電子類職稱論文淺析基于SET協(xié)議的電子商務交易安全研究

　　摘要：保證電子商務安全，對敏感信息和個人信息提供機密性保證、認證交易雙方的合法身份、保證數(shù)據(jù)的完整性和交易的不可否認性等，已經成為制約電子商務發(fā)展的瓶頸。本文主要介紹了安全電子交易SET 協(xié)議的產生背景、主要目標以及利用該協(xié)議完成網(wǎng)上交易支付流程的具體過程，并在此基礎上討論了SET 協(xié)議如何利用數(shù)字簽名、數(shù)字信封等安全技術來保證信息安全所必需的三個基本要求：數(shù)據(jù)的秘密性，數(shù)據(jù)的完整性與真實性，以及數(shù)據(jù)的不可否認性，闡述了SET協(xié)議中采用的安全技術與措施，最后指出SET 協(xié)議的不足及解決方案。

　　關鍵詞：電子商務安全　SET協(xié)議　安全技術　電子類職稱論文

　　一、基于SET協(xié)議的電子商務交易安全問題分析1.保證電子商務交易安全的關鍵問題。

　　1.1安全問題是電子商務交易的關鍵。傳統(tǒng)的交易是面對面的，比較容易保證建立交易雙方的信任關系和交易過程的安全性。而電子商務活動中的交易行為是通過網(wǎng)絡進行的，買賣雙方互不見面，因而缺乏傳統(tǒng)交易中的信任感和安全感。根據(jù)中國互聯(lián)網(wǎng)絡信息中心(CNNIC)發(fā)布的“中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告”，在電子商務方面，52.26%的用戶最關心的是交易的安全可靠性。由此可見，電子商務中的網(wǎng)絡安全和交易安全問題是實現(xiàn)電子商務的關鍵之所在。

　　1.2電子商務交易中的安全隱患和安全需求。 第一，電子商務交易中的安全隱患有以下方面：篡改、信息破壞、身份識別、信息泄密。 第二，電子商務交易的安全性需求。電子商務交易的安全性需求可以分為兩個方面，一方面是對計算機及網(wǎng)絡系統(tǒng)安全性的要求，表現(xiàn)為對系統(tǒng)硬件和軟件運行安全性和可靠性的要求、系統(tǒng)抵御非法用戶入侵的要求等;另一方面是對電子商務信息安全的要求，主要有以下方面：一是信息的保密性;二是信息的完整性;三是信息的不可否認性;四是交易者身份的真實性;五是系統(tǒng)的可靠性。

　　2.當前的SET系統(tǒng)如何保證安全。SET系統(tǒng)在運用了各種加密方法之后，就可以實現(xiàn)網(wǎng)上的安全交易，主要表現(xiàn)在以下五個方面：第一，數(shù)據(jù)發(fā)送者可以隨機生成對稱密鑰，用對稱密鑰加密數(shù)據(jù)，并將對稱密鑰用接收方的公開密鑰加密，裝人數(shù)字信封，此數(shù)字信封只能用接收方的私人密鑰解密打開，可以保證數(shù)據(jù)的安全和保密。第二，通過消息摘要的檢驗，可以保證數(shù)據(jù)的完整性。第三，使用經CA簽名的數(shù)字證書，可以認定雙方的身份。由于證書是由大家公認的權威機構CA在對用戶進行認證后發(fā)結用戶的，并且CA還在證書上用自己的私人密鑰對所發(fā)證書的消息摘要進行加密，生成CA的數(shù)字簽名，可以用CA的公開密鑰對CA的數(shù)字簽名解密，證明對方發(fā)來的證書確實是CA發(fā)的，也就可以證明對方的身份。第四，通過驗證對方的數(shù)字簽名可以確認消息確實是對方發(fā)的，從而保證了交易的不可抵賴性。第五，在SET交易中，持卡人要發(fā)給網(wǎng)關的信息是通過商戶轉交的。

