行應(yīng)答，并告知貨物單價(jià)、應(yīng)付款數(shù)額和交貨方式。③消費(fèi)者選擇付款方式，此時(shí)SET開(kāi)始運(yùn)行。④消費(fèi)者發(fā)送給商家一個(gè)完整的訂單及其要求付款的指令。訂單和付款指令由消費(fèi)者進(jìn)行數(shù)字簽名；同時(shí)使用雙重簽名（Dual Signature）技術(shù)，確保商家看不到消費(fèi)者的賬號(hào)信息。⑤商家接受訂單后，把支付信息傳送到收單銀行，收單銀行可以解密信用卡號(hào)，并通過(guò)認(rèn)證驗(yàn)證簽名；收單銀行向客戶(hù)開(kāi)戶(hù)銀行（發(fā)卡銀行）請(qǐng)求支付；發(fā)卡銀行認(rèn)可并簽證該筆交易，按合同將款項(xiàng)劃給收單銀行，并返回確認(rèn)信息，經(jīng)收單銀行通過(guò)支付網(wǎng)關(guān)將該信息發(fā)給在線商家。⑥在線商家發(fā)送訂單確認(rèn)信息給客戶(hù)，客戶(hù)端記錄交易日志，以備日后查考；在線商家發(fā)送商品或提供服務(wù)。

二、SET協(xié)議的功能

SET協(xié)議中采用的加密技術(shù)及實(shí)現(xiàn)的功能：

（1）數(shù)字信封。SET依靠密碼系統(tǒng)保證消息的安全傳輸。使用DES算法加密數(shù)據(jù)，然后將此對(duì)稱(chēng)密鑰用接收者的公鑰加密，形成消息的“數(shù)字信封”，將其和數(shù)據(jù)一起送給接收者，接收者先用他的私鑰解密數(shù)字信封，得到對(duì)稱(chēng)密鑰，然后使用對(duì)稱(chēng)密鑰解開(kāi)數(shù)據(jù)。（2）數(shù)字簽名。數(shù)字簽名用于確定消息的來(lái)源，保證發(fā)送者對(duì)所發(fā)信息不能抵賴(lài)。（3）消息摘要。在SET協(xié)議中，原文通過(guò)SHA-1算法生成消息的文摘。（4）雙重簽名。使用雙重簽名技術(shù)，保證消費(fèi)者的賬號(hào)等重要信息對(duì)商家隱蔽，這是數(shù)字簽名在SET協(xié)議中的新應(yīng)用。

通過(guò)本部分的學(xué)習(xí)，可進(jìn)一步深入地理解密碼算法，尤其是加密、簽名算法在數(shù)據(jù)保密、認(rèn)證性、防抵賴(lài)以及完整性方面的聯(lián)合應(yīng)用。

本文從教學(xué)實(shí)踐出發(fā)總結(jié)了SET協(xié)議的內(nèi)容講解過(guò)程，并嘗試首先講解SET的協(xié)議流程，然后講解SET協(xié)議每個(gè)模塊的功能，以及實(shí)現(xiàn)這些功能所用的算法，并進(jìn)一步比較不同算法間的實(shí)現(xiàn)差異。這樣有助于增強(qiáng)學(xué)生對(duì)抽象的安全協(xié)議以及具體的密碼算法兩方面的理解與掌握。

參考文獻(xiàn)：

[1]易久.電子商務(wù)安全.北京郵電大學(xué)出版社，2011-11.

[2]蔣融融，熊麗榮.網(wǎng)絡(luò)安全協(xié)議的綜合教學(xué)實(shí)踐研究.計(jì)算機(jī)時(shí)代，2007（6）：68-69.

[3]谷瑞軍，姚娟.SET協(xié)議之雙重簽名教學(xué)探討.電子商務(wù)， 2009（12）.

（作者單位 中國(guó)傳媒大學(xué)理工學(xué)部計(jì)算機(jī)學(xué)院）

？誗編輯 代敏麗