摘要：保證電子商務安全，對敏感信息和個人信息提供機密性保證、認證交易雙方的合法身份、保證數據的完整性和交易的不可否認性等，已經成為制約電子商務發展的瓶頸。本文主要介紹了安全電子交易SET 協議的產生背景、主要目標以及利用該協議完成網上交易支付流程的具體過程，并在此基礎上討論了SET 協議如何利用數字簽名、數字信封等安全技術來保證信息安全所必需的三個基本要求：數據的秘密性，數據的完整性與真實性，以及數據的不可否認性，闡述了SET協議中采用的安全技術與措施，最后指出SET 協議的不足及解決方案。

　　關鍵詞：電子商務安全　SET協議　安全技術　電子類職稱論文

　　一、基于SET協議的電子商務交易安全問題分析1.保證電子商務交易安全的關鍵問題。

　　1.1安全問題是電子商務交易的關鍵。傳統的交易是面對面的，比較容易保證建立交易雙方的信任關系和交易過程的安全性。而電子商務活動中的交易行為是通過網絡進行的，買賣雙方互不見面，因而缺乏傳統交易中的信任感和安全感。根據中國互聯網絡信息中心(CNNIC)發布的“中國互聯網絡發展狀況統計報告”，在電子商務方面，52.26%的用戶最關心的是交易的安全可靠性。由此可見，電子商務中的網絡安全和交易安全問題是實現電子商務的關鍵之所在。

　　1.2電子商務交易中的安全隱患和安全需求。 第一，電子商務交易中的安全隱患有以下方面：篡改、信息破壞、身份識別、信息泄密。 第二，電子商務交易的安全性需求。電子商務交易的安全性需求可以分為兩個方面，一方面是對計算機及網絡系統安全性的要求，表現為對系統硬件和軟件運行安全性和可靠性的要求、系統抵御非法用戶入侵的要求等;另一方面是對電子商務信息安全的要求，主要有以下方面：一是信息的保密性;二是信息的完整性;三是信息的不可否認性;四是交易者身份的真實性;五是系統的可靠性。

　　2.當前的SET系統如何保證安全。SET系統在運用了各種加密方法之后，就可以實現網上的安全交易，主要表現在以下五個方面：第一，數據發送者可以隨機生成對稱密鑰，用對稱密鑰加密數據，并將對稱密鑰用接收方的公開密鑰加密，裝人數字信封，此數字信封只能用接收方的私人密鑰解密打開，可以保證數據的安全和保密。第二，通過消息摘要的檢驗，可以保證數據的完整性。第三，使用經CA簽名的數字證書，可以認定雙方的身份。由于證書是由大家公認的權威機構CA在對用戶進行認證后發結用戶的，并且CA還在證書上用自己的私人密鑰對所發證書的消息摘要進行加密，生成CA的數字簽名，可以用CA的公開密鑰對CA的數字簽名解密，證明對方發來的證書確實是CA發的，也就可以證明對方的身份。第四，通過驗證對方的數字簽名可以確認消息確實是對方發的，從而保證了交易的不可抵賴性。第五，在SET交易中，持卡人要發給網關的信息是通過商戶轉交的。

　　3.當前SET系統的問題分析。SET協議自1996年4月首次被投入市場，并于1997年5月31日正式發布1.0版以來，憑借大量的現場實驗和實施效果獲得了業界的肯定，但在實際應用中的問題和不足也日益顯露。因為據一般性統計，在SET協議下完成一次完整的交易過程，需驗證數字證書9次，驗證數字簽名6次，傳遞數字證書7次，進行數字簽名5次，還需4次對稱加密和非對稱加密，整個交易過程大約要花費1.5~2分鐘甚至更長時間。

　　其實以上提到的問題只能是暫時性或者是無法破解的問題，因為網上交易同樣要遵循安全性與便捷性難成正比的交易規則，其軟硬件支持系統也會受到摩爾定律的作用而不斷提升性價比。如果以安全性至上兼顧便捷性為取舍標準的話，真正的問題其實只有四類：一是SET協議的設計是有利于商家的，因此可能引發所謂的商品的原子性和交易的原子性問題，這為交易后期因商品或服務質量問題產生糾紛埋下了伏筆;二是網上商店不能確定訂單是否由交驗數字證書的客戶發出的，這為一些試圖進行客戶關系管理的網上企業造成了難題;三是如果客戶將真實身份等個人隱私暴露給了網上商店，商家未經客戶授權將客戶個人隱私出售，那么由此會出現客戶投訴問題;四是協議沒有規定在交易完成后如何處理相關數據信息，這為交易完成后可能出現的糾紛的解決帶來了不確定性。

