电子类职称论文浅析基于SET协议的电子商务交易安全研究

　　摘要：保证电子商务安全，对敏感信息和个人信息提供机密性保证、认证交易双方的合法身份、保证数据的完整性和交易的不可否认性等，已经成为制约电子商务发展的瓶颈。本文主要介绍了安全电子交易SET 协议的产生背景、主要目标以及利用该协议完成网上交易支付流程的具体过程，并在此基础上讨论了SET 协议如何利用数字签名、数字信封等安全技术来保证信息安全所必需的三个基本要求：数据的秘密性，数据的完整性与真实性，以及数据的不可否认性，阐述了SET协议中采用的安全技术与措施，最后指出SET 协议的不足及解决方案。

　　关键词：电子商务安全　SET协议　安全技术　电子类职称论文

　　一、基于SET协议的电子商务交易安全问题分析1.保证电子商务交易安全的关键问题。

　　1.1安全问题是电子商务交易的关键。传统的交易是面对面的，比较容易保证建立交易双方的信任关系和交易过程的安全性。而电子商务活动中的交易行为是通过网络进行的，买卖双方互不见面，因而缺乏传统交易中的信任感和安全感。根据中国互联网络信息中心(CNNIC)发布的“中国互联网络发展状况统计报告”，在电子商务方面，52.26%的用户最关心的是交易的安全可靠性。由此可见，电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。

　　1.2电子商务交易中的安全隐患和安全需求。 第一，电子商务交易中的安全隐患有以下方面：篡改、信息破坏、身份识别、信息泄密。 第二，电子商务交易的安全性需求。电子商务交易的安全性需求可以分为两个方面，一方面是对计算机及网络系统安全性的要求，表现为对系统硬件和软件运行安全性和可靠性的要求、系统抵御非法用户入侵的要求等;另一方面是对电子商务信息安全的要求，主要有以下方面：一是信息的保密性;二是信息的完整性;三是信息的不可否认性;四是交易者身份的真实性;五是系统的可靠性。

　　2.当前的SET系统如何保证安全。SET系统在运用了各种加密方法之后，就可以实现网上的安全交易，主要表现在以下五个方面：第一，数据发送者可以随机生成对称密钥，用对称密钥加密数据，并将对称密钥用接收方的公开密钥加密，装人数字信封，此数字信封只能用接收方的私人密钥解密打开，可以保证数据的安全和保密。第二，通过消息摘要的检验，可以保证数据的完整性。第三，使用经CA签名的数字证书，可以认定双方的身份。由于证书是由大家公认的权威机构CA在对用户进行认证后发结用户的，并且CA还在证书上用自己的私人密钥对所发证书的消息摘要进行加密，生成CA的数字签名，可以用CA的公开密钥对CA的数字签名解密，证明对方发来的证书确实是CA发的，也就可以证明对方的身份。第四，通过验证对方的数字签名可以确认消息确实是对方发的，从而保证了交易的不可抵赖性。第五，在SET交易中，持卡人要发给网关的信息是通过商户转交的。

　　3.当前SET系统的问题分析。SET协议自1996年4月首次被投入市场，并于1997年5月31日正式发布1.0版以来，凭借大量的现场实验和实施效果获得了业界的肯定，但在实际应用中的问题和不足也日益显露。因为据一般性统计，在SET协议下完成一次完整的交易过程，需验证数字证书9次，验证数字签名6次，传递数字证书7次，进行数字签名5次，还需4次对称加密和非对称加密，整个交易过程大约要花费1.5~2分钟甚至更长时间。

　　其实以上提到的问题只能是暂时性或者是无法破解的问题，因为网上交易同样要遵循安全性与便捷性难成正比的交易规则，其软硬件支持系统也会受到摩尔定律的作用而不断提升性价比。如果以安全性至上兼顾便捷性为取舍标准的话，真正的问题其实只有四类：一是SET协议的设计是有利于商家的，因此可能引发所谓的商品的原子性和交易的原子性问题，这为交易后期因商品或服务质量问题产生纠纷埋下了伏笔;二是网上商店不能确定订单是否由交验数字证书的客户发出的，这为一些试图进行客户关系管理的网上企业造成了难题;三是如果客户将真实身份等个人隐私暴露给了网上商店，商家未经客户授权将客户个人隐私出售，那么由此会出现客户投诉问题;四是协议没有规定在交易完成后如何处理相关数据信息，这为交易完成后可能出现的纠纷的解决带来了不确定性。

　　由于SET 的复杂性和认证机制，SET 并不像多数银行和商家想象的那么容易实现，它要求银行网络、商家服务器和客户PC 机上都有安装相应的软件，且各方都要求申请数字证书，这对商务规模相对较小发生安全问题可能性相对较少的企业来说，使用SET 协议是不值的。另一方面，SET 协议中限于使用DES 和RSA 算法加密数据，而目前DES，RSA 算法都有被破解的例子，其安全性已经受到人们的质疑。

