電子商務中ＳＥＴ協議安全技術淺析

[摘要] 電子商務的實施，其關鍵是要保證整個商務過程中交易的安全性，其中，安全電子交易協議（SET）是實現安全交易的一項重要保障。本文展示了SET協議的工作流程，介紹了SET中采用的公開密鑰加密、雙重簽名、數字簽名、數字信封等主要技術，并解析了這些技術實現安全電子交易的原理。

[關鍵詞] 電子商務 安全電子交易 數字信封 數字簽名

一、引言

隨著互聯網的普及，基于互聯網的電子商務得到了長足的發展，成為一種全新的商務模式，被許多經濟專家認為是新的經濟增長點。但由于電子商務是以網絡為基礎的，而互聯網絡具有開放性和無時空性的特點，使得電子商務交易平臺具有虛擬和匿名的特性，這就為網絡犯罪和電子欺詐提供了溫床，所以電子商務安全體系的構建就顯得尤為重要。在電子商務安全體系中，電子商務安全協議是完成信息安全交換共同約定的邏輯操作規則，是保證網上交易的機密性、數據完整性、身份的合法性和抗否認性的重要技術，協議是否完備成為它能否提供安全保障的關鍵。

在這些電子商務安全協議中，SET(Secure Electronic Transaction)協議是Visa MasterCard聯合其他一些大公司一起推出的基于開放網絡的以信用卡為基礎的電子商務協議，這個協議得到了CET、IBM、Microsoft、Netscape等大公司的支持，獲得了長足的發展，進入了實用性階段。

二、SET協議淺析

1.SET協議的描述

SET安全電子交易協議是一種基于消息流的協議，該協議主要是為了解決用戶、商家和銀行之間通過信用卡在線支付而設計的，以保證支付信息的機密、支付過程的完整、持卡人的合法身份以及可操作性。SET中的核心技術主要有公開密鑰加密、數字簽名、數字信封、數字證書等。SET協議的工作原理和流程如下圖所示:

2.SET協議中采用的安全技術

SET是在一些早期協議如MasterCard的SEPP以及VISA和Microsoft的STT的基礎上合并而成的，它定義了交易數據在卡用戶、商家、發卡行、收單行之間的流通過程，也定義了各種支持這些交易的安全功能(數字簽名、Hash算法、加密等)。

為了進一步加強安全性，SET使用兩組密鑰對分別用于加密和簽名。SET不希望商家得到顧客的賬戶信息，同時也不希望銀行了解到交易內容，但又要求能對每一筆單獨的交易進行授權。通過雙簽名(dual signature)機制將訂購信息同賬戶信息鏈在一起簽名，SET巧妙地解決了這一矛盾。

SET將對稱密鑰的快速、低成本和非對稱密鑰的有效性完美地結合在一起。考慮網上商店的情況，對于成千上萬的消費者和商家在INTERNET交換信息，要對每一個消費者通過某個渠道發放一個密鑰，在現實中是不可取的。而用公開密鑰，商家生成一個公共密鑰對，任何一個消費者都可用商家公開發布的公鑰與商家進行保密通信，具體介紹如下。

(1)數字信封，SET依靠密碼系統保證消息的可靠傳輸，在SET中，使用DES算法產生的對稱密鑰來加密數據，然后，將此對稱密鑰用接收者的公鑰加密，稱為消息的“數字信封”，將其和數據一起送給接收者，接收者先用他的私鑰解密數字信封，得到對稱密鑰，然后使用對稱密鑰解開數據。

(2)數字簽名，由于公開密鑰和私有密鑰之間存在的數學關系，使用其中一個密鑰加密的數據只能用另一個密鑰解開。SET中使用RSA算法來實現。發送者用自己的私有密鑰加密數據傳給接收者，接收者用發送者的公鑰解開數據后，就可確定消息來自于誰，這就保證了發送者對所發信息不能抵賴。

(3)雙重簽名，為了保證消費者的帳號等重要信息對商家隱蔽，SET中采用了雙重簽名技術。在交易中持卡人發往銀行的支付指令是通過商家轉發的，為了避免在交易的過程中商家竊取持卡人的信用卡信息，以及避免銀行跟蹤持卡人的行為，侵犯消費者隱私，但同時又不能影響商家和銀行對持卡人所發信息的合理的驗證，只有當商家同意持卡人的購買請求后，才會讓銀行給商家負費，SET協議采用雙重簽名來解決這一問題。

3.SET協議主要特點

(1)信息的保密性。SET的一個重要特點是持卡人的信用卡號碼只提供給銀行，而商家無法知道信用卡號碼。SET利用DES密碼算法提供信息的保密性。

(2)數據完整性。從持卡人發往商家的支付信息包括訂購信息、個人數據及支付指令。SET引入RSA數字簽名及Sha-1雜湊函數確保這些消息的內容在傳輸過程中不被非法更改。

(3)持卡人身份的鑒別。SET可以讓商家鑒別持卡人是有效信用卡賬號的合法用戶。SET采用X.509V3數字證書和RSA數字簽名達到這一目的。

(4)商家的鑒別。SET是持卡人可以鑒別商家真實性，而且可以驗證商家能否接受信用卡支付。SET同樣采用X.509V3數字證書和RSA數字簽名實現這一功能。

4.SET協議的安全性分析與總結

SET協議主要通過使用密碼技術和數字證書方式來保證信息的機密性和安全性，它實現了電子交易的數據完整性、機密性、身份的合法性和不可否認性。

數據完整性(Data Integrity) SET協議通過使用Hash函數來保證數據完整性。報文發送后，Hash函數將為之產生一個惟一的報文摘要值，一旦報文中包含的數據被篡改，該值就會改變，從而被檢測到，這樣就保證了信息的完整性。

機密性(Confidentiality)在SET協議下，客戶將支付信息PI和訂單信息OI進行雙重簽名商家解密后得到OI，銀行解密后得到PI，從而避免了商家訪問客戶的支付信息。

身份驗證(Verification Of Identity)身份認證，是電子商務中非常重要的環節，SET協議使用數字證書來確認商家、持卡客戶、受卡行和支付網關的身份，為網上交易提供了一個完整的可信賴的環境。

不可否認性(Non-repudiation of Disputed charges) SET協議中數字證書的發布過程也包含了商家和客戶在交易中存在的信息，因此，如果客戶發出了一個商品的訂單，在收到貨物后它不能否認發出這個訂單，同樣，商家以后也不能否認收到過這個訂單。

三、小結

SET協議位于網絡的應用層中，安全性較好，是實現安全電子交易的重要保障，它規范了整個商務活動的流程，制定了嚴格的加密和認證標準，已經成為網上交易安全通信協定的產業標準。但也存在著一些缺陷，如SET涉及的交易參與主體較多，從而導致協議比較復雜，使用成本高，其安全性在某些方面還存在著一些缺陷，這些都是以后需要研究和改進的地方。