　　3.當前SET系統(tǒng)的問題分析。SET協(xié)議自1996年4月首次被投入市場，并于1997年5月31日正式發(fā)布1.0版以來，憑借大量的現(xiàn)場實驗和實施效果獲得了業(yè)界的肯定，但在實際應用中的問題和不足也日益顯露。因為據(jù)一般性統(tǒng)計，在SET協(xié)議下完成一次完整的交易過程，需驗證數(shù)字證書9次，驗證數(shù)字簽名6次，傳遞數(shù)字證書7次，進行數(shù)字簽名5次，還需4次對稱加密和非對稱加密，整個交易過程大約要花費1.5~2分鐘甚至更長時間。

　　其實以上提到的問題只能是暫時性或者是無法破解的問題，因為網(wǎng)上交易同樣要遵循安全性與便捷性難成正比的交易規(guī)則，其軟硬件支持系統(tǒng)也會受到摩爾定律的作用而不斷提升性價比。如果以安全性至上兼顧便捷性為取舍標準的話，真正的問題其實只有四類：一是SET協(xié)議的設計是有利于商家的，因此可能引發(fā)所謂的商品的原子性和交易的原子性問題，這為交易后期因商品或服務質量問題產生糾紛埋下了伏筆;二是網(wǎng)上商店不能確定訂單是否由交驗數(shù)字證書的客戶發(fā)出的，這為一些試圖進行客戶關系管理的網(wǎng)上企業(yè)造成了難題;三是如果客戶將真實身份等個人隱私暴露給了網(wǎng)上商店，商家未經客戶授權將客戶個人隱私出售，那么由此會出現(xiàn)客戶投訴問題;四是協(xié)議沒有規(guī)定在交易完成后如何處理相關數(shù)據(jù)信息，這為交易完成后可能出現(xiàn)的糾紛的解決帶來了不確定性。

　　由于SET 的復雜性和認證機制，SET 并不像多數(shù)銀行和商家想象的那么容易實現(xiàn)，它要求銀行網(wǎng)絡、商家服務器和客戶PC 機上都有安裝相應的軟件，且各方都要求申請數(shù)字證書，這對商務規(guī)模相對較小發(fā)生安全問題可能性相對較少的企業(yè)來說，使用SET 協(xié)議是不值的。另一方面，SET 協(xié)議中限于使用DES 和RSA 算法加密數(shù)據(jù)，而目前DES，RSA 算法都有被破解的例子，其安全性已經受到人們的質疑。

　　二、基于SET協(xié)議的電子商務交易安全解決方案

　　1.加密方案。當前電子商務中密碼應用發(fā)展要求提出新的加密方案。組合加密方案就是指在符合SET 協(xié)議標準的系統(tǒng)中，采用多種經過嚴格理論證明的，實踐表明是安全有效的成熟的算法，而不局限于某種特定的算法，按某種組合方式來進行加解密處理的加解密方案。

　　組合加密方案可以采用兩種組合方式：疊套加密方案和協(xié)商加密方案。

　　疊套加密方案：本方案對明文信息采用二層加密，即自主加密和SET 加密，提高了系統(tǒng)的安全性。在擴展性方面，本方案有非常好的擴展性，可適應各種不同的自動加密算法， 同時，可以反復套疊，以滿足各種不同加密強度的要求。

　　協(xié)商加密方案：如果每個參與者都支持多證書和多數(shù)字簽名，可以采用協(xié)商加密方案。假設發(fā)起人A支持私鑰加密算法DES、IDEA，公開密鑰算法RSA和ElGamal，單向哈希算法有MD5、SHA- 1;B是信息的接收者，它只支持DES、RSA 和SHA- 1 三種算法。A、B的數(shù)字認證中心所支持的算法與A一致。A通過算法協(xié)商過程與B確定使用DES，SHA- 1 和RSA 算法。

