《SET协议在电子商务应用中的问题研究》.doc

SET协议在电子商务应用中的问题研究电子商务作为一种全新的商务方式，为全球客户提供了丰富的商务信息、便捷的交易过程以及低廉的交易成本。电子商务交易的完成是信息流，资金流和物流的整合。一个理想的电子商务的运作流程大致如下：顾客首先查询商品信息；然后和商家磋商以确定商品价格；接下来顾客将通过网上银行的电子支付将货款交付给商家；商家收到货款，立刻将货物发送给顾客。至此，一笔交易顺利实现。从这个运作过程来看，“通过网上银行的电子支付将货款安全支付给商家”这个环节在整个过程中起着承上启下的作用，它是电子商务最关键、最核心的环节，也是电子商务得以进行的基础条件。 根据中国互联网络信息中心公布2004年7月发布的第14次中国互联网发展状况分析报告显示，“有 6%的客户之所以不愿意选择网上银行，是出于安全问题的考虑。在CNNIC发布的2004中国互联网络热点调查报告显示：汇款、网上支付和货到付款的比例分别为43.2%、41.8%和34. %，可见网上银行的安全性影响了电子支付的应用，制约了电子商务的进一步发展。”电子商务仍然停留在“网上定购，网下交易”的阶段。根据中国电子商务协会近日公布的一份调查报告显示：网络银行技术、CA认证、社会诚信体系、安全问题等这些曾经被视为困扰网络银行在中国发展的老问题依然没有在技术上得到突破。 目前，网上银行的在线安全支付协议主要有两种：SSL协议（安全套接层协议）和SET协议（安全电子交易协议）。在国际上作为卡支付安全保证的协议SET，是一个既通用又成熟的安全协议，但在应用中仍然存在不足。 1、SET提供的服务 1.1 SET协议简介 为了实现更加完善的即时电子支付，SET协议应运而生。SET协议（Secure Electronic Transaction），被称之为安全电子交易协议，是由Master Card和Visa联合Netscape，Microsoft等公司，于1997年6月1日推出的一种新的电子支付模型。SET协议是B2C上基于信用卡支付模式而设计的，它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的，它具有的保证交易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。 1.2 SET提供的服务 SET协议为电子交易提供了许多保证安全的措施。它能保证电子交易的机密性，数据完整性，交易行为的不可否认性和身份的合法性。 (1)保证客户交易信息的保密性和完整性 SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名，使得商家看不到支付信息，只能接收用户的订单信息；而金融机构看不到交易内容，只能接收到用户支付信息和帐户信息，从而充分保证了消费者帐户和定购信息的安全性。 (2)确保商家和客户交易行为的不可否认性 SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性。其理论基础就是不可否认机制，采用的核心技术包括X.509电子证书标准，数字签名，报文摘要，双重签名等技术。 ????? (3)确保商家和客户的合法性 SET协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证，可以确保交易中的商家和客户都是合法的，可信赖的。 1.3 SET的交易流程 SET交易过程中要对商家，客户，支付网关等交易各方进行身份认证，因此它的交易过程相对复杂。通常基于SET的信用卡支付流程如图3所示： (1)客户在网上商店看中商品后，和商家进行磋商，然后发出请求购买信息。 (2)商家要求客户用电子钱包付款。 (3)电子钱包提示客户输入口令后与商家交换握手信息，确认商家和客户两端均合法。 (4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。 (5)商家将含有客户支付指令的信息发送给支付网关。 (6)支付网关在确认客户信用卡信息之后，向商家发送一个授权响应的报文。 (7)商家向客户的电子钱包发送一个确认信息。 (8)将款项从客户帐号转到商家帐号，然后向顾客送货，交易结束。 从上面的交易流程可以看出，SET交易过程十分复杂性，一次S ET交易过程的相关操作的一些统计数据如表1，表2，表3所示： 由表1，表2，表3可知，在完成一次S ET协议交易过程中，需验证电子证书9次，验证数字签名6次，传递证书7次，进行签名5次，4次对称加密和非对称加密。通常完成一个S ET协议交易过程大约要花费1.5－2分钟甚至更长时间。由于各地网络设施良莠不齐，因此，完成一个SET协议的交易过程可能需要耗费更长的时间。 2、SET的安全性分析 2.1 采用公钥加密和私钥加密相结合的办法保证数据的保密性 SET协议中，支付环境的信息保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而获得的。它采用的