基于ＳＥＴ的電子商務交易安全模式分析

在線交易的安全性和可靠性是基于因特網環境下的電子商務最關注的問題之一，支付環節的安全性是電子商務所關注的焦點。SET協議為使用信用卡進行在線交易的行為提供了安全規范。

一、電子商務交易的安全威脅與安全需求

1.安全威脅。電子商務交易的各環節中，容易受到以下的安全威脅，這些安全威脅通常都會造成比較嚴重的后果：一是信息的竊取與篡改，即網絡上明文傳輸的數據被入侵者截獲并破譯之后，進行非法篡改、刪除或插入，使信息的完整性遭受破壞。二是信息的假冒，即網絡惡意攻擊者通過冒充合法用戶或者模擬虛假信息來實施欺詐行為。

2.安全需求。與安全威脅相對應，電子商務交易過程有以下的安全需求，分別是信息的保密性、完整性和不可抵賴性。電子商務信息的保密性，指的是在開放的互聯網環境中，交易過程中的有關商務信息必須在相應的保密規范限定之下傳輸和訪問。電子商務信息的完整性，指的是交易雙方的信息不能被非法篡改和破壞。電子商務信息的不可抵賴性，指的是避免發生交易中的某一方在進行某種交易行為之后，否認自己曾經進行過該商務行為；或者某一方否認自己曾經接收到對方發出的交易信息。

二、SET交易安全模式分析

1.SET概述。SET是安全電子交易（Secure Electronic Transaction）的簡稱。其開發者是Visa和MasterCard 兩大信用卡公司，開發目的是為滿足電子商務用戶與商家之間在交易的支付階段使用信用卡的安全性。

SET是一種基于信息流的安全協議，其目的是保證在用戶、商家和銀行之間在開放的網絡環境之下進行安全可靠的信用卡交易。它的出現，使從前只能在銀行之間進行的電子貨幣交易行為范圍擴展到了普通用戶的個人電腦領域。

2.SET核心機制。SET的技術核心是認證與加密，包括公開密匙加密、電子數字簽名、電子信封、電子安全證書等。以加密技術為核心，結合其他技術體制，滿足用戶在電子商務交易中的保密性、完整性和不可抵賴性等安全需求。下面簡要描述一下SET的主要安全措施。

（1)電子數字簽名技術。這種方式結合了私鑰和公鑰體制，采用安全性高、管理方便的RSA算法，交易數據的發出者先將數據用私鑰加密，而數據抵達接收方后，用發送者的公鑰對數據進行解密還原。一個私鑰嚴格關聯著一個公鑰，因此，數據發出者的信息只能被相應的接收者收到。這種方式是的發送方無法抵賴自己曾經發出過的交易數據信息。

（2)電子信封技術。交易信息數據的發出者將所發的信息用DES加密，然后再使用接收者的公鑰把DES的對稱密鑰加密，這個過程叫做給信息加了電子數字信封。隨后，交易信息的發出者將DES加密交易數據和電子信封本身一起發給交易數據的信息接收者。對方收到這些數據之后，用其自己的公鑰打開電子信封，還原出發送者的DES對稱密鑰，接著用這個對稱密鑰去還原交易數據。這就確保了只有用交易信息接收者的密鑰才可以查看電子信封，因此解接收者的身份就可以確定。

3.SET交易流程。

(1)交易流程的參與角色。基于SET安全協議的網絡電子商務交易流程，幾乎完全等同于現實物理世界的交易過程，唯一的不同點是交易發生環境為因特網。SET電子商務共有五個角色的參與：信用卡持有者、信用卡發放者、商家、支付網關、收款銀行。①信用卡持有者:即電子商務交易中的持有信用卡的買主，使用基于 SET安全協議的電子錢包。②信用卡發放者:為信用卡持有者提供電子錢包的機構，屬于金融機構。其功能包括為信用卡持有者開戶并且發放支付卡，即提供網絡交易中買主對信用卡的申請與消費的管理。③商家:提供網絡上的商店，將貨品詳細資料用某種形式在網絡上提交給買主挑選。④支付網關:屬于電子商務交易時的第三方。用于處理電子交易時的支付數據以及買主的支付請求。⑤收款銀行:為電子商務交易雙方建立相關賬戶，同時也擔負著信用卡的認證等功能。

(2)交易流程的具體步驟。①買主上網操作，訪問相關的網站，隨后將挑選好的擬購買商品信息輸入到相關條目中形成電子訂貨單。單據的內容包括商店名稱、貨物名稱以及數量、交貨地點和時間等。②網上商家隨后將接收到來自服務器的買主購物信息，商家在線做出反饋，內容包括對買主所選的商品信息以及交貨方式的確認等。③買主收到商家的反饋信息，確認自己所填的訂購單據，并在付款表單上簽署能證明自己身份的信息。④基于SET安全交易協議，買主所填寫的定貨單據和付款表單均需要數字簽名。此環節由于使用了雙重簽名的技術體制，因此商家無法閱讀到買主的信息，保證了買主的個人隱私信息不泄露。⑤網上的商家此時確認買主的訂購單據，然后訪問買主開戶的銀行請求支付。然后經過信用卡發放者的認證之后，將最終的確認信息返回給商家。⑥商家此時向買主發出訂購單據的確認信息，提示買主記錄。⑦商家按照預定的模式發貨，同時收款銀行將買主信用卡中的貨幣轉移至商家本身的賬戶中。

在電子商務為用戶帶來諸多方便的同時，也不可避免地產生了許多安全問題，其中交易的安全性又是備受關注的。SET協議的目標是解決交易環節中各個參與者（用戶、商家和銀行）之間使用信用卡支付的安全問題。它應用于電子交易環節，可以有效地保證商務數據的保密性、一致性、完整性和不可抵賴性。