　　由于SET 的復雜性和認證機制，SET 并不像多數銀行和商家想象的那么容易實現，它要求銀行網絡、商家服務器和客戶PC 機上都有安裝相應的軟件，且各方都要求申請數字證書，這對商務規模相對較小發生安全問題可能性相對較少的企業來說，使用SET 協議是不值的。另一方面，SET 協議中限于使用DES 和RSA 算法加密數據，而目前DES，RSA 算法都有被破解的例子，其安全性已經受到人們的質疑。

　　二、基于SET協議的電子商務交易安全解決方案

　　1.加密方案。當前電子商務中密碼應用發展要求提出新的加密方案。組合加密方案就是指在符合SET 協議標準的系統中，采用多種經過嚴格理論證明的，實踐表明是安全有效的成熟的算法，而不局限于某種特定的算法，按某種組合方式來進行加解密處理的加解密方案。

　　組合加密方案可以采用兩種組合方式：疊套加密方案和協商加密方案。

　　疊套加密方案：本方案對明文信息采用二層加密，即自主加密和SET 加密，提高了系統的安全性。在擴展性方面，本方案有非常好的擴展性，可適應各種不同的自動加密算法， 同時，可以反復套疊，以滿足各種不同加密強度的要求。

　　協商加密方案：如果每個參與者都支持多證書和多數字簽名，可以采用協商加密方案。假設發起人A支持私鑰加密算法DES、IDEA，公開密鑰算法RSA和ElGamal，單向哈希算法有MD5、SHA- 1;B是信息的接收者，它只支持DES、RSA 和SHA- 1 三種算法。A、B的數字認證中心所支持的算法與A一致。A通過算法協商過程與B確定使用DES，SHA- 1 和RSA 算法。

　　2.針對四類問題的改進方法與解決措施。妨礙SET協議成為B to C型電子商務實際應用規范的上述四類問題,僅僅基于技術的進步和流程的調整是不足以徹底解決的，因為交易行為仍是由人或組織計劃和控制的，就必須引入基于契約的商務交易規則和有法律效力的經濟追償機制。

　　2.1交易后期可能出現的商品或服務質量糾紛問題的解決。對此問題可引入傳統商務中的“定金”規則，既可輕易化解買賣雙方的經濟糾紛，又可促使買賣雙方建立信任友好的互動關系。如此以來就可促使商家盡力保證商品或服務質量以避免商譽和經濟損失，這種做法既符合信息經濟時代“客戶至上”的通用商業準則，又可將質量糾紛問題盡可能在出現之前化為烏有，是一種用規則和機制解決問題的方式方法。

　　2.2交易前期出現的“非拒絕行為”與隱私權保護問題的解決。

　　此問題解決的關鍵是買賣雙方在商洽階段達成客戶具有選擇權的授權契約并進行數字簽名，即客戶決定自己的隱私信息是否讓商家知道，如果客戶同意開放自己的隱私信息給商家的話，則需簽訂約束商家的電子授權合同，一式三份,雙方數字簽名后提交一份給CA中心保存，同時CA中心需定期發布買賣雙方的信用或違約情況記錄。而“非拒絕行為”的出現則是訂單信息和數字證書信息沒有“捆綁”，不能讓商家確信二者出自同一行為主體之手的緣故。在簽訂了電子授權合同之后，至少有兩種方法可消除“非拒絕行為”，一種方法是客戶在下訂單之前，使用私鑰將數字證書信息和訂單信息打包后加密，網上商家在解密訂單信息的同時也就看到了數字證書的信息，而數字證書信息的真偽可根據數字證書的公鑰信息提經CA中心驗證，由此商家可以確定是哪一個客戶在網上下訂單;另一種方法是商家在收到客戶發送的數字簽名以后的訂單之后，要求客戶發送能用解密訂單信息的公鑰解密的并附加信息摘要的數字證書,由此商家也可以確定是哪一個客戶在網上下訂單。究竟采用哪一種方法取決于商家與客戶的約定，并要求客戶在使用電子購物車之前對網上商店的服務條款和訂購操作細則知曉并做出遵守的承諾,這樣就使得“非拒絕行為”問題不復存在，這是一種規則和機制加上技術共同解決問題的方式方法。

　　三、結語

　　本文基于SET 協議研究分析了電子商務交易的安全問題，雖然SET協議還存在不足，但是它對當今電子商務網上支付領域產生了巨大的影響。它存在的問題是可以解決的，它的思想也是可以借鑒的，相信SET將會繼續在電子商務網上支付領域占有一席之地。

　　參考文獻：

　　[1]江艷霞,巨珺. SET協議分析及其改進[J]計算機與數字工程, 2007,(08).

　　[2]戴小波.基于SET協議的安全電子商務研究[J].微計算機信息，2006，21期.

　　[3]童光才. 嵌套加密方案在SET協議中的應用研究[N]重慶郵電學院學報(自然科學版), 2006,(S1).

　　[4]胡逢彬. SET技術在電子商務中的應用[J]中國管理信息化, 2006,(05).