安全电子交易协议在电子商务中应用研究.docVIP

摘?要：本文通过对安全电子交易协议进行分析，针对SET协议在电子商务应用中存在的一些问题，提出了几种改进方案。通过对SET协议的改进，增强了其使用性，提高了安全性，使其更加有利于在电子商务中的应用和推广。 关键词：SET协议、电子商务安全、改进方案  目录 1、安全电子交易协议 2 1.1?安全电子交易协议简介 2 1.2?SET交易的商务模型和支付流程 2 1.3?SET协议的安全技术 4 2、SET协议的改进方案 5 2.1?改进支付模型 5 2.2?简化身份认证过程 6 2.3?改进加密方式及加密算法 7 2.4?对软件进行改进，减少其复杂性 7 2.5?改进后SET协议分析 8 3、结束语 8 参考文献 9 引言 随着网络技术的不断发展与应用，电子商务日渐盛行，越来越多的交易开始在网上进行，而确保实现网上的安全支付既是电子商务的核心问题，也是电子商务得以顺利发展的基础和保障。为了将电子支付的相关参与方与先进的安全技术相结合，安全有序、顺利快捷地完成网络支付的整个流程，则需要一个协议来规范各方的行为与各种技术的运用。这个协议就是安全的网上交易协议，目前使用较为广泛的为SET协议。安全的电子交易协议，可以保证交易通过电子数据存储和传递的形式，在计算机网络系统上实现资金的流通和安全支付，同时具有保护传输数据的机密性、完整性、不可抵赖等多项功能。 1、安全电子交易协议 为了保证电子商务的安全性，引进了许多网络安全方面的技术，比如加密技术、认证技术、数字签名、消息摘要等，同时也制定了电子商务的安全交易标准，主要有SSL协议和SET协议。 1.1?安全电子交易协议简介 1997年5月，SET（Secure?Electronic?Transaction?安全电子交易）协议由VISA和MasterCard两大信用卡公司联合推出，得到了Internet支付产业许多重要组织的支持。SET技术的实质是一种以信用卡为基础的电子支付系统规范，SET协议主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份以及可操作性。SET规范使用了公开密钥体系对通信双方进行认证，利用DES、RC4或其它标准对称加密方法进行信息的加密传输，并利用Hash算法鉴别消息的真伪，以维护在开放网络上金融资料的安全性。SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。目前，SET协议已获得IETF标准认可，是电子商务的发展方向。 1.2?SET交易的商务模型和支付流程 SET协议交易的商务模型如图1所示，其中持卡人在发卡行开设有账户，商家在收单行开设有账户。持卡人和商家之间 的通讯是在Internet上进行的，在交易过程中的每一步均需要 认证中心CA来进行身份认证以保证交易双方是合法主体。发卡行和收单行均属于金融机构，它们之间通过金-融专网进行安全通讯，通过支付网关同Internet连接。[1] 图1 安全电子交易商务模型 SET协议的交易流程与实际购物流程非常接近，但所有的操作都是通过网络完成的，整个流程如图2所示，左边线框内的交易在Internet上进行，右边线框内的交易在金融专网上进行。从图中可以看出，一项SET交易需要持卡人、商家、CA、支付网关、发卡行和收单行共同参与，而且持卡人、商家和支付网关之间的每次交易都需要经过CA认证，支付网关处理商家的每次交易，持卡人并不直接参与和支付网关的对话。从持卡人发出购买请求到收到货物，整个过程分为：持卡人注册、商家注册、购买请求、付款授权和付款结算等几个阶段。 图2 SET协议交易流程图 1.3?SET协议的安全技术 SET协议的安全核心技术主要有公开密钥加密、数字签名、数字信封、消息摘要和数字证书等，主要应用于B?to?C模式中保障支付信息的安全性。在SET协议中，采用DES，RSA加密算法实现对数据加密，采用SHA-1和RSA算法实现数字签名，采用数字证书、数字签名和双重签名等技术实现身份认证。在SET协议下的一个电子购物结算交易中，SET使用非对称加密算法RSA算法来完成数字签名和数字信封，使用DES算法作为SET协议的对称加密算法，用于保护敏感的金融数据，使用安全哈希算法SHA-1来生成消息摘要。下面将相关的安全技术作一个简单介绍。 1、数字信封 所谓数字信封就是发送端用接收端的公钥PK将一个对称加密密钥加密后传送过去。接收端只有用自己的私钥解密，才能得到对称密钥，再用它来解密正文消息。 2、数字证书的发放 在SET协议中，任何一个信任CA的通信方，都可以通过验证对方数字证书上的CA数字签名来建立起与对方的信任关系，并且获得对方的公钥。根据SET标准，对证书使用分层结构进行管理，SET定义