　　二、基于SET协议的电子商务交易安全解决方案

　　1.加密方案。当前电子商务中密码应用发展要求提出新的加密方案。组合加密方案就是指在符合SET 协议标准的系统中，采用多种经过严格理论证明的，实践表明是安全有效的成熟的算法，而不局限于某种特定的算法，按某种组合方式来进行加解密处理的加解密方案。

　　组合加密方案可以采用两种组合方式：叠套加密方案和协商加密方案。

　　叠套加密方案：本方案对明文信息采用二层加密，即自主加密和SET 加密，提高了系统的安全性。在扩展性方面，本方案有非常好的扩展性，可适应各种不同的自动加密算法， 同时，可以反复套叠，以满足各种不同加密强度的要求。

　　协商加密方案：如果每个参与者都支持多证书和多数字签名，可以采用协商加密方案。假设发起人A支持私钥加密算法DES、IDEA，公开密钥算法RSA和ElGamal，单向哈希算法有MD5、SHA- 1;B是信息的接收者，它只支持DES、RSA 和SHA- 1 三种算法。A、B的数字认证中心所支持的算法与A一致。A通过算法协商过程与B确定使用DES，SHA- 1 和RSA 算法。

　　2.针对四类问题的改进方法与解决措施。妨碍SET协议成为B to C型电子商务实际应用规范的上述四类问题,仅仅基于技术的进步和流程的调整是不足以彻底解决的，因为交易行为仍是由人或组织计划和控制的，就必须引入基于契约的商务交易规则和有法律效力的经济追偿机制。

　　2.1交易后期可能出现的商品或服务质量纠纷问题的解决。对此问题可引入传统商务中的“定金”规则，既可轻易化解买卖双方的经济纠纷，又可促使买卖双方建立信任友好的互动关系。如此以来就可促使商家尽力保证商品或服务质量以避免商誉和经济损失，这种做法既符合信息经济时代“客户至上”的通用商业准则，又可将质量纠纷问题尽可能在出现之前化为乌有，是一种用规则和机制解决问题的方式方法。

　　2.2交易前期出现的“非拒绝行为”与隐私权保护问题的解决。

　　此问题解决的关键是买卖双方在商洽阶段达成客户具有选择权的授权契约并进行数字签名，即客户决定自己的隐私信息是否让商家知道，如果客户同意开放自己的隐私信息给商家的话，则需签订约束商家的电子授权合同，一式三份,双方数字签名后提交一份给CA中心保存，同时CA中心需定期发布买卖双方的信用或违约情况记录。而“非拒绝行为”的出现则是订单信息和数字证书信息没有“捆绑”，不能让商家确信二者出自同一行为主体之手的缘故。在签订了电子授权合同之后，至少有两种方法可消除“非拒绝行为”，一种方法是客户在下订单之前，使用私钥将数字证书信息和订单信息打包后加密，网上商家在解密订单信息的同时也就看到了数字证书的信息，而数字证书信息的真伪可根据数字证书的公钥信息提经CA中心验证，由此商家可以确定是哪一个客户在网上下订单;另一种方法是商家在收到客户发送的数字签名以后的订单之后，要求客户发送能用解密订单信息的公钥解密的并附加信息摘要的数字证书,由此商家也可以确定是哪一个客户在网上下订单。究竟采用哪一种方法取决于商家与客户的约定，并要求客户在使用电子购物车之前对网上商店的服务条款和订购操作细则知晓并做出遵守的承诺,这样就使得“非拒绝行为”问题不复存在，这是一种规则和机制加上技术共同解决问题的方式方法。

　　三、结语

　　本文基于SET 协议研究分析了电子商务交易的安全问题，虽然SET协议还存在不足，但是它对当今电子商务网上支付领域产生了巨大的影响。它存在的问题是可以解决的，它的思想也是可以借鉴的，相信SET将会继续在电子商务网上支付领域占有一席之地。

　　参考文献：

　　[1]江艳霞,巨珺. SET协议分析及其改进[J]计算机与数字工程, 2007,(08).

　　[2]戴小波.基于SET协议的安全电子商务研究[J].微计算机信息，2006，21期.

　　[3]童光才. 嵌套加密方案在SET协议中的应用研究[N]重庆邮电学院学报(自然科学版), 2006,(S1).

　　[4]胡逢彬. SET技术在电子商务中的应用[J]中国管理信息化, 2006,(05).

《电子类职称论文浅析基于SET协议的电子商务交易安全研究》

上一篇：电子类职称论文发表浅析元数据宏观结构多维分析

下一篇：职称论文范文模板浅析变压器励磁涌流产生机理