安全电子交易协议改进方案.docVIP

安全电子交易协议改进方案 　　摘要：随着计算机网络和通讯技术的发展，电子交易已经逐渐成为人们重要的交易方式。安全电子交易协议保证了在开放的互联网上，使用信用卡支付的购物安全。该文针对安全电子交易协议在其不足的方面做了一定讨论，提出了相应的改进方案。 　　关键词：安全电子交易协议；交易模型；交易软件；算法 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)13-3022-02 　　SET协议：Secure Electronic Transaction，即安全电子交易协议。该协议是安全电子交易中的重要部分，用于B to C商务模式上，保证在开放的互联网上，使用信用卡在线支付的购物安全。该协议较好的解决了顾客、卖家和银行的要求，已经成为在线电子商务中的广泛使用的交易模式。但该协议自身在安全和效率上还是存有一定的缺陷和不足的，对此提出以下改进方案。 　　1 SET的改进方案 　　1.1对支付模型的改进 　　该协议在设计上不能够保证非实体的电子产品在交易中的安全性，现在原SET交易模型中增加建立一个电子交易中心。交易的主要步骤如下： 　　1）用户浏览商店物品后选择需要购买物品并发出购买请求；商家响应买家购买家购物请求并向该买家发送数字证书；用户若对所要买商品的价格等无异议系统生成交易的订单消息，并把该次交易的订单消息和用户的数字证书发给卖家； 　　2）卖家接收到发来的订单消息后在证书链上查阅用户数字证书，使用买家公钥解密信息，确保是用户生成的订单信息。卖家通过随机产生的方式得到对称密钥，使用卖家随机生成的对称密钥加密数字商品，同时，卖家根据订单信息产生付款信息，并对付款信息用数字签名加密，最后把密钥和自己的数字证书发给电子交易中心，已加密的数字商品、签名的数字信息一起发给买家。 　　3）用户收到商家发来的消息后，使用卖家公钥解密付款信息，并验证确是由买家发出。用户随即按照解密得到的付款信息来生成相应的支付指令信息，并对支付指令信息做数字签名加密，最后，将签名的支付指令信息与用户自己的数字证书发送给电子交易中心去。 　　4）分别通过私钥解密和使用用户提供的公钥进行解密后，电子交易中心对商家发来的数字证书做验证，并同时产生相应的支付授权请求，该授权请求支付网关发给用户的发卡行，若用户具有相应的支付能力发卡行将此应付款拨入一个临时使用的账户中，并等待后续处理，同时发送消息告知收单行应付款项已经从用户卡中扣除并存入临时的信用账户中，收单行随后对此回应生成授权响应信息并发回给电子交易中心去。 　　5）电子交易中心收到授权响应信息后，得知买家已完成付款给商家，电子交易中心随机发送信息通知商家，商家随后查询自己银行信用卡账户中户款是否已划拨到账，并将该信息发回给电子交易中心。 　　6）卖家发送确认收款信息后，将加密数字商品的对称密钥先使用电子交易中心的私钥加密，然后再使用买家的公钥加密，最后将此加密信息发送给买家。 　　7）买家使用自己的私钥解密信息后，再使用电子交易中心的公钥解密，最后得到商家的对称密钥，使用商家的对称密钥即可解密得到购买的电子商品。并验证该商品是否与欲购商品一致，若一样则向中心发送买家确认信息，同意支付商品款项，则电子交易中心随后将已经划入临时设置的账户中的付款转到商家账户里，否则，买家发送信息给电子交易中心告知拒绝付款，电子交易中心收到买家信息后，就会将临时资金账户中的付款冻结，再做进一步处理，直到买家收到指定物品否则支付中心将临时账户中的资金再划到用户的账户中。 　　1.2身份认证过程做简化处理 　　使用以下几种方案可实现对身份认证过程的简化： 　　1）建立临时身份数字证书 　　由于在交易过程中需要在用户、卖家和支付网关间做多次传递和验证对方的数字证书从而造成时间上的较大耗费。故为减少这种不必要的时间开销，可以在通信双方在第一次做了相互的身份认证后，由通信双方商定建立一个临时使用的双方都同意的身份数字证书，这样就可大大减少在后面发生的数字证书传递和做验证的次数和时间。该临时身份证书应该规定一个使用期限，这个使用期限应该是根据交易中通信的双方根据此次交易而限定的，过期即失效，这样就可以在一定程度上提高该身份证书的可信任程度。 　　2）本地缓存证书 　　建立本地缓存证书，减少电子证书的验证时间。在一次交易中第一次发生对地区CA的验证后，就将这个已做验证的证书缓存，这样若在本次交易中再次做CA证书认证就首先如缓存中已做验证的证书比对，从而节省了对同一证书的反复认证，减少了在证书认证上的耗费时间。同时一次交易的时间一般都不长，这样会发生证书作废的几率也较低，所以也是较可行的。 　　1.3对加密算法上的改进 　　1）密钥长度的改进 　　交易过程中频繁使用了对称和非对称算法进行了数据加密，加密开销的时间在