淺談set協議的安全性及改進措施

SET協議是保證通過開放網絡進行安全支付的技術標準，其主要使用的技術包括對稱密鑰加密技術、非對稱密鑰加密技術、Hash算法、數字簽名、數字信封、以及數字證書等。由于這些技術的使用，保證了電子交易的機密性、數據完整性、身份的合法性和不可否認性。研究SET協議，完善和改進SET協議，對于解決電子商務安全問題和推動電子商務的進一步發展有著重要的學術和實用意義。

1 Set協議的安全性分析

(1)信息機密性。SET協議中傳輸的信息都進行了加密處理，信息的機密性是通過使用混合加密算法(即公鑰加密算法和對稱加密算法相結合)來加密支付信息而獲得的。特別是雙重數字簽名技術的引入，不僅滿足了數據的加密傳輸，還保證只讓應該看到某信息的主體看到信息。

(2)數據完整性。SET協議使用數字簽名來保證數據的完整性。SET協議使用安全Hash算法(如SHA一1)的數字簽名。SHA-l對于任意長度的消息都生成一個160位的消息文摘，如果消息中的一位發生變化，那么消息文摘中的數據會有很大的變化。如果消息在傳輸的過程中被篡改，此時，接受者用Hash函數對接受到的消息進行運算后得到的消息文摘與發送者發來的消息文摘就會不同，從而檢測到消息已被篡改，這樣就保證了消息的完整性。

(3)身份認證性。身份認證是電子商務中非常重要的環節，SET協議使用數字證書來確認商家、持卡人、發卡行和支付網關的身份，為網上交易提供了一個完整的可信賴的環境。

(4)不可否認性。因為交易雙方在發出信息時是經過自己的私鑰作過數字簽名的，而私鑰只有用戶自己保管的，因此可以認為只有擁有該私鑰的人才能發出經過其數字簽名的信息，即保證了消息的不可否認性。

2 Set協議安全性改進

2.1嵌套加密

(1)嵌套加密方案的提出。嵌套加密方案是指在符合SET協議標準的系統中，采用多種經過嚴格理論證明的，實踐表明是安全有效的成熟的算法(也可以是自己開發的)，而不局限于某種特定的算法，按某種組合方式來進行加、解密處理的加、解密方案。嵌套加密方案能夠較好地解決SET協議存在的以上問題，能夠提高SET的加密強度、靈活性和適應性。

(2)嵌套加密方案的工作原理。根據需要，首先選擇一種有自主知識產權的加解密算法對信息加密，然后將其加密后的信息交SET所采用的默認加密算法再進行加密，再將最終結果發送給接收方；接收方收到后首先用SET默認加解密算法進行解密，然后用有自主知識產權的加解密算法進行解密而得到原始信息。

2.2安全控制分級模型

(1)問題的提出。SET是一種基于網上信用卡支付的安全電子交易協議，交易前，它要求持卡人、商家、支付網關等參與方均需安裝相應的軟件和均需向CA申請自己的數字證書；交易過程中，要進行多次證書的傳遞和驗證，以及進行多次加密、解密和數字簽名等。為了解決操作復雜，價格昂貴，運行低能，安全性和適應性差的問題，提出了SET安全控制分級模型。

(2)安全控制分級模型原理。安全控制分級模型的基本原理就是將SET的安全控制分為不同的級別，每種級別的安全性不一樣，級別越低，安全性就越差，但加解密的次數就少，完成整個SET交易的速度快、效率高；反之，級別越高，安全性就越高，其加解密的次數就多，就越復雜，完成整個SET交易的速度就慢，效率就低。不同的消費者可以根據不同的交易情況和自身需求來選擇不同的安全級別。如果消費者所購商品的交易額較小，他對銀行、商家又充分的信任，為了提高交易速度，他就可以選擇安全級別較低的交易方式；如果消費者所購商品的交易額較大，為了確保交易的安全，他就可以選擇安全級別較高的交易方式。

2.3橢圓曲線密碼在SET協議中的應用

SET協議中傳輸的信息都進行了加密處理，對稱密鑰算法DES對信息進行加密。其中，RSA它使用公鑰加密算法RSA和算法在協議中扮演了極其重要的角色，它的安全性是建立在大整數因子分解的困難性基礎上的，其公鑰和私鑰是一對大素數的函數。因此，在協議中需要用ECC算法代替RSA算法的地方有：數字簽名的生成和校驗、數字信封的加密和解密。假設c為持卡人，M為商家。現在c決定購買M的商品，需要向M發送一份訂單信息和一份支付信息。c首先要將訂單信息OI和支付信息P1分別做消息摘要，把兩條摘要連接起來生成一個新的消息摘要。并用C自己的簽名私鑰CSPV進行數字簽名，這就形成了雙數字簽名。c將0I、雙數字簽名、P工的摘要和C的簽名數字證書連在一起，用隨機生成的對稱密鑰K加密，形成加密信息；從M發來的交換數字證書中提取M的交換公鑰MEPU，用它對K加密，形成數字信封；把加密信息和數字證書放在一起，組成了c要發送給M的信息包，如下圖所示。

當M接到c發來的信息包，M首先用自己的交換私鑰MEP，解密數字信封。得到對稱密鑰K；然后，用K解密發來的加密信息，獲得OI、雙數字簽名、PI的摘要和c的簽名數字證書：為了驗證c的身份和信息的真偽，M先驗證c的數字證書的真假；如果證書是真的，再從證書中提取C的簽名公鑰CSE用它解密雙數字簽名，得到原始的雙摘要；M對OI進行Hash，得到OI的摘要，把它和PI的摘要連在一起，生成一個新的雙摘要；比較兩個雙摘要，如果它們是一致的，就說明發送的信息是真實的，中途沒有被篡改。

3總結

本文對SET協議的安全性進行了研究，提出了嵌套加密、安全控制分級模型和橢圓曲線密碼相結合的安全防護措施，使得該協議更加具有安全性、完整性和高效性，從而促進了SET協議在電子商務中的進一步應用和推廣，也更有利于推進安全電子商務的發展。