1、SET协议中安全措施的分析 摘要 : 电子商务的实施 ,其关键是要保证整个商务过程中交易的安全性 ,其中 ,安全电子交易协议 (SET)是实现安全交易的一项重要保障 ,它是国际上流行的电子商务所采用的主要协议。本文展示了 SET 协议的工作流程 ,介绍了 SET中采用的公开密钥加密、双重签名、数字签名、数字信封等主要技术 ,并解析了这些技术实现安全电子交易的原理。 SET 协议运用公钥加密、信息摘要和数字签名技术可以确保信息的保密性、可鉴别性、完整性和不可否认性 ,保护了客户的信息。并用 Java 程序来实现双重签名。 下载 关键词 :SET 协议 数字 信封 双重签名 Java 语言 一 .
2、 SET 协议安全研究的意义 SET 协议是国际上流行的电子商务所采的。它采用公钥密码用的主要协议。 SET 协议是为了克服 SSL 安全协议缺点 ,由 Visa 和 Master Card 联合开发体制和 X.509 数字证书标准。主要应用于 B TO C 模式中保障支付信息的安全性。 SET 协议本身比较复杂 ,设计比较严格 ,安全性高。 SET 提供了消费者、商家和银行之间的认证 ,确保了交易数据的安全性、完整可靠性和交易的不可否认性 ,特别是保证不将消费者银行卡号暴露给商家等优点 ,因此 它成为了目前公认的信用卡 /借记卡的网上交易的国际安全标准。最后对 SET协议中安全措施分析 ,从
3、而让人们知道电子商务的安全性 ,这对未来人们在线购物或者企业之间的商务买卖更放心、踏实。因此 ,SET 协议的安全性 ,更具有较强实际意义和理论意义。 二 . SET 协议的流程 (1)支付初始化请求和响应阶段。当客户决定要购买商家的商品并使用电子钱包支付时 ,商家服务器上 POS 软件发报文给客户的浏览器。 (2)支付请求阶段。客户发出一个报文 ,包括订单和支付命令。在订单和支付命令中必须有客户的数字 签名 ,同时利用双重签名技术保证商家看不到客户的账号信息。而位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。 (3)授权请求阶段。商家收到订单后 ,POS 组织一个授权
4、请求报文 ,其中包括客户的支付命令 ,发送给支付网关。 (4)授权响应阶段。收单银行得到发卡银行的批准后 ,通过支付网关发给商家授权响应报文。 (5)支付响应阶段。商家发送购买响应报文给客户 ,记录客户交易日志 ,以备查询。之后进行发货或提供服务 ,并通知收单银行将钱从消费者的账号转移到商店账号 ,或通知发卡 银行请求支付。 三、 SET 协议的安全措施分析 数据的机密性用于保护敏感的和个人的信息 ,为防止有意或无意的攻击和泄露。在一个非安全的网络环境中要保护数据的安全性 ,需要采用加密技术和相关的密钥管理。 SET 协议在一个数字信封中使用对称和非对称两种加密技术和算法来提供数据的机密性。
5、SET 既保证支付数据的机密性 ,也需保证非支付数据的机密性 ,这些数据包含实际数据的提示。例如 ,SET 不交换订购说明 ,但在购买请求中包含订购描述的 Hash值。虽然非支付数据的机密性不在 SET范围内 ,但是也必 须采取措施以保护数据。 四、 SET 协议的安全措施重点、难点 在绪论中已经提到了 SET 协议的问题 ,目前主要的问题有以下两种 : 第一类 :大家都知道 SET 协议的设计是有利于商家的 ,它没有规定发卡银行是否必须在收到客户的货物或服务质量认可书之后向收单银行转账 ,因此可能引发所谓的商品的原子性和交易的原子性问题。 第二类 :基于 Internet 网的电子商务系统技
6、术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息 ,但同时也增加了对某些敏感或有价值的数据被滥用的风险。 五、解决问题的对策 上述两类问题是妨碍 SET 协议成为 BtoC 型电子商务实际应用规范的 ,仅仅基于技术的进步和流程的调整是不足以彻底解决的 ,因为交易行为仍是由人或组织计划和控制的 ,要保证由人和组织参与并调控的信息系统的有序、稳定和高效的运行 ,就必须引入基于契约的商务交易规则和有法律效力的经济追偿机制。 第一类问题即交易后期可能出现的商品或服务质量纠纷问题 ,对此问题应由发卡银行来充当这样的角色最合适 ,其原因如下 :第一 ,发卡银行是公认机构 ,具有权威性和中立性 ;
7、第二 ,发卡银行负责支付卡的 发放及持卡人账户的建立及管理 ,对于资金划拨比较方便。 第二类问题 “ 非拒绝行为 ” 出现则是订单信息和数字证书信息没有 “ 捆绑 ”, 不能让商家确信二者出自同一行为主体之手的缘故。在签订了电子授权合同之后 ,至少有两种方法可消除 “ 非拒绝行为 ”, 一种方法是客户在下订单之前 ,使用私钥将数字证书信息和订单信息打包后加密 ;另一种方法是商家在收到客户发送的数字签名以后的订单之后 ,要求客户发送能用解密订单信息的公钥解密的并附加信息摘要的数字证书 ,由此商家也可以确定是哪一个客户在网上下订单。 参考文献 : 张爱菊 .电子商务安全技术 .第 1版 ,北京 :清华大学出版社 ,2006:181-182 杨丽 ,张丹 ,杜威 . 网上支付安全协议 SSL 和 SET 协议的比较 .商场现代化 ,2008;6(上旬刊 )(531):68-69 史旗凯 ,郭菊娥 . 基于 SET 协议电子商务改进方案 .情报杂志 ,2008;1:110-112 (责任编辑 :段玉 )