　　2.針對四類問題的改進方法與解決措施。妨礙SET協(xié)議成為B to C型電子商務實際應用規(guī)范的上述四類問題,僅僅基于技術的進步和流程的調整是不足以徹底解決的，因為交易行為仍是由人或組織計劃和控制的，就必須引入基于契約的商務交易規(guī)則和有法律效力的經濟追償機制。

　　2.1交易后期可能出現(xiàn)的商品或服務質量糾紛問題的解決。對此問題可引入傳統(tǒng)商務中的“定金”規(guī)則，既可輕易化解買賣雙方的經濟糾紛，又可促使買賣雙方建立信任友好的互動關系。如此以來就可促使商家盡力保證商品或服務質量以避免商譽和經濟損失，這種做法既符合信息經濟時代“客戶至上”的通用商業(yè)準則，又可將質量糾紛問題盡可能在出現(xiàn)之前化為烏有，是一種用規(guī)則和機制解決問題的方式方法。

　　2.2交易前期出現(xiàn)的“非拒絕行為”與隱私權保護問題的解決。

　　此問題解決的關鍵是買賣雙方在商洽階段達成客戶具有選擇權的授權契約并進行數(shù)字簽名，即客戶決定自己的隱私信息是否讓商家知道，如果客戶同意開放自己的隱私信息給商家的話，則需簽訂約束商家的電子授權合同，一式三份,雙方數(shù)字簽名后提交一份給CA中心保存，同時CA中心需定期發(fā)布買賣雙方的信用或違約情況記錄。而“非拒絕行為”的出現(xiàn)則是訂單信息和數(shù)字證書信息沒有“捆綁”，不能讓商家確信二者出自同一行為主體之手的緣故。在簽訂了電子授權合同之后，至少有兩種方法可消除“非拒絕行為”，一種方法是客戶在下訂單之前，使用私鑰將數(shù)字證書信息和訂單信息打包后加密，網(wǎng)上商家在解密訂單信息的同時也就看到了數(shù)字證書的信息，而數(shù)字證書信息的真?zhèn)慰筛鶕?jù)數(shù)字證書的公鑰信息提經CA中心驗證，由此商家可以確定是哪一個客戶在網(wǎng)上下訂單;另一種方法是商家在收到客戶發(fā)送的數(shù)字簽名以后的訂單之后，要求客戶發(fā)送能用解密訂單信息的公鑰解密的并附加信息摘要的數(shù)字證書,由此商家也可以確定是哪一個客戶在網(wǎng)上下訂單。究竟采用哪一種方法取決于商家與客戶的約定，并要求客戶在使用電子購物車之前對網(wǎng)上商店的服務條款和訂購操作細則知曉并做出遵守的承諾,這樣就使得“非拒絕行為”問題不復存在，這是一種規(guī)則和機制加上技術共同解決問題的方式方法。

　　三、結語

　　本文基于SET 協(xié)議研究分析了電子商務交易的安全問題，雖然SET協(xié)議還存在不足，但是它對當今電子商務網(wǎng)上支付領域產生了巨大的影響。它存在的問題是可以解決的，它的思想也是可以借鑒的，相信SET將會繼續(xù)在電子商務網(wǎng)上支付領域占有一席之地。

　　參考文獻：

　　[1]江艷霞,巨珺. SET協(xié)議分析及其改進[J]計算機與數(shù)字工程, 2007,(08).

　　[2]戴小波.基于SET協(xié)議的安全電子商務研究[J].微計算機信息，2006，21期.

　　[3]童光才. 嵌套加密方案在SET協(xié)議中的應用研究[N]重慶郵電學院學報(自然科學版), 2006,(S1).

　　[4]胡逢彬. SET技術在電子商務中的應用[J]中國管理信息化, 2006,(05).

《電子類職稱論文淺析基于SET協(xié)議的電子商務交易安全研究》

上一篇：電子類職稱論文發(fā)表淺析元數(shù)據(jù)宏觀結構多維分析

下一篇：職稱論文范文模板淺析變壓器勵磁涌流產